Антивирусная защита *

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО.

В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность.

За 20 лет в IT я много раз видел, как компании и рядовые пользователи теряют данные и несут серьезные убытки. Можно ли этого избежать? В большинстве случаев да. Сегодня расскажу, как компании расстаются с важной информацией и деньгами из-за хакеров, а также дам подробный чек-лист по организации резервного копирования.

Брюс Шнайер — эксперт по кибербезопасности и преподаватель Гарварда.

Обычно мы пишем про изобретения, но сегодня — про изобретательность. Чтение на этот раз будет о хакерском мышлении и может даже чуточку научит мыслить как жулик. Но не преступления ради, а для того, чтобы понять как именно слабые места делают системы и людей уязвимыми.

Пиратство растёт, милорд!

Google Chrome для Windows 7 - детальный технический отчёт, каким образом актуальная версия популярнейшего браузера всё равно работает в «семёрке» даже спустя год после официального прекращения её поддержки корпорацией. Реакция Google LLC или почему пиратство только набирает обороты?

Привет, Хабр, на связи лаборатория кибербезопасности AP Security. В данной статье предлагаем разобрать процесс установки и первоначальной настройки такой песочницы, как CAPE.

В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Этот вредонос активно используется в атаках на российские компании и правительственные организации по меньшей мере с сентября 2022 года. Однако образец, обнаруженный нами на хосте жертвы, представлял собой новую модификацию троянского ПО, которую злоумышленники доработали, усложнив его обнаружение и анализ.

Анализ инструментов, тактик и техник не позволил связать данную активность ни c одной из ранее известных APT-групп. Новая группа, названная нами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на хостах и в сети. В интересы группы входят компании и государственные организации исключительно на территории Российской Федерации. Злоумышленники могут преследовать разные цели, но достоверно известно об одном случае полного уничтожения инфраструктуры.

Приветствую вас, уважаемые читатели. В данной статье будет рассмотрен один из способов выявления недостатков вашей песочницы и повышения её устойчивости к детектированию вредоносным программным обеспечением (ВПО) с помощью утилиты Pafish, а также мы ответим на вопрос :"Как проверить свою песочницу на предмет обнаружения виртуализации?"

Друзья! На связи Роман Резников и исследовательская группа департамента аналитики ИБ Positive Technologies. Продолжаем делиться с вами информацией об актуальных киберугрозах. Сколько бы я ни изучал мир информационной безопасности, не перестаю удивляться. Не стоит на месте научная хакерская мысль. И вроде бы только начинаешь привыкать к текущим тенденциям, как злоумышленники придумывают что-то еще. О новых (и старых, но работающих!) мошеннических схемах, приемах кибервымогателей и шантажистов читайте в полной версии нашего свежего исследования, а здесь остановимся на жертвах и последствиях кибератак III квартала. Итак, погнали.

Разведчики и люди, занимающиеся промышленным шпионажем, с помощью специального оборудования могут с расстояния в несколько сотен метров перехватить информацию с монитора своей цели. А почти в любую плату компьютера, в кулер или в настенные часы можно встроить устройство перехвата. 

Вместе с экспертами АКБ «Барьер» разбираемся, как защитить государственную тайну, коммерческую тайну и конфиденциальную информацию с помощью ЗАРМ, специальных исследований, аттестации объектов и поиска «жучков».

Компания работает в этой отрасли более 15 лет и занимается аттестацией различных объектов – в том числе Счётной палаты РФ, Генпрокуратуры и Министерства юстиции.

Некоторое время назад мы стали знакомить вас с нашими аналитическими исследованиями. Мы уже давно изучаем актуальные киберугрозы в России и мире и регулярно делимся важными для рынка цифрами и фактами, анализируем тренды и даже предсказываем будущее кибербезопасности. С недавних пор мы стали делать подробные исследования по странам Азии и Африки. (Спокойствие! Актуальные угрозы мира никуда не денутся из нашего поля зрения.) И, поверьте аналитику, там есть на что посмотреть: уникальные тренды кибербезопасности, специфика поведения атакующих, техники и тактики атак, особенный портрет жертв. Мы решили рассказывать вам об этом.

Для начала держите подборку самых интересных атак на Ближнем Востоке за последние полтора года. 🧭Идем на Восток!

В мае этого года мы запустили в опытно-промышленную эксплуатацию MaxPatrol O2 — наш автопилот для результативной кибербезопасности. В этом материале расскажем, что подтолкнуло нас к созданию этого метапродукта, как он влияет на метрики SOC и какие вызовы мы ставим перед ним в этом и следующем году.

В 2022 году одна промышленная компания пригласила нас, специалистов PT Expert Security Center, расследовать киберинцидент. В ее скомпрометированной инфраструктуре мы обнаружили образцы не встречавшегося ранее вредоносного ПО. Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. В его имени компиляции есть строка «MATA», а еще он может долго и незаметно работать в захваченных системах, поэтому мы дали ему имя MataDoor.

Стоящая за его созданием новая киберпреступная группировка, которую мы назвали Dark River, целенаправленно атакует промышленные предприятия. На данный момент известно всего четыре случая применения MataDoor в атаках, причем все жертвы этого опасного вредоноса связаны с оборонкой. По нашим данным, бэкдор нацелен на шпионаж и хищение секретов российского ОПК.

Подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует, рассказываем в этом посте.

Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами. В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате выяснилось, что «проблема» — это сама репутация macOS.

Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц: такие методы позволяют определять, что вредоносное ПО выполняется в контролируемой виртуальной среде, и, исходя из этого, менять его поведение или завершать работу. К наиболее популярным техникам из указанной категории можно отнести проверки:

• бита гипервизора в регистре ECX инструкции CPUID(1);

• имени гипервизора в результате выполнения инструкции CPUID(0x40000000);

• имени текущего пользователя или компьютера по списку;

• MAC-адресов сетевых адаптеров, присутствующих в системе;

• количества ядер процессора, общего объема оперативной памяти, размера жесткого диска, разрешения экрана;

• наличия файлов, путей реестра, сервисов, драйверов и процессов, специфичных для виртуальных сред;

• времени, прошедшего с момента последнего запуска системы.

Детальнее о техниках обхода песочниц в таргетированных атаках — в другой нашей статье. А сегодня поговорим о более продвинутых временных атаках, использующих особенности работы гипервизора для детектирования виртуального окружения.

В одной из наших предыдущих статей (советую ознакомиться) мы рассматривали типовые механизмов защиты для операционных систем семейства Windows. В главе AMSI Bypass кратко рассмотрели принцип работы библиотеки и почему обход amsi.dll является одним из самых популярных среди злоумышленников. Сегодня мы погрузимся глубже в библиотеку и то, как она помогает антивирусному средству осуществить анализ подозрительных файлов. Рассмотрим известные реализации обхода и остановимся подробнее на новых методах лета 2023 года в Windows 11. Поехали!

В данной статье будут рассмотрены базовые методы уклонения ВПО от обнаружения методом внедрения в память легитимных процессов, основная изюминка которых заключается в том, что вредонос живет только в оперативной памяти, не оставляя никаких следов на ПЗУ. Эти методы хороши тем, что после перезагрузки рабочей машины ни один специалист по компьютерной криминалистике не скажет, что случилось, потому что все артефакты будут стерты.

В этой статье рассмотрены типовые механизмы современных антивирусных средств, виды нагрузок, используемые злоумышленниками и специалистами в области информационной безопасности, а также методы обхода защиты. Эти знания помогут специалистам по информационной безопасности лучше понять логику атакующих и повысить защищенность своей организации.

В конце прошлого года мы выяснили, что ИИ научился взламывать пароли по тепловым следам на клавиатуре. Шотландские ученые разработали систему ThermoSecure, за секунду с помощью тепловизора угадывающую пароли, которые ввели в банкоматах, компьютере или на смартфоне. Последовательность символов легко угадывается благодаря интенсивности теплового следа. Причем даже после минуты система показывает эффективность 62% (а если после ввода прошло несколько секунд — то 86%).

Если это научились делать ученые, то, без сомнения, подобные технологии есть и у злоумышленников. То есть оставлять без присмотра рабочее место было уже небезопасно (по крайней мере, если вы богатый человек, за паролями которого могут прицельно охотиться). И использование специальных символов или прописных букв тут ничуть не помогает.

Ну а теперь всё это вышло на следующий уровень. ИИ теперь может украсть ваши пароли почти со 100% точностью — и ему для этого не нужно никаких специальных инструментов. Достаточно послушать вас, пока вы сидите в Skype или Discord.

Недавно я хотел скачать с гитхаб файлы со своего первого репозитория ;) и внезапно оказалось, что Yandex brouser ругается, что они заражены вирусом.
 
 Не-не, дело не в гитхабе!

 Скачиваем репозиторий через Download.ZIP