🕵️‍♂️ Как авторы шифровальщиков поставили уничтожение антивирусов на конвейер

Раньше разделение труда в даркнете было простым... создатели шифровальщика пишут сам код, а как проникнуть в сеть, получить права и ослепить антивирусы - это уже головная боль исполнителей, которые ломают конкретную компанию. Но времена изменились.

Исследователи из ESET разобрали внутреннюю кухню новой группировки Gentlemen (которая недавно сама эпично слила свои данные в сеть). Оказалось, что эти ребята полностью изменили правила игры, создав централизованный фреймворк для уничтожения систем защиты предприятий.

Архитектура их платформы, получившей название GentleKiller - выглядит как настоящий детектив и пособие по автоматизации вредоносной активности. Разработчики выдают исполнителям готовый набор инструментов, работающий по принципу атаки через уязвимые легитимные драйверы.

Как это работает:
У группировки есть минимум восемь рабочих модулей. Они тащат в систему жертвы старые, дырявые, но официально подписанные драйверы. В их арсенале замечены драйверы от античита Valorant (GameDriverX64.sys), FACEIT (nseckrnl.sys), систем мониторинга Safetica и даже модули от антивирусов Zemana и Kaspersky. Драйвер легален, система ему доверяет, загружает в ядро ОС, а дальше эксплойт через этот драйвер просто выгружает из памяти любые процессы защиты. База GentleKiller знает более 400 процессов от 48 производителей безопасности.

Чтобы обойти первичный анализ, бинарники автоматизированно маскируются под легальный софт ИБ-вендоров. Скрипты накидывают на вредонос скопированные цифровые подписи, подделывают манифесты файлов (версии, копирайты) и клеят иконки.

Для удобства неграмотных исполнителей ввели даже систему версионирования через суффиксы в именах файлов:
🟢 Файлы с цифрой 1 на конце (например, FaceIT1.exe) - упакованы коммерческим протектором Enigma.
🟢 С цифрой 2 - накрыты протектором Themida.
🟢 Суффикс Light - файл без упаковщика, но с фейковой цифровой подписью.
🟢 Суффикс Clear - голый бинарник для ручной работы.

Хацкеры массово тащат к себе чужие утилиты (вроде известных EDR-киллеров HexKiller и HavocKiller). Как только в сети появляется новый концепт уязвимости для очередного драйвера, разработчики Gentlemen в течение пары дней компилят новый модуль, накрывают его своей оберткой и продают клиентам за суммы 🤑

Защититься от этого классическими методами практически нереально, потому как это легальные, подписанные драйверы. Выход один - жестко резать загрузку через политики и пилить белые списки 😬

Типичный 🥸 Сисадмин

Ты ставишь GrapheneOS, чтобы уйти от слежки, настраиваешь шифрование, чувствуешь себя Нео из Матрицы... 👾 Как вдруг.

Нам не так важна безопасность вашей машины, как важно иметь возможность собирать вашу телеметрию.

Типичный 🥸 Сисадмин

Крайон × Лаборатория Касперского | 25 июня | бесплатный вебинар

😉 Разбираем Kaspersky NGFW — файрвол нового поколения с фильтрацией трафика, контролем приложений, IPS и аналитикой угроз.

На вебинаре разберем:

• как устроен Kaspersky NGFW и чем отличается от классических межсетевых экранов;
• сценарии внедрения в корпоративном контуре;
• что учесть при пилоте — от архитектуры до интеграции с SIEM.

Будет полезно для CISO, ИТ-директоров, ИТ-архитекторов, инженеров по сетевой безопасности и просто любителей технологий.

Бонус для тех, кто пройдет пилотное тестирование продукта NGFW — сертификат на OZON 😉


🖥 Регистрируйся на вебинар

Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: 2W5zFHhWe8q

😮 Эльбрусы возвращаются

Спустя четыре года тишины МЦСТ возобновил поставки своих камней в Россию. Инсайдеры шепчут, что производство физически наладили на фабриках в некой дружественной стране (географию которой мы все прекрасно понимаем, но вслух не называем 🙂).

Что именно везут? Речь идет о тысячах серверных 16-ядерников Эльбрус-16С и тестовых партиях младших двухъядерных Эльбрус-2С3 (16-нанометровый техпроцесс).

Этому камбэку предшествовала суровая драма. В 2024 году, когда срыв поставок процов для МВД и оборонки стал критическим, то в МЦСТ просто ввели внешнее управление 👮‍♂️. Причем рулить разрабами Эльбрусов поставили их прямых конкурентов - создателей процов "Скиф" (НПЦ "Элвис"). Отца-основателя МЦСТ убрали, посадили новых менеджеров, и вот, спустя два года железо поехало.

Железо пойдет в контуры КИИ, силовикам и госкорпорациям. Если ваша контора попадает под указы об импортозамещении, готовьтесь. Скоро эффективные менеджеры принесут смету на закупку.

Типичный 🥸 Сисадмин

Идеальный потребитель эпохи позднего капитализма в киберспорте

З.Ы. Курс управления гневом или таблетки от нервов стоят дешевле, чем семь Logitech G Pro в месяц.

Типичный 🥸 Сисадмин

Использование витухи для разделения кирпичей на стене... Много вопросов🤷‍♂️

Типичный 🥸 Сисадмин

Когда открыл 15 вкладок в Chrome на 8 Гб оперативки 🙂

Типичный 🥸 Сисадмин

🚨 За неустановку СОРМ ответят все. Провайдерам закрыли главную юридическую лазейку и выкатили новые штрафы.

В Госдуме в турборежиме (сразу во втором и третьем чтении за день) приняли, поправки в закон о Телекоме. Касаются они статьи о неисполнении требований по внедрению СОРМ 👮‍♂️

Главный момент этого апдейта:

Исторически многие провайдеры юзали такой костыль: физически строили сеть, подключали абонов, собирали плату, но официально не сдавали узел связи в эксплуатацию (не подписывали бумаги с регулятором). Т.е. если нет официального ввода, то и нет обязанности покупать и ставить коробку СОРМ. Теперь из КоАП физически вырезали слова "на введенной в эксплуатацию сети электросвязи". Всё. Есть лицензия? Оказываешь услуги? Ставь СОРМ, даже если по бумагам сеть еще строится.

Прайсы за нарушение:
🟢 За первое нарушение (нет железа СОРМ, нет согласованного плана внедрения или допущена утечка информации о работе ОРД) юрлицам и ИП прилетит штраф от 3 до 5 млн рублей.
🟢 За повторное нарушение - не менее 10 млн рублей ⚰️

Теперь про самый жесткий пункт поправок. Законодатель прописал, что теперь выручка для штрафа считается от доходов со всей территории действия лицензии, вне зависимости от того, где именно поймали провайдера. То есть, если федеральный оператор пролюбил установку СОРМа в условном поселке на Дальнем Востоке, штраф ему посчитают с доходов по всей стране 😱

Наступает экстерминатус мелких контор телекома. Стоимость СОРМа ни разу не дешевая, что для местечковых домовых сетей может превышать годовую прибыль. Раньше они балансировали на грани рентабельности за счет юридических отсрочек, теперь этой возможности нет. Штраф убьет их быстрее, чем закупка самого железа.

Собственно, мы наблюдаем финализацию процесса, о котором писал весной. Мелкие сети будут вынуждены либо сдавать лицензии и закрываться, либо продаваться федералам. Децентрализованный телеком заканчивается, да и как бы следом расходы на новые стойки под СОРМ не легли бы в тарифы за домашние интернеты 😰

Типичный 🥸 Сисадмин

🤡 ИБ-компания случайно слила в сеть 24 миллиарда паролей

На днях исследователи наткнулись на торчащий в открытом интернете кластер Elasticsearch. Находка оказалась поистине монументальной... внутри 8,3 терабайта данных, содержащих 24 миллиарда записей.

Основной массив этой базы - сырые логи троянов-стилеров.

Логи стягивались из 36 различных источников. Около 1,7 миллиарда записей боты парсили напрямую из теневых ТГ-каналов. Еще 22,6 миллиарда расфасованы по коллекциям (включая известные базы вроде AntiPublic, где пароли отсортированы по типам сервисов).

А теперь главный сок... как выяснилось после публикации отчета, кластер принадлежал легальной компании, которая профессионально занимаюется мониторингом даркнета и продает корпорациям услуги по защите от утечек. И в процессе временной миграции своей инфры их девопсы просто забыли закрыть базу от внешнего сканирования 😂... Классика.

Типичный 🥸 Сисадмин

Психолог:

Разговаривать с техникой - это первый признак одиночества.

Бред... каждый нормальный сисадмин знает, что железо лучший собеседник, а самая сложная задача - это разговаривать с пользователями 🤡

Относись к Духу Машины с уважением, и аптайм будет долгим.

Типичный 🥸 Сисадмин

Суровая реальность сеньор-нетворк-инженера... сидеть в биотуалете, чтобы пьяная толпа могла выложить сторисы с феста.

Типичный 🙂 Сисадмин

Идея мыши, которая обеспечивает воздухообмен, в принципе хороша, но... +69 грамм пыли.

Типичный 🥸 Сисадмин

📉 Железо дорожает, сроки поставок сдвигаются. Как расширять прод без инфаркта для финдира?

Закупать свои сервера в 2026 году - та еще лотерея. Цены на комплектующие летят в космос, а сроки доставки измеряются фазами луны. Логичный выход - рассмотреть альтернативу аренде вместо капитальных затрат. В этой ситуации будет полезен пакет спецусловий для оптимизации инфры от Yandex BareMetal.

Предоставляют выделенные сервера (чистый root на голом железе без оверхеда гипервизоров), заморозив прайс на период аренды, с ценами уровня 2025 года.

Что по цифрам:
🟢 Цены на ряд популярных конфигов срезали на 38% .
🟢 Собирать кастом под свои нужды через «Свою конфигурацию» иногда даже выгоднее, чем брать готовые шаблоны.
🟢 Жесткая фиксация цены на весь период аренды. При этом взять сервер можно на любой период - от 1 дня до года. Законтрактовались - цена не изменится на весь период. Никаких сюрпризов в биллинге.
🟢 При резерве железа на год накидывают еще 15% скидки.

В довесок вы забываете про сгоревшие диски и отвалы БП. Всю физику забирает на себя Yandex Cloud, отдавая вам взрослый SLA, круглосуточный саппорт и инфраструктуру, которая уже соответствует требованиям регуляторов по ИБ. 

Так что если железо нужно вчера, а сметы пугают - чекайте спеки и собирайте свои конфиги на Yandex BareMetal 🦾

Добро пожаловать в ад зависимостей.

Типичный 🥸 Сисадмин

🤖 Как заставить ИИ-агента Microsoft выполнить любой код через один URL

Исследователи раскопали красивейшую цепочку уязвимостей (назвали AutoJack) в проекте Microsoft AutoGen Studio - открытой платформе для создания многоагентных ИИ-систем. Уязвимость позволяет превратить умного бота-помощника в трояна, который сам запустит выполнение произвольного кода на сервере без действий со стороны пользователя.

Вектор атаки базируется на трех архитектурных факапах:

🟢 Факап первый. Разработчики настроили WebSocket так, что он принимал подключения только с 127.0.0.1 или localhost. Вроде логично. т.к. злой скрипт с внешнего сайта не достучится. Но они забыли, что ИИ-агент использует встроенный фоновый браузер, который крутится на этой же машине. Для системы защиты этот браузер - легитимный локальный процесс. Периметр локалхоста пробит изнутри.

🟢 Факап второй. Разработчики прикрутили middleware для проверки токенов, но... почему-то добавили пути /api/mcp/* в исключения. Видимо, решили, что локалхоста достаточно.

🟢 Факап третий. Открытый и неавторизованный эндпоинт принимал параметр server_params, декодировал его из base64 и... напрямую, без всяких белых списков, отправлял в командную строку ОС.

Как выглядит атака в проде?
Вы (или злоумышленник) даете ИИ-агенту задачу: "Бот, вот тебе ссылка, сходи по ней и сделай краткую выжимку текста". Бот открывает страницу своим фоновым браузером. На странице зашит скрытый JavaScript. Этот скрипт стучится на локальный порт самого AutoGen (ведь они соседи по серверу), свободно проходит проверку источника, игнорирует авторизацию и скармливает в server_params зашифрованную команду (например, запуск шифровальщика или реверс-шелл) ⚰️

Бам! ИИ только что скомпрометировал машину с правами того пользователя, под которым был запущен.

Типичный 🥸 Сисадмин

Римские рабы хотя бы были рельефными, дышали морским свежим воздухом и имели нормальный тестостерон. Мы со своими дипломами заработали только сколиоз, выгорание и панички 🚔

Идеальная корпоративная культура. Галера ждет своих героев 🎓

@itmemas