Уважаемый читатель, добрый день!
Ранее, в этом году, я уже писал статью про DLP‑системы (DLP (Data Loss Prevention) — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации).
Вот она (статья) (Название «Снова про выбор DLP‑системы и нужен ли он (выбор)»).
В одном из профессиональных сообществ обсуждали, что было бы интересно иметь на руках этапность (чек‑лист, список вопросов) для внедрения (тестирования) DLP‑системы.
«Книги пишутся из книг», но бегло поисках на просторах сети публикации по этапности внедрения, таковых на нашел (вернее нашел, но очень общими словами).
Поэтому предлагаю Вашему вниманию таблицу для внедрения (тестирования) DLP‑системы.
У Jet CSIRT есть свой лендинг — мини-сайт, на котором мы рассказываем о наших продуктах и услугах. В нашем коммерческом сервисе SOC он никак не задействован, а поэтому лежит в отдельной инфраструктуре и администрируется подрядчиком через локальные учетные записи. 28 июня специалисты нашей внутренней службы информационной безопасности обнаружили инцидент — подмену главной страницы сайта на другую. В этом посте рассказываем о том, что мы делали, и о предварительных результатах расследования.
Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.
Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.
Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.
Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.
Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.
На Positive Hack Days 2 команды Positive Technologies и Innostage совместно организовали одно из крутейших ИБ-соревнований сейчас — Всероссийскую студенческую кибербитву (для своих — ВСКБ). В этом материале расскажем, как готовились атакующие и защитники, как проходила сама кибербитва и с чем из неё вышли все причастные.
В некоторых экзотических странах водятся жуки, которые питаются муравьями, а из их экзоскелетов сооружают себе на спине камуфляж для маскировки. Что общего у насекомых Acanthaspis petax и операторов спам-рассылок? И те и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.
Письма якобы от YouTube начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением мгновенного заработка через крупную инвестиционную платформу. Однако есть нюанс: отправители этих писем желают только нажиться на наиболее доверчивых получателях писем. Каким образом спамеры научились использовать популярный видеохостинг для распространения мошеннического контента, и какие существуют способы борьбы против нового приема злоумышленников рассказывает руководитель отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T. Антон Афонин.
🔥 Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ.
Но как она устроена и какие есть артефакты для её детекта?
Команда разработки Ареал и юридическая компания ASB Consulting Group рассказывают, какие юридические документы необходимо подготовить перед запуском личного кабинета (ЛК), и какие вопросы проработать внутри компании.
Небо голубое, вода мокрая, а Linux — самая защищенная операционная система. С этим не поспоришь. Однако утверждать, что защита здесь работает на 100%, нельзя. Как минимум никто не застрахован от проблем с обновлением системы и ошибками конфигураций.
Какие злоумышленники и для чего используют Linux? И что можно узнать, если отслеживать такие попытки атак в NGFW? Ответы и технические подробности — в этой статье.
Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.
Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.
В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.
Всем привет! Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным.
Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать под кат!
Добрый день, уважаемые читатели Хабра. Продолжаем разбираться в теме «утечки» конфиденциальных данных на примере больших языковых моделей и совершаемых для этого атак. В первой статье мы затронули такие механизмы атаки как Special Characters Attack (SCA), Leakage of Test Data in Training Data (LTDAT), Leakage in Prompt Atack (PLeak). Они несут угрозу для генеративных моделей. И мы показали, как можно маскировать данные для минимизации ущерба.
В этот раз мы затронем такую обширную проблему, как «отравление» обучающих данных (Data Poisoning) и возможность реализации «утечек». Уже известны многочисленные статьи, в которых разбирают атаки, когда входными данными являются изображения. Базовое объяснение существующим подходам даётся здесь и здесь, и говорится что они, как правило, служат бэкдорами и предназначены для повышения привилегий в системе.
Привет, Хаброжители!
Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.
Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.
Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, в этой же статье хочу остановиться на ключевых моментах, в частности на уязвимостях.
Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы российского законодательства сегодня разберем, под какие еще требования попадают приложения, насколько законно хранить персональные данные на смартфоне в открытом виде и попадает ли мобильное ПО под действие Федерального закона "О персональных данных" (152-ФЗ) и подзаконных актов по теме защиты ПДн? Постараюсь разъяснить всё максимально понятно.
Cisco C195 — обеспечивает безопасность электронной почты. Это устройство выступает в качестве SMTP-шлюза на границе сети. Оно (и весь спектр устройств Cisco) надежно защищено и не позволяет выполнять неавторизованный код.
Недавно я разобрал одно из таких устройств, чтобы приспособить его под сервер общего назначения. В онлайн-обсуждениях многие люди писали, что невозможно обойти защищённую загрузку и запустить на нем другие операционные системы, потому что это не предусмотрено разработчиками из соображений безопасности.
В этой статье я расскажу, как выполнил джейлбрейк семейства устройств Cisco C195, чтобы получить возможность выполнения произвольного кода
Безопасность — ключевой аспект разработки веб-приложений. Но это понятие очень широкое, поэтому для его понимания нужно четко определить роль безопасности в современных веб-приложениях и то, какие аспекты она охватывает.
Введение
Приветствуем дорогих читателей! Продолжаем рубрику статей на тему OSINT. В этой статье для вас подготовили инструменты, которые неплохо помогут в решении задач сетевой разведки. Попробуем автоматизировать поиск по электронной почте и рассмотрим многофункциональный инструмент по поиску никнейма.
Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.
Собрал способы по созданию и настройке безопасного почтового сервера на операционной системе Linux Debian 11 bullseye. Основное внимание уделил инструментам борьбы со спамом — таким как Greylisting, DNSBL и SpamAssassin.
Статья также пригодится, если используете операционные системы Ubuntu 22.04.4 LTS (Jammy Jellyfish), Ubuntu 20.04 LTS (Focal Fossa) и Debian 10 (buster).
В этой статье рассмотрим:
- Как установить Exim и Dovecot
- Создание почтового домена и электронной почты
- Настройка DNS, rDNS записи и smtp_banner
- Защита от спама
