Makrushin
3.69K subscribers
240 photos
33 videos
359 links
Денис Макрушин. Здесь, чтобы спасти мир.

Про кибербезопасность, технологии и людей.

По вопросам сотрудничества: @makrushin_bot

Канал в Max: https://max.ru/join/ujHOeKoo_3u03g8bHBzJdGx39G2ETpQkTZk98MOg8fA

makrushin.com
Download Telegram
Если кто-то скажет тебе, что исследователь безопасности ничего не создает в этом мире, бери мысль на вооружение:

мы двигаем мир в безопасное место, чтобы ты мог создавать.
❤‍🔥5🤔1🤡1🤣1
На прошлой неделе состоялась крупная конференция Black Hat Europe. Как обычно: много контента, много актуальных тем, много идей. Выделил несколько докладов:

1. Confidence in Chaos: Strategies for World-Class Security Operations

* Mitre представила набор документов, понятных для C-level руководителей и описывающих стратегические цели, задачи и структуру Security Operation Center. Документы буду полезны всем, кто строит свой SOC или кто выбирает SOC для своих задач.
* Notional SOC structure - ключевой слайд, на котором изображен жизненный цикл и ключевые элементы SOC.

2. Dirty Vanity: A New Approach to Code Injection & EDR Bypass

* Представлена техника обхода EDR, которая основана на использовании Windows Fork API:
1) атакующий создает целевой процесс;
2) атакующий форкает (клонирует) этот процесс и создает его дочерний процесс с шеллкодом;
3) EDR не видит шеллкод в дочернем процессе
* Для защиты нужно детектить использотвание Fork API и, в частности, детектить примитивы "fork", "fork & execute"

3. Real-World Detection Evasion Techniques in the Cloud

* Автор провел обзор вредоносов для облачной инфраструктуры и техник их сокрытия. Практически вся малвара из обзора преследует цели майнинга крипты.
* Новых и ранее неизвестных техник в докладе не анонсировано: DNS over HTTPs, удаление содержимого темповых директорий, timestomping (подделка временных атрибутов своих компонентов в файловой системе для запутывания процессов форензики).
👍5👏1
И если Дед Мороз спросит, как ты вел себя в этом году, отвечай: «Этично и ответственно». Затем покажи ему свои «благодарности» и сертификаты от вендоров.

На этот случай я приберег для Деда сертификат от Интерпол за проведение тренинга по расследованию инцидентов в корпоративных сетях.
🔥13👍7🫡7🏆21
Декабрь 2021 года. Мероприятие YaTalks. Вместе с технологическими лидерами компаний Яндекс, VK и Ozon мы рассуждаем о ключевых элементах «анти-хрупкости» для построения устойчивой IT-инфраструктуры.

Декабрь 2022 года. Тема мероприятия YaTalks: «Люди превыше всего». Вот он - ключевой элемент.
👍3👏1
Шаг 1: вставить JS-код на этапе регистрации в OpenEMR - системе управления медицинскими картами с открытым исходным кодом.
Шаг 2: открыть страницу с внедренным кодом в режиме киоска.
Шаг 3: собрать аккаунты пользователей медицинской системы.
Шаг 4: повысить привилегии в системе в случае получения учетки с правами админа.

Шаг 5: отправить информацию владельцам репозитория, зарегистрировать уязвимость CVE-2019-6449.
🔥5👀1
CVE-2019-6449: почти 500 экземпляров уязвимой версии OpenEMR доступны онлайн. Некоторые из них наверняка являются ханипотами, но даже в таком случае, в открытом доступе находятся гигабайты медицинских данных.
Media is too big
VIEW IN TELEGRAM
YaTalks 2021: секция "Технологии: Backend".

Антихрупкость - ключевая тема обсуждения. Лидеры компаний, меняющих мир - участники дискуссии. Информационная безопасность - фундамент, на котором строится стратегия устойчивых процессов в IT.
🔥2👀1
Интересно обнаружить сервис мониторинга Docker, который доступен без авторизации любому пользователю местного wi-fi. Кажется, что панель управления контейнерами где-то в этой же сети. В этом же поезде.
👍3👀1
Просто напоминание: знай свой предел, а затем игнорируй его.
С Новым Годом!
🎉17🔥61👍1
«В будущем эти уязвимости могут использоваться для изменения и стирания воспоминаний или для причинения физического вреда» - ключевая мысль статьи, опубликованной в ZDNet.

По мотивам нашего совместного исследования с Группой Нейрохирургии Оксфордского Университета.
👍3🤯1
«Рынок воспоминаний: подготовка к будущему, в котором кибер-угрозы нацелены на ваше прошлое»

Отчет о совместном исследовании с Оксфордской Группой Нейрохирургии. Объект исследования: импланты для нейростимуляции (имлантируемый генератор импульсов).

А началось все с идеи анализа защищенности медицинского устройства.
2👍2👀2
Обратная сторона eBPF: новые возможности для вредоносного ПО

Интересный блогпост снова поднимает проблему использования возможностей подсистемы eBPF вредоносным кодом для Linux. Примечательные моменты, описанные в статье:

* Авторы доступно описали ключевые стадии жизненного цикла eBPF-программы.
* Приведены примеры функций ядра, которые могут использоваться eBPF-программой для манипуляций с памятью запущенного процесса. При этом приведены ранее известные концепции вредоносного eBPF-кода, который может проводить манипуляции с памятью целевого процесса в user-space. Хорошая возможность для руткитов.
* Описано использование подсистем работы с трафиком для сокрытия каналов коммуникации с C2-сервером. Кстати, ранее уже был обнаружена малварь, которая использует манипуляции с socket-фильтрами с помощью eBPF (Symbiote). А вот экземпляров, которые используют обработку трафика с помощью технологий XDP (eXpress Data Path) или TC (traffic control) в дикой природе пока замечено не было.
* Перечислены меры защиты. Если кратко: не разрешай исполнение привилегированного eBPF-кода, запрещай странные соединения с помощью файрволла.

Готовимся к появлению вредоносного eBPF-кода с функциями ransomware?
👍6
«Как в сериале “Черное Зеркало”: что хакеры могут сделать с воспоминаниями»

Так называется подкаст, в котором мы вместе с Лори Пайкрофт (Oxford) и Дмитрием Галовым (Kaspersky) рассказали австралийскому изданию о возможных последствиях атак на нейро-импланты.
👍2🤯1
Высыпайся, потому что завтра нам нужно принимать ключевые решения. Завтра нам нужно создать технологию, которая спасет чью-то жизнь. Завтра предстоит найти уязвимость в стоге кода. Все это требует концентрации.

Высыпайся.
🔥11👍1🤡1🏆1
Пункт 6 инструкции исследователя: подготовить доклад для отраслевых мероприятий.

В какой стране выбрать конференцию или митап для публикации отчетов с уязвимостями в IoT-устройствах? В той, где Shodan показал наибольшее количество этих устройств.

Так я оказался в Каире, на региональном чаптере конференции BSides.
👍2👏2
BSides Cairo 2019: Mitigating New Entry Points To The Jewels

Запись выступления в Каире. Через 5 минут после начала трансляция останавливается, и с этого момента никто не отвлекает от слайдов.
Итоги конференции BSides Cairo:

1. Знакомство с экспертами EG-CERT и передача отчетов с уязвимостями и ландшафтом угроз для региона.
2. Заряженные студенты местных факультетов Computer Science, которые теперь хотят продолжить обучение в направлении Cyber Security.
3. Запрос о менторстве от талантливого студента из Mansoura University для его подготовки к докладу на конференции в следующем году (позже я расскажу, что из этого получилось).
4. Приглашение в состав Review Board мероприятия.

Если ты еще по-прежнему посещаешь конференции в онлайне, чтобы послушать эксклюзивный контент, то пересмотри свое отношение к отраслевым мероприятиям и ищи дополнительную ценность.
👍41🔥1🏆1
НеITшный Египет.

Именно в этот момент я понял, что вместо экзаменов OSCP и CISSP я буду готовиться к получению сертификата PADI Open Water Diver.
🔥8👍2😍2👏1🐳1
Инженер DevOps, прежде чем разворачивать микросервис PostgreSQL из конфигурационного файла с учетными данными, убедись, что после деплоя ты поменяешь все учетки. И, конечно, не будь как те владельцы PostgreSQL, кто вообще не использует пароли.
🤔2
The Connected World has been disconnected: Survival Guide in IoThreats Era

От умного дома до умного города: исследование безопасности IoT и Industrial-IoT, представленное на конференциях Defcon (USA) и RSA Conference (USA). Оставлю слайды здесь на случай, если кто-то вспомнит о безопасности технологий Smart City.
👀1
This media is not supported in your browser
VIEW IN TELEGRAM
На что похожа работа в ИБ.
🔥7👍3😁2