Эта статья представляет собой руководство по x64dbg, в котором объясняется и демонстрируется методика реверс-инжиниринга вредоносных программ. Она является продолжением нашей серии публикаций, посвященных x64dbg:
Антивирусная защита *
Защита компьютерных систем от вредоносного ПО
- Новые
- Лучшие
- Все
- ≥0
- ≥10
- ≥25
- ≥50
- ≥100
Новости
Дайджест киберинцидентов Acronis #7
Привет, Хабр! В нашем дайджесте мы рассказываем об успешных атаках относительно новых (или хорошо известных) групп Ransomware, опасностях криптоджекинга, появлении очередного Ransomware под Linux, а также об опасностях для владельцев серверов MS Exchange. Все подробности — под катом.
Как взломать вашу корпоративную сеть? Заплатить вашему сотруднику…
По крайней мере, такого подхода точно придерживаются в группировке LockBit. Мошенники решили упростить себе задачу проникновения в корпоративные сети, привлекая к этому сотрудников компания. В нашем посте мы рассмотрим последние новшества этого вредоносного ПО, а также расскажем про тактику группировки, которой удалось заразить немало организаций и получить от них хорошие отступные.
#BHUSA 2021: участники делятся впечатлениями от первого лица
Мы уже рассказывали, что Acronis участвовал в международной конференции Black Hat 2021 как Diamond-спонсор. Но мы решили не ограничиться этим и отправили агентов послушать разные доклады. В результате VP Acronis по исследованиям в сфере киберзащиты Кандид Вуест и аналитик по киберзащите Тофер Тебоу отправились слушать доклады, чтобы поделиться с нами самыми важными выводами по итогам конференции. Собственно, о них мы и рассказываем под катом.
Немного о вариабельности SARS-CoV-2
На сегодняшний день применяется не менее четырёх способов классификации вариантов SARS-CoV-2 (или hCoV-19). Проще всего с непривычки запутаться в ветвях филогенетического дерева (кладах), по-разному обозначаемых двумя конкурирующими организациями – GISAID (gisaid.org) и Nextstrain (nextstrain.org). Лавинообразное нарастание количества вариантов вируса усложняет восприятие и понимание подобных обозначений, поэтому деление на клады постепенно вытесняется делением на линии, обозначенным как PANGOLIN (Phylogenetic Assignment of Named Global Outbreak LINeages). Для такого деления используется секвенирование вирусных геномов и построение их полного филогенетического дерева.
Что появится в специальных возможностях Windows 11
Я рад поделиться новыми подробностями о специальных возможностях Windows.
Ранее в этом году Microsoft объявила о том, что берет на себя больше обязательств и ставит более амбициозные цели по обеспечению доступности. И недавно мы представили Windows 11. Ранняя предварительная версия Windows 11 уже доступна участникам программы предварительной оценки Windows, а позже в этом году будет доступна всем. Мне не терпится рассказать о том, как мы расширяем возможности людей с инвалидностью и помогаем им добиваться большего с помощью Windows, в том числе с помощью новшеств Windows 11. Это будет длинный пост, ведь у нас много нового.
Больше возможного, эффективно и — восхитительно
Специальные возможности — фундаментальный строительный блок, который позволяет раскрывать потенциал любой части общества. Более доступная среда Windows способна помочь преодолеть «разрыв из-за инвалидности», чтобы открыть новые возможности для получения образования и трудоустройства людям с инвалидностью во всем мире.
Исследуем обнаруженные зловреды группы APT31: что нового
В ходе мониторинга угроз ИБ в апреле 2021 года наши специалисты из PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. Впоследствии аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из обнаруженных во время исследования файлов имели достаточно интересные названия — «хавсралт.scr» (монг. вложение), «Информация_Рб_июнь_2021_года_2021062826109.exe» — и содержали, как позже оказалось, троян удаленного доступа (remote access trojan, RAT).
По нашим данным, с января по июль текущего года в мире было проведено в общей сложности около десятка атак с использованием найденных образцов ВПО. Детальный анализ вредоносного ПО, многочисленные пересечения по функционалу, применяемым техникам и механизмам позволили нам соотнести обнаруженный зловред с активностью группы APT31. Полную версию отчета можно прочитать здесь. В этой статье мы разберем созданное ВПО и уловки его разработчиков, а еще расскажем, по каким критериям проводили атрибуцию атак.
Дайджест киберинцидентов Acronis #6
Привет, Хабр! Мы продолжаем наш дайджест, и сегодня в “меню” — новые вирусы имени Олимпиады-2020, рост заражений с использованием инфицированных файлов Microsoft Office, ловушки для любителей пиратского контента и ПО. Кроме этого мы назовем новые имена хорошо известных группировок, которые некоторые эксперты уже хотели списать со счетов, а также расскажем о расширенных функциях LockBit, которые помогают этому вредоносному ПО шифровать компьютеры по всему домену.
Чего можно ожидать от Black Hat 2021?
Привет, Хабр! Завтра начинается международная гибридная конференция Black Hat 2021. Мы, как активный участник и контрибьютор мероприятия проанализировали доклады и подобрали самое интересное. В этом посте вы узнаете, что можно послушать на Black Hat и какие интересные выступления подготовили спикеры. Различные спичи относятся к уязвимостям Windows, MacOS и Linux, охватывают вопросы Supply-Chain атак, а также будут посвящены проблемам развития отрасли киберзащиты в целом. Подробности и ссылка на ивент — под катом.
Дайджест киберинцидентов Acronis #5
Доброе утро, Хабр! Мы подготовили очередной дайджест киберинцидентов. В этом выпуске мы поговорим о попытках Microsoft остановить целевые атаки, об архивировании вредоносного ПО для обхода защиты, криптоджекинге под Linux, опасностях фишинга и миграции распространенных угроз для Windows на платформу MacOS.
Непредвзятые отзывы об ИТ-продуктах: а такое бывает?
Привет, Хабр! Сегодня большинство пользователей принимает решение о приобретении товара или заказе услуги после прочтения отзывов. Однако вопрос, насколько честны эти отзывы, и какой процент “заказухи” среди них остается открытым. Интересное решение этого вопроса предлагают такие платформы, как портал G2. аждый квартал они публикуют свои G2 Grid Reports со специально отфильтрованными отзывами. И сегодня мы подробнее расскажем о летнем G2 Grid Report в области резервного копирования.
Дайджест киберинцидентов Acronis #4
Сегодня мы расскажем о новой версии троянской программы, созданной специально для заражения стримингового ПО, а также о развитии одного из давно известных ботнетов. Кроме этого специалисты Acronis CPOCs зарегистрировали две крупные атаки Ransomware, нацеленные на правительственные структуры и крупного продавца модной одежды. Все подробности -- под катом.
Защита от атаки REvil на Kaseya в действии: опыт избежавших шифрования
Казалось бы, что еще можно написать про атаку REvil на Kaseya? Но еще кое-что можно. И сегодня мы расскажем о том, как происходит защита от подобных атак еще на том этапе, когда природа поражения была неизвестна. Данный пост построен на основе данных защиты решений Acronis и содержит информацию о действиях вредоносного ПО, а также о реакциях нашей системы и индикаторы компрометации.
NortonLifeLock ведет переговоры о покупке Avast
Компания Avast, главный офис которой находится в Праге, в основном производит бесплатное и премиальное программное обеспечение для обеспечения безопасности, предлагая защиту ПК и мобильных устройств.
Фото: David W Cerny/Reuters
NortonLifeLock Inc. ведет переговоры о покупке фирмы Avast Plc, занимающейся кибербезопасностью, в рамках сделки, которая расширит фокус американской компании на потребительское программное обеспечение.
14 июля 2021 года Avast подтвердил, что действительно обсуждает сделку, после того, как The Wall Street Journal сообщила о переговорах ранее того же дня.
По словам специалистов в этом вопросе, сделка может быть завершена в июле месяце 2021 года, если переговоры не сорвутся. Рыночная стоимость Avast составляет около 5,2 миллиарда фунтов стерлингов (около 7,2 миллиарда долларов). Если исходить из типичной комиссии за сделку, то в конечном счёте сделка может стоить компании по кибербезопасности более 8 миллиардов долларов.
Avast заявил, что NortonLifeLock должен до 11 августа 2021 года сделать окончательное предложение в соответствии с британским кодексом поглощения, который устанавливает формальные сроки.
Avast, который находится в Праге, но проводит торги в Лондоне, в основном производит как бесплатное, так и премиальное программное обеспечение безопасности для потребителей, такое как безопасность ПК и защита серверов и мобильных устройств. Компания заявляет, что у нее 435 миллионов активных пользователей, а ее доход в 2020 году составил примерно 893 миллиона долларов.
Вопросы киберзащиты на Microsoft Inspire 2021
Информация для интересующихся — в настоящее время в самом разгаре одно из крупнейших мероприятий для партнеров Microsoft, ориентированного на сервис-провайдеров. Корпорация рассказывает в режиме онлайн об обновлениях своих сервисов и появлении новых возможностей для расширения бизнеса. А завтра будет самая важная часть для тех, кто интересуется вопросами защиты данных пользователей в рамках экосистемы Microsoft. Поскольку Acronis выступает как Select Partner этого мероприятия, мы приглашаем всех желающих принять участие в завтрашней сессии #MInspire (на английском языке). Подробности и ссылку на для регистрации вы найдете под катом.
Дайджест киберинцидентов Acronis #3
Сегодня в нашем дайджесте мы расскажем о последствиях нашумевшей атаки REvil на Kaseya VSA, причем не только для компаний, которые использовали популярный сервис, но и для тех, кто вообще не устанавливал подобное ПО. Кроме этого вы узнаете о расширении активности TrickBot и о новых версиях успешно атаковавших в начале 2021 года шифровальщиков. Также в нашем дайджесте — история о том, как злоумышленники паразитируют на успешных атаках своих “коллег по цеху”. Подробнее обо всех этих инцидентах — под катом.
Бэкдор от монгольского центра сертификации CA MonPass
Мы обнаружили загружаемый с официального сайта MonPass (крупного центра сертификации в Монголии) установщик с бинарными файлами Cobalt Strike (фреймворк, помогающий эксплуатировать уязвимости, закрепиться и продвинуться в целевой системе). Немедленно уведомив их о нашей находке, мы призвали MonPass обратиться к их скомпрометированному серверу и предупредить тех, кто скачал клиент с бэкдором.
MonPass предприняли все необходимые шаги для решения этих проблем, и теперь представляем вашему вниманию наш анализ.
Анализ, начатый в апреле 2021 года, показывает, что публичный сервер, организованный MonPass, потенциально мог быть взломан 8 раз: мы обнаружили восемь различных веб-оболочек и бэкдоров на этом сервере. Также мы выяснили, что клиент MonPass, доступный для скачивания с 8 февраля по 3 марта был взломан.
Наше исследование содержит анализ взломанных установщиков и других образцов кода, обнаруженных в «дикой природе» (прим. Дикая природа (in the wild) — сленговый термин, подразумевающий технологии и ПО, уже выпущенное для широкой публики и не находящиеся под контролем разработчиков). Также во время расследования было опубликовано схожее с нашим исследование от NTT Ltd (при нажатии начнется загрузка pdf), поэтому некоторые технические детали наших работ могут пересекаться.
Новая атака REvil Ransomware на сети сервис-провайдеров: подробности, факты, индикаторы
Привет, Хабр! Сегодня мы хотим рассказать о подробностях новой атаки группы REvil/Sodinokibi, которая по некоторым данным позволила зашифровать данные более чем на 1 000 000 компьютеров в разных странах. В этом посте вы найдете информацию о механизме атаки, индикаторы заражения, рекомендации по защите, а также узнаете, почему злоумышленники решили не заниматься кражей данных, и какую роль в этом заражении играет BLM.
Должен ли MSP становиться MSSP?
Привет, Хабр! Сегодня мы хотим поделиться интересным мнением портала TAG Cyber о перспективах расширения бизнеса сервис-провайдеров (MSP) в области киберзащиты, что должно сделать их MSSP (Managed Security Service Providers). Под катом — разбор мнения экспертов из последнего квартального отчета, включая 5 основных препятствий, которые мешают MSP успешно развивать экспертизу в сфере ИБ. Если вы работаете в компании сервис-провайдере или хотели бы увидеть такие услуги в портфеле вашего MSP, приглашаем вас принять участие в опросе и обсудить вопрос трансформации MSP в MSSP в комментариях.
Дайджест киберинцидентов Acronis #2
В этом выпуске дайджеста киберинцидентов мы расскажем о взломе компании, работающей с ядерным оружием и о вынужденном переходе на личные почтовые ящики поставщика оборудования для кафе и ресторанов. Также вы узнаете о том, почему до сих пор работают “старые добрые” методы взлома email, и к каким неприятностям привело одну медицинскую компанию отсутствие внимания к защите учетных записей.
Вклад авторов
gjf 842.0alizar 401.2yaPetrovich 396.0mir-mir 388.0nchaly 381.0Onthar 350.0doctorweb 344.4vilgeforce 344.0ttools 279.0PandaSecurityRus 213.8