но auditd настроить и банальную проверку бинарей на соответствие тем, что установлены из пакетов дистра реализовать же не сложно, верно?
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/
С внедрением метапродуктов компания приобретает уверенность в защите своего бизнеса с гарантированным результатом. Отсутствие их может привести к реализации недопустимых для компании событий, простою оборудования, необходимости расширения штата и неэффективному использованию средств защиты без ориентации на ключевые риски. Поэтому метапродукты надо воспринимать как окупаемую инвестицию в горизонте 3+ лет.
Привет! Про компрометацию Linux-хостов мы рассказываем в разделе "Вектор № 2. The Green Mile", где атакующим удалось скомпрометировать Citrix NetScaler Gateway под управлением ос FreeBSD. Еще больше подробностей можно найти в нашем полном отчете.
Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.
Да, обновленный анализатор для Python уже в релизе.
Вызов метода __import__ встречается в пользовательском коде, необходимо его поддерживать. Привычный import работает с идентификаторами, а вызов метода __import__ принимает на вход строковый литерал, атакующие этим воспользовались. Учтем :)
Стоит упомянуть, что другие аргументы данного метода позволяют указать области видимости в контексте интерпретируемого пакета, список импортируемых объектов, абсолютный или относительный импорт. Результат импорта вместо добавления в текущий локальный скоуп является возвращаемым значением функции. Подробнее можно прочитать в документации.
Спасибо за интересный комментарий! Безусловно, это одна из сложностей, с которой придется столкнуться. Однако следует понимать, что в статье мы описываем подход к решению конкретной задачи. При его внедрении в тот или иной продукт он комбинируется с множеством других подходов, моделей и техник машинного обучения. В этом случае будут supervised-модели, которые не обучаются на трафике конкретных инфраструктур. Это позволит с большей долей вероятности обнаружить такие «сюрпризы» и очистить обучающую выборку в автоматическом или ручном режиме.
Приведем немного утрированный пример: умные фитнес-браслеты может носить человек, у которого показатели здоровья не в норме. Тем не менее есть общепринятые усредненные цифры, по которым можно судить, что температура тела 38°C определенно является отклонением от нормы.
Добрый день, PyAnalysis ищет только вредоносное ПО. Более того, мы видим, что поиск уязвимостей в коде занимает особое место в процессе безопасной разработки, в то время как выявлению вредоносного кода во внешних зависимостях уделяется мало внимания.
PowerShell не поставляется в виде пакетов, и у него нет публичного репозитория скриптов. На данный момент мы не планируем охватывать PowerShell. Если требуется проверить его на предмет закладок, лучше воспользоваться песочницей.
В случае сторонних продуктов атака, скорее всего, не будет иметь успеха даже при благополучной загрузке шаблона — RTF-документа с эксплойтом, который нацелен на конкретный программный компонент Office Word, в частности на редактор формул в RTF. Поэтому этот эксплойт не отработает.
Если речь идет о безопасном режиме Microsoft Word, нагрузка будет скачана в любом случае, так как она загружается на начальном этапе открытия документа.
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/
Ознакомиться с циклом наших материалов про багхантинг
С внедрением метапродуктов компания приобретает уверенность в защите своего бизнеса с гарантированным результатом. Отсутствие их может привести к реализации недопустимых для компании событий, простою оборудования, необходимости расширения штата и неэффективному использованию средств защиты без ориентации на ключевые риски. Поэтому метапродукты надо воспринимать как окупаемую инвестицию в горизонте 3+ лет.
Привет! Про компрометацию Linux-хостов мы рассказываем в разделе "Вектор № 2. The Green Mile", где атакующим удалось скомпрометировать Citrix NetScaler Gateway под управлением ос FreeBSD. Еще больше подробностей можно найти в нашем полном отчете.
Хорошее предложение, в следующий раз обязательно сделаем.
Спасибо, поправили
Текущие кейсы мы рассматривали в рамках разных продуктов. Но конечно, реально все собрать в рамках одного, например в рамках метапродуктов.
Мы вычислили его по другим данным, в частности по имени и фотографии.
Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.
Да, обновленный анализатор для Python уже в релизе.
Вызов метода
__import__встречается в пользовательском коде, необходимо его поддерживать. Привычныйimportработает с идентификаторами, а вызов метода__import__принимает на вход строковый литерал, атакующие этим воспользовались. Учтем :)Стоит упомянуть, что другие аргументы данного метода позволяют указать области видимости в контексте интерпретируемого пакета, список импортируемых объектов, абсолютный или относительный импорт. Результат импорта вместо добавления в текущий локальный скоуп является возвращаемым значением функции. Подробнее можно прочитать в документации.
Та самая команда:
__import__(b"\xff\xfes\x00u\x00b\x00p\x00r\x00o\x00c\x00e\x00s\x00s\x00".decode('utf-16').check_output(*CMD*).decode()Спасибо за интересный комментарий! Безусловно, это одна из сложностей, с которой придется столкнуться. Однако следует понимать, что в статье мы описываем подход к решению конкретной задачи. При его внедрении в тот или иной продукт он комбинируется с множеством других подходов, моделей и техник машинного обучения. В этом случае будут supervised-модели, которые не обучаются на трафике конкретных инфраструктур. Это позволит с большей долей вероятности обнаружить такие «сюрпризы» и очистить обучающую выборку в автоматическом или ручном режиме.
Приведем немного утрированный пример: умные фитнес-браслеты может носить человек, у которого показатели здоровья не в норме. Тем не менее есть общепринятые усредненные цифры, по которым можно судить, что температура тела 38°C определенно является отклонением от нормы.
Некоторым командам мы отправили специальные приглашения.
Добрый день, PyAnalysis ищет только вредоносное ПО. Более того, мы видим, что поиск уязвимостей в коде занимает особое место в процессе безопасной разработки, в то время как выявлению вредоносного кода во внешних зависимостях уделяется мало внимания.
PowerShell не поставляется в виде пакетов, и у него нет публичного репозитория скриптов. На данный момент мы не планируем охватывать PowerShell. Если требуется проверить его на предмет закладок, лучше воспользоваться песочницей.
В случае сторонних продуктов атака, скорее всего, не будет иметь успеха даже при благополучной загрузке шаблона — RTF-документа с эксплойтом, который нацелен на конкретный программный компонент Office Word, в частности на редактор формул в RTF. Поэтому этот эксплойт не отработает.
Если речь идет о безопасном режиме Microsoft Word, нагрузка будет скачана в любом случае, так как она загружается на начальном этапе открытия документа.