Со временем схема будет расширяться. То, что сейчас на ней отмечено, это каркас.
Что касается вашего вопроса, на эту тему можно подискутировать: надо ли делать отдельное ответвление в науку, или эта роль совпадает с преподаванием? Может ли преподаватель по кибербезопасности не быть ученым, а только практиком?
В статье обсуждается поведенческий анализ. Перечисленные техники, кроме многократного вызова RegCloseKey, затрудняют статический анализ. Для их обнаружения подойдет, например, сигнатурный детект, а это совсем другая история)
Многократный вызов RegCloseKey может создать проблемы для динамического анализа файлов в отладчике или с помощью apimon-а. Для решений класса EDR это не проблема.
Привет! Плагины для работы основного SAST анализатора PT Application Inspector внутри CI/CD мы отдаём с поставкой продукта, если речь про это. Без использования продукта от них мало пользы, так как они выполняют по сути функции раннеров от CI/CD до сервера PT Application Inspector, отдавая задачу и возвращая результат.
Привет! Чтобы участвовать в программе, продукты Positive Technologies не нужны. Наши продукты стоят в сети нашей компании и защищают ее инфраструктуру. Подобные действия не входят в условия программы, изменение кода должно проходить в инфраструктуре Positive Technologies, но сначала до нее надо добраться.
Если вам интересна безопасность отдельного продукта, есть ряд программ, где они предоставлены для исследований, но условия там другие. Вот пример одной из багбаунти-программ, а здесь можно больше узнать о другой.
Согласны с вами, неуязвимых систем не бывает. Однако совокупность технических мер, политик безопасности и выстроенного на всех этапах мониторинга информационной безопасности дает уверенность в невозможности реализации недопустимого события.
Да нахрен будут ломать вашу супер пупер защищённую систему.Сломают просто вашего хостера и дело с концом - проще, дешевле и результативнее ;) ;)
Действительно, для каких-то компаний взлом хостера может нанести сильный ущерб. Но в нашем случае взлом хостера не приведет к реализации недопустимого события.
"До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог. "
Во фразе «До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог» имели в виду, что мы видим попытки атак на нашу инфраструктуру, успешно ловим их и блокируем.
Привет! Согласно правилам багбаунти Positive Technologies, задействовать сотрудников компании запрещено. Все способы нелегального воздействия, такие как угрозы, шантаж и т. д., выходят за рамки багбаунти.
Если говорить про реальную ситуацию, действительно, социальная инженерия — это один из ключевых способов проникнуть внутрь организации. В любой системе, где человек является важным звеном, вероятность ошибки гораздо выше. Мы обучаем всех наших сотрудников основам кибербезопасности, регулярно проводим вебинары и курсы по правильному реагированию на атаки, рассказываем, когда надо обращаться в SOC компании.
Может кто-нибудь объяснить для такого необразованного виндузятника как я, что здесь написано?В моем понимании, шеллкод - это инструкции для shell, командного интерпретатора (их много, я в курсе). Как он может быть написан на ассемблере - языке для управления ЦП?
Привет!
Шелл-код — это двоичный исполняемый код. Свое название он получил из-за того, что обычно передает управление командной оболочке (shell на английском). Но в общем смысле это некий двоичный код, на который передается управление.
У шелл-кода нет таблицы импортов, поэтому для взаимодействия с Linux у него есть два пути:
Самостоятельно получить адреса необходимых функций;
Использовать системные вызовы. Авторы данного вредоносного ПО выбрали второй вариант. На языке ассемблера системный вызов выглядит следующим образом:
А зачем они там? На сервере никто браузером не пользуется, файлы им не качает, письма не открывает, бинари, скаченные с торрентов не запускает.
Привет, после успешной эксплуатации уязвимости в веб-сервисе или при боковом продвижении по хостам внутри сети злоумышленники могут устанавливать образцы вредоносного программного обеспечения на зараженные хосты для получения контроля над ними. Поэтому мы рекомендуем выполнять расширенный аудит всех хостов корпоративной инфраструктуры и использовать на них средства антивирусной защиты.
Трояны, не трояны, какая разница, что сделает взломщик с уже взломанным хостом?
Скомпрометировав хотя бы один хост корпоративной инфраструктуры, злоумышленники могут развивать атаку, дальше продвигаться внутри сети и реализовывать поставленные цели (осуществлять шпионаж, похищать данные, проводить атаки на другие сети или предпринимать деструктивные действия — шифровать или выводить инфраструктуру из строя).
но auditd настроить и банальную проверку бинарей на соответствие тем, что установлены из пакетов дистра реализовать же не сложно, верно?
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/
Привет! К какой роли на схеме, на ваш взгляд, относится знание бизнес-процессов? Менеджер по информационной безопасности?
Привет! На схеме действительно нет CISO, так как эта должность может включать задачи из разных ролей.
Со временем схема будет расширяться. То, что сейчас на ней отмечено, это каркас.
Что касается вашего вопроса, на эту тему можно подискутировать: надо ли делать отдельное ответвление в науку, или эта роль совпадает с преподаванием? Может ли преподаватель по кибербезопасности не быть ученым, а только практиком?
В статье обсуждается поведенческий анализ. Перечисленные техники, кроме многократного вызова RegCloseKey, затрудняют статический анализ. Для их обнаружения подойдет, например, сигнатурный детект, а это совсем другая история)
Многократный вызов RegCloseKey может создать проблемы для динамического анализа файлов в отладчике или с помощью apimon-а. Для решений класса EDR это не проблема.
Привет! О его низкой стоимости упоминалось во многих статьях, например, в самом начале есть ссылка на материал на SecurityLab.
Привет! Конечно
SHA1: fbd3075398f609f67f409c8c869853703c83953f
https://www.virustotal.com/gui/file/fcafcfd32332f92ac7735324411d671a7e49da7159c24c15e34603e7638429aa
Как видите, бывает и такое 🙂
Примеры кибератак с использованием двойного расширения можете также посмотреть в матрице MITRE ATT&CK, а еще в отчете коллег.
Привет! Плагины для работы основного SAST анализатора PT Application Inspector внутри CI/CD мы отдаём с поставкой продукта, если речь про это. Без использования продукта от них мало пользы, так как они выполняют по сути функции раннеров от CI/CD до сервера PT Application Inspector, отдавая задачу и возвращая результат.
Привет! Маркетплейсы IDE проводят свои проверки перед публикацией плагинов.
Согласны, есть такое. Вчера тут же поправили
Привет! Чтобы участвовать в программе, продукты Positive Technologies не нужны. Наши продукты стоят в сети нашей компании и защищают ее инфраструктуру. Подобные действия не входят в условия программы, изменение кода должно проходить в инфраструктуре Positive Technologies, но сначала до нее надо добраться.
Если вам интересна безопасность отдельного продукта, есть ряд программ, где они предоставлены для исследований, но условия там другие. Вот пример одной из багбаунти-программ, а здесь можно больше узнать о другой.
Согласны с вами, неуязвимых систем не бывает. Однако совокупность технических мер, политик безопасности и выстроенного на всех этапах мониторинга информационной безопасности дает уверенность в невозможности реализации недопустимого события.
Действительно, для каких-то компаний взлом хостера может нанести сильный ущерб. Но в нашем случае взлом хостера не приведет к реализации недопустимого события.
Во фразе «До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог» имели в виду, что мы видим попытки атак на нашу инфраструктуру, успешно ловим их и блокируем.
Привет! Согласно правилам багбаунти Positive Technologies, задействовать сотрудников компании запрещено. Все способы нелегального воздействия, такие как угрозы, шантаж и т. д., выходят за рамки багбаунти.
Если говорить про реальную ситуацию, действительно, социальная инженерия — это один из ключевых способов проникнуть внутрь организации. В любой системе, где человек является важным звеном, вероятность ошибки гораздо выше. Мы обучаем всех наших сотрудников основам кибербезопасности, регулярно проводим вебинары и курсы по правильному реагированию на атаки, рассказываем, когда надо обращаться в SOC компании.
Не забывайте делать скидку на возраст) Это работа DevOps-инженера глазами детей, которым не больше шести лет.
Согласны с вами!
Привет!
Шелл-код — это двоичный исполняемый код. Свое название он получил из-за того, что обычно передает управление командной оболочке (shell на английском). Но в общем смысле это некий двоичный код, на который передается управление.
У шелл-кода нет таблицы импортов, поэтому для взаимодействия с Linux у него есть два пути:
Самостоятельно получить адреса необходимых функций;
Использовать системные вызовы. Авторы данного вредоносного ПО выбрали второй вариант. На языке ассемблера системный вызов выглядит следующим образом:
Привет, после успешной эксплуатации уязвимости в веб-сервисе или при боковом продвижении по хостам внутри сети злоумышленники могут устанавливать образцы вредоносного программного обеспечения на зараженные хосты для получения контроля над ними.
Поэтому мы рекомендуем выполнять расширенный аудит всех хостов корпоративной инфраструктуры и использовать на них средства антивирусной защиты.
Скомпрометировав хотя бы один хост корпоративной инфраструктуры, злоумышленники могут развивать атаку, дальше продвигаться внутри сети и реализовывать поставленные цели (осуществлять шпионаж, похищать данные, проводить атаки на другие сети или предпринимать деструктивные действия — шифровать или выводить инфраструктуру из строя).
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/