Аналитические статьи

Хватит насиловать труп... Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки. Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС...

24 июля 2024 года CrowdStrike сообщила, что глобальный сбой с BSOD на более чем 8,5 млн ПК с Windows произошёл из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри компании обнаружить не удалось. Фактически текущие тестовые инструменты CrowdStrike не позволяли должным образом проверять код в обновлении контента для сенсоров, который был распространён на миллионы компьютеров по всему миру. CrowdStrike пообещала более тщательно тестировать обновления, улучшить обработку ошибок в коде и реализовать поэтапное развёртывание патчей, чтобы избежать повторения этой IT-катастрофы. В CrowdStrike пояснили, что выпустили некорректное обновление конфигурации контента...

Исследователи показывают, как спрятать слона в муравейнике. Специалисты Trustedsec опубликовали исследование Hiding in Plain Sight, которое предлагает новый и необычный бесфайловый метод скрытия данных с использованием структуры папок. Скрытие данных без файлов Традиционно антивирусное ПО и DLP-решения (Data Loss Prevention) фокусируются на файлах, где и хранится информация. Однако новое открытие исследователей ставит под сомнение привычную парадигму. Специалисты предложили использовать папки как контейнеры для хранения данных. Папки сами по себе не содержат данных, но их имена могут использоваться для кодирования информации. Как это работает? Идея состоит в создании иерархической структуры папок (одна внутри другой), где каждая...

DevOps стал важной частью современной разработки, интегрируя процессы разработки и эксплуатации для ускорения выпуска продуктов. Одной из ключевых составляющих успеха в DevOps являются правильно подобранные инструменты, которые помогают автоматизировать, ускорять и оптимизировать процессы. В этой статье мы рассмотрим пять инструментов, которые необходимы каждому IT-специалисту для успешной работы с DevOps. Инструмент 1: Jenkins Jenkins — один из самых популярных инструментов для автоматизации процессов непрерывной интеграции и доставки (CI/CD). Он позволяет разработчикам легко интегрировать изменения в коде и автоматически тестировать их перед развертыванием. С Jenkins можно настроить пайплайн, который охватывает все этапы разработки...

Анализ CVE-2024-38063: удаленная эксплуатация ядра Windows Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки. Каждый второй вторник месяца компания Microsoft выпускает Patch Tuesday — обновление для ОС Windows, в котором устраняет критические уязвимости. В обновлении от 13 августа 2024 года была исправлена критическая уязвимость в сетевом стеке, позволяющая получить удаленный доступ с максимальными привилегиями при возможности сетевого взаимодействия по протоколу IPv6. Ей был присвоен идентификатор...

Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io. Среди известных пользователей JSTOR (цифровая база данных полнотекстовых научных журналов), Intuit и вебсайт Всемирного экономического форума. В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github (архив здесь). Полифил динамически генерируется на основе HTTP-заголовков, поэтому вероятны несколько векторов атаки. Специалисты из компании Sansec декодировали один из...

Использование социальной инженерии в атаке на цепочку поставок программного обеспечения с открытым исходным кодом Передовые APT-группировки проводят довольно интересные кампании социальной инженерии, чтобы добраться до хорошо защищенных целей. Например, в инцидентах на Ближнем Востоке тщательно продуманные ответы прицельно выбранным жертвам на профильных форумах и последующие обсуждения ПО для моделирования подземных железнодорожных систем на сторонних ресурсах, позволили внедрить импланты Green Lambert. В инциденте с XZ Utils тоже чувствуются многолетняя подготовка и большое терпение со стороны злоумышленников. Атака была заранее спланирована, хотя и несколько неуклюже реализована. В ходе этой недавно раскрытой кампании в XZ Utils...

Программы-вымогатели стали одним из главных киберугроз для российских компаний. По данным F.A.C.C.T., за последний год число атак с их использованием увеличилось на 33% по сравнению с 2021 годом. Среди наиболее распространенных шифровальщиков в России можно выделить Phobos, Dharma, CryLock и другие. Однако в последнее время на российском рынке появились новые игроки, основанные на Babuk, Conti и LockBit. Эти шифровальщики изначально были ориентированы на атаку западных компаний, но после того, как их исходные коды и билдеры попали в открытый доступ, они стали доступны для любых киберпреступников и хактивистов. В условиях геополитического конфликта эти программы-вымогатели превратились в “оружие” против российского бизнеса. Кроме того...

В этом руководстве представлены шаги, которые организации могут предпринять, чтобы оценить, стали ли пользователи объектом нападения или скомпрометированы злоумышленниками, использующими CVE-2022-21894 через буткит Unified Extensible Firmware Interface (UEFI) под названием BlackLotus. Буткиты UEFI особенно опасны, поскольку они запускаются при запуске компьютера, до загрузки операционной системы, и поэтому могут мешать или деактивировать различные механизмы безопасности операционной системы (ОС), такие как BitLocker, целостность кода, защищенного гипервизором (HVCI) и Microsoft Defender. Антивирус. Хотя это может затруднить расследования и усилия по поиску угроз, некоторые артефакты все же можно использовать для идентификации затронутых...

Если одной метафорой, то произошли первые испытания термоядерной бомбы. Специалисты с благоговейным ужасом и радостью смотрят на поднимающийся над планетою гриб. Остальное человечество живёт обычной жизнью, пока не зная, современниками какого события они являются. Мне нравилось изучение цифровых технологий, сильнее интересовала только работа человеческой психики и междисциплинарное знание, которое можно объединить под условным названием "общая теория информации". Эти увлечения позволили увидеть в смене цифр смену эпох. Постараюсь объяснить суть случившегося максимально доступно. GPT-4 технически считается языковой моделью. Языковая модель — это программа, которую проще всего представлять как систему исправления опечаток на стероидах...

Сегодня речь пойдёт о технологии распределённой сети VPN Gate, своего рода недруга Поднебесной в области интернет цензуры. На Хабре много статей на тему SoftEther VPN (нижележащий слой VPN Gate), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли. VPN Gate — академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний «Глобальных распределенных открытых ретрансляторов VPN». Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может...

Исследователи провели технический эксперимент, протестировав десять вариантов программ-вымогателей, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на их атаки. Программа-вымогатель — это вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает допустимые цели шифрования, а затем шифрует данные, поэтому они недоступны без соответствующего ключа дешифрования. Это не позволяет владельцу данных получить доступ к файлам, поэтому атаки программ-вымогателей осуществляются либо для уничтожения данных и нарушения работы, либо для финансового вымогательства с требованием выплаты выкупа в обмен на ключ дешифрования. Скорость шифрования устройства важна...

Вредоносная программа Emotet теперь распространяется через вредоносные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF. Emotet - это печально известное вредоносное ПО, которое распространяется через фишинговые письма и вредоносные вложения. После установки он будет красть электронные письма жертв для других спам-кампаний и развертывать вредоносные программы, такие как TrickBot и Qbot, которые обычно приводят к атакам программ-вымогателей. Злоумышленники, стоящие за Emotet, теперь заражают системы, устанавливая вредоносные пакеты с помощью встроенной функции Windows 10 и Windows 11, называемой установщиком приложений. Ранее исследователи видели, что этот же метод использовался для распространения...

В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь? История Ransomware Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских...

Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer. Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет. Быстрый поиск в Shodan показывает тысячи БД, затронутых этой атакой. Эти атаки подтолкнули исследователей к гонке на поиск открытых БД, чтобы предупредить владельцев до того, как БД будет уничтожена. Одним из первых публично известных примеров атаки...

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем...

Если вы следите за новостями, то наверняка знаете о новой масштабной атаке на российские компании вируса-шифровальщика Troldesh (Shade), одного из самых популярных у киберпреступников криптолокеров. Только в июне Group-IB обнаружила более 1100 фишинговых писем с Troldesh, отправленных от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В этой статье мы рассмотрим криминалистические артефакты, которые можно найти после атаки Shade/Troldesh на носителе информации скомпрометированного устройства, а также сопоставим используемые атакующими тактики и техники с «MITRE ATT&CK». Автор - Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da...

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики. Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Чемоданчик киберкриминалиста Компьютерная экспертиза исследует большое количество...

«Проще вообще мессенджеры запретить» Почему у государства не получится взломать Telegram и WhatsApp Фото: Петр Ковалев / ТАСС Во вторник, 4 октября, СМИ сообщили о начале работ над расшифровкой трафика мессенджеров для реализации «пакета Яровой». «Лента.ру» поговорила с экспертами и выяснила, почему власти не смогут перехватить и прочитать переписку пользователей Telegram, WhatsApp и Viber. Кто займется расшифровкой трафика мессенджеров Расшифровкой переписки в мессенджерах занимается компания Con Certeza, которая ищет для этого соответствующего подрядчика. От него требуется изучить возможность перехвата сообщений в WhatsApp, Viber, Facebook Messenger, Telegram и Skype. В Con Certeza считают, что доступ к переписке пользователей...

Новый вымогательский Project Shark даёт возможность потенциальным преступникам создавать своих собственных вымогателей, легко настраиваемых без необходимости иметь навыки в программировании и криптографии. Достаточно заполнить нужные поля и нажать на кнопку создания собственного вымогателя. Разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. Любой желающий стать партнером-дистрибьютором [а также еще и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. В этом архиве содержатся файлы: - Payload Builder.exe, - текстовая записка Readme.txt; - исполняемый...