Микко Хиппонен (Mikko Hyppönen) — ИБ-эксперт из Финляндии. Он является авторитетным специалистом по вопросам компьютерной безопасности, много лет публично комментирует и пишет о вредоносных программах, хактивистах и правительствах. Он также является членом консультативного совета по интернет-безопасности в Европоле. В отрывке из его новой книги «Умное, значит уязвимое» вы сможете узнать несколько интересных подробностей о вредоносном ПО и методах борьбы с ним.
Антивирусная защита *
Защита компьютерных систем от вредоносного ПО
Новости
10 типичных ошибок при расследовании инцидентов
Ночью со счета компании вывели деньги. Утром начинается паника, которая приводит к дополнительным проблемам. Например, ИТ переустанавливают скомпрометированную систему — с нуля или восстанавливают из бэкапа. В первом случае стираются следы взломщиков, и приглашенной команде по расследованию инцидентов остается только развести руками, а потом долго искать артефакты на других системах. Во втором случае есть риск восстановить образ, который уже скомпрометирован. Сегодня мы расскажем об основных просчетах, которые мешают грамотно и быстро отреагировать на действия хакеров, и почему к встрече с киберпреступниками лучше готовиться заранее (на всякий случай).
Яндекс.Диск в качестве контрольного сервера: как мы обнаружили новые атаки группировки APT31 на российские компании
В апреле 2022 года мы выявили атаку на ряд российских организаций сферы медиа и ТЭК. В атаках злоумышленники использовали вредоносный документ с именем «список.docx», извлекающий из себя вредоносную нагрузку, упакованную VMProtect.
Мы проанализировали пакет сетевой коммуникации и выяснили, что он идентичен тому, который мы рассматривали в отчете по исследованию инструментов группировки APT31, что позволило предположить, что и эти инструменты могут принадлежать этой же группировке.
Кроме того, мы выявили две новых разновидности вредоносного ПО, которые назвали YaRAT (потому что оно обладает функциональностью RAT и в качестве контрольного сервера использует Яндекс.Диск) и Stealer0x3401 (по константе, используемой при обфускации ключа шифрования).
Подробности нашего исследования читайте под катом.
ИБ — новая инженерная подсистема ЦОД?
Привет, Хабр! Сегодня мне хотелось бы поговорить о том, как нужно относиться к информационной безопасности в центрах обработки данных. Поскольку обеспечить бесперебойный доступ к сервисам — главная задача любого дата-центра, мы стали рассматривать ИБ как одну из инженерных систем ЦОДа, которая обеспечивает uptime. Сегодня я не буду рассказывать про конкретные решения и вендоров, а поделюсь нашим опытом внедрения решений и политик информационной безопасности на уровне всего дата-центра.
Топ-10 антивирусных программ – 2022
Рейтинг антивирусного ПО для Windows составлен на основе обзоров ведущих западных и отечественных журналов по кибербезопасности.
Фишинг: монстр из глубин электронной почты
Проблема фишинга продолжает оставаться одной из самых острых, когда речь заходит о корпоративной информационной безопасности. И самое сложное, что в вопросе противодействия фишингу ключевую роль играет человеческий фактор. Мы в Oxygen выработали двунаправленный подход к борьбе с вредоносными рассылками и стремлением сотрудников переходить на зараженные сайты-двойники. И именно этим подходом я поделюсь в сегодняшнем посте.
Участившиеся атаки на сервер
Вопрос безопасности сервера с каждым днём становятся всё более актуальней, а обеспечение их безопасности — всё сложнее. После 28 мая 2022 г. участились кибер атаки в том числе на малый и средний бизнес. Эта напасть не обошла стороной и Красноярск. За месяц пострадало 4 клиента нашей небольшой компании. У всех четверых, при посещении сайта, появлялся видео ролик с антивоенными призывами. Из них трое настраивали свой сервер сами и сказать как их взломали я не могу поскольку не владею объективной информацией. По четвёртому точно знаю что он попался на фишинг и передал злоумышленнику доступ по ssh.
Защита от DDoS и web-атак: нюансы подключения из облака
Привет, Хабр! Сегодня отличный день для того, чтобы поговорить о защите от DDoS и обеспечении безопасности веб-приложений в облачных средах. В этом посте мы подробнее разберем, чем подключение внешних провайдеров для облака отличается от подключения on-prem оборудования и почему даже те, у кого есть уже установленные устройства (физические и виртуальные) начинают использовать гибридную схему защиты. Я постараюсь рассказать, что именно облако может предложить вкусного и полезного, если вам нужна такая защита. Под катом — небольшой анализ ситуации, а также схемы включения защиты в виде облачных сервисов.
Охота на бройлеров. Как работают китайские телефонные хакеры
Несколько лет назад, когда я ещё работал в антивирусной компании, я купил недорогой смартфон на Android для пожилой родственницы. Телефон позиционировался, как отечественный продукт, но по факту был, разумеется, китайским аппаратом, выпущенным под российским брендом. Удаляя идущие с завода ненужные приложения и добавляя отсутствующие, я решил заодно установить и антивирус — мало ли, на какую ссылку нажмёт малограмотная в айтишных делах пользовательница? Каково же было моё удивление, когда на совершенно новом аппарате с ходу обнаружился троян, способный загружать и устанавливать без ведома юзера любые приложения. Попытка вылечить телефон не увенчалась успехом, не помог и сброс до заводских настроек — троян сидел в прошивке, к которой антивирусное ПО не имеет доступа, если аппарат, конечно, не рутован. Изучение вопроса показало, что китайские смартфоны с «сюрпризами» присутствуют на отечественном рынке в широчайшем ассортименте. Более того, в Китае существует целая индустрия по производству, распространению и эксплуатации мобильных вредоносных программ, прошитых в firmware, и за минувшие годы в этой сфере почти ничего не изменилось. А причём тут охота на бройлеров, спросите вы? Сейчас расскажу.
Хороший, плохой, злой. Мексиканская дуэль угроз и спасение в облачных сервисах
Привет, Хабр! Меня зовут Кирилл Орлов, и я занимаюсь вопросами ИБ в Oxygen. В этом посте предлагаю посмотреть "в глаза" трём самым популярным ИБ угрозам - и разобрать, почему миграция в облако помогает справиться с ними быстрее и проще. Сегодня я не буду лезть в дебри ИБ и разбирать сложные кейсы. Этот текст скорее предназначен для новичков в ИБ, которым стараются сложить (или уже сложили) на плечи вопросы защиты данных в дополнение к администрированию или другим обязанностям. Если это про вас, то заходите под кат, давайте обсудим, как перенос корпоративных систем в облако мог бы помочь вам с решением проблем кибербезопасности.
Обход антивирусов в теории и на практике: краткий обзор способов и тестирование обфускаторов
Прошлой осенью я протестировала программное обеспечение для обхода антивирусов, которое применялось на различных тренировках у нас на киберполигоне. Для исследования я выбрала несколько инструментов обфускации и проверила, смогут ли общедоступные средства антивирусной защиты — Microsoft Defender, Kaspersky Total Security и VirusTotal — обнаружить вредоносную нагрузку в файлах после их обработки обфускаторами.
Исследование проводилось исключительно в образовательных целях для организации киберучений: на Национальном киберполигоне мы помогаем будущим специалистам по кибербезопасности и тем, кто уже работает в отрасли, без риска реального ущерба оттачивать на практике навыки defensive security. Участники учений тренируются на эмулированной инфраструктуре предприятий различных отраслей выявлять цепочки атак, сценарии которых повторяют действия реальных злоумышленников, в том числе и обход антивирусов.
Сегодня я поделюсь результатами моего исследования и заодно кратко опишу другие методы обхода антивирусов. Cтатья может быть полезной пентестерам и другим специалистам по кибербезопасности, желающим убедиться в работоспособности доступных методов обхода антивирусов, которые можно найти в открытых источниках.
Как укрепить Windows Defender по максимуму
На Хабре неоднократно обсуждалось, что сторонние антивирусы — источник дополнительной угрозы. Они внедряются в ОС на уровне ядра и увеличивают поверхность атаки за счёт собственных уязвимостей. Некоторые специалисты говорят, что сторонние антивирусы лучше удалить. Хотя в некоторых случаях их использование всё-таки имеет смысл.
Но есть и хорошая новость. В состав ОС Windows входит стандартный антивирус Windows Defender. Это простая и добротная программа. Но для максимальной эффективности желательно её укрепить специальными настройками, которые по умолчанию отключены.
Вирусу Микеланджело — 30 лет
Michelangelo — первое вредоносное ПО, которое получило широкую огласку в СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены (поэтому эта дата считается днём его рождения).
Двигать влево или вправо? Экономический подход к ИБ
Привет, Хабр! Меня зовут Петр Умнов, и сегодня я хочу рассказать об одной интересной концепции, которой поделился наш коллега Джефф Харди из Acronis Hosting Solutions. Речь идет о концепции отношения к киберугрозам со стороны хостинговых компаний, а также о методах “сдвига влево” и “сдвига вправо” для того, чтобы избежать рисков. На мой взгляд, эти соображения подойдут практически для любой компании, и поэтому решил поговорить о них в своем посте подробнее.
Daxin: незаметный бэкдор, разработанный для атак на защищенные сети
Проведённое Symantec Threat Hunter исследование выявило вредоносное ПО невиданной ранее технической сложности. Оно позволяет злоумышленнику выполнять различные операции и собирать данные на заражённом компьютере. Бэкдор имеет высокую степень скрытности и позволяет злоумышленникам общаться с зараженными компьютерами в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
Дайджест киберинцидентов Acronis #23
Привет, Хабр! Мы продолжаем публикацию наших дайджестов, и сегодня речь пойдет о проблемах поставок бензина в Германии из-за кибератак, о новых уязвимостях Microsoft и усовершенствованных версиях вредоносного ПО от различных группировок. Также вы узнаете, почему британские школьники не дождались в магазинах любимых печенюшек, и почему обновляться до Windows 11 может быть небезопасно.
Чем занимается специалист по информационной безопасности и чего от него ждут компании
В нашем блоге уже была статья про инфобез. Но Алексей Федин, ведущий инженер в этой отрасли, сказал, что она неправильная. Мы исправляемся и даём слово Алексею, который решил помочь разобраться в сфере и сделать то, что в ИТ любят больше всего: категоризировать, отсортировать, представить в виде списка и нарисовать схему. Документов и схем в интернете уже создано множество: попроще, посложнее, со связями отдельных элементов или без. Это мало помогает, а иногда и ещё больше запутывает. Основная наша аудитория — люди, далёкие от инфобеза, а иногда и от ИТ. Поэтому рассказываем обо всём по-простому, своими словами.
Дайджест киберинцидентов Acronis #22
Привет, Хабр! Сегодня мы расскажем в нашем дайджесте о тенденциях вредоносного ПО атаковать Linux, о печальной участи бренда DHL в спамерских кампаниях. Также вы узнаете, почему в отличие от Нео вам не нужно ходить за белым кроликом и какого вредоносного ПО стоит опасаться, если у вас есть криптокошелек.
Дайджест киберинцидентов Acronis #21
Привет, Хабр! Сегодня мы расскажем вам об эволюции fileless-угроз, а также о том, к чему может привести заражение Ransomware медиа-гигантов. Кроме этого в нашем дайджесте вы прочитаете про группировку, которая заразила трояном сама себя и о дерзкой попытке атаки на исследователей и разработчиков средств киберзащиты. Кроме этого несколько слов будет посвящено новым версиям программ-вымогателей и статистике очередного Patch Tuesday от компании Microsoft.
Dark Watchman демонстрирует эволюцию fileless-угроз
Вклад авторов
-
gjf 842.0 -
esetnod32 819.0 -
mir-mir 403.0 -
alizar 401.2 -
yaPetrovich 396.0 -
nchaly 381.0 -
Onthar 350.0 -
doctorweb 344.4 -
vilgeforce 344.0 -
ttools 279.0