Каким ‎радостным‏ ‎был ‎день ‎31 ‎октября ‎2023‏ ‎года, ‎когда‏ ‎компания‏ ‎Atlassian ‎любезно ‎сообщила‏ ‎миру ‎о‏ ‎CVE-2023–22518, ‎восхитительной ‎маленькой ‎странности‏ ‎во‏ ‎всех ‎версиях‏ ‎центров ‎обработки‏ ‎данных ‎и ‎серверов ‎Confluence. ‎Этот‏ ‎незначительный‏ ‎сбой, ‎всего‏ ‎лишь ‎уязвимость,‏ ‎которая ‎при ‎неправильной ‎авторизации, ‎открывает‏ ‎перед‏ ‎любым‏ ‎незнакомцем, ‎не‏ ‎прошедшим ‎проверку‏ ‎подлинности, ‎захватывающую‏ ‎возможность‏ ‎войти, ‎перезагрузить‏ ‎Confluence ‎и, ‎возможно, ‎только ‎возможно,‏ ‎взять ‎всю‏ ‎систему‏ ‎под ‎свой ‎доброжелательный‏ ‎контроль. ‎Изначально‏ ‎этой ‎игре ‎была ‎присвоена‏ ‎скромная‏ ‎оценка ‎CVSS‏ ‎в ‎9,1‏ ‎балла, ‎но, ‎поскольку ‎все ‎мы‏ ‎любим‏ ‎немного ‎драматизма,‏ ‎она ‎была‏ ‎доведена ‎до ‎идеальных ‎10 ‎баллов,‏ ‎благодаря‏ ‎нескольким‏ ‎ярким ‎достижениям‏ ‎группе ‎энтузиастов,‏ ‎известной ‎как‏ ‎«Storm-0062».

В‏ ‎качестве ‎героического‏ ‎ответа ‎Atlassian ‎выпустила ‎не ‎одну,‏ ‎а ‎целых‏ ‎пять‏ ‎блестящих ‎новых ‎версий‏ ‎Confluence ‎(7.19.16,‏ ‎8.3.4, ‎8.4.4.4, ‎8.5.3 ‎и‏ ‎8.6.1),‏ ‎чтобы ‎немного‏ ‎разрядить ‎атмосферу‏ ‎праздника. ‎Они ‎любезно ‎предположили, ‎что‏ ‎организации‏ ‎могут ‎захотеть‏ ‎перейти ‎на‏ ‎эти ‎версии, ‎чтобы ‎избежать ‎появления‏ ‎незваных‏ ‎гостей.‏ ‎И, ‎в‏ ‎гениальном ‎порыве,‏ ‎они ‎рекомендуют‏ ‎соблюдать‏ ‎строгость, ‎ограничив‏ ‎внешний ‎доступ ‎к ‎серверам ‎Confluence‏ ‎до ‎тех‏ ‎пор,‏ ‎пока ‎такие ‎обновления‏ ‎не ‎будут‏ ‎применены. ‎Пользователи ‎облачных ‎сервисов,‏ ‎вы‏ ‎можете ‎расслабиться‏ ‎и ‎сидеть‏ ‎сложа ‎руки; ‎эта ‎вечеринка ‎проводится‏ ‎исключительно‏ ‎на ‎территории‏ ‎компании.

Вся ‎эта‏ ‎эпопея ‎действительно ‎подчёркивает ‎острые ‎ощущения‏ ‎от‏ ‎жизни‏ ‎на ‎грани‏ ‎в ‎цифровом‏ ‎мире, ‎напоминая‏ ‎всем‏ ‎нам ‎о‏ ‎том, ‎как ‎важно ‎своевременно ‎вносить‏ ‎исправления ‎и‏ ‎принимать‏ ‎надёжные ‎меры ‎безопасности.

-------

В‏ ‎этом ‎документе‏ ‎представлен ‎анализ ‎уязвимости ‎CVE-2023–22518,‏ ‎связанной‏ ‎с ‎неправильной‏ ‎авторизацией ‎в‏ ‎Atlassian ‎Confluence ‎Data ‎Center ‎and‏ ‎Server.‏ ‎Анализ ‎будет‏ ‎охватывать ‎различные‏ ‎аспекты ‎уязвимости, ‎включая ‎её ‎обнаружение,‏ ‎воздействие,‏ ‎методы‏ ‎эксплуатации ‎и‏ ‎стратегии ‎смягчения‏ ‎последствий.

Специалисты ‎по‏ ‎безопасности‏ ‎найдут ‎этот‏ ‎анализ ‎особенно ‎полезным, ‎поскольку ‎он‏ ‎предоставляет ‎оперативную‏ ‎информацию,‏ ‎включая ‎показатели ‎компрометации‏ ‎и ‎подробные‏ ‎шаги ‎по ‎смягчению ‎последствий.‏ ‎Понимая‏ ‎первопричины, ‎методы‏ ‎эксплуатации ‎и‏ ‎эффективные ‎контрмеры, ‎эксперты ‎по ‎безопасности‏ ‎могут‏ ‎лучше ‎защитить‏ ‎свои ‎организации‏ ‎от ‎подобных ‎угроз ‎в ‎будущем.

Подробный‏ ‎разбор

CVE-2023-22518 [RU].pdf

389,25 KB

Скачать

Эта ‎статья служит‏ ‎техническим ‎руководством ‎о ‎том, ‎как‏ ‎сочетание ‎сетевого‏ ‎перехвата,‏ ‎MITM-атак ‎и ‎использования‏ ‎ADC-систем ‎может‏ ‎привести ‎к ‎значительным ‎нарушениям‏ ‎безопасности,‏ ‎подчеркивая ‎необходимость‏ ‎принятия ‎надежных‏ ‎мер ‎безопасности ‎в ‎сетевых ‎конфигурациях‏ ‎и‏ ‎процессах ‎обработки‏ ‎сертификатов.

📌Конфигурация ‎и‏ ‎уязвимости ‎WSUS: В ‎статье ‎подробно ‎описывается,‏ ‎как‏ ‎можно‏ ‎использовать ‎сервер‏ ‎служб ‎обновления‏ ‎Windows ‎Server‏ ‎(WSUS),‏ ‎настроенный ‎для‏ ‎работы ‎по ‎протоколу ‎HTTP. ‎Доступ‏ ‎к ‎конфигурации‏ ‎протокола‏ ‎WSUS-сервера ‎можно ‎получить,‏ ‎запросив ‎определенный‏ ‎раздел ‎реестра. ‎Эта ‎настройка‏ ‎позволяет‏ ‎потенциально ‎перехватывать‏ ‎трафик ‎с‏ ‎помощью ‎таких ‎инструментов, ‎как ‎Wireshark,‏ ‎которые‏ ‎могут ‎перехватывать‏ ‎связь ‎между‏ ‎клиентами ‎и ‎сервером ‎WSUS.

📌Выполнение ‎MITM-атаки: В‏ ‎основе‏ ‎атаки‏ ‎лежит ‎подход‏ ‎«Человек ‎посередине»‏ ‎(MITM), ‎при‏ ‎котором‏ ‎злоумышленник ‎перехватывает‏ ‎и ‎ретранслирует ‎запросы ‎с ‎клиентского‏ ‎компьютера ‎на‏ ‎сервер‏ ‎WSUS. ‎Во ‎время‏ ‎этого ‎процесса‏ ‎злоумышленник ‎может ‎манипулировать ‎сообщениями,‏ ‎перенаправляя‏ ‎запросы ‎на‏ ‎сторонний ‎сервер‏ ‎или ‎манипулируя ‎ответами.

📌Эксплойт ‎ADCS ‎ESC8:‏ ‎Перехваченное‏ ‎сообщение ‎затем‏ ‎используется ‎для‏ ‎проведения ‎атаки ‎на ‎службы ‎сертификации‏ ‎Active‏ ‎Directory‏ ‎(ADCS) ‎ESC8.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎передачу‏ ‎перехваченных ‎запросов‏ ‎на ‎веб-страницу ‎регистрации ‎Центра ‎сертификации‏ ‎для ‎запроса‏ ‎сертификата‏ ‎с ‎использованием ‎учетных‏ ‎данных ‎скомпрометированного‏ ‎компьютера. ‎Успешное ‎выполнение ‎этой‏ ‎атаки‏ ‎может ‎позволить‏ ‎злоумышленнику ‎получить‏ ‎несанкционированные ‎сертификаты, ‎которые ‎могут ‎быть‏ ‎использованы‏ ‎для ‎дальнейших‏ ‎атак ‎в‏ ‎сети.

📌Набор ‎инструментов: PKINITtools ‎и ‎скрипты ‎для‏ ‎управления‏ ‎запросами‏ ‎Kerberos ‎и‏ ‎их ‎экспорта‏ ‎помогают ‎извлекать‏ ‎и‏ ‎использовать ‎учетные‏ ‎данные ‎из ‎перехваченного ‎трафика ‎для‏ ‎проверки ‎подлинности‏ ‎с‏ ‎помощью ‎ADC ‎и‏ ‎запроса ‎сертификатов.

📌Рекомендации‏ ‎по ‎обеспечению ‎безопасности: ‎Атака‏ ‎демонстрирует‏ ‎значительный ‎риск‏ ‎для ‎безопасности,‏ ‎связанный ‎с ‎использованием ‎незащищенных ‎протоколов‏ ‎(HTTP)‏ ‎для ‎критически‏ ‎важной ‎инфраструктуры,‏ ‎такой ‎как ‎WSUS ‎и ‎ADCS.‏ ‎В‏ ‎статье‏ ‎предполагается, ‎что‏ ‎защита ‎этих‏ ‎коммуникаций ‎с‏ ‎помощью‏ ‎HTTPS ‎и‏ ‎внедрение ‎строгого ‎контроля ‎доступа ‎и‏ ‎мониторинга ‎могут‏ ‎снизить‏ ‎вероятность ‎таких ‎атак.

По ‎иронии‏ ‎судьбы, ‎та ‎самая ‎технология, ‎которая‏ ‎поддерживает ‎наши‏ ‎модели‏ ‎искусственного ‎интеллекта ‎и‏ ‎машинного ‎обучения,‏ ‎теперь ‎стала ‎объектом ‎новой‏ ‎уязвимости,‏ ‎получившей ‎название‏ ‎«LeftoverLocals». ‎Как‏ ‎сообщает ‎Trail ‎of ‎Bits, ‎этот‏ ‎недостаток‏ ‎безопасности ‎позволяет‏ ‎восстанавливать ‎данные‏ ‎из ‎локальной ‎памяти ‎графического ‎процессора,‏ ‎созданные‏ ‎другим‏ ‎процессом, ‎и‏ ‎влияет ‎на‏ ‎графические ‎процессоры‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination

-------

В ‎документ ‎приводится ‎подробный‏ ‎анализ ‎уязвимости‏ ‎«LeftoverLocals»‏ ‎CVE-2023–4969, ‎которая ‎имеет‏ ‎значительные ‎последствия‏ ‎для ‎целостности ‎приложений ‎с‏ ‎графическим‏ ‎процессором, ‎особенно‏ ‎для ‎больших‏ ‎языковых ‎моделях ‎(LLM) ‎и ‎машинного‏ ‎обучения‏ ‎(ML), ‎выполняемых‏ ‎на ‎затронутых‏ ‎платформах ‎с ‎графическим ‎процессором, ‎включая‏ ‎платформы‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination.

Этот‏ ‎документ ‎предоставляет‏ ‎ценную‏ ‎информацию ‎для‏ ‎специалистов ‎по ‎кибербезопасности, ‎команд ‎DevOps,‏ ‎ИТ-специалистов ‎и‏ ‎заинтересованных‏ ‎сторон ‎в ‎различных‏ ‎отраслях. ‎Анализ‏ ‎призван ‎углубить ‎понимание ‎проблем‏ ‎безопасности‏ ‎графических ‎процессоров‏ ‎и ‎помочь‏ ‎в ‎разработке ‎эффективных ‎стратегий ‎защиты‏ ‎конфиденциальных‏ ‎данных ‎от‏ ‎аналогичных ‎угроз‏ ‎в ‎будущем.

Подробный ‎разбор

LeftOverLocals [RU].pdf

409,30 KB

Скачать

TeleTracker предлагает ‎набор‏ ‎инструментов ‎для ‎анализа ‎данных ‎об‏ ‎угрозах, ‎ориентированных‏ ‎на‏ ‎каналы ‎Telegram, ‎используемые‏ ‎в ‎вредоносных‏ ‎целях. ‎Его ‎функции ‎облегчают‏ ‎мониторинг‏ ‎и ‎пресечение‏ ‎активных ‎вредоносных‏ ‎кампаний, ‎что ‎делает ‎его ‎ценным‏ ‎ресурсом‏ ‎для ‎специалистов‏ ‎в ‎области‏ ‎кибербезопасности. ‎Эти ‎скрипты ‎особенно ‎полезны‏ ‎для‏ ‎аналитиков‏ ‎по ‎анализу‏ ‎угроз ‎или‏ ‎исследователей, ‎стремящихся‏ ‎отслеживать,‏ ‎собирать ‎и‏ ‎выслеживать ‎злоумышленников, ‎используя ‎Telegram ‎для‏ ‎C2-целей.

Особенности

📌Просмотр ‎сообщений‏ ‎канала‏ ‎и ‎загрузка ‎содержимого: Позволяет‏ ‎пользователям ‎просматривать‏ ‎сообщения ‎в ‎канале ‎и‏ ‎загружать‏ ‎содержимое ‎непосредственно‏ ‎во ‎вновь‏ ‎созданную ‎папку ‎«загрузки» ‎в ‎текущем‏ ‎рабочем‏ ‎каталоге. ‎Программа‏ ‎поддерживает ‎загрузку‏ ‎различных ‎типов ‎файлов, ‎включая ‎документы,‏ ‎фотографии‏ ‎и‏ ‎видео.

📌Отправка ‎документов‏ ‎через ‎Telegram: Пользователи‏ ‎могут ‎дополнительно‏ ‎отправлять‏ ‎сообщения ‎и‏ ‎документы ‎через ‎Telegram, ‎поддерживая ‎все‏ ‎типы ‎файлов‏ ‎Telegram‏ ‎с ‎автоматическим ‎определением‏ ‎типа ‎MIME.

📌Выбор‏ ‎сообщения: ‎Предоставляет ‎возможность ‎выбрать‏ ‎указанное‏ ‎количество ‎сообщений‏ ‎или ‎определенный‏ ‎идентификатор ‎сообщения ‎для ‎загрузки, ‎при‏ ‎этом‏ ‎загрузка ‎всегда‏ ‎происходит ‎от‏ ‎самого ‎нового ‎к ‎самому ‎старому‏ ‎сообщению.

📌Сохранение‏ ‎логов:‏ ‎Сохраняет ‎логи‏ ‎в ‎удобном‏ ‎текстовом ‎формате‏ ‎с‏ ‎основной ‎информацией‏ ‎в ‎файле ‎с ‎именем ‎<имя_бота>.txt.

Использование

📌Чтобы‏ ‎отправить ‎сообщение‏ ‎в‏ ‎Telegram-канал: ‎python ‎http://TeleTexter.py -t‏ ‎YOUR_BOT_TOKEN ‎-c‏ ‎YOUR_CHAT_ID ‎-m ‎«сообщение»

📌Для ‎непрерывной‏ ‎отправки‏ ‎сообщений ‎(рассылки‏ ‎спама) ‎флаг‏ ‎--spam.

http://📌TeleViewer.py это ‎новейший ‎инструмент, ‎позволяющий ‎пользователям‏ ‎просматривать‏ ‎и ‎загружать‏ ‎все ‎сообщения‏ ‎и ‎медиафайлы ‎из ‎контролируемого ‎Telegram-канала,‏ ‎контролируемого‏ ‎threat‏ ‎actor. ‎Доступ‏ ‎к ‎этой‏ ‎функции ‎можно‏ ‎получить,‏ ‎выбрав ‎цифру‏ ‎6 ‎в ‎начальном ‎меню ‎после‏ ‎запуска ‎http://TeleGatherer.py.

Злоумышленники ‎используют различные‏ ‎методы, ‎включая ‎фишинговые ‎электронные ‎письма‏ ‎с ‎вредоносными‏ ‎вложениями,‏ ‎обфусцированные ‎файлы ‎сценариев‏ ‎и ‎Guloader‏ ‎PowerShell, ‎для ‎проникновения ‎в‏ ‎системы‏ ‎жертв ‎и‏ ‎их ‎компрометации.‏ ‎Мошенничество ‎с ‎выставлением ‎счетов, ‎форма‏ ‎взлома‏ ‎деловой ‎электронной‏ ‎почты ‎(BEC),‏ ‎является ‎одним ‎из ‎популярных ‎методов,‏ ‎используемых‏ ‎злоумышленниками‏ ‎для ‎обмана‏ ‎жертв. ‎В‏ ‎этом ‎типе‏ ‎мошенничества‏ ‎третья ‎сторона‏ ‎запрашивает ‎оплату ‎обманным ‎путем, ‎часто‏ ‎выдавая ‎себя‏ ‎за‏ ‎законного ‎поставщика

Мошенничество ‎со‏ ‎счетами-фактурами ‎представляет‏ ‎серьезную ‎угрозу ‎для ‎бизнеса,‏ ‎поскольку‏ ‎может ‎привести‏ ‎к ‎значительным‏ ‎финансовым ‎потерям ‎и ‎непоправимому ‎ущербу.‏ ‎Согласно‏ ‎отчету ‎ФБР‏ ‎IC3, ‎в‏ ‎2022 ‎году ‎атаки ‎BEC ‎нанесли‏ ‎ущерб‏ ‎жертвам‏ ‎в ‎США‏ ‎на ‎сумму‏ ‎2,7 ‎миллиарда‏ ‎долларов,‏ ‎что ‎сделало‏ ‎их ‎наиболее ‎распространенной ‎формой ‎компрометации‏ ‎деловой ‎электронной‏ ‎почты

Некоторые‏ ‎признаки ‎мошеннических ‎электронных‏ ‎счетов-фактур ‎включают‏ ‎запросы ‎на ‎предоставление ‎личной‏ ‎информации‏ ‎(PII), ‎запросы‏ ‎на ‎изменение‏ ‎банковской ‎или ‎платежной ‎информации, ‎и‏ ‎счета-фактуры‏ ‎с ‎необычными‏ ‎суммами. ‎Кроме‏ ‎того, ‎злоумышленники ‎часто ‎используют ‎методы‏ ‎обфускации,‏ ‎чтобы‏ ‎обойти ‎защиту‏ ‎и ‎затруднить‏ ‎обнаружение ‎своих‏ ‎вредоносных‏ ‎действий.

Фишинговая ‎кампания‏ ‎TA547 ‎с ‎использованием ‎Rhadamanthys ‎stealer‏ ‎представляет ‎собой‏ ‎значительную‏ ‎эволюцию ‎в ‎тактике‏ ‎киберпреступников, ‎в‏ ‎частности, ‎благодаря ‎интеграции ‎сценариев,‏ ‎созданных‏ ‎с ‎помощью‏ ‎ИИ.

Детали

📌Имитация ‎и‏ ‎содержимое ‎электронной ‎почты: ‎Фишинговые ‎электронные‏ ‎письма‏ ‎были ‎созданы‏ ‎для ‎того,‏ ‎чтобы ‎выдавать ‎себя ‎за ‎немецкую‏ ‎компанию‏ ‎Metro‏ ‎AG, ‎и‏ ‎сообщения, ‎связанные‏ ‎со ‎счетами.‏ ‎Эти‏ ‎электронные ‎письма‏ ‎содержали ‎защищенный ‎паролем ‎ZIP-файл, ‎который‏ ‎при ‎открытии‏ ‎запускал‏ ‎удаленный ‎сценарий ‎PowerShell

📌Способ‏ ‎выполнения: Скрипт ‎PowerShell‏ ‎выполняется ‎непосредственно ‎в ‎памяти,‏ ‎развертывая‏ ‎Rhadamanthys ‎stealer‏ ‎без ‎записи‏ ‎на ‎диск. ‎Этот ‎метод ‎помогает‏ ‎избежать‏ ‎обнаружения ‎традиционным‏ ‎антивирусным ‎программным‏ ‎обеспечением

📌Использование ‎ИИ ‎при ‎создании ‎вредоносных‏ ‎программ:‏ ‎Есть‏ ‎явные ‎признаки‏ ‎того, ‎что‏ ‎скрипт ‎PowerShell‏ ‎был‏ ‎создан ‎или,‏ ‎по ‎крайней ‎мере, ‎доработан ‎с‏ ‎использованием ‎большой‏ ‎языковой‏ ‎модели ‎(LLM). ‎Скрипт‏ ‎содержал ‎грамматически‏ ‎правильные ‎и ‎очень ‎специфичные‏ ‎комментарии,‏ ‎что ‎нетипично‏ ‎для ‎скриптов‏ ‎вредоносных ‎программ, ‎созданных ‎человеком

Эволюционирующие ‎TTPs

📌 Инновационные‏ ‎приманки‏ ‎и ‎методы‏ ‎доставки: ‎В‏ ‎рамках ‎кампании ‎также ‎были ‎опробованы‏ ‎новые‏ ‎тактики‏ ‎фишинга, ‎такие‏ ‎как ‎уведомления‏ ‎о ‎голосовых‏ ‎сообщениях‏ ‎и ‎встраивание‏ ‎изображений ‎в ‎формате ‎SVG, ‎для‏ ‎повышения ‎эффективности‏ ‎атак‏ ‎по ‎сбору ‎учетных‏ ‎данных

📌ИИ: ‎Использование‏ ‎технологий ‎ИИ, ‎таких ‎как‏ ‎ChatGPT‏ ‎или ‎CoPilot,‏ ‎при ‎написании‏ ‎сценариев ‎вредоносного ‎ПО ‎указывает ‎на‏ ‎значительный‏ ‎сдвиг ‎в‏ ‎тактике ‎киберпреступности,‏ ‎предполагая, ‎что ‎киберпреступники ‎все ‎чаще‏ ‎используют‏ ‎ИИ‏ ‎для ‎совершенствования‏ ‎своих ‎методов‏ ‎атаки

📌Последствия: ‎кампания‏ ‎не‏ ‎только ‎подчеркивает‏ ‎адаптивность ‎и ‎техническую ‎сложность ‎TA547,‏ ‎но ‎и‏ ‎подчеркивает‏ ‎тенденцию ‎к ‎внедрению‏ ‎инструментов ‎ИИ‏ ‎в ‎свою ‎деятельность. ‎Эта‏ ‎интеграция‏ ‎потенциально ‎может‏ ‎привести ‎к‏ ‎повышению ‎эффективности ‎и ‎сложности ‎обнаружения‏ ‎киберугроз

Рекомендации‏ ‎по ‎защите

📌Обучение‏ ‎сотрудников: ‎Организациям‏ ‎следует ‎повысить ‎уровень ‎кибербезопасности, ‎обучив‏ ‎сотрудников‏ ‎распознавать‏ ‎попытки ‎фишинга‏ ‎и ‎подозрительный‏ ‎контент ‎электронной‏ ‎почты

📌Технические‏ ‎меры ‎предосторожности:‏ ‎Внедрение ‎строгих ‎групповых ‎политик ‎для‏ ‎ограничения ‎трафика‏ ‎из‏ ‎неизвестных ‎источников ‎и‏ ‎рекламных ‎сетей‏ ‎может ‎помочь ‎защитить ‎конечные‏ ‎точки‏ ‎от ‎таких‏ ‎атак.

📌Обнаружение, ‎основанное‏ ‎на ‎поведении: Несмотря ‎на ‎использование ‎искусственного‏ ‎интеллекта‏ ‎при ‎разработке‏ ‎атак, ‎механизмы‏ ‎обнаружения, ‎основанные ‎на ‎поведении, ‎остаются‏ ‎эффективными‏ ‎при‏ ‎выявлении ‎и‏ ‎смягчении ‎таких‏ ‎угроз

Исследователи ‎из‏ ‎Bitdefender ‎выявили ‎множество ‎уязвимостей ‎в‏ ‎WebOS ‎от‏ ‎LG,‏ ‎влияющих ‎на ‎различные‏ ‎модели ‎смарт-телевизоров‏ ‎компании. ‎Использование ‎этих ‎уязвимостей‏ ‎может‏ ‎позволить ‎злоумышленникам‏ ‎получить ‎несанкционированный‏ ‎root-доступ ‎к ‎устройствам.

Уязвимые ‎версии ‎и‏ ‎модели:

📌Уязвимости‏ ‎затрагивают ‎телевизоры‏ ‎LG, ‎работающие‏ ‎под ‎управлением ‎WebOS ‎версий ‎с‏ ‎4.9.7‏ ‎по‏ ‎7.3.1, ‎в‏ ‎таких ‎моделях,‏ ‎как ‎LG43UM7000PLA,‏ ‎OLED55CXPUA,‏ ‎OLED48C1PUB ‎и‏ ‎OLED55A23LA

Конкретные ‎уязвимости:

📌CVE-2023-6317: Позволяет ‎обойти ‎проверку ‎PIN-кода‏ ‎и ‎добавить‏ ‎профиль‏ ‎привилегированного ‎пользователя ‎без‏ ‎участия ‎пользователя

📌CVE-2023-6318:‏ ‎Позволяет ‎повысить ‎свои ‎привилегии‏ ‎и‏ ‎получить ‎root-доступ

📌CVE-2023-6319:‏ ‎Позволяет ‎внедрять‏ ‎команды ‎операционной ‎системы, ‎манипулируя ‎библиотекой‏ ‎для‏ ‎отображения ‎музыкальных‏ ‎текстов

📌CVE-2023-6320: ‎Позволяет‏ ‎вводить ‎команды, ‎прошедшие ‎проверку ‎подлинности,‏ ‎используя‏ ‎com.webos.конечная‏ ‎точка ‎API‏ ‎service.connectionmanager/tv/setVlanStaticAddress

Масштабы ‎воздействия:

📌Более‏ ‎91 ‎000‏ ‎устройств‏ ‎были ‎идентифицированы‏ ‎как ‎потенциально ‎уязвимые. ‎В ‎основном‏ ‎эти ‎устройства‏ ‎расположены‏ ‎в ‎Южной ‎Корее,‏ ‎Гонконге, ‎США,‏ ‎Швеции ‎и ‎Финляндии

Меры ‎по‏ ‎устранению‏ ‎уязвимостей ‎и‏ ‎действия ‎пользователей:

📌Компания‏ ‎LG ‎выпустила ‎исправления ‎для ‎этих‏ ‎уязвимостей,‏ ‎которые ‎доступны‏ ‎в ‎меню‏ ‎настроек ‎телевизора ‎в ‎разделе ‎«Обновление‏ ‎программного‏ ‎обеспечения»

📌Пользователям‏ ‎рекомендуется ‎включить‏ ‎автоматическое ‎обновление‏ ‎ПО, ‎чтобы‏ ‎обеспечить‏ ‎получение ‎на‏ ‎свои ‎устройства ‎последних ‎исправлений ‎безопасности

Потенциальные‏ ‎риски:

📌В ‎случае‏ ‎использования‏ ‎эти ‎уязвимости ‎позволяют‏ ‎получить ‎контроль‏ ‎над ‎телевизором, ‎получить ‎доступ‏ ‎к‏ ‎конфиденциальным ‎пользовательским‏ ‎данным ‎и‏ ‎потенциально ‎использовать ‎скомпрометированное ‎устройство ‎как‏ ‎часть‏ ‎ботнета ‎или‏ ‎для ‎других‏ ‎вредоносных ‎действий

Рекомендации ‎по ‎безопасности:

📌 Помимо ‎применения‏ ‎последних‏ ‎обновлений‏ ‎встроенного ‎ПО,‏ ‎пользователи ‎должны‏ ‎использовать ‎надежные‏ ‎уникальные‏ ‎пароли ‎для‏ ‎своих ‎устройств ‎и ‎защищать ‎свои‏ ‎сети ‎Wi-Fi,‏ ‎чтобы‏ ‎еще ‎больше ‎снизить‏ ‎риск ‎их‏ ‎использования

📌Идентификация ‎уязвимости: Критическая‏ ‎уязвимость ‎идентифицируется ‎как ‎«BatBadBut» ‎CVE-2024-24576

📌Уязвимое‏ ‎ПО: Уязвимость ‎существует‏ ‎в‏ ‎стандартной ‎библиотеке ‎Rust‏ ‎и, ‎в‏ ‎частности, ‎затрагивает ‎системы ‎Windows

📌Степень‏ ‎критичности: присвоена‏ ‎наивысшая ‎оценка‏ ‎по ‎шкале‏ ‎CVSS, ‎равная ‎10,0, ‎что ‎указывает‏ ‎на‏ ‎максимальную ‎степень‏ ‎тяжести

📌 Подробная ‎информация:‏ ‎Уязвимость ‎возникает ‎из-за ‎того, ‎что‏ ‎стандартная‏ ‎библиотека‏ ‎Rust ‎неправильно‏ ‎экранирует ‎аргументы‏ ‎при ‎вызове‏ ‎пакетных‏ ‎файлов ‎в‏ ‎Windows ‎с ‎использованием ‎командного ‎API.‏ ‎Это ‎может‏ ‎позволить‏ ‎злоумышленнику ‎выполнять ‎произвольные‏ ‎команды ‎оболочки,‏ ‎обходя ‎экранирующий ‎интерфейс.

📌Условия: ‎выполнение‏ ‎команды‏ ‎в ‎Windows,‏ ‎команда ‎не‏ ‎указывает ‎расширение ‎файла ‎или ‎использует‏ ‎.bat‏ ‎или ‎.cmd,‏ ‎команда ‎содержит‏ ‎управляемый ‎пользователем ‎ввод ‎в ‎качестве‏ ‎части‏ ‎аргументов‏ ‎команды, ‎а‏ ‎среда ‎выполнения‏ ‎не ‎может‏ ‎должным‏ ‎образом ‎обработать‏ ‎аргументы ‎команды ‎для ‎cmd.exe

📌Уязвимые ‎версии: Все‏ ‎версии ‎Rust‏ ‎для‏ ‎Windows ‎до ‎версии‏ ‎1.77.2 ‎подвержены‏ ‎этой ‎уязвимости

📌Воздействие: ‎Уязвимость ‎также‏ ‎затрагивает‏ ‎другие ‎языки‏ ‎программирования, ‎включая‏ ‎Erlang, ‎Go, ‎Haskell, ‎Java, ‎Node.js,‏ ‎PHP,‏ ‎Python ‎и‏ ‎Ruby, ‎хотя‏ ‎исправления ‎выпущены ‎не ‎для ‎всех‏ ‎из‏ ‎них

📌Рекомендации‏ ‎по ‎устранению:‏ ‎Пользователям ‎рекомендуется‏ ‎перемещать ‎пакетные‏ ‎файлы‏ ‎в ‎каталог,‏ ‎не ‎указанный ‎в ‎переменной ‎среды‏ ‎PATH, ‎чтобы‏ ‎предотвратить‏ ‎непредвиденное ‎выполнение. ‎Разработчикам‏ ‎следует ‎перейти‏ ‎на ‎версию ‎Rust ‎1.77.2,‏ ‎чтобы‏ ‎устранить ‎уязвимость

📌Обнаружение‏ ‎и ‎отчетность: Уязвимость‏ ‎была ‎обнаружена ‎инженером ‎по ‎безопасности‏ ‎из‏ ‎Flatt ‎Security,‏ ‎известным ‎как‏ ‎RyotaK, ‎и ‎передана ‎в ‎Координационный‏ ‎центр‏ ‎сертификации‏ ‎(CERT/CC).

📌Ответ ‎от‏ ‎Rust: Rust ‎признала‏ ‎проблему ‎и‏ ‎с‏ ‎тех ‎пор‏ ‎улучшила ‎надежность ‎экранирующего ‎кода ‎и‏ ‎модифицировала ‎командный‏ ‎API,‏ ‎чтобы ‎возвращать ‎ошибку‏ ‎InvalidInput, ‎если‏ ‎аргумент ‎не ‎может ‎быть‏ ‎безопасно‏ ‎экранирован

📌Реакция ‎разработчиков‏ ‎других ‎языков:‏ ‎Разработчики ‎Haskell, ‎Node.js, ‎PHP ‎и‏ ‎yt-dlp‏ ‎выпустили ‎исправления‏ ‎для ‎устранения‏ ‎ошибки, ‎связанной ‎с ‎внедрением ‎команд

Добро ‎пожаловать‏ ‎в ‎очередной ‎выпуск ‎ежемесячного ‎сборника‏ ‎материалов, ‎который‏ ‎является‏ ‎вашим ‎универсальным ‎ресурсом‏ ‎для ‎получения‏ ‎информации ‎о ‎самых ‎последних‏ ‎разработках,‏ ‎аналитических ‎материалах‏ ‎и ‎лучших‏ ‎практиках ‎в ‎постоянно ‎развивающейся ‎области‏ ‎безопасности.‏ ‎В ‎этом‏ ‎выпуске ‎мы‏ ‎подготовили ‎разнообразную ‎подборку ‎статей, ‎новостей‏ ‎и‏ ‎результатов‏ ‎исследований, ‎рассчитанных‏ ‎как ‎на‏ ‎профессионалов, ‎так‏ ‎и‏ ‎на ‎обычных‏ ‎любителей. ‎Цель ‎нашего ‎дайджеста ‎—‏ ‎сделать ‎наш‏ ‎контент‏ ‎интересным ‎и ‎доступным.‏ ‎Приятного ‎чтения

Chronicles Security. Digest. 2024-04.pdf

8,89 MB

Скачать

В ‎статье подробно‏ ‎описываются ‎технические ‎аспекты ‎борьбы ‎с‏ ‎конкретным ‎банковским‏ ‎трояном‏ ‎для ‎Android, ‎а‏ ‎также ‎более‏ ‎широкие ‎темы ‎анализа ‎вредоносных‏ ‎программ,‏ ‎такие ‎как‏ ‎использование ‎методов‏ ‎обфускации ‎и ‎доступных ‎инструментов ‎для‏ ‎противодействия‏ ‎этим ‎методам

📌Механизм‏ ‎обфускации: банковский ‎троян‏ ‎Nexus ‎использует ‎механизм ‎обфускации ‎строк‏ ‎в‏ ‎коде‏ ‎своего ‎приложения.‏ ‎Это ‎усложняет‏ ‎анализ ‎и‏ ‎понимание‏ ‎функциональности ‎приложения.

📌Инструменты‏ ‎анализа: ‎упоминается ‎использование ‎как ‎ручного‏ ‎декодирования, ‎так‏ ‎и‏ ‎платных ‎инструментов, ‎таких‏ ‎как ‎JEB‏ ‎Decompiler, ‎для ‎идентификации ‎и‏ ‎исправления‏ ‎запутанного ‎кода.

📌Проверка‏ ‎байт-кода ‎Dalvik: в‏ ‎данном ‎примере ‎рассматривается ‎модификация ‎методов‏ ‎обфускации‏ ‎путем ‎проверки‏ ‎байт-кода ‎Dalvik,‏ ‎который ‎является ‎частью ‎файлов ‎DEX‏ ‎в‏ ‎приложениях‏ ‎Android.

📌 dexmod: ‎инструмент‏ ‎под ‎названием‏ ‎dexmod, ‎разработанный‏ ‎для‏ ‎помощи ‎в‏ ‎исправлении ‎байт-кода ‎Dalvik, ‎который ‎иллюстрирует,‏ ‎как ‎файлы‏ ‎DEX‏ ‎могут ‎быть ‎изменены‏ ‎для ‎упрощения‏ ‎анализа ‎приложений ‎Android.

📌Права ‎доступа:‏ ‎Анализ‏ ‎файла ‎AndroidManifest.xml‏ ‎показывает, ‎что‏ ‎троян ‎запрашивает ‎доступ ‎к ‎конфиденциальной‏ ‎информации,‏ ‎такой ‎как‏ ‎SMS-сообщения, ‎контакты‏ ‎и ‎телефонные ‎звонки.

📌Методы ‎обфускации ‎и‏ ‎патч:‏ ‎Специальные‏ ‎методы, ‎такие‏ ‎как ‎bleakperfect‏ ‎() ‎содержат‏ ‎мертвый‏ ‎код ‎и‏ ‎обсуждается ‎исправление ‎этих ‎методов ‎для‏ ‎удаления ‎избыточного‏ ‎кода‏ ‎и ‎упрощения ‎анализа.

📌Структура‏ ‎файла ‎DEX: представлена‏ ‎информация ‎о ‎структуре ‎файлов‏ ‎DEX,‏ ‎включая ‎такие‏ ‎разделы, ‎как‏ ‎заголовки, ‎таблицы ‎строк, ‎определения ‎классов‏ ‎и‏ ‎код ‎метода;‏ ‎объясняется, ‎как‏ ‎классы ‎и ‎методы ‎определяются ‎и‏ ‎на‏ ‎которые‏ ‎ссылаются ‎в‏ ‎этих ‎файлах.

📌Обновление‏ ‎контрольной ‎суммы‏ ‎и‏ ‎подписи: подчеркивается ‎необходимость‏ ‎обновления ‎значений ‎контрольной ‎суммы ‎и‏ ‎подписи ‎SHA-1‏ ‎в‏ ‎заголовке ‎файла ‎DEX‏ ‎для ‎обеспечения‏ ‎проверки ‎содержимого.

Предлагается ‎три‏ ‎различных ‎уровня ‎для ‎удовлетворения ‎разнообразных‏ ‎потребностей ‎аудитории:

Бесплатный‏ ‎уровень

Бесплатная‏ ‎подписка ‎— ‎это‏ ‎идеальная ‎отправная‏ ‎точка ‎для ‎новичков ‎в‏ ‎мире‏ ‎кибербезопасности ‎или‏ ‎для ‎тех,‏ ‎кто ‎предпочитает ‎работать ‎с ‎контентом‏ ‎без‏ ‎финансовых ‎обязательств.‏ ‎Подписчики ‎этого‏ ‎уровня ‎могут ‎ознакомиться ‎с ‎подборкой‏ ‎статей,‏ ‎которые‏ ‎охватывают ‎фундаментальные‏ ‎знания ‎и‏ ‎последние ‎новости‏ ‎в‏ ‎области ‎кибербезопасности.‏ ‎Этот ‎уровень ‎идеально ‎подходит ‎для‏ ‎категорий:

📌Любознательные ‎читатели: Если‏ ‎вы‏ ‎только ‎начинаете ‎интересоваться‏ ‎вопросами ‎кибербезопасности‏ ‎и ‎хотите ‎узнать ‎больше‏ ‎без‏ ‎каких-либо ‎затрат,‏ ‎этот ‎уровень‏ ‎для ‎вас.

📌Информированные ‎читатели: Будьте ‎в ‎курсе‏ ‎последних‏ ‎событий ‎и‏ ‎тенденций ‎в‏ ‎области ‎кибербезопасности, ‎получая ‎доступ ‎к‏ ‎важным‏ ‎статьям‏ ‎и ‎сводкам‏ ‎новостей.

📌Обычные ‎пользователи: Для‏ ‎тех, ‎кто‏ ‎время‏ ‎от ‎времени‏ ‎просматривает ‎материалы ‎по ‎кибербезопасности, ‎этот‏ ‎бесплатный ‎доступ‏ ‎гарантирует,‏ ‎что ‎вы ‎будете‏ ‎в ‎курсе‏ ‎событий ‎без ‎необходимости ‎подписки.

_______________________________________________________________

Уровень‏ ‎1:‏ ‎Регулярные ‎читатели

Уровень‏ ‎1 ‎предназначен‏ ‎для ‎регулярных ‎читателей, ‎которые ‎проявляют‏ ‎большой‏ ‎интерес ‎к‏ ‎кибербезопасности ‎и‏ ‎хотят ‎быть ‎в ‎курсе ‎последних‏ ‎тенденций‏ ‎и‏ ‎обновлений. ‎Этот‏ ‎уровень ‎платной‏ ‎подписки ‎предлагает‏ ‎более‏ ‎подробный ‎контент,‏ ‎чем ‎бесплатный, ‎и ‎подходит ‎для‏ ‎категорий:

📌Постоянные ‎читатели: Если‏ ‎вы‏ ‎регулярно ‎следите ‎за‏ ‎новостями ‎в‏ ‎области ‎кибербезопасности ‎и ‎хотите‏ ‎знать‏ ‎больше, ‎чем‏ ‎просто ‎основы,‏ ‎этот ‎уровень ‎позволит ‎вам ‎глубже‏ ‎погрузиться‏ ‎в ‎актуальные‏ ‎тенденции.

📌Отраслевые ‎читатели: Идеально‏ ‎подходит ‎для ‎тех, ‎кто ‎хочет‏ ‎быть‏ ‎в‏ ‎курсе ‎событий‏ ‎в ‎области‏ ‎кибербезопасности, ‎не‏ ‎нуждаясь‏ ‎в ‎высокотехничном‏ ‎или ‎специализированном ‎контенте.

_______________________________________________________________

Уровень ‎2: ‎Профессионалы‏ ‎в ‎области‏ ‎кибербезопасности

Уровень‏ ‎2 ‎предназначен ‎для‏ ‎ИТ-специалистов, ‎экспертов‏ ‎по ‎кибербезопасности ‎и ‎преданных‏ ‎своему‏ ‎делу ‎энтузиастов,‏ ‎которым ‎требуются‏ ‎исчерпывающие ‎ресурсы ‎и ‎более ‎глубокое‏ ‎понимание.‏ ‎Эта ‎премиум-подписка‏ ‎не ‎только‏ ‎включает ‎в ‎себя ‎все ‎преимущества‏ ‎предыдущих‏ ‎уровней,‏ ‎но ‎и‏ ‎добавляет ‎эксклюзивные‏ ‎функции, ‎такие‏ ‎как:

📌Экспертный‏ ‎контент: доступ ‎к‏ ‎подробным ‎анализам, ‎углубленным ‎отчётам ‎и‏ ‎комментариям, ‎которые‏ ‎выходят‏ ‎за ‎рамки ‎тематики‏ ‎ИБ.

📌Профессиональные ‎источники: Множество‏ ‎материалов, ‎адаптированных ‎к ‎потребностям‏ ‎специалистов‏ ‎в ‎области‏ ‎ИБ, ‎включая‏ ‎технические ‎документы, ‎тематические ‎исследования ‎и‏ ‎отраслевые‏ ‎статьи.

📌Вопросы ‎и‏ ‎ответы: Возможность ‎получения‏ ‎персонализированных ‎ответов ‎на ‎вопросы ‎по‏ ‎кибербезопасности.

Каждый‏ ‎уровень‏ ‎подписки ‎разрабатывается‏ ‎в ‎соответствии‏ ‎с ‎вашими‏ ‎интересами‏ ‎и ‎вовлеченностью‏ ‎в ‎сферу ‎кибербезопасности, ‎гарантируя, ‎что‏ ‎вы ‎будете‏ ‎получать‏ ‎контент, ‎который ‎наилучшим‏ ‎образом ‎соответствует‏ ‎вашим ‎потребностям ‎и ‎опыту.

_______________________________________________________________

Возможность‏ ‎покупки‏ ‎отдельного ‎выпуска

Ежемесячный‏ ‎дайджест ‎предлагает‏ ‎гибкий ‎подход ‎доступа ‎к ‎контенту.

Для‏ ‎тех,‏ ‎кто ‎не‏ ‎готов ‎читать‏ ‎каждый ‎день ‎публикации, ‎предлагается ‎возможность‏ ‎доступа‏ ‎к‏ ‎отдельным ‎ежемесячным‏ ‎выпускам ‎дайджеста.‏ ‎Эта ‎опция‏ ‎идеально‏ ‎подходит ‎для‏ ‎пользователей, ‎которым ‎интересен ‎контент ‎за‏ ‎определенный ‎месяц,‏ ‎включенный‏ ‎в ‎стоимость ‎месячной‏ ‎подписки. ‎Это‏ ‎позволяет ‎вам ‎получать ‎доступ‏ ‎ко‏ ‎всем ‎статьям‏ ‎и ‎функциям‏ ‎данного ‎конкретного ‎выпуска ‎без ‎необходимости‏ ‎искать‏ ‎пропущенные ‎статьи‏ ‎в ‎блоге.

📌Контент‏ ‎бесплатного ‎уровня: Если ‎дайджест ‎за ‎месяц‏ ‎содержит‏ ‎только‏ ‎статьи ‎и‏ ‎материалы, ‎доступные‏ ‎на ‎уровне‏ ‎бесплатной‏ ‎подписки, ‎вы‏ ‎можете ‎получить ‎к ‎нему ‎бесплатный‏ ‎доступ, ‎а‏ ‎также‏ ‎прямой ‎бесплатный ‎доступ‏ ‎ко ‎всем‏ ‎опубликованным ‎статьям

📌Контент ‎1-го ‎уровня: Если‏ ‎в‏ ‎дайджест ‎включены‏ ‎статьи ‎из‏ ‎платной ‎подписки ‎1-го ‎уровня, ‎покупка‏ ‎дайджеста‏ ‎за ‎этот‏ ‎месяц ‎даст‏ ‎вам ‎доступ ‎к ‎контенту ‎1-го‏ ‎уровня‏ ‎без‏ ‎полной ‎подписки‏ ‎1-го ‎уровня‏ ‎+ ‎материалы‏ ‎с‏ ‎предыдущего ‎уровня.

📌Контент‏ ‎2-го ‎уровня: Аналогично, ‎если ‎в ‎дайджесте‏ ‎представлены ‎статьи‏ ‎из‏ ‎платной ‎подписки ‎2-го‏ ‎уровня, ‎вы‏ ‎можете ‎получить ‎доступ ‎к‏ ‎этому‏ ‎более ‎специализированному‏ ‎контенту, ‎купив‏ ‎дайджест ‎за ‎этот ‎месяц, ‎даже‏ ‎если‏ ‎вы ‎не‏ ‎подписаны ‎на‏ ‎подписку ‎2-го ‎уровня ‎+ ‎материалы‏ ‎с‏ ‎предыдущего‏ ‎уровня.

Такая ‎гибкость‏ ‎гарантирует, ‎что‏ ‎все ‎читатели,‏ ‎будь‏ ‎то ‎обычные‏ ‎читатели ‎или ‎профессионалы ‎отрасли, ‎смогут‏ ‎получить ‎доступ‏ ‎к‏ ‎контенту, ‎который ‎наиболее‏ ‎соответствует ‎их‏ ‎потребностям ‎и ‎интересам.

📌Примечание:

Покупка ‎отдельного‏ ‎номера‏ ‎для ‎любого‏ ‎уровня ‎доступна‏ ‎только ‎в ‎том ‎случае, ‎если‏ ‎дайджест‏ ‎за ‎текущий‏ ‎месяц ‎включает‏ ‎статьи ‎и ‎материалы, ‎доступные ‎на‏ ‎этом‏ ‎же‏ ‎уровне ‎подписки,‏ ‎то ‎есть,‏ ‎опубликованные ‎в‏ ‎этом‏ ‎месяце.

Например, ‎если‏ ‎в ‎текущем ‎месяце ‎публикуемый ‎контент‏ ‎относится ‎исключительно‏ ‎к‏ ‎уровню ‎2, ‎то‏ ‎у ‎вас‏ ‎не ‎будет ‎возможности ‎приобрести‏ ‎отдельные‏ ‎выпуски ‎для‏ ‎уровня ‎1‏ ‎или ‎бесплатного ‎уровня ‎за ‎этот‏ ‎месяц.‏ ‎Это ‎связано‏ ‎с ‎тем,‏ ‎что ‎в ‎течение ‎этого ‎периода‏ ‎не‏ ‎было‏ ‎опубликовано ‎ни‏ ‎одной ‎статьи‏ ‎или ‎материала‏ ‎для‏ ‎уровня ‎1‏ ‎или ‎бесплатного ‎уровня.

В ‎отчете‏ ‎Google ‎Mandiant, ‎подробно ‎описанном ‎в‏ ‎M-Trends ‎2024,‏ ‎подчеркивается‏ ‎значительное ‎сокращение ‎времени,‏ ‎необходимого ‎организациям‏ ‎для ‎обнаружения ‎кибератак, ‎что‏ ‎свидетельствует‏ ‎о ‎заметном‏ ‎улучшении ‎защиты‏ ‎от ‎кибербезопасности ‎во ‎всем ‎мире.‏ ‎Это‏ ‎дает ‎неоднозначный,‏ ‎но ‎осторожно‏ ‎оптимистичный ‎взгляд ‎на ‎текущее ‎состояние‏ ‎кибербезопасности.

Сокращение‏ ‎среднего‏ ‎времени ‎ожидания

Глобальное‏ ‎среднее ‎время‏ ‎ожидания, ‎которое‏ ‎измеряет‏ ‎среднюю ‎продолжительность‏ ‎пребывания ‎злоумышленников ‎незамеченными ‎в ‎сети,‏ ‎снизилось ‎до‏ ‎самого‏ ‎низкого ‎уровня ‎более‏ ‎чем ‎за‏ ‎десятилетие. ‎В ‎2023 ‎году‏ ‎этот‏ ‎показатель ‎составил‏ ‎10 ‎дней‏ ‎по ‎сравнению ‎с ‎16 ‎днями‏ ‎в‏ ‎2022 ‎году‏ ‎и ‎был‏ ‎значительно ‎ниже ‎показателя ‎в ‎78‏ ‎дней,‏ ‎наблюдавшегося‏ ‎шесть ‎лет‏ ‎назад

Увеличение ‎числа‏ ‎обнаруживаемых ‎программ-вымогателей

В‏ ‎отчете‏ ‎частично ‎объясняется‏ ‎сокращение ‎времени ‎ожидания ‎из-за ‎увеличения‏ ‎числа ‎инцидентов‏ ‎с‏ ‎программами-вымогателями, ‎которые, ‎как‏ ‎правило, ‎легче‏ ‎обнаружить ‎из-за ‎их ‎разрушительного‏ ‎характера.‏ ‎В ‎2023‏ ‎году ‎доля‏ ‎вторжений, ‎связанных ‎с ‎программами-вымогателями, ‎составила‏ ‎23%‏ ‎от ‎общего‏ ‎числа, ‎по‏ ‎сравнению ‎с ‎18% ‎в ‎2022‏ ‎году.‏ ‎Такие‏ ‎инциденты, ‎как‏ ‎правило, ‎выявляются‏ ‎быстрее: ‎программа-вымогатель‏ ‎обнаруживается‏ ‎примерно ‎через‏ ‎шесть ‎дней, ‎когда ‎уведомление ‎поступает‏ ‎из ‎внутреннего‏ ‎источника,‏ ‎и ‎через ‎пять‏ ‎дней ‎—‏ ‎при ‎получении ‎внешних ‎уведомлений

Улучшение‏ ‎возможностей‏ ‎внутреннего ‎обнаружения

Способность‏ ‎организаций ‎выявлять‏ ‎взломы ‎внутри ‎компании ‎заметно ‎улучшилась.‏ ‎В‏ ‎2023 ‎году‏ ‎46% ‎вторжений‏ ‎были ‎обнаружены ‎внутри ‎компании, ‎по‏ ‎сравнению‏ ‎с‏ ‎37% ‎в‏ ‎2022 ‎году.‏ ‎Это ‎говорит‏ ‎о‏ ‎том, ‎что‏ ‎инвестиции ‎в ‎инструменты ‎кибербезопасности ‎и‏ ‎обучение ‎приносят‏ ‎положительные‏ ‎результаты.

Географические ‎и ‎отраслевые‏ ‎различия

📌Хотя ‎глобальная‏ ‎тенденция ‎показывает ‎улучшение, ‎не‏ ‎во‏ ‎всех ‎регионах‏ ‎наблюдается ‎одинаковый‏ ‎прогресс. ‎Например, ‎в ‎организациях ‎Азиатско-Тихоокеанского‏ ‎региона‏ ‎среднее ‎время‏ ‎ожидания ‎значительно‏ ‎сократилось ‎до ‎девяти ‎дней, ‎в‏ ‎то‏ ‎время‏ ‎как ‎в‏ ‎Европе, ‎на‏ ‎Ближнем ‎Востоке‏ ‎и‏ ‎в ‎Африке‏ ‎среднее ‎время ‎ожидания ‎немного ‎увеличилось

📌Финансовые‏ ‎услуги, ‎бизнес‏ ‎и‏ ‎профессиональные ‎услуги, ‎высокие‏ ‎технологии, ‎розничная‏ ‎торговля, ‎гостиничный ‎бизнес ‎и‏ ‎здравоохранение‏ ‎были ‎определены‏ ‎в ‎качестве‏ ‎наиболее ‎уязвимых ‎секторов ‎для ‎кибератак,‏ ‎в‏ ‎первую ‎очередь‏ ‎из-за ‎конфиденциального‏ ‎характера ‎обрабатываемых ‎ими ‎данных

Меняющаяся ‎тактика‏ ‎борьбы‏ ‎с‏ ‎угрозами

📌В ‎отчете‏ ‎также ‎отмечается‏ ‎изменение ‎тактики‏ ‎злоумышленников,‏ ‎которые ‎уделяют‏ ‎больше ‎внимания ‎методам ‎предотвращения ‎обнаружения.‏ ‎Кибератаки ‎все‏ ‎чаще‏ ‎нацелены ‎на ‎современные‏ ‎устройства ‎и‏ ‎используют ‎уязвимости ‎нулевого ‎дня,‏ ‎чтобы‏ ‎оставаться ‎незамеченными‏ ‎в ‎сетях‏ ‎в ‎течение ‎длительного ‎времени

📌Активизировалась ‎шпионская‏ ‎деятельность,‏ ‎особенно ‎со‏ ‎стороны ‎групп,‏ ‎предположительно ‎связанных ‎с ‎Китаем, ‎которые‏ ‎сосредоточились‏ ‎на‏ ‎разработке ‎уязвимостей‏ ‎нулевого ‎дня‏ ‎и ‎нацелены‏ ‎на‏ ‎платформы ‎с‏ ‎минимальными ‎мерами ‎безопасности

Проблемы ‎и ‎рекомендации

📌 Несмотря‏ ‎на ‎улучшения,‏ ‎в‏ ‎отчете ‎подчеркиваются ‎сохраняющиеся‏ ‎проблемы ‎в‏ ‎области ‎кибербезопасности. ‎Злоумышленники ‎быстро‏ ‎адаптируются,‏ ‎используя ‎сложные‏ ‎методы, ‎такие‏ ‎как ‎тактика ‎LOTL ‎и ‎эксплойты‏ ‎нулевого‏ ‎дня

📌Компания ‎Mandiant‏ ‎подчеркивает ‎важность‏ ‎надежных ‎стратегий ‎обеспечения ‎безопасности, ‎которые‏ ‎включают‏ ‎эффективные‏ ‎программы ‎поиска‏ ‎угроз, ‎а‏ ‎также ‎всесторонние‏ ‎расследования‏ ‎и ‎меры‏ ‎по ‎устранению ‎последствий ‎нарушений

Проект ‎BiTE‏ ‎на ‎GitHub — это ‎дизассемблер ‎с ‎поддержкой‏ ‎Rust.

Цель

BiTE ‎разработан‏ ‎как‏ ‎кросс-платформенный ‎инструмент ‎анализа‏ ‎исполняемых ‎файлов.‏ ‎Его ‎основная ‎цель ‎—‏ ‎предоставить‏ ‎среду ‎для‏ ‎проверки ‎содержимого‏ ‎двоичных ‎файлов ‎и ‎их ‎отладочной‏ ‎информации.‏ ‎Инструмент ‎предназначен‏ ‎для ‎поддержки‏ ‎различных ‎архитектур, ‎что ‎делает ‎его‏ ‎универсальным‏ ‎для‏ ‎различных ‎исполняемых‏ ‎форматов.

Особенности

📌 Просмотр ‎списка‏ ‎сборок: позволяет ‎пользователям‏ ‎просматривать‏ ‎результат ‎разбора‏ ‎двоичного ‎файла ‎вместе ‎с ‎соответствующим‏ ‎исходным ‎кодом.

📌 Интерактивные‏ ‎элементы: включает‏ ‎заголовок ‎с ‎кнопками‏ ‎и ‎параметрами,‏ ‎просмотр ‎списка ‎сборок ‎и‏ ‎интерактивный‏ ‎терминал.

📌 Исправление ‎байтовых‏ ‎инструкций: позволяет ‎пользователям‏ ‎напрямую ‎изменять ‎двоичный ‎файл.

📌 Программа ‎просмотра‏ ‎двоичных‏ ‎файлов ‎в‏ ‎hex-формате: предоставляет ‎шестнадцатеричное‏ ‎представление ‎двоичных ‎файлов ‎для ‎детальной‏ ‎проверки.

📌 Интерфейсы‏ ‎для‏ ‎отладки: поддерживает ‎front-end‏ ‎интерфейсы ‎для‏ ‎отладки.

📌 Поддерживаемые ‎архитектуры: Включает‏ ‎поддержку‏ ‎нескольких ‎архитектур,‏ ‎таких ‎как ‎X86-64, ‎AArch64/Armv7, ‎Riscv64gc/Riscv32gc‏ ‎и ‎MIPS-V.

📌 Поддержка‏ ‎целевых‏ ‎систем: Обеспечивает ‎разборку ‎для‏ ‎различных ‎целевых‏ ‎систем, ‎включая ‎MSVC, ‎Itanium‏ ‎и‏ ‎Rust.

📌 Декодирование ‎структур‏ ‎данных: Позволяет ‎декодировать‏ ‎структуры ‎данных ‎на ‎основе ‎каждого‏ ‎раздела‏ ‎двоичного ‎файла.

📌 Обновление‏ ‎списка ‎сборок: Преобразует‏ ‎списки ‎сборок ‎в ‎представление ‎более‏ ‎высокого‏ ‎уровня.

📌 Определение‏ ‎адресов: помогает ‎в‏ ‎определении ‎адресов‏ ‎в ‎двоичном‏ ‎коде.

📌 Интерпретация‏ ‎данных, ‎не‏ ‎связанных ‎с ‎кодом: Позволяет ‎интерпретировать ‎данные‏ ‎в ‎двоичном‏ ‎коде,‏ ‎которые ‎не ‎являются‏ ‎исполняемым ‎кодом.

📌 Создание‏ ‎меток ‎для ‎относительных ‎переходов: Облегчает‏ ‎создание‏ ‎меток ‎для‏ ‎инструкций ‎по‏ ‎относительному ‎переходу ‎в ‎процессе ‎разборки.

Репозиторий ‎AttackGen‏ ‎на ‎GitHub предоставляет ‎инструмент ‎тестирования ‎реагирования‏ ‎на ‎инциденты‏ ‎в‏ ‎области ‎кибербезопасности, ‎который‏ ‎объединяет ‎большие‏ ‎языковые ‎модели ‎с ‎платформой‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎для ‎создания‏ ‎индивидуальных ‎сценариев ‎реагирования ‎на ‎инциденты

Особенности

📌 Формирование‏ ‎сценариев: AttackGen‏ ‎может ‎генерировать‏ ‎уникальные ‎сценарии‏ ‎реагирования ‎на ‎инциденты ‎на ‎основе‏ ‎выбранных‏ ‎групп‏ ‎участников ‎угроз

📌 Настройка: пользователи‏ ‎могут ‎указывать‏ ‎размер ‎организации‏ ‎и‏ ‎отрасль ‎для‏ ‎сценариев, ‎адаптированных ‎к ‎их ‎конкретному‏ ‎контексту

📌 Интеграция ‎MITRE‏ ‎ATT&‏ ‎CK: Инструмент ‎отображает ‎подробный‏ ‎список ‎методов,‏ ‎используемых ‎выбранной ‎группой ‎участников‏ ‎угроз,‏ ‎в ‎соответствии‏ ‎с ‎платформой‏ ‎MITRE ‎ATT& ‎CK

📌 Пользовательские ‎сценарии: Есть ‎возможность‏ ‎создавать‏ ‎пользовательские ‎сценарии‏ ‎на ‎основе‏ ‎выбранных ‎методов ‎ATT& ‎CK

📌 Сбор ‎отзывов: в‏ ‎AttackGen‏ ‎включена‏ ‎функция ‎сбора‏ ‎отзывов ‎пользователей‏ ‎о ‎качестве‏ ‎создаваемых‏ ‎сценариев

📌 Контейнер ‎Docker: Инструмент‏ ‎доступен ‎в ‎виде ‎образа ‎контейнера‏ ‎Docker ‎для‏ ‎упрощения‏ ‎развертывания

Использование

📌 Запуск ‎инструмента: приведены ‎инструкции‏ ‎по ‎запуску‏ ‎программы ‎AttackGen ‎и ‎переходу‏ ‎к‏ ‎указанному ‎URL-адресу‏ ‎в ‎веб-браузере

📌 Выбор‏ ‎сценария: Пользователи ‎могут ‎выбрать ‎отрасль ‎компании,‏ ‎размер‏ ‎и ‎желаемую‏ ‎группу ‎участников‏ ‎угроз ‎для ‎создания ‎сценариев

Требования

📌 Python: Требуется ‎последняя‏ ‎версия‏ ‎Python

📌 Пакеты‏ ‎Python: Зависимости ‎включают‏ ‎pandas, ‎streamlit‏ ‎и ‎другие‏ ‎пакеты,‏ ‎необходимые ‎для‏ ‎пользовательских ‎библиотек ‎(langchain ‎и ‎mitreattack)

📌 Ключи‏ ‎API: Необходим ‎ключ‏ ‎OpenAI‏ ‎API, ‎а ‎ключ‏ ‎LangChain ‎API‏ ‎является ‎необязательным

What2Log — блог, ‎посвященный‏ ‎обсуждению ‎различных ‎аспектов ‎управления ‎журналами‏ ‎и ‎их‏ ‎анализа,‏ ‎где ‎публикуются ‎обновления‏ ‎инструмента ‎What2Log,‏ ‎информация ‎о ‎конкретных ‎функциях‏ ‎ведения‏ ‎журнала ‎и‏ ‎обсуждения ‎проблем,‏ ‎связанных ‎с ‎управлением ‎журналами:

📌 Раздел ‎обновлений: В‏ ‎блоге‏ ‎представлены ‎подробные‏ ‎сведения ‎о‏ ‎новых ‎версиях ‎инструмента ‎What2Log.

📌 EventRecordID: В ‎одной‏ ‎из‏ ‎записей‏ ‎блога ‎упоминается‏ ‎EventRecordID ‎—‏ ‎скрытый ‎XML-тег‏ ‎в‏ ‎журналах ‎событий‏ ‎Windows, ‎который ‎расширяет ‎информацию ‎журнала.

📌 Идентификатор‏ ‎события ‎4672: В‏ ‎одной‏ ‎из ‎записей ‎блога‏ ‎обсуждается ‎значение‏ ‎идентификатора ‎события ‎4672 ‎в‏ ‎Windows,‏ ‎который ‎регистрирует‏ ‎специальные ‎привилегии,‏ ‎назначенные ‎новым ‎пользователям ‎для ‎входа‏ ‎в‏ ‎систему.

📌 Проблемы ‎управления‏ ‎журналами: В ‎нескольких‏ ‎публикациях ‎из ‎серии ‎блогов ‎рассматриваются‏ ‎различные‏ ‎проблемы‏ ‎управления ‎журналами,‏ ‎включая ‎управление‏ ‎объемом ‎журналов,‏ ‎анализ‏ ‎журналов, ‎корреляцию‏ ‎событий ‎и ‎агрегацию ‎журналов. ‎В‏ ‎этих ‎публикациях‏ ‎рассматриваются‏ ‎сложности ‎и ‎необходимые‏ ‎соображения ‎для‏ ‎эффективного ‎управления ‎журналами ‎и‏ ‎их‏ ‎анализа.

В ‎целом,‏ ‎блог ‎служит‏ ‎ресурсом ‎для ‎людей, ‎интересующихся ‎техническими‏ ‎аспектами‏ ‎ведения ‎журналов,‏ ‎предлагая ‎как‏ ‎образовательный ‎контент, ‎так ‎и ‎обновления‏ ‎по‏ ‎инструменту‏ ‎What2Log ‎на‏ ‎Github

Ах, ‎этот‏ ‎цифровой ‎век, ‎когда ‎даже ‎у‏ ‎наших ‎вредоносных‏ ‎программ‏ ‎появляется ‎больше ‎возможностей‏ ‎для ‎путешествий‏ ‎и ‎приключений, ‎чем ‎у‏ ‎среднестатистического‏ ‎офисного ‎работника.

Созданная‏ ‎цифровыми ‎мастерами,‏ ‎известными ‎как ‎Sandworm, ‎программа ‎The‏ ‎Chisel‏ ‎— ‎это‏ ‎не ‎просто‏ ‎вредоносная ‎программа; ‎это ‎шедевр ‎в‏ ‎области‏ ‎проникновения.‏ ‎Эта ‎коллекция‏ ‎цифровых ‎инструментов‏ ‎не ‎просто‏ ‎проникает‏ ‎на ‎устройства‏ ‎Android; ‎она ‎настраивает ‎работу, ‎позволяет‏ ‎расслабиться ‎за‏ ‎бокалом‏ ‎мартини ‎и ‎приступить‏ ‎к ‎работе‏ ‎по ‎извлечению ‎всевозможной ‎полезной‏ ‎информации.‏ ‎Информация ‎о‏ ‎системных ‎устройствах,‏ ‎данные ‎о ‎коммерческих ‎приложениях ‎и,‏ ‎о,‏ ‎давайте ‎не‏ ‎будем ‎забывать‏ ‎о ‎важных ‎военных ‎приложениях. ‎Потому‏ ‎что‏ ‎зачем‏ ‎гоняться ‎за‏ ‎скучными ‎повседневными‏ ‎данными, ‎когда‏ ‎можно‏ ‎погрузиться ‎в‏ ‎военные ‎секреты?

Программа ‎Chisel ‎не ‎просто‏ ‎собирает ‎данные,‏ ‎она‏ ‎их ‎систематизирует. ‎Подобно‏ ‎ценителю ‎изысканных‏ ‎вин, ‎она ‎отбирает ‎только‏ ‎самую‏ ‎изысканную ‎информацию‏ ‎для ‎отправки‏ ‎ее ‎создателям. ‎Информация ‎об ‎устройстве‏ ‎системы?‏ ‎Да. ‎Данные‏ ‎о ‎коммерческом‏ ‎применении? ‎Конечно. ‎Военные ‎секреты, ‎которые‏ ‎потенциально‏ ‎могут‏ ‎изменить ‎ход‏ ‎международных ‎отношений?‏ ‎Дайте-два. ‎Это‏ ‎не‏ ‎просто ‎кража,‏ ‎это ‎форма ‎искусства.

В ‎мире, ‎где‏ ‎цифровые ‎угрозы‏ ‎актуальны‏ ‎как ‎никогда ‎Chisel‏ ‎напоминает ‎нам‏ ‎о ‎том, ‎что ‎некоторые‏ ‎вредоносные‏ ‎программы ‎нацелены‏ ‎на ‎доминирование,‏ ‎в ‎особых ‎изощрённых ‎формах. ‎Ура,‏ ‎авторы‏ ‎Chisel, ‎вы‏ ‎действительно ‎подняли‏ ‎планку ‎для ‎всех ‎в ‎мире.

Подробный‏ ‎разбор

Malware Analysis Report Infamous Chisel [RU].pdf

387,77 KB

Скачать

Исследователи ‎в‏ ‎области ‎ИБ ‎недавно ‎обнаружили ‎сложную‏ ‎операцию ‎по‏ ‎скиммингу‏ ‎кредитных ‎карт, ‎которая‏ ‎умело ‎маскируется‏ ‎под ‎безобидный ‎Facebook-трекер, ‎а‏ ‎именно‏ ‎поддельный ‎скрипт‏ ‎Meta ‎Pixel‏ ‎tracker.

Механизм ‎атаки

Злоумышленники ‎пользуются ‎доверием ‎к‏ ‎широко‏ ‎известным ‎скриптам,‏ ‎таким ‎как‏ ‎Google ‎Analytics ‎или ‎jQuery, ‎называя‏ ‎свои‏ ‎вредоносные‏ ‎скрипты ‎так,‏ ‎чтобы ‎они‏ ‎имитировали ‎эти‏ ‎легитимные‏ ‎сервисы. ‎Поддельный‏ ‎скрипт ‎Meta ‎Pixel ‎tracker ‎при‏ ‎ближайшем ‎рассмотрении‏ ‎обнаруживает‏ ‎код ‎JavaScript, ‎который‏ ‎заменяет ‎ссылки‏ ‎на ‎законный ‎домен ‎«connect.facebook[.]net»‏ ‎на‏ ‎«b-connected[.]com», ‎законный‏ ‎веб-сайт ‎электронной‏ ‎коммерции, ‎который ‎был ‎взломан ‎для‏ ‎размещения‏ ‎кода ‎скиммера.‏ ‎Такая ‎подмена‏ ‎является ‎ключевой, ‎поскольку ‎позволяет ‎вредоносному‏ ‎коду‏ ‎выполняться‏ ‎под ‎видом‏ ‎легитимного ‎сервиса

Схема‏ ‎процесса

Как ‎только‏ ‎вредоносный‏ ‎скрипт ‎загружается‏ ‎на ‎взломанный ‎веб-сайт, ‎он ‎отслеживает‏ ‎определенные ‎действия,‏ ‎например,‏ ‎переход ‎посетителя ‎на‏ ‎страницу ‎оформления‏ ‎заказа. ‎На ‎этом ‎этапе‏ ‎он‏ ‎служит ‎для‏ ‎мошеннического ‎наложения,‏ ‎предназначенного ‎для ‎перехвата ‎данных ‎кредитной‏ ‎карты,‏ ‎введенных ‎жертвой.‏ ‎Затем ‎украденная‏ ‎информация ‎передается ‎на ‎другой ‎взломанный‏ ‎сайт»,‏ ‎http://www.donjuguetes [.]es,‏ ‎что ‎демонстрирует‏ ‎многоуровневый ‎характер‏ ‎этой ‎атаки

Последствия

Этот‏ ‎инцидент‏ ‎подчеркивает ‎важность‏ ‎бдительности ‎и ‎надежных ‎методов ‎обеспечения‏ ‎безопасности ‎для‏ ‎владельцев‏ ‎веб-сайтов, ‎особенно ‎для‏ ‎тех, ‎кто‏ ‎использует ‎платформы ‎электронной ‎коммерции.‏ ‎Использование‏ ‎поддельных ‎скриптов,‏ ‎имитирующих ‎законные‏ ‎сервисы, ‎является ‎хитрой ‎стратегией, ‎которая‏ ‎может‏ ‎легко ‎обмануть‏ ‎даже ‎самых‏ ‎осторожных ‎пользователей. ‎Таким ‎образом, ‎для‏ ‎обнаружения‏ ‎и‏ ‎устранения ‎таких‏ ‎угроз ‎важно‏ ‎применять ‎комплексные‏ ‎меры‏ ‎безопасности, ‎включая‏ ‎использование ‎систем ‎обнаружения ‎вторжений ‎и‏ ‎мониторинг ‎веб-сайтов

В ‎ушедшем‏ ‎2023 ‎году ‎у ‎ransomware-групп ‎был‏ ‎знаменательный ‎год,‏ ‎когда‏ ‎они ‎действительно ‎превзошли‏ ‎самих ‎себя‏ ‎в ‎том. ‎LockBit ‎3.0‏ ‎завоевал‏ ‎золото ‎на‏ ‎хакерской ‎олимпиаде,‏ ‎за ‎ним ‎последовали ‎отважные ‎новички‏ ‎Clop‏ ‎и ‎ALPHV/BlackCat.‏ ‎По-видимому, ‎48%‏ ‎организаций ‎почувствовали ‎себя ‎обделёнными ‎вниманием‏ ‎и‏ ‎решили‏ ‎принять ‎участие‏ ‎в ‎кибератаках.

Бизнес-сервисы‏ ‎получили ‎награду‏ ‎в‏ ‎номинации ‎«наиболее‏ ‎подверженные ‎цифровому ‎взлому», ‎а ‎образование‏ ‎и ‎розничная‏ ‎торговля‏ ‎последовали ‎за ‎ними‏ ‎по ‎пятам.

Хакеры‏ ‎расширили ‎свой ‎репертуар, ‎перейдя‏ ‎от‏ ‎скучного ‎старого‏ ‎шифрования ‎к‏ ‎гораздо ‎более ‎захватывающему ‎миру ‎вымогательства.‏ ‎США,‏ ‎Великобритания ‎и‏ ‎Канада ‎заняли‏ ‎первое ‎место ‎в ‎категории ‎«страны,‏ ‎которые,‏ ‎скорее‏ ‎всего, ‎заплатят».

Биткоины‏ ‎были ‎предпочтительной‏ ‎валютой, ‎хотя‏ ‎некоторые‏ ‎стали ‎поглядывать‏ ‎в ‎сторону ‎Monero. ‎Некоторые ‎организации‏ ‎пытались ‎сэкономить‏ ‎на‏ ‎выкупе, ‎заплатив ‎только‏ ‎37%. ‎Тем,‏ ‎кто ‎все-таки ‎раскошелился, ‎пришлось‏ ‎изрядно‏ ‎попотеть, ‎и‏ ‎средний ‎размер‏ ‎выплат ‎достиг ‎$408 ‎643. ‎Кибер-преступность‏ ‎действительно‏ ‎окупается!

Подробный ‎разбор

Q4 Ransomware [RU].pdf

393,37 KB

Скачать

Проект направлен ‎на‏ ‎отслеживание ‎и ‎сравнение ‎функций ‎телеметрии,‏ ‎реализованных ‎в‏ ‎различных‏ ‎системах ‎EDR ‎для‏ ‎Windows. ‎Документ‏ ‎представляет ‎собой ‎сравнительную ‎таблицу‏ ‎телеметрии,‏ ‎в ‎которой‏ ‎подробно ‎описаны‏ ‎возможности ‎различных ‎продуктов ‎EDR ‎по‏ ‎сбору‏ ‎определенных ‎типов‏ ‎телеметрических ‎данных,‏ ‎имеющих ‎отношение ‎к ‎кибербезопасности.

📌 В ‎CrowdStrike‏ ‎и‏ ‎Microsoft‏ ‎Defender ‎реализованы‏ ‎комплексные ‎функции‏ ‎в ‎нескольких‏ ‎категориях.‏ ‎В ‎обоих‏ ‎продуктах ‎большое ‎количество ‎функций, ‎отмеченных‏ ‎как ‎полностью‏ ‎реализованные‏ ‎(✅), ‎в ‎различных‏ ‎категориях ‎функций‏ ‎телеметрии. ‎Это ‎указывает ‎на‏ ‎широкий‏ ‎охват ‎с‏ ‎точки ‎зрения‏ ‎возможностей ‎сбора ‎телеметрических ‎данных, ‎что‏ ‎имеет‏ ‎решающее ‎значение‏ ‎для ‎эффективного‏ ‎обнаружения ‎конечных ‎точек ‎и ‎реагирования‏ ‎на‏ ‎них.

📌 С‏ ‎другой ‎стороны,‏ ‎WatchGuard ‎и‏ ‎Harfanglab ‎обладают‏ ‎значительным‏ ‎количеством ‎функций,‏ ‎помеченных ‎как ‎не ‎реализованные ‎(❌)‏ ‎или ‎частично‏ ‎реализованные‏ ‎(⚠️). ‎Это ‎говорит‏ ‎о ‎том,‏ ‎что ‎у ‎этих ‎продуктов‏ ‎могут‏ ‎быть ‎пробелы‏ ‎в ‎возможностях‏ ‎сбора ‎телеметрических ‎данных ‎по ‎сравнению‏ ‎с‏ ‎другими ‎продуктами‏ ‎EDR, ‎перечисленными‏ ‎в ‎документе.

Давайте ‎поднимем‏ ‎наши ‎бокалы ‎за ‎2023 ‎год,‏ ‎год, ‎когда‏ ‎программы-вымогатели‏ ‎устроили ‎безбашенную ‎вечеринку,‏ ‎разбивав ‎рекорды‏ ‎как ‎дешёвые ‎бокалы ‎для‏ ‎шампанского.‏ ‎С ‎ошеломляющими‏ ‎4368 ‎жертвами,‏ ‎пойманными ‎в ‎их ‎цифровые ‎сети,‏ ‎этим‏ ‎киберпреступникам ‎удалось‏ ‎превзойти ‎самих‏ ‎себя ‎по ‎эффективности ‎на ‎55,5%‏ ‎по‏ ‎сравнению‏ ‎с ‎предыдущим‏ ‎годом.

Главные ‎герои‏ ‎— ‎LockBit3.0,‏ ‎ALPHV‏ ‎и ‎Cl0p,‏ ‎которые ‎во ‎втором ‎квартале ‎скомпрометировали‏ ‎1386 ‎жертв‏ ‎по‏ ‎всему ‎миру. ‎Поскольку‏ ‎программа-вымогатель ‎как‏ ‎услуга ‎(RaaS) ‎облегчает ‎любому‏ ‎киберпреступнику‏ ‎участие ‎в‏ ‎кибер-активностях, ‎можно‏ ‎большего ‎числа ‎жертв ‎и ‎связанных‏ ‎с‏ ‎ними ‎историй.‏ ‎И ‎несмотря‏ ‎на ‎доблестные ‎усилия ‎правоохранительных ‎органов‏ ‎по‏ ‎всему‏ ‎миру, ‎этих‏ ‎киберпреступников, ‎похоже,‏ ‎невозможно ‎остановить.

Теперь‏ ‎давайте‏ ‎поговорим ‎о‏ ‎деньгах, ‎потому ‎что, ‎в ‎конце‏ ‎концов, ‎именно‏ ‎в‏ ‎этом ‎все ‎дело,‏ ‎верно? ‎Средняя‏ ‎сумма ‎выкупа ‎для ‎предприятия‏ ‎выросла‏ ‎до ‎более‏ ‎чем ‎100‏ ‎000 ‎долларов, ‎при ‎этом ‎требования‏ ‎в‏ ‎среднем ‎составляли‏ ‎крутые ‎5,3‏ ‎миллиона ‎долларов. ‎Но ‎вот ‎в‏ ‎чем‏ ‎загвоздка:‏ ‎80% ‎организаций‏ ‎придерживаются ‎политики‏ ‎«Не ‎платить»,‏ ‎и‏ ‎все ‎же‏ ‎в ‎прошлом ‎году ‎41% ‎в‏ ‎итоге ‎заплатили‏ ‎выкуп.

И‏ ‎для ‎тех, ‎кто‏ ‎думает, ‎что‏ ‎страховка ‎может ‎спасти ‎положение,‏ ‎подумайте‏ ‎ещё ‎раз.‏ ‎77% ‎организаций‏ ‎на ‎собственном ‎горьком ‎опыте ‎убедились,‏ ‎что‏ ‎программы-вымогатели ‎—‏ ‎это ‎те,‏ ‎кто ‎нарушает ‎правила ‎безопасности, ‎не‏ ‎покрываемые‏ ‎их‏ ‎страховкой. ‎Это‏ ‎все ‎равно,‏ ‎что ‎выйти‏ ‎навстречу‏ ‎урагану ‎с‏ ‎зонтиком.

Итак, ‎выпьем ‎за ‎2023 ‎год,‏ ‎год, ‎который‏ ‎запомнится‏ ‎не ‎технологическими ‎прорывами‏ ‎или ‎победами‏ ‎в ‎киберзащите, ‎а ‎успехом‏ ‎ransomware.‏ ‎Пусть ‎2024‏ ‎год ‎принесёт‏ ‎больше ‎историй ‎для ‎обсуждения.

Подробный ‎разбор

Ransomware_Q3 [RU].pdf

325,66 KB

Скачать