На прошлой неделе состоялась крупная конференция Black Hat Europe. Как обычно: много контента, много актуальных тем, много идей. Выделил несколько докладов:
1. Confidence in Chaos: Strategies for World-Class Security Operations
* Mitre представила набор документов, понятных для C-level руководителей и описывающих стратегические цели, задачи и структуру Security Operation Center. Документы буду полезны всем, кто строит свой SOC или кто выбирает SOC для своих задач.
* Notional SOC structure - ключевой слайд, на котором изображен жизненный цикл и ключевые элементы SOC.
2. Dirty Vanity: A New Approach to Code Injection & EDR Bypass
* Представлена техника обхода EDR, которая основана на использовании Windows Fork API:
1) атакующий создает целевой процесс;
2) атакующий форкает (клонирует) этот процесс и создает его дочерний процесс с шеллкодом;
3) EDR не видит шеллкод в дочернем процессе
* Для защиты нужно детектить использотвание Fork API и, в частности, детектить примитивы "fork", "fork & execute"
3. Real-World Detection Evasion Techniques in the Cloud
* Автор провел обзор вредоносов для облачной инфраструктуры и техник их сокрытия. Практически вся малвара из обзора преследует цели майнинга крипты.
* Новых и ранее неизвестных техник в докладе не анонсировано: DNS over HTTPs, удаление содержимого темповых директорий, timestomping (подделка временных атрибутов своих компонентов в файловой системе для запутывания процессов форензики).
1. Confidence in Chaos: Strategies for World-Class Security Operations
* Mitre представила набор документов, понятных для C-level руководителей и описывающих стратегические цели, задачи и структуру Security Operation Center. Документы буду полезны всем, кто строит свой SOC или кто выбирает SOC для своих задач.
* Notional SOC structure - ключевой слайд, на котором изображен жизненный цикл и ключевые элементы SOC.
2. Dirty Vanity: A New Approach to Code Injection & EDR Bypass
* Представлена техника обхода EDR, которая основана на использовании Windows Fork API:
1) атакующий создает целевой процесс;
2) атакующий форкает (клонирует) этот процесс и создает его дочерний процесс с шеллкодом;
3) EDR не видит шеллкод в дочернем процессе
* Для защиты нужно детектить использотвание Fork API и, в частности, детектить примитивы "fork", "fork & execute"
3. Real-World Detection Evasion Techniques in the Cloud
* Автор провел обзор вредоносов для облачной инфраструктуры и техник их сокрытия. Практически вся малвара из обзора преследует цели майнинга крипты.
* Новых и ранее неизвестных техник в докладе не анонсировано: DNS over HTTPs, удаление содержимого темповых директорий, timestomping (подделка временных атрибутов своих компонентов в файловой системе для запутывания процессов форензики).
👍5👏1
Шаг 1: вставить JS-код на этапе регистрации в OpenEMR - системе управления медицинскими картами с открытым исходным кодом.
Шаг 2: открыть страницу с внедренным кодом в режиме киоска.
Шаг 3: собрать аккаунты пользователей медицинской системы.
Шаг 4: повысить привилегии в системе в случае получения учетки с правами админа.
Шаг 5: отправить информацию владельцам репозитория, зарегистрировать уязвимость CVE-2019-6449.
Шаг 2: открыть страницу с внедренным кодом в режиме киоска.
Шаг 3: собрать аккаунты пользователей медицинской системы.
Шаг 4: повысить привилегии в системе в случае получения учетки с правами админа.
Шаг 5: отправить информацию владельцам репозитория, зарегистрировать уязвимость CVE-2019-6449.
🔥5👀1
Media is too big
VIEW IN TELEGRAM
YaTalks 2021: секция "Технологии: Backend".
Антихрупкость - ключевая тема обсуждения. Лидеры компаний, меняющих мир - участники дискуссии. Информационная безопасность - фундамент, на котором строится стратегия устойчивых процессов в IT.
Антихрупкость - ключевая тема обсуждения. Лидеры компаний, меняющих мир - участники дискуссии. Информационная безопасность - фундамент, на котором строится стратегия устойчивых процессов в IT.
🔥2👀1
«В будущем эти уязвимости могут использоваться для изменения и стирания воспоминаний или для причинения физического вреда» - ключевая мысль статьи, опубликованной в ZDNet.
По мотивам нашего совместного исследования с Группой Нейрохирургии Оксфордского Университета.
По мотивам нашего совместного исследования с Группой Нейрохирургии Оксфордского Университета.
ZDNET
This is how hackers can wipe your memory and steal your thoughts
It might seem like science fiction, but security woes in brain chips could make such attacks reality sooner than we think.
👍3🤯1
«Рынок воспоминаний: подготовка к будущему, в котором кибер-угрозы нацелены на ваше прошлое»
Отчет о совместном исследовании с Оксфордской Группой Нейрохирургии. Объект исследования: импланты для нейростимуляции (имлантируемый генератор импульсов).
А началось все с идеи анализа защищенности медицинского устройства.
Отчет о совместном исследовании с Оксфордской Группой Нейрохирургии. Объект исследования: импланты для нейростимуляции (имлантируемый генератор импульсов).
А началось все с идеи анализа защищенности медицинского устройства.
❤2👍2👀2
Обратная сторона eBPF: новые возможности для вредоносного ПО
Интересный блогпост снова поднимает проблему использования возможностей подсистемы eBPF вредоносным кодом для Linux. Примечательные моменты, описанные в статье:
* Авторы доступно описали ключевые стадии жизненного цикла eBPF-программы.
* Приведены примеры функций ядра, которые могут использоваться eBPF-программой для манипуляций с памятью запущенного процесса. При этом приведены ранее известные концепции вредоносного eBPF-кода, который может проводить манипуляции с памятью целевого процесса в user-space. Хорошая возможность для руткитов.
* Описано использование подсистем работы с трафиком для сокрытия каналов коммуникации с C2-сервером. Кстати, ранее уже был обнаружена малварь, которая использует манипуляции с socket-фильтрами с помощью eBPF (Symbiote). А вот экземпляров, которые используют обработку трафика с помощью технологий XDP (eXpress Data Path) или TC (traffic control) в дикой природе пока замечено не было.
* Перечислены меры защиты. Если кратко: не разрешай исполнение привилегированного eBPF-кода, запрещай странные соединения с помощью файрволла.
Готовимся к появлению вредоносного eBPF-кода с функциями ransomware?
Интересный блогпост снова поднимает проблему использования возможностей подсистемы eBPF вредоносным кодом для Linux. Примечательные моменты, описанные в статье:
* Авторы доступно описали ключевые стадии жизненного цикла eBPF-программы.
* Приведены примеры функций ядра, которые могут использоваться eBPF-программой для манипуляций с памятью запущенного процесса. При этом приведены ранее известные концепции вредоносного eBPF-кода, который может проводить манипуляции с памятью целевого процесса в user-space. Хорошая возможность для руткитов.
* Описано использование подсистем работы с трафиком для сокрытия каналов коммуникации с C2-сервером. Кстати, ранее уже был обнаружена малварь, которая использует манипуляции с socket-фильтрами с помощью eBPF (Symbiote). А вот экземпляров, которые используют обработку трафика с помощью технологий XDP (eXpress Data Path) или TC (traffic control) в дикой природе пока замечено не было.
* Перечислены меры защиты. Если кратко: не разрешай исполнение привилегированного eBPF-кода, запрещай странные соединения с помощью файрволла.
Готовимся к появлению вредоносного eBPF-кода с функциями ransomware?
Red Canary
What Is eBPF? Linux Malware Risks Explained
Extended Berkeley Packet Filter (eBPF) is beginning to transform the Linux malware landscape. Here's what defenders should look out for.
👍6
Пункт 6 инструкции исследователя: подготовить доклад для отраслевых мероприятий.
В какой стране выбрать конференцию или митап для публикации отчетов с уязвимостями в IoT-устройствах? В той, где Shodan показал наибольшее количество этих устройств.
Так я оказался в Каире, на региональном чаптере конференции BSides.
В какой стране выбрать конференцию или митап для публикации отчетов с уязвимостями в IoT-устройствах? В той, где Shodan показал наибольшее количество этих устройств.
Так я оказался в Каире, на региональном чаптере конференции BSides.
👍2👏2
BSides Cairo 2019: Mitigating New Entry Points To The Jewels
Запись выступления в Каире. Через 5 минут после начала трансляция останавливается, и с этого момента никто не отвлекает от слайдов.
Запись выступления в Каире. Через 5 минут после начала трансляция останавливается, и с этого момента никто не отвлекает от слайдов.
YouTube
BSides Cairo 2019: Mitigating New Entry Points To The Jewels - Denis Makrushin
Due to a copyright complaint we had to remove the audio from the commercial for the Watch Dogs game that this presentation starts with.
Also, about 5 minutes into the talk the camera feed, for unknown reasons, froze. Unfortunately this wasn't noticed until…
Also, about 5 minutes into the talk the camera feed, for unknown reasons, froze. Unfortunately this wasn't noticed until…
Итоги конференции BSides Cairo:
1. Знакомство с экспертами EG-CERT и передача отчетов с уязвимостями и ландшафтом угроз для региона.
2. Заряженные студенты местных факультетов Computer Science, которые теперь хотят продолжить обучение в направлении Cyber Security.
3. Запрос о менторстве от талантливого студента из Mansoura University для его подготовки к докладу на конференции в следующем году (позже я расскажу, что из этого получилось).
4. Приглашение в состав Review Board мероприятия.
Если ты еще по-прежнему посещаешь конференции в онлайне, чтобы послушать эксклюзивный контент, то пересмотри свое отношение к отраслевым мероприятиям и ищи дополнительную ценность.
1. Знакомство с экспертами EG-CERT и передача отчетов с уязвимостями и ландшафтом угроз для региона.
2. Заряженные студенты местных факультетов Computer Science, которые теперь хотят продолжить обучение в направлении Cyber Security.
3. Запрос о менторстве от талантливого студента из Mansoura University для его подготовки к докладу на конференции в следующем году (позже я расскажу, что из этого получилось).
4. Приглашение в состав Review Board мероприятия.
Если ты еще по-прежнему посещаешь конференции в онлайне, чтобы послушать эксклюзивный контент, то пересмотри свое отношение к отраслевым мероприятиям и ищи дополнительную ценность.
👍4❤1🔥1🏆1
НеITшный Египет.
Именно в этот момент я понял, что вместо экзаменов OSCP и CISSP я буду готовиться к получению сертификата PADI Open Water Diver.
Именно в этот момент я понял, что вместо экзаменов OSCP и CISSP я буду готовиться к получению сертификата PADI Open Water Diver.
🔥8👍2😍2👏1🐳1
The Connected World has been disconnected: Survival Guide in IoThreats Era
От умного дома до умного города: исследование безопасности IoT и Industrial-IoT, представленное на конференциях Defcon (USA) и RSA Conference (USA). Оставлю слайды здесь на случай, если кто-то вспомнит о безопасности технологий Smart City.
От умного дома до умного города: исследование безопасности IoT и Industrial-IoT, представленное на конференциях Defcon (USA) и RSA Conference (USA). Оставлю слайды здесь на случай, если кто-то вспомнит о безопасности технологий Smart City.
👀1