logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Пн
Вт
Ср
Чт
Пт
Сб
Вс
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 3+ мин
logo Хроники кибер-безопасника

Преимущества и недостатки Рекомендаций NSA

Документ ‎под‏ ‎названием ‎«cyber ‎actors ‎adapt ‎tactics‏ ‎for ‎initial‏ ‎cloud‏ ‎access», ‎опубликованный ‎Агентством‏ ‎национальной ‎безопасности‏ ‎(АНБ) ‎предупреждает, ‎об ‎адаптации‏ ‎тактики‏ ‎для ‎получения‏ ‎первоначального ‎доступа‏ ‎к ‎облачным ‎сервисам, ‎а ‎не‏ ‎для‏ ‎использования ‎уязвимостей‏ ‎локальной ‎сети.

Документ‏ ‎содержит ‎ценную ‎информацию ‎и ‎рекомендации‏ ‎для‏ ‎организаций‏ ‎по ‎защите‏ ‎от ‎кибер-профессионалов,‏ ‎нацеленных ‎на‏ ‎облачные‏ ‎сервисы. ‎Однако‏ ‎динамичный ‎характер ‎киберугроз ‎и ‎сложность‏ ‎облачных ‎сред‏ ‎означают,‏ ‎что ‎организации ‎должны‏ ‎постоянно ‎обновлять‏ ‎свои ‎методы ‎обеспечения ‎безопасности,‏ ‎а‏ ‎не ‎полагаться‏ ‎исключительно ‎на‏ ‎статические ‎рекомендации.

Преимущества:

📌 Осведомлённость: документ ‎повышает ‎осведомлённость ‎об‏ ‎изменении‏ ‎тактики ‎в‏ ‎сторону ‎облачных‏ ‎сервисов, ‎что ‎имеет ‎решающее ‎значение‏ ‎для‏ ‎понимания‏ ‎организациями ‎текущего‏ ‎ландшафта ‎угроз.

📌 Подробные‏ ‎TTP: он ‎предоставляет‏ ‎подробную‏ ‎информацию ‎о‏ ‎тактиках, ‎методах ‎и ‎процедурах ‎(TTP),‏ ‎используемых ‎участниками,‏ ‎включая‏ ‎использование ‎сервисных ‎и‏ ‎неактивных ‎учётных‏ ‎записей, ‎что ‎может ‎помочь‏ ‎организациям‏ ‎выявить ‎потенциальные‏ ‎угрозы ‎и‏ ‎уязвимости.

📌 Секторальная ‎информация: ‎описывается ‎расширение ‎охват‏ ‎таких‏ ‎секторов, ‎как‏ ‎авиация, ‎образование,‏ ‎правоохранительные ‎органы ‎и ‎военные ‎организации,‏ ‎предлагая‏ ‎отраслевую‏ ‎информацию, ‎которая‏ ‎может ‎помочь‏ ‎этим ‎отраслям‏ ‎укрепить‏ ‎свою ‎обороноспособность.

📌Стратегии‏ ‎смягчения ‎последствий: ‎предлагает ‎практические ‎стратегии‏ ‎смягчения ‎последствий,‏ ‎которые‏ ‎организации ‎могут ‎реализовать‏ ‎для ‎усиления‏ ‎своей ‎защиты ‎от ‎первоначального‏ ‎доступа‏ ‎со ‎стороны‏ ‎субъектов, ‎таких‏ ‎как ‎внедрение ‎MFA ‎и ‎управление‏ ‎системными‏ ‎учётными ‎записями.

Недостатки:

📌 Ресурсоёмкость:‏ ‎реализация ‎рекомендуемых‏ ‎мер ‎по ‎снижению ‎рисков ‎может‏ ‎потребовать‏ ‎значительных‏ ‎ресурсов, ‎что‏ ‎может ‎оказаться‏ ‎затруднительным ‎для‏ ‎небольших‏ ‎организаций ‎с‏ ‎ограниченными ‎бюджетами ‎и ‎персоналом ‎в‏ ‎области ‎кибербезопасности.

📌Сложность‏ ‎облачной‏ ‎безопасности: ‎в ‎документе‏ ‎указываются ‎проблемы,‏ ‎присущие ‎обеспечению ‎безопасности ‎облачной‏ ‎инфраструктуры,‏ ‎которые ‎могут‏ ‎потребовать ‎специальных‏ ‎знаний ‎и ‎навыков, ‎которыми ‎обладают‏ ‎не‏ ‎все ‎организации.

📌Развивающаяся‏ ‎тактика: ‎хотя‏ ‎в ‎документе ‎представлены ‎текущие ‎ТТП,‏ ‎тактика‏ ‎участников‏ ‎постоянно ‎развивается,‏ ‎а ‎это‏ ‎означает, ‎что‏ ‎защита,‏ ‎основанная ‎исключительно‏ ‎на ‎этих ‎рекомендациях, ‎может ‎быстро‏ ‎устареть.

📌Потенциал ‎чрезмерного‏ ‎акцента‏ ‎на ‎конкретных ‎угрозах:‏ ‎слишком ‎большое‏ ‎внимание ‎к ‎таким ‎субъектам‏ ‎может‏ ‎привести ‎к‏ ‎тому, ‎что‏ ‎организации ‎пренебрегут ‎другими ‎векторами ‎угроз,‏ ‎которые‏ ‎столь ‎же‏ ‎опасны, ‎но‏ ‎не ‎описаны ‎в ‎документе.

📌Модель ‎общей‏ ‎ответственности:‏ ‎документ‏ ‎подразумевает ‎модель‏ ‎общей ‎ответственности‏ ‎за ‎облачную‏ ‎безопасность,‏ ‎что ‎может‏ ‎привести ‎к ‎путанице ‎в ‎разделении‏ ‎обязанностей ‎по‏ ‎обеспечению‏ ‎безопасности ‎между ‎поставщиками‏ ‎облачных ‎услуг‏ ‎и ‎клиентами.

📌Ложное ‎чувство ‎безопасности: у‏ ‎организаций‏ ‎может ‎возникнуть‏ ‎ложное ‎чувство‏ ‎безопасности, ‎полагаясь ‎на ‎предложенные ‎меры‏ ‎по‏ ‎смягчению ‎последствий,‏ ‎не ‎принимая‏ ‎во ‎внимание ‎необходимость ‎динамической ‎и‏ ‎адаптивной‏ ‎системы‏ ‎безопасности ‎для‏ ‎реагирования ‎на‏ ‎новые ‎угрозы.

Читать: 4+ мин
logo Хроники кибер-безопасника

Меры по укреплению защиты. Основы никогда не выглядели так хорошо

📌Внедрение ‎многофакторную‏ ‎аутентификацию ‎(MFA). ‎MFA ‎— ‎это‏ ‎один ‎из‏ ‎наиболее‏ ‎эффективных ‎способов ‎защиты‏ ‎учётных ‎записей‏ ‎пользователей ‎от ‎компрометации. ‎Требуя‏ ‎несколько‏ ‎форм ‎проверки,‏ ‎MFA ‎значительно‏ ‎затрудняет ‎злоумышленникам ‎получение ‎несанкционированного ‎доступа,‏ ‎даже‏ ‎если ‎они‏ ‎получили ‎учётные‏ ‎данные ‎пользователя.

📌Регулярная ‎установка ‎исправлений ‎и‏ ‎обновлений. Поддержание‏ ‎актуальности‏ ‎программного ‎обеспечения‏ ‎и ‎систем‏ ‎с ‎использованием‏ ‎последних‏ ‎исправлений ‎имеет‏ ‎решающее ‎значение ‎для ‎устранения ‎брешей‏ ‎в ‎безопасности,‏ ‎которыми‏ ‎могут ‎воспользоваться ‎злоумышленники.‏ ‎Должен ‎быть‏ ‎установлен ‎регулярный ‎процесс ‎управления‏ ‎исправлениями,‏ ‎чтобы ‎обеспечить‏ ‎своевременное ‎применение‏ ‎обновлений.

📌Сегментация ‎сети. ‎Разделение ‎сети ‎на‏ ‎более‏ ‎мелкие ‎контролируемые‏ ‎сегменты ‎ограничивает‏ ‎возможность ‎злоумышленника ‎перемещаться ‎внутри ‎сети‏ ‎и‏ ‎получать‏ ‎доступ ‎к‏ ‎конфиденциальным ‎областям.‏ ‎Сегментация ‎также‏ ‎помогает‏ ‎сдерживать ‎потенциальные‏ ‎нарушения ‎в ‎меньшем ‎подмножестве ‎сети.

📌Защита‏ ‎конечных ‎точек.‏ ‎Развёртывание‏ ‎расширенных ‎решений ‎для‏ ‎защиты ‎конечных‏ ‎точек ‎может ‎помочь ‎обнаружить‏ ‎и‏ ‎предотвратить ‎вредоносные‏ ‎действия ‎на‏ ‎устройствах, ‎имеющих ‎доступ ‎к ‎сети‏ ‎организации.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎использование ‎антивирусного ‎программного ‎обеспечения, ‎систем‏ ‎предотвращения‏ ‎вторжений‏ ‎на ‎базе‏ ‎хоста ‎и‏ ‎инструментов ‎обнаружения‏ ‎и‏ ‎реагирования ‎на‏ ‎конечных ‎точках ‎(EDR).

📌Обучение ‎по ‎вопросам‏ ‎безопасности. ‎Обучение‏ ‎сотрудников‏ ‎рискам ‎и ‎передовым‏ ‎методам ‎кибербезопасности‏ ‎имеет ‎важное ‎значение ‎для‏ ‎предотвращения‏ ‎атак ‎социальной‏ ‎инженерии, ‎таких‏ ‎как ‎фишинг. ‎Регулярное ‎обучение ‎может‏ ‎помочь‏ ‎создать ‎культуру‏ ‎осведомлённости ‎о‏ ‎безопасности ‎внутри ‎организации.

📌Контроль ‎доступа ‎с‏ ‎наименьшими‏ ‎привилегиями. Обеспечение‏ ‎пользователей ‎только‏ ‎правами ‎доступа,‏ ‎необходимыми ‎для‏ ‎их‏ ‎роли, ‎помогает‏ ‎минимизировать ‎потенциальное ‎воздействие ‎компрометации ‎учётной‏ ‎записи. ‎Средства‏ ‎контроля‏ ‎доступа ‎должны ‎регулярно‏ ‎пересматриваться ‎и‏ ‎корректироваться ‎по ‎мере ‎необходимости.

📌Планирование‏ ‎реагирования‏ ‎на ‎инциденты.‏ ‎Наличие ‎чётко‏ ‎определённого ‎и ‎проверенного ‎плана ‎реагирования‏ ‎на‏ ‎инциденты ‎позволяет‏ ‎организациям ‎быстро‏ ‎и ‎эффективно ‎реагировать ‎на ‎инциденты‏ ‎безопасности,‏ ‎сводя‏ ‎к ‎минимуму‏ ‎ущерб ‎и‏ ‎восстанавливая ‎операции‏ ‎как‏ ‎можно ‎скорее.

📌Непрерывный‏ ‎мониторинг ‎и ‎обнаружение. ‎Реализация ‎возможностей‏ ‎непрерывного ‎мониторинга‏ ‎и‏ ‎обнаружения ‎может ‎помочь‏ ‎выявить ‎подозрительные‏ ‎действия ‎на ‎раннем ‎этапе.‏ ‎Сюда‏ ‎входит ‎использование‏ ‎систем ‎управления‏ ‎информацией ‎о ‎безопасности ‎и ‎событиями‏ ‎(SIEM),‏ ‎систем ‎обнаружения‏ ‎вторжений ‎(IDS)‏ ‎и ‎анализа ‎сетевого ‎трафика.

📌Безопасная ‎конфигурация‏ ‎и‏ ‎усиление‏ ‎защиты. Системы ‎должны‏ ‎быть ‎надёжно‏ ‎настроены ‎и‏ ‎защищены‏ ‎от ‎атак.‏ ‎Это ‎включает ‎в ‎себя ‎отключение‏ ‎ненужных ‎служб,‏ ‎применение‏ ‎параметров ‎безопасной ‎конфигурации‏ ‎и ‎обеспечение‏ ‎включения ‎функций ‎безопасности.

📌Резервное ‎копирование‏ ‎и‏ ‎восстановление. Регулярное ‎резервное‏ ‎копирование ‎критически‏ ‎важных ‎данных ‎и ‎систем, ‎а‏ ‎также‏ ‎надёжные ‎процедуры‏ ‎восстановления ‎необходимы‏ ‎для ‎устойчивости ‎к ‎программам-вымогателям ‎и‏ ‎другим‏ ‎разрушительным‏ ‎атакам. ‎Резервные‏ ‎копии ‎следует‏ ‎регулярно ‎проверять,‏ ‎чтобы‏ ‎гарантировать, ‎что‏ ‎на ‎них ‎можно ‎положиться ‎в‏ ‎чрезвычайной ‎ситуации.

Проблемы‏ ‎в‏ ‎реализации ‎мер ‎по‏ ‎смягчению ‎последствий

Хотя‏ ‎эти ‎меры ‎по ‎смягчению‏ ‎последствий‏ ‎теоретически ‎эффективны,‏ ‎организации ‎часто‏ ‎сталкиваются ‎с ‎проблемами ‎при ‎их‏ ‎реализации.‏ ‎Эти ‎проблемы‏ ‎могут ‎включать‏ ‎ограниченность ‎ресурсов, ‎сложность ‎ИТ-среды, ‎потребность‏ ‎в‏ ‎специализированных‏ ‎навыках ‎и‏ ‎сложность ‎балансировки‏ ‎безопасности ‎с‏ ‎бизнес-требованиями.‏ ‎Кроме ‎того,‏ ‎быстро ‎меняющаяся ‎природа ‎киберугроз ‎означает,‏ ‎что ‎стратегии‏ ‎смягчения‏ ‎их ‎последствий ‎должны‏ ‎постоянно ‎пересматриваться‏ ‎и ‎обновляться.

Совместные ‎усилия ‎и‏ ‎обмен‏ ‎информацией

Чтобы ‎преодолеть‏ ‎эти ‎проблемы‏ ‎и ‎повысить ‎эффективность ‎мер ‎по‏ ‎смягчению‏ ‎последствий, ‎организации‏ ‎могут ‎участвовать‏ ‎в ‎совместных ‎усилиях ‎и ‎обмене‏ ‎информацией‏ ‎с‏ ‎отраслевыми ‎партнёрами,‏ ‎государственными ‎учреждениями‏ ‎и ‎сообществами‏ ‎кибербезопасности.‏ ‎Такое ‎сотрудничество‏ ‎обеспечивает ‎доступ ‎к ‎общим ‎знаниям,‏ ‎информации ‎об‏ ‎угрозах‏ ‎и ‎передовым ‎практикам,‏ ‎которые ‎могут‏ ‎информировать ‎и ‎улучшать ‎усилия‏ ‎организации‏ ‎по ‎смягчению‏ ‎последствий.

Читать: 6+ мин
logo Хроники кибер-безопасника

Изощрённость атак в глаза авторов рекомендаций

Отмечался ‎высокий‏ ‎уровень ‎сложности ‎атак, ‎что ‎отражает‏ ‎глубокое ‎понимание‏ ‎киберландшафта‏ ‎и ‎способность ‎адаптироваться‏ ‎в ‎условиях‏ ‎меняющихся ‎мер ‎безопасности. ‎Эта‏ ‎изощрённость‏ ‎очевидна ‎не‏ ‎только ‎в‏ ‎технических ‎возможностях, ‎но ‎и ‎в‏ ‎их‏ ‎стратегическом ‎подходе‏ ‎к ‎кибершпионажу,‏ ‎который ‎включает ‎в ‎себя ‎тщательный‏ ‎выбор‏ ‎целей,‏ ‎планирование ‎и‏ ‎использование ‎передовых‏ ‎тактик, ‎методов‏ ‎и‏ ‎процедур ‎(TTP).

Техническое‏ ‎мастерство ‎и ‎инновации

Кибероперации ‎характеризуются ‎использованием‏ ‎специального ‎вредоносного‏ ‎ПО‏ ‎и ‎уязвимостей ‎нулевого‏ ‎дня. ‎Эксплуатация‏ ‎этих ‎уязвимостей ‎позволяет ‎эффективно‏ ‎проникать,‏ ‎например ‎chain-атака‏ ‎SolarWinds, ‎в‏ ‎результате ‎которой ‎был ‎нарушен ‎процесс‏ ‎разработки‏ ‎ПО ‎путём‏ ‎внедрения ‎вредоноснго‏ ‎кода ‎в ‎обновление ‎ПО, ‎что‏ ‎затронуло‏ ‎клиентов,‏ ‎включая ‎правительственные‏ ‎учреждения ‎и‏ ‎компании ‎из‏ ‎списка‏ ‎Fortune ‎500.

OpSec‏ ‎и ‎скрытность

OpSec ‎является ‎отличительной ‎чертой‏ ‎операций, ‎и‏ ‎атакующие‏ ‎делают ‎все ‎возможное,‏ ‎чтобы ‎замести‏ ‎следы ‎и ‎сохранить ‎скрытность‏ ‎в‏ ‎скомпрометированных ‎сетях.‏ ‎Это ‎включает‏ ‎в ‎себя ‎использование ‎зашифрованных ‎каналов‏ ‎для‏ ‎кражи ‎данных,‏ ‎тщательное ‎управление‏ ‎серверами ‎управления ‎и ‎контроля ‎во‏ ‎избежание‏ ‎обнаружения,‏ ‎а ‎также‏ ‎использование ‎легитимных‏ ‎инструментов ‎и‏ ‎услуг‏ ‎(LOTL), ‎чтобы‏ ‎гармонировать ‎с ‎обычной ‎сетевой ‎деятельностью.‏ ‎Способность ‎вести‏ ‎себя‏ ‎сдержанно ‎в ‎целевых‏ ‎сетях ‎часто‏ ‎позволяет ‎им ‎проводить ‎долгосрочные‏ ‎шпионские‏ ‎операции ‎без‏ ‎обнаружения.

Тактика ‎психологической‏ ‎и ‎социальной ‎инженерии

Помимо ‎технических ‎возможностей,‏ ‎он‏ ‎продемонстрировал ‎искусность‏ ‎в ‎тактике‏ ‎психологической ‎и ‎социальной ‎инженерии. ‎Эти‏ ‎методы‏ ‎предназначены‏ ‎для ‎манипулирования‏ ‎людьми ‎с‏ ‎целью ‎разглашения‏ ‎конфиденциальной‏ ‎информации ‎или‏ ‎выполнения ‎действий, ‎ставящих ‎под ‎угрозу‏ ‎безопасность. ‎Фишинговые‏ ‎кампании,‏ ‎целевой ‎фишинг ‎и‏ ‎другие ‎формы‏ ‎социнженерии ‎часто ‎используются ‎для‏ ‎получения‏ ‎первоначального ‎доступа‏ ‎к ‎целевым‏ ‎сетям ‎или ‎для ‎повышения ‎привилегий‏ ‎внутри‏ ‎них.

Выбор ‎цели‏ ‎и ‎сбор‏ ‎разведданных

Процесс ‎выбора ‎цели ‎носит ‎стратегический‏ ‎характер‏ ‎и‏ ‎соответствует ‎национальным‏ ‎интересам ‎России.‏ ‎Цели ‎тщательно‏ ‎выбираются‏ ‎на ‎основе‏ ‎их ‎потенциала ‎предоставления ‎ценной ‎разведывательной‏ ‎информации, ‎будь‏ ‎то‏ ‎политическая, ‎экономическая, ‎технологическая‏ ‎или ‎военная.‏ ‎Как ‎только ‎цель ‎скомпрометирована,‏ ‎участники‏ ‎сосредотачиваются ‎на‏ ‎долгосрочном ‎доступе‏ ‎и ‎сборе ‎разведданных, ‎отдавая ‎предпочтение‏ ‎скрытности‏ ‎и ‎закреплению‏ ‎вместо ‎немедленной‏ ‎выгоды.

Адаптируемость ‎к ‎ландшафту ‎кибербезопасности

Одним ‎из‏ ‎наиболее‏ ‎определяющих‏ ‎аспектов ‎является‏ ‎его ‎адаптивность.‏ ‎Переход ‎в‏ ‎сторону‏ ‎облачных ‎сервисов‏ ‎и ‎использования ‎сервисных ‎и ‎неактивных‏ ‎учётных ‎записей‏ ‎является‏ ‎свидетельством ‎такой ‎адаптивности.

Базовые‏ ‎механизмы ‎защиты

Контроль‏ ‎доступа: ‎обеспечение ‎того, ‎чтобы‏ ‎только‏ ‎авторизованные ‎пользователи‏ ‎имели ‎доступ‏ ‎к ‎информационным ‎системам ‎и ‎данными‏ ‎чтобы‏ ‎они ‎могли‏ ‎выполнять ‎только‏ ‎те ‎действия, ‎которые ‎необходимы ‎для‏ ‎их‏ ‎роли.

📌Шифрование‏ ‎данных: ‎защита‏ ‎данных ‎при‏ ‎хранении ‎и‏ ‎передаче‏ ‎посредством ‎шифрования,‏ ‎что ‎делает ‎их ‎нечитаемыми ‎для‏ ‎неавторизованных ‎пользователей.

📌Управление‏ ‎исправлениями:‏ ‎регулярное ‎обновление ‎программного‏ ‎обеспечения ‎и‏ ‎систем ‎для ‎устранения ‎уязвимостей‏ ‎и‏ ‎снижения ‎риска‏ ‎эксплуатации.

📌Брандмауэры ‎и‏ ‎системы ‎обнаружения ‎вторжений ‎(IDS): ‎внедрение‏ ‎брандмауэров‏ ‎для ‎блокировки‏ ‎несанкционированного ‎доступа‏ ‎и ‎IDS ‎для ‎мониторинга ‎сетевого‏ ‎трафика‏ ‎на‏ ‎предмет ‎подозрительной‏ ‎активности.

📌Многофакторная ‎аутентификация‏ ‎(MFA): ‎требование‏ ‎от‏ ‎пользователей ‎предоставления‏ ‎двух ‎или ‎более ‎факторов ‎проверки‏ ‎для ‎получения‏ ‎доступа‏ ‎к ‎системам, ‎что‏ ‎значительно ‎повышает‏ ‎безопасность.

📌Обучение ‎по ‎вопросам ‎безопасности:‏ ‎обучение‏ ‎сотрудников ‎рискам‏ ‎кибербезопасности ‎и‏ ‎передовым ‎методам ‎предотвращения ‎атак ‎социальной‏ ‎инженерии‏ ‎и ‎других‏ ‎угроз.

📌Планирование ‎реагирования‏ ‎на ‎инциденты: ‎подготовка ‎к ‎потенциальным‏ ‎инцидентам‏ ‎безопасности‏ ‎с ‎помощью‏ ‎чётко ‎определённого‏ ‎плана ‎реагирования‏ ‎и‏ ‎восстановления.

Роль ‎механизмов‏ ‎в ‎защите ‎от ‎сложных ‎угроз

Многие‏ ‎из ‎кибер-стратегий‏ ‎по-прежнему‏ ‎используют ‎основные ‎недостатки‏ ‎безопасности, ‎такие‏ ‎как ‎плохое ‎управление ‎паролями,‏ ‎необновленное‏ ‎ПО ‎и‏ ‎недостаточный ‎контроль‏ ‎доступа. ‎Придерживаясь ‎базовых ‎механизмов ‎безопасности,‏ ‎организации‏ ‎могут ‎устранить‏ ‎эти ‎уязвимости,‏ ‎значительно ‎усложняя ‎злоумышленникам ‎первоначальный ‎доступ‏ ‎или‏ ‎распространение‏ ‎внутри ‎сети.

Например,‏ ‎реализация ‎MFA‏ ‎может ‎предотвратить‏ ‎несанкционированный‏ ‎доступ, ‎даже‏ ‎если ‎учётные ‎данные ‎скомпрометированы. ‎Регулярное‏ ‎управление ‎исправлениями‏ ‎может‏ ‎закрыть ‎уязвимости ‎до‏ ‎того, ‎как‏ ‎они ‎смогут ‎быть ‎использованы‏ ‎в‏ ‎ходе ‎атаки‏ ‎нулевого ‎дня.‏ ‎Обучение ‎по ‎вопросам ‎безопасности ‎может‏ ‎снизить‏ ‎риск ‎того,‏ ‎что ‎сотрудники‏ ‎станут ‎жертвами ‎фишинга ‎или ‎других‏ ‎тактик‏ ‎социальной‏ ‎инженерии.

Проблемы ‎в‏ ‎поддержании ‎механизмов‏ ‎безопасности

Несмотря ‎на‏ ‎очевидные‏ ‎преимущества, ‎поддержание‏ ‎«прочного ‎фундамента ‎безопасности» ‎может ‎оказаться‏ ‎непростой ‎задачей‏ ‎для‏ ‎организаций. ‎Это ‎связано‏ ‎с ‎множеством‏ ‎факторов, ‎включая ‎ограниченность ‎ресурсов,‏ ‎сложность‏ ‎современной ‎ИТ-среды‏ ‎и ‎быстрые‏ ‎темпы ‎технологических ‎изменений. ‎Кроме ‎того,‏ ‎по‏ ‎мере ‎того,‏ ‎как ‎организации‏ ‎все ‎чаще ‎внедряют ‎облачные ‎сервисы‏ ‎и‏ ‎другие‏ ‎передовые ‎технологии,‏ ‎среда ‎становится‏ ‎более ‎сложной,‏ ‎что‏ ‎требует ‎постоянной‏ ‎адаптации ‎фундаментальных ‎методов ‎обеспечения ‎безопасности.

Стратегии‏ ‎усиления ‎защиты

📌Непрерывная‏ ‎оценка‏ ‎рисков: ‎регулярная ‎оценка‏ ‎состояния ‎безопасности‏ ‎организации ‎для ‎выявления ‎уязвимостей‏ ‎и‏ ‎определения ‎приоритетности‏ ‎усилий ‎по‏ ‎их ‎устранению.

📌Использование ‎структур ‎безопасности: принятие ‎комплексных‏ ‎структур‏ ‎безопасности, ‎таких‏ ‎как ‎NIST‏ ‎Cybersecurity ‎Framework, ‎для ‎руководства ‎внедрением‏ ‎лучших‏ ‎практик‏ ‎и ‎средств‏ ‎контроля.

📌Автоматизация ‎процессов‏ ‎безопасности: ‎использование‏ ‎автоматизации‏ ‎для ‎оптимизации‏ ‎процессов ‎безопасности, ‎таких ‎как ‎управление‏ ‎исправлениями ‎и‏ ‎мониторинг,‏ ‎для ‎повышения ‎эффективности‏ ‎и ‎результативности.

📌Формирование‏ ‎культуры ‎безопасности: ‎создание ‎культуры‏ ‎безопасности‏ ‎внутри ‎организации,‏ ‎где ‎кибербезопасность‏ ‎рассматривается ‎как ‎общая ‎ответственность ‎всех‏ ‎сотрудников.

📌Сотрудничество‏ ‎и ‎обмен‏ ‎информацией: участие ‎в‏ ‎сотрудничестве ‎и ‎обмене ‎информацией ‎с‏ ‎коллегами‏ ‎по‏ ‎отрасли ‎и‏ ‎государственными ‎учреждениями,‏ ‎чтобы ‎оставаться‏ ‎в‏ ‎курсе ‎возникающих‏ ‎угроз ‎и ‎передового ‎опыта.

Читать: 3+ мин
logo Хроники кибер-безопасника

Использование Сервисных и неактивных учётных записей при облачных атаках

Эксплуатация ‎сервисных‏ ‎и ‎неактивных ‎учётных ‎записей ‎кибер-профессионалами‏ ‎представляет ‎собой‏ ‎изощренный‏ ‎и ‎часто ‎упускаемый‏ ‎из ‎виду‏ ‎вектор ‎кибератак. ‎Эти ‎учётные‏ ‎записи,‏ ‎созданные ‎для‏ ‎различных ‎операционных‏ ‎целей ‎в ‎облачных ‎и ‎локальных‏ ‎средах‏ ‎организации, ‎могут‏ ‎предоставить ‎злоумышленникам‏ ‎доступ, ‎необходимый ‎им ‎для ‎достижения‏ ‎своих‏ ‎целей,‏ ‎если ‎они‏ ‎не ‎управляются‏ ‎и ‎не‏ ‎защищаются‏ ‎должным ‎образом.

Учётные‏ ‎записи ‎служб ‎— ‎это ‎специализированные‏ ‎учётные ‎записи,‏ ‎используемые‏ ‎приложениями ‎или ‎службами‏ ‎для ‎взаимодействия‏ ‎с ‎операционной ‎системой ‎или‏ ‎другими‏ ‎службами. ‎Они‏ ‎часто ‎имеют‏ ‎повышенные ‎привилегии ‎для ‎выполнения ‎определённых‏ ‎задач‏ ‎и ‎могут‏ ‎не ‎быть‏ ‎привязаны ‎к ‎личности ‎отдельного ‎пользователя.‏ ‎С‏ ‎другой‏ ‎стороны, ‎неактивные‏ ‎учётные ‎записи‏ ‎— ‎это‏ ‎учётные‏ ‎записи ‎пользователей,‏ ‎которые ‎больше ‎не ‎используются ‎либо‏ ‎потому, ‎что‏ ‎пользователь‏ ‎покинул ‎организацию, ‎либо‏ ‎потому, ‎что‏ ‎цель ‎учётной ‎записи ‎была‏ ‎достигнута.‏ ‎Эти ‎учётные‏ ‎записи ‎особенно‏ ‎опасны, ‎поскольку ‎о ‎них ‎часто‏ ‎забывают,‏ ‎им ‎оставляют‏ ‎больше ‎привилегий,‏ ‎чем ‎необходимо, ‎и ‎они ‎не‏ ‎контролируются‏ ‎так‏ ‎тщательно, ‎как‏ ‎активные ‎учётные‏ ‎записи ‎пользователей.

Почему‏ ‎служебные‏ ‎и ‎неактивные‏ ‎учётные ‎записи ‎подвергаются ‎атаке

📌Повышенные ‎привилегии.‏ ‎Учётные ‎записи‏ ‎служб‏ ‎имеют ‎повышенные ‎привилегии,‏ ‎необходимые ‎для‏ ‎системных ‎задач, ‎которые ‎можно‏ ‎использовать‏ ‎для ‎получения‏ ‎широкого ‎доступа‏ ‎к ‎сети ‎организации.

📌Отсутствие ‎мониторинга. Неактивные ‎учётные‏ ‎записи‏ ‎используются ‎нерегулярно,‏ ‎что ‎снижает‏ ‎вероятность ‎их ‎отслеживания ‎на ‎предмет‏ ‎подозрительной‏ ‎активности‏ ‎делает ‎их‏ ‎привлекательной ‎целью‏ ‎для ‎злоумышленников.

📌Слабые‏ ‎учётные‏ ‎данные ‎или‏ ‎учётные ‎данные ‎по ‎умолчанию. Учётные ‎записи‏ ‎служб ‎могут‏ ‎быть‏ ‎настроены ‎со ‎слабыми‏ ‎учётными ‎данными‏ ‎или ‎учётными ‎данными ‎по‏ ‎умолчанию,‏ ‎которые ‎проще‏ ‎найти ‎с‏ ‎помощью ‎атак ‎методом ‎перебора.

📌Обход ‎аналитики‏ ‎поведения‏ ‎пользователей. ‎Поскольку‏ ‎учётные ‎записи‏ ‎служб ‎выполняют ‎автоматизированные ‎задачи, ‎их‏ ‎модели‏ ‎поведения‏ ‎могут ‎быть‏ ‎предсказуемыми, ‎что‏ ‎позволяет ‎вредоносным‏ ‎действиям‏ ‎сливаться ‎с‏ ‎обычными ‎операциями ‎и ‎уклоняться ‎от‏ ‎обнаружения.

Угроза, ‎которую‏ ‎представляют‏ ‎скомпрометированные ‎учётные ‎записи

📌Распространение:‏ ‎использование ‎привилегий‏ ‎учётной ‎записи ‎для ‎дальнейшего‏ ‎распространения‏ ‎в ‎сети,‏ ‎получая ‎доступ‏ ‎к ‎другим ‎системам ‎и ‎данным.

📌Повышение‏ ‎привилегий:‏ ‎использование ‎учётной‏ ‎записи ‎для‏ ‎повышения ‎привилегий ‎и ‎получения ‎административного‏ ‎доступа‏ ‎к‏ ‎критически ‎важным‏ ‎системам.

📌Закрепление: ‎обеспечение‏ ‎постоянного ‎присутствия‏ ‎в‏ ‎сети, ‎что‏ ‎затрудняет ‎обнаружение ‎и ‎устранение ‎злоумышленника.

📌Эксфильтрация‏ ‎данных: доступ ‎к‏ ‎конфиденциальным‏ ‎данным ‎и ‎их‏ ‎удаление, ‎что‏ ‎приводит ‎к ‎утечке ‎данных‏ ‎и‏ ‎краже ‎интеллектуальной‏ ‎собственности.

Снижение ‎рисков,‏ ‎связанных ‎с ‎сервисными ‎и ‎неактивными‏ ‎счетами

📌Регулярные‏ ‎проверки. Проведение ‎регулярных‏ ‎проверок ‎всех‏ ‎учётных ‎записей ‎для ‎выявления ‎и‏ ‎деактивации‏ ‎неактивных‏ ‎учётных ‎записей‏ ‎и ‎обеспечения‏ ‎того, ‎чтобы‏ ‎учётные‏ ‎записи ‎служб‏ ‎имели ‎минимально ‎необходимые ‎привилегии.

📌Строгий ‎контроль‏ ‎аутентификации. ‎Применение‏ ‎политики‏ ‎надёжных ‎паролей ‎и‏ ‎использование ‎MFA‏ ‎для ‎учётных ‎записей ‎служб,‏ ‎где‏ ‎это ‎возможно.

📌Мониторинг.‏ ‎Внедрение ‎механизмов‏ ‎мониторинга ‎и ‎оповещения ‎для ‎обнаружения‏ ‎необычных‏ ‎действий, ‎связанных‏ ‎со ‎службами‏ ‎и ‎неактивными ‎учётными ‎записями.

📌Разделение ‎ролей.‏ ‎Применение‏ ‎принципа‏ ‎разделения ‎ролей‏ ‎к ‎учётным‏ ‎записям ‎служб,‏ ‎чтобы‏ ‎ограничить ‎объем‏ ‎доступа ‎и ‎снизить ‎риск ‎неправомерного‏ ‎использования.

📌Инструменты ‎автоматического‏ ‎управления. Использование‏ ‎инструментов ‎автоматического ‎управления‏ ‎учётными ‎записями,‏ ‎чтобы ‎отслеживать ‎использование ‎и‏ ‎жизненный‏ ‎цикл ‎учётной‏ ‎записи, ‎гарантируя,‏ ‎что ‎учётные ‎записи ‎будут ‎деактивированы,‏ ‎когда‏ ‎они ‎больше‏ ‎не ‎нужны.

Читать: 3+ мин
logo Хроники кибер-безопасника

Расширение сферы деятельности атакующих

Смещение ‎акцента‏ ‎кибер-профессионалов ‎на ‎облачные ‎сервисы ‎вывело‏ ‎важность ‎обеспечения‏ ‎первоначального‏ ‎доступа ‎на ‎передний‏ ‎план. ‎В‏ ‎облачных ‎средах ‎первоначальный ‎доступ‏ ‎представляет‏ ‎собой ‎критический‏ ‎момент, ‎когда‏ ‎безопасность ‎всей ‎системы ‎становится ‎наиболее‏ ‎уязвимой.‏ ‎В ‎отличие‏ ‎от ‎традиционных‏ ‎локальных ‎сетей, ‎доступ ‎к ‎облачным‏ ‎сервисам‏ ‎осуществляется‏ ‎через ‎Интернет,‏ ‎что ‎делает‏ ‎начальную ‎точку‏ ‎входа‏ ‎основной ‎целью‏ ‎для ‎злоумышленников.

Первоначальный ‎доступ ‎как ‎плацдарм‏ ‎для ‎злоумышленников

Получение‏ ‎первоначального‏ ‎доступа ‎к ‎облачным‏ ‎сервисам ‎позволяет‏ ‎злоумышленникам ‎закрепиться ‎в ‎целевой‏ ‎среде‏ ‎с ‎последующим‏ ‎повышением ‎привилегий,‏ ‎распространения ‎по ‎сети ‎и ‎получения‏ ‎доступа‏ ‎к ‎конфиденциальным‏ ‎данным. ‎Распределённый‏ ‎характер ‎облачных ‎сервисов ‎также ‎означает,‏ ‎что‏ ‎компрометация‏ ‎одной ‎учётной‏ ‎записи ‎может‏ ‎потенциально ‎предоставить‏ ‎доступ‏ ‎к ‎широкому‏ ‎спектру ‎ресурсов ‎и ‎данных.

Проблемы ‎в‏ ‎обеспечении ‎первоначального‏ ‎доступа

📌Удалённый‏ ‎доступ. ‎Облачные ‎сервисы‏ ‎предназначены ‎для‏ ‎удалённого ‎доступа, ‎что ‎увеличивает‏ ‎поверхность‏ ‎атаки.

📌Управление ‎идентификацией‏ ‎и ‎доступом‏ ‎(IAM). ‎В ‎облачных ‎средах ‎IAM‏ ‎становится‏ ‎важнейшим ‎компонентом‏ ‎безопасности. ‎Организации‏ ‎должны ‎обеспечить ‎надёжность ‎политик ‎IAM‏ ‎и‏ ‎предоставление‏ ‎разрешений ‎на‏ ‎основе ‎принципа‏ ‎наименьших ‎привилегий,‏ ‎чтобы‏ ‎минимизировать ‎риск‏ ‎первоначального ‎доступа ‎со ‎стороны ‎неавторизованных‏ ‎лиц.

📌Фишинг ‎и‏ ‎социнженерия.‏ ‎используются ‎методы ‎фишинга‏ ‎и ‎социальной‏ ‎инженерии ‎для ‎получения ‎первоначального‏ ‎доступа.‏ ‎Эти ‎методы‏ ‎используют ‎человеческий‏ ‎фактор, ‎а ‎не ‎технические ‎уязвимости,‏ ‎что‏ ‎затрудняет ‎защиту‏ ‎от ‎них‏ ‎с ‎помощью ‎традиционных ‎мер ‎безопасности.

Примеры‏ ‎методов‏ ‎первоначального‏ ‎доступа

📌Credential ‎Stuffing.‏ ‎Метод ‎предполагает‏ ‎использование ‎ранее‏ ‎взломанных‏ ‎пар ‎имени‏ ‎пользователя ‎и ‎пароля ‎для ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к‏ ‎учётным ‎записям, ‎делая‏ ‎ставку ‎на‏ ‎вероятность ‎того, ‎что ‎люди‏ ‎будут‏ ‎повторно ‎использовать‏ ‎учётные ‎данные‏ ‎в ‎нескольких ‎службах.

📌Использование ‎некорректных ‎конфигураций.‏ ‎Облачные‏ ‎сервисы ‎сложно‏ ‎настроить ‎правильно,‏ ‎и ‎используются ‎некорректные ‎конфигурации: ‎открытые‏ ‎сетевые‏ ‎сегменты‏ ‎или ‎ошибки‏ ‎в ‎настройке‏ ‎управления ‎доступом.

📌Компрометация‏ ‎сторонних‏ ‎сервисов. ‎Злоумышленники‏ ‎могут ‎атаковать ‎сторонние ‎сервисы, ‎которые‏ ‎интегрируются ‎с‏ ‎облачными‏ ‎средами, ‎например ‎приложения‏ ‎SaaS, ‎чтобы‏ ‎получить ‎первоначальный ‎доступ ‎к‏ ‎облачной‏ ‎инфраструктуре.

Снижение ‎рисков‏ ‎первоначального ‎доступа

📌Комплексные‏ ‎политики ‎доступа. Установление ‎и ‎соблюдение ‎комплексных‏ ‎политик‏ ‎доступа ‎может‏ ‎помочь ‎контролировать,‏ ‎кто ‎и ‎на ‎каких ‎условиях‏ ‎имеет‏ ‎доступ‏ ‎к ‎облачным‏ ‎ресурсам.

📌Регулярные ‎аудиты‏ ‎и ‎проверки. Проведение‏ ‎регулярных‏ ‎аудитов ‎и‏ ‎проверок ‎журналов ‎доступа ‎и ‎разрешений‏ ‎может ‎помочь‏ ‎выявить‏ ‎и ‎устранить ‎потенциальные‏ ‎уязвимости ‎до‏ ‎того, ‎как ‎они ‎будут‏ ‎использованы.

📌Обучение‏ ‎по ‎вопросам‏ ‎безопасности. Обучение ‎сотрудников‏ ‎рискам ‎фишинга ‎и ‎социальной ‎инженерии‏ ‎может‏ ‎снизить ‎вероятность‏ ‎компрометации ‎учётных‏ ‎данных.

📌Endpoint ‎Security. ‎Обеспечение ‎безопасности ‎и‏ ‎актуальности‏ ‎всех‏ ‎устройств ‎с‏ ‎доступом ‎к‏ ‎облачным ‎сервисам,‏ ‎может‏ ‎помешать ‎злоумышленникам‏ ‎использовать ‎уязвимости ‎конечных ‎точек ‎для‏ ‎получения ‎первоначального‏ ‎доступа.

📌Обнаружение‏ ‎аномалий. ‎Внедрение ‎систем‏ ‎обнаружения ‎аномалий‏ ‎помогает ‎выявить ‎необычные ‎модели‏ ‎доступа‏ ‎или ‎попытки‏ ‎входа ‎в‏ ‎систему, ‎которые ‎могут ‎указывать ‎на‏ ‎попытку‏ ‎взлома.

Читать: 3+ мин
logo Хроники кибер-безопасника

Первоначальный доступ. Первое впечатление имеет значение

Возросшая ‎важность‏ ‎первоначального ‎доступа ‎в ‎облачной ‎безопасности

Смещение‏ ‎акцента ‎кибер-профессионалов‏ ‎на‏ ‎облачные ‎сервисы ‎вывело‏ ‎важность ‎обеспечения‏ ‎первоначального ‎доступа ‎на ‎передний‏ ‎план.‏ ‎В ‎облачных‏ ‎средах ‎первоначальный‏ ‎доступ ‎представляет ‎собой ‎критический ‎момент,‏ ‎когда‏ ‎безопасность ‎всей‏ ‎системы ‎становится‏ ‎наиболее ‎уязвимой. ‎В ‎отличие ‎от‏ ‎традиционных‏ ‎локальных‏ ‎сетей, ‎доступ‏ ‎к ‎облачным‏ ‎сервисам ‎осуществляется‏ ‎через‏ ‎Интернет, ‎что‏ ‎делает ‎начальную ‎точку ‎входа ‎основной‏ ‎целью ‎для‏ ‎злоумышленников.

Первоначальный‏ ‎доступ ‎как ‎плацдарм‏ ‎для ‎злоумышленников

Получение‏ ‎первоначального ‎доступа ‎к ‎облачным‏ ‎сервисам‏ ‎позволяет ‎злоумышленникам‏ ‎закрепиться ‎в‏ ‎целевой ‎среде ‎с ‎последующим ‎повышением‏ ‎привилегий,‏ ‎распространения ‎по‏ ‎сети ‎и‏ ‎получения ‎доступа ‎к ‎конфиденциальным ‎данным.‏ ‎Распределённый‏ ‎характер‏ ‎облачных ‎сервисов‏ ‎также ‎означает,‏ ‎что ‎компрометация‏ ‎одной‏ ‎учётной ‎записи‏ ‎может ‎потенциально ‎предоставить ‎доступ ‎к‏ ‎широкому ‎спектру‏ ‎ресурсов‏ ‎и ‎данных.

Проблемы ‎в‏ ‎обеспечении ‎первоначального‏ ‎доступа

📌Удалённый ‎доступ. ‎Облачные ‎сервисы‏ ‎предназначены‏ ‎для ‎удалённого‏ ‎доступа, ‎что‏ ‎увеличивает ‎поверхность ‎атаки.

📌Управление ‎идентификацией ‎и‏ ‎доступом‏ ‎(IAM). ‎В‏ ‎облачных ‎средах‏ ‎IAM ‎становится ‎важнейшим ‎компонентом ‎безопасности.‏ ‎Организации‏ ‎должны‏ ‎обеспечить ‎надёжность‏ ‎политик ‎IAM‏ ‎и ‎предоставление‏ ‎разрешений‏ ‎на ‎основе‏ ‎принципа ‎наименьших ‎привилегий, ‎чтобы ‎минимизировать‏ ‎риск ‎первоначального‏ ‎доступа‏ ‎со ‎стороны ‎неавторизованных‏ ‎лиц.

📌Фишинг ‎и‏ ‎социнженерия. ‎используются ‎методы ‎фишинга‏ ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎получения‏ ‎первоначального ‎доступа. ‎Эти ‎методы ‎используют‏ ‎человеческий‏ ‎фактор, ‎а‏ ‎не ‎технические‏ ‎уязвимости, ‎что ‎затрудняет ‎защиту ‎от‏ ‎них‏ ‎с‏ ‎помощью ‎традиционных‏ ‎мер ‎безопасности.

Примеры‏ ‎методов ‎первоначального‏ ‎доступа

📌Credential‏ ‎Stuffing. ‎Метод‏ ‎предполагает ‎использование ‎ранее ‎взломанных ‎пар‏ ‎имени ‎пользователя‏ ‎и‏ ‎пароля ‎для ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎учётным ‎записям, ‎делая‏ ‎ставку‏ ‎на ‎вероятность‏ ‎того, ‎что‏ ‎люди ‎будут ‎повторно ‎использовать ‎учётные‏ ‎данные‏ ‎в ‎нескольких‏ ‎службах.

📌Использование ‎некорректных‏ ‎конфигураций. Облачные ‎сервисы ‎сложно ‎настроить ‎правильно,‏ ‎и‏ ‎используются‏ ‎некорректные ‎конфигурации:‏ ‎открытые ‎сетевые‏ ‎сегменты ‎или‏ ‎ошибки‏ ‎в ‎настройке‏ ‎управления ‎доступом.

📌Компрометация ‎сторонних ‎сервисов. Злоумышленники ‎могут‏ ‎атаковать ‎сторонние‏ ‎сервисы,‏ ‎которые ‎интегрируются ‎с‏ ‎облачными ‎средами,‏ ‎например ‎приложения ‎SaaS, ‎чтобы‏ ‎получить‏ ‎первоначальный ‎доступ‏ ‎к ‎облачной‏ ‎инфраструктуре.

Снижение ‎рисков ‎первоначального ‎доступа

📌Комплексные ‎политики‏ ‎доступа.‏ ‎Установление ‎и‏ ‎соблюдение ‎комплексных‏ ‎политик ‎доступа ‎может ‎помочь ‎контролировать,‏ ‎кто‏ ‎и‏ ‎на ‎каких‏ ‎условиях ‎имеет‏ ‎доступ ‎к‏ ‎облачным‏ ‎ресурсам.

📌Регулярные ‎аудиты‏ ‎и ‎проверки. ‎Проведение ‎регулярных ‎аудитов‏ ‎и ‎проверок‏ ‎журналов‏ ‎доступа ‎и ‎разрешений‏ ‎может ‎помочь‏ ‎выявить ‎и ‎устранить ‎потенциальные‏ ‎уязвимости‏ ‎до ‎того,‏ ‎как ‎они‏ ‎будут ‎использованы.

📌Обучение ‎по ‎вопросам ‎безопасности. Обучение‏ ‎сотрудников‏ ‎рискам ‎фишинга‏ ‎и ‎социальной‏ ‎инженерии ‎может ‎снизить ‎вероятность ‎компрометации‏ ‎учётных‏ ‎данных.

📌Endpoint‏ ‎Security. Обеспечение ‎безопасности‏ ‎и ‎актуальности‏ ‎всех ‎устройств‏ ‎с‏ ‎доступом ‎к‏ ‎облачным ‎сервисам, ‎может ‎помешать ‎злоумышленникам‏ ‎использовать ‎уязвимости‏ ‎конечных‏ ‎точек ‎для ‎получения‏ ‎первоначального ‎доступа.

📌Обнаружение‏ ‎аномалий. ‎Внедрение ‎систем ‎обнаружения‏ ‎аномалий‏ ‎помогает ‎выявить‏ ‎необычные ‎модели‏ ‎доступа ‎или ‎попытки ‎входа ‎в‏ ‎систему,‏ ‎которые ‎могут‏ ‎указывать ‎на‏ ‎попытку ‎взлома.

Читать: 3+ мин
logo Хроники кибер-безопасника

Аутентификация как Ключевой Шаг и не нужны никакие пароли!

В ‎изменяющемся‏ ‎кибер-ландшафте ‎адаптация ‎к ‎целевым ‎облачным‏ ‎сервисам ‎подчёркивает‏ ‎кардинальный‏ ‎сдвиг ‎в ‎тактике‏ ‎кибершпионажа. ‎Переход‏ ‎от ‎использования ‎уязвимостей ‎локальной‏ ‎сети‏ ‎к ‎прямому‏ ‎нацеливанию ‎на‏ ‎облачные ‎инфраструктуры ‎знаменует ‎собой ‎значительную‏ ‎эволюцию‏ ‎киберугроз. ‎В‏ ‎основе ‎этого‏ ‎лежит ‎решающая ‎роль ‎аутентификации ‎как‏ ‎ключевого‏ ‎шага‏ ‎в ‎защите‏ ‎облачных ‎сетей‏ ‎от ‎кибер-профессионалов.

Важность‏ ‎аутентификации‏ ‎в ‎облачных‏ ‎средах

Аутентификация ‎служит ‎шлюзом ‎к ‎облачным‏ ‎сервисам, ‎определяя,‏ ‎следует‏ ‎ли ‎предоставить ‎доступ‏ ‎пользователю ‎или‏ ‎системе. ‎В ‎облачных ‎средах,‏ ‎где‏ ‎ресурсы ‎и‏ ‎данные ‎размещаются‏ ‎за ‎пределами ‎предприятия ‎и ‎доступны‏ ‎через‏ ‎Интернет, ‎невозможно‏ ‎переоценить ‎важность‏ ‎надёжных ‎механизмов ‎аутентификации. ‎В ‎отличие‏ ‎от‏ ‎традиционных‏ ‎локальных ‎систем,‏ ‎где ‎есть‏ ‎меры ‎физической‏ ‎безопасности‏ ‎и ‎внутренняя‏ ‎сетевая ‎защита, ‎облачные ‎сервисы ‎по‏ ‎своей ‎сути‏ ‎более‏ ‎подвержены ‎воздействию ‎Интернета.‏ ‎Такая ‎уязвимость‏ ‎делает ‎начальный ‎этап ‎аутентификации‏ ‎не‏ ‎просто ‎мерой‏ ‎безопасности, ‎а‏ ‎критически ‎важным ‎механизмом ‎защиты ‎от‏ ‎несанкционированного‏ ‎доступа.

Проблемы ‎облачной‏ ‎аутентификации

Переход ‎к‏ ‎облачным ‎сервисам ‎приносит ‎с ‎собой‏ ‎уникальные‏ ‎проблемы‏ ‎в ‎реализации‏ ‎эффективных ‎стратегий‏ ‎аутентификации. ‎Пользователи‏ ‎получают‏ ‎доступ ‎к‏ ‎облачным ‎сервисам ‎из ‎разных ‎мест,‏ ‎устройств ‎и‏ ‎сетей,‏ ‎что ‎требует ‎эффективных‏ ‎механизмов ‎аутентификации.

Масштабируемость‏ ‎облачных ‎сервисов ‎означает, ‎что‏ ‎механизмы‏ ‎аутентификации ‎должны‏ ‎быть ‎в‏ ‎состоянии ‎обрабатывать ‎большое ‎количество ‎запросов‏ ‎на‏ ‎доступ ‎без‏ ‎значительных ‎задержек‏ ‎и ‎ухудшения ‎пользовательского ‎опыта. ‎Это‏ ‎требование‏ ‎масштабируемости‏ ‎и ‎удобства‏ ‎для ‎пользователя‏ ‎часто ‎противоречит‏ ‎необходимости‏ ‎строгих ‎мер‏ ‎безопасности, ‎создавая ‎хрупкий ‎баланс, ‎который‏ ‎должны ‎соблюдать‏ ‎организации.

Стратегии‏ ‎усиления ‎облачной ‎аутентификации

📌Многофакторная‏ ‎аутентификация ‎(MFA).‏ ‎MFA ‎добавляет ‎дополнительный ‎уровень‏ ‎безопасности,‏ ‎требуя ‎от‏ ‎пользователей ‎предоставления‏ ‎двух ‎или ‎более ‎факторов ‎проверки‏ ‎для‏ ‎получения ‎доступа.‏ ‎Подход ‎снижает‏ ‎риск ‎несанкционированного ‎доступа, ‎поскольку ‎значительно‏ ‎сложнее‏ ‎получить‏ ‎несколько ‎факторов‏ ‎аутентификации.

📌Адаптивная ‎аутентификация.‏ ‎Механизмы ‎адаптивной‏ ‎аутентификации‏ ‎корректируют ‎требования‏ ‎в ‎зависимости ‎от ‎контекста ‎запроса‏ ‎доступа. ‎Такие‏ ‎факторы,‏ ‎как ‎местоположение, ‎устройство‏ ‎и ‎поведение‏ ‎пользователя, ‎могут ‎влиять ‎на‏ ‎процесс‏ ‎аутентификации, ‎что‏ ‎позволяет ‎применять‏ ‎более ‎строгий ‎контроль ‎в ‎сценариях‏ ‎повышенного‏ ‎риска.

📌Архитектура ‎нулевого‏ ‎доверия. ‎Принятие‏ ‎подхода ‎нулевого ‎доверия ‎к ‎облачной‏ ‎безопасности,‏ ‎при‏ ‎котором ‎ни‏ ‎один ‎пользователь‏ ‎или ‎система‏ ‎не‏ ‎пользуется ‎доверием‏ ‎по ‎умолчанию, ‎может ‎повысить ‎эффективность‏ ‎аутентификации. ‎Эта‏ ‎модель‏ ‎требует ‎строгой ‎проверки‏ ‎личности ‎каждого‏ ‎кто ‎пытается ‎получить ‎доступ‏ ‎к‏ ‎ресурсам, ‎независимо‏ ‎от ‎их‏ ‎местоположения ‎или ‎сети.

📌Использование ‎биометрии. ‎Методы‏ ‎биометрической‏ ‎аутентификации, ‎такие‏ ‎как ‎сканирование‏ ‎отпечатков ‎пальцев ‎или ‎распознавание ‎лиц,‏ ‎обеспечивают‏ ‎высокий‏ ‎уровень ‎безопасности‏ ‎за ‎счёт‏ ‎использования ‎уникальных‏ ‎физических‏ ‎характеристик ‎пользователей.‏ ‎Эти ‎методы ‎могут ‎быть ‎особенно‏ ‎эффективными ‎для‏ ‎предотвращения‏ ‎несанкционированного ‎доступа ‎в‏ ‎облачных ‎средах.

📌Шифрование‏ ‎данных ‎аутентификации. ‎Шифрование ‎данных‏ ‎аутентификации‏ ‎(паролей, ‎токенов‏ ‎аутентификации ‎и‏ ‎другой ‎конфиденциальной ‎информации), ‎как ‎при‏ ‎передаче,‏ ‎так ‎и‏ ‎при ‎хранении,‏ ‎может ‎защитить ‎от ‎перехвата ‎и‏ ‎использования‏ ‎злоумышленниками.

Читать: 8+ мин
logo Хроники кибер-безопасника

TTP. Руководство Кибермага

📌Доступ ‎к‏ ‎учётным ‎данным ‎/ ‎подбор ‎пароля‏ ‎T1110: ‎используются‏ ‎password-spray‏ ‎и ‎подбор ‎паролей‏ ‎в ‎качестве‏ ‎начальных ‎векторов ‎заражения. ‎Подход‏ ‎предполагает‏ ‎попытку ‎ввода‏ ‎нескольких ‎паролей‏ ‎для ‎разных ‎учётных ‎записей ‎или‏ ‎многочисленные‏ ‎попытки ‎для‏ ‎одной ‎учётной‏ ‎записи ‎для ‎получения ‎несанкционированного ‎доступа.

📌Первоначальный‏ ‎доступ‏ ‎/‏ ‎T1078.004 ‎Действительные‏ ‎учётные ‎записи:‏ ‎Облачные ‎учётные‏ ‎записи:‏ ‎получение ‎доступа‏ ‎к ‎облачным ‎сервисам, ‎используя ‎скомпрометированные‏ ‎учётные ‎данные:‏ ‎как‏ ‎системные ‎учётные ‎записи‏ ‎(используемые ‎для‏ ‎автоматизированных ‎задач ‎и ‎служб),‏ ‎так‏ ‎и ‎неактивные‏ ‎учётные ‎записи,‏ ‎учётные ‎которые ‎все ‎ещё ‎остаются‏ ‎в‏ ‎системе.

📌Доступ ‎к‏ ‎учётным ‎данным‏ ‎/ ‎T1528 ‎Кража ‎токена ‎доступа‏ ‎к‏ ‎приложению:‏ ‎злоумышленники ‎используют‏ ‎украденные ‎токены‏ ‎доступа ‎для‏ ‎входа‏ ‎в ‎учётные‏ ‎записи ‎без ‎необходимости ‎ввода ‎паролей.‏ ‎Токены ‎доступа‏ ‎—‏ ‎это ‎цифровые ‎ключи,‏ ‎которые ‎позволяют‏ ‎получить ‎доступ ‎к ‎учётным‏ ‎записям‏ ‎пользователей. ‎Их‏ ‎получение ‎позволяет‏ ‎обойти ‎традиционные ‎механизмы ‎входа ‎в‏ ‎систему.

📌Доступ‏ ‎к ‎учётным‏ ‎данным ‎/‏ ‎Формирование ‎запроса ‎многофакторной ‎аутентификации ‎T1621:‏ ‎метод‏ ‎«бомбардировка‏ ‎MFA» ‎предполагает,‏ ‎что ‎злоумышленники‏ ‎неоднократно ‎отправляют‏ ‎запросы‏ ‎MFA ‎на‏ ‎устройство ‎жертвы. ‎Цель ‎состоит ‎в‏ ‎том, ‎чтобы‏ ‎жертва‏ ‎приняла ‎запрос ‎и‏ ‎таким ‎образом‏ ‎предоставила ‎злоумышленнику ‎доступ.

📌Командование ‎и‏ ‎контроль‏ ‎/ ‎T1090.002‏ ‎Прокси: ‎Внешний‏ ‎прокси: ‎чтобы ‎поддерживать ‎«тайные ‎операции‏ ‎и‏ ‎сливаться ‎с‏ ‎обычным ‎трафиком»,‏ ‎используются ‎открытые ‎прокси, ‎расположенные ‎в‏ ‎частных‏ ‎диапазонах‏ ‎IP-адресов, ‎т.‏ ‎к. ‎вредоносные‏ ‎соединения ‎сложнее‏ ‎отличить‏ ‎от ‎легальной‏ ‎активности ‎пользователей ‎в ‎журналах ‎доступа.

📌Успешная‏ ‎регистрация ‎устройства‏ ‎может‏ ‎обеспечить ‎постоянный ‎доступ‏ ‎к ‎облачной‏ ‎среде.

Доступ ‎через ‎сервисные ‎и‏ ‎спящие‏ ‎учётные ‎записи

Одна‏ ‎из ‎ключевых‏ ‎стратегий, ‎применяемых ‎злоумышленниками, ‎предполагает ‎нацеливание‏ ‎на‏ ‎сервисные ‎и‏ ‎неактивные ‎учётные‏ ‎записи ‎в ‎облачных ‎средах. ‎Учётные‏ ‎записи‏ ‎служб‏ ‎используются ‎для‏ ‎запуска ‎приложений‏ ‎и ‎служб‏ ‎и‏ ‎управления ‎ими‏ ‎без ‎прямого ‎взаимодействия ‎с ‎человеком.‏ ‎Эти ‎учётные‏ ‎записи‏ ‎особенно ‎уязвимы, ‎поскольку‏ ‎их ‎часто‏ ‎невозможно ‎защитить ‎с ‎помощью‏ ‎многофакторной‏ ‎аутентификации ‎(MFA),‏ ‎и ‎они‏ ‎могут ‎иметь ‎высокопривилегированный ‎доступ ‎в‏ ‎зависимости‏ ‎от ‎их‏ ‎роли ‎в‏ ‎управлении ‎приложениями ‎и ‎службами. ‎Получив‏ ‎доступ‏ ‎к‏ ‎этим ‎учётным‏ ‎записям, ‎злоумышленники‏ ‎могут ‎получить‏ ‎привилегированный‏ ‎первоначальный ‎доступ‏ ‎к ‎сети, ‎которую ‎они ‎используют‏ ‎в ‎качестве‏ ‎стартовой‏ ‎площадки ‎для ‎дальнейших‏ ‎операций.

Кампании ‎нацелены‏ ‎на ‎неактивные ‎учётные ‎записи,‏ ‎пользователи‏ ‎которых ‎больше‏ ‎не ‎активны‏ ‎в ‎организации-жертве, ‎но ‎не ‎были‏ ‎удалены‏ ‎из ‎системы.‏ ‎Эти ‎учётные‏ ‎записи ‎могут ‎быть ‎использованы ‎для‏ ‎восстановления‏ ‎доступа‏ ‎к ‎сети,‏ ‎особенно ‎после‏ ‎мер ‎реагирования‏ ‎на‏ ‎инциденты, ‎таких‏ ‎как ‎принудительный ‎сброс ‎пароля. ‎Было‏ ‎замечено, ‎что‏ ‎субъекты‏ ‎входили ‎в ‎эти‏ ‎неактивные ‎учётные‏ ‎записи ‎и ‎следовали ‎инструкциям‏ ‎по‏ ‎сбросу ‎пароля,‏ ‎что ‎позволяло‏ ‎им ‎сохранять ‎доступ ‎даже ‎после‏ ‎того,‏ ‎как ‎группы‏ ‎реагирования ‎на‏ ‎инциденты ‎пытались ‎их ‎«выселить».

Аутентификация ‎токена‏ ‎на‏ ‎основе‏ ‎облака

Ещё ‎один‏ ‎TTP ‎—‏ ‎это ‎использование‏ ‎аутентификации‏ ‎на ‎основе‏ ‎облачных ‎токенов. ‎Замечено, ‎что ‎злоумышленники‏ ‎использовали ‎выданные‏ ‎системой‏ ‎токены ‎доступа ‎для‏ ‎аутентификации ‎в‏ ‎учётных ‎записях ‎жертв ‎без‏ ‎необходимости‏ ‎ввода ‎пароля.‏ ‎Этот ‎метод‏ ‎позволяет ‎обходить ‎традиционные ‎методы ‎аутентификации‏ ‎на‏ ‎основе ‎учётных‏ ‎данных ‎и‏ ‎может ‎быть ‎особенно ‎эффективным, ‎если‏ ‎срок‏ ‎действия‏ ‎этих ‎токенов‏ ‎длительный, ‎или‏ ‎если ‎токены‏ ‎не‏ ‎защищены ‎должным‏ ‎образом.

Брутфорс ‎и ‎password-spray

Использование ‎злоумышленниками ‎атаки‏ ‎(T1110) ‎применяется‏ ‎в‏ ‎качестве ‎начальных ‎векторов‏ ‎заражения. ‎Метод‏ ‎включают ‎попытку ‎доступа ‎к‏ ‎учётным‏ ‎записям ‎путём‏ ‎перебора ‎множества‏ ‎паролей ‎или ‎использования ‎общих ‎паролей‏ ‎для‏ ‎многих ‎учётных‏ ‎записей ‎соответственно.‏ ‎Метод ‎часто ‎бывает ‎успешен ‎из-за‏ ‎использования‏ ‎слабых‏ ‎или ‎повторно‏ ‎используемых ‎паролей‏ ‎для ‎разных‏ ‎учётных‏ ‎записей.

Роль ‎токенов‏ ‎доступа

Токены ‎доступа ‎являются ‎неотъемлемой ‎частью‏ ‎современных ‎систем‏ ‎аутентификации,‏ ‎особенно ‎в ‎облачных‏ ‎средах. ‎Они‏ ‎предназначены ‎для ‎упрощения ‎процесса‏ ‎входа‏ ‎в ‎систему‏ ‎для ‎пользователей‏ ‎и ‎обеспечения ‎безопасного ‎метода ‎доступа‏ ‎к‏ ‎ресурсам ‎без‏ ‎повторного ‎ввода‏ ‎учётных ‎данных. ‎Токены ‎выдаются ‎после‏ ‎того,‏ ‎как‏ ‎пользователь ‎входит‏ ‎в ‎систему‏ ‎с ‎именем‏ ‎и‏ ‎паролем, ‎и‏ ‎их ‎можно ‎использовать ‎для ‎последующих‏ ‎запросов ‎аутентификации.

Риски,‏ ‎связанные‏ ‎с ‎аутентификацией ‎токенов

Хотя‏ ‎аутентификация ‎на‏ ‎основе ‎токенов ‎может ‎обеспечить‏ ‎удобство‏ ‎и ‎безопасность,‏ ‎она ‎также‏ ‎создаёт ‎определённые ‎риски, ‎если ‎ею‏ ‎не‏ ‎управлять ‎должным‏ ‎образом. ‎Если‏ ‎злоумышленники ‎получат ‎эти ‎токены, ‎они‏ ‎смогут‏ ‎получить‏ ‎доступ ‎к‏ ‎учётным ‎записям‏ ‎без ‎необходимости‏ ‎знания‏ ‎пароли, ‎особенно‏ ‎если ‎токены ‎имеют ‎длительный ‎срок‏ ‎действия.

Настройка ‎срока‏ ‎действия‏ ‎токена

Отмечается, ‎что ‎время‏ ‎действия ‎токенов,‏ ‎выпущенных ‎системой, ‎по ‎умолчанию‏ ‎может‏ ‎варьироваться ‎в‏ ‎зависимости ‎от‏ ‎используемой ‎системы. ‎Однако ‎для ‎облачных‏ ‎платформ‏ ‎крайне ‎важно‏ ‎предоставить ‎администраторам‏ ‎возможность ‎регулировать ‎время ‎действия ‎этих‏ ‎токенов‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎потребностями‏ ‎в ‎безопасности.‏ ‎Сокращение‏ ‎срока ‎действия‏ ‎токенов ‎может ‎уменьшить ‎окно ‎возможностей‏ ‎для ‎несанкционированного‏ ‎доступа,‏ ‎если ‎токены ‎будут‏ ‎скомпрометированы.

Обход ‎аутентификации‏ ‎по ‎паролю ‎и ‎MFA

Отмечается,‏ ‎что‏ ‎обход ‎аутентификации‏ ‎по ‎паролю‏ ‎в ‎учётных ‎записях ‎с ‎помощью‏ ‎повторного‏ ‎использования ‎учётных‏ ‎данных ‎и‏ ‎password-spray. ‎Метод ‎предполагает ‎попытку ‎получить‏ ‎доступ‏ ‎к‏ ‎большому ‎количеству‏ ‎учётных ‎записей‏ ‎с ‎использованием‏ ‎часто‏ ‎используемых ‎паролей,‏ ‎в ‎то ‎время ‎как ‎повторное‏ ‎использование ‎учётных‏ ‎данных‏ ‎позволяет ‎пользователям ‎повторно‏ ‎использовать ‎одни‏ ‎и ‎те ‎же ‎пароли‏ ‎для‏ ‎нескольких ‎учётных‏ ‎записей

Также ‎применяется‏ ‎техника ‎«бомбардировка ‎MFA» ‎(T1621), ‎для‏ ‎обхода‏ ‎систем ‎MFA.‏ ‎Метод ‎предполагает‏ ‎повторную ‎отправку ‎запросов ‎MFA ‎на‏ ‎устройство‏ ‎жертвы‏ ‎до ‎тех‏ ‎пор, ‎пока‏ ‎жертва, ‎перегруженная‏ ‎постоянными‏ ‎уведомлениями, ‎не‏ ‎примет ‎запрос. ‎Метод ‎эффективно ‎использует‏ ‎человеческую ‎психологию‏ ‎и‏ ‎неудобство ‎повторных ‎уведомлений‏ ‎для ‎обхода‏ ‎надёжных ‎мер ‎безопасности.

Регистрация ‎новых‏ ‎устройств‏ ‎в ‎облаке

После‏ ‎преодоления ‎первоначальных‏ ‎барьеров ‎выполняется ‎регистрация ‎собственных ‎устройств‏ ‎в‏ ‎качестве ‎новых‏ ‎(T1098.005). ‎Этот‏ ‎шаг ‎имеет ‎решающее ‎значение ‎для‏ ‎сохранения‏ ‎доступа‏ ‎к ‎облачной‏ ‎среде ‎и‏ ‎облегчения ‎дальнейших‏ ‎вредоносных‏ ‎действий. ‎Успех‏ ‎тактики ‎зависит ‎от ‎отсутствия ‎строгих‏ ‎правил ‎проверки‏ ‎устройств‏ ‎в ‎конфигурации ‎безопасности‏ ‎арендатора ‎облака.‏ ‎Без ‎надлежащих ‎мер ‎проверки‏ ‎устройств‏ ‎крайне ‎легко‏ ‎добавить ‎неавторизованные‏ ‎устройства ‎в ‎сеть, ‎предоставив ‎им‏ ‎доступ‏ ‎к ‎конфиденциальным‏ ‎данным ‎и‏ ‎системам.

Защита ‎от ‎несанкционированной ‎регистрации ‎устройств

Внедряя‏ ‎строгие‏ ‎правила‏ ‎проверки ‎устройств‏ ‎и ‎политики‏ ‎регистрации, ‎организации‏ ‎могут‏ ‎значительно ‎снизить‏ ‎риск ‎несанкционированной ‎регистрации ‎устройств. ‎Известны‏ ‎случаи, ‎когда‏ ‎эти‏ ‎меры ‎были ‎эффективно‏ ‎применены, ‎успешно‏ ‎защитили ‎от ‎злоумышленников, ‎лишив‏ ‎их‏ ‎доступа ‎к‏ ‎арендатору ‎облака.

Резидентные‏ ‎прокси ‎и ‎их ‎использование

Резидентные ‎прокси‏ ‎—‏ ‎это ‎промежуточные‏ ‎службы, ‎которые‏ ‎позволяют ‎пользователям ‎маршрутизировать ‎трафик ‎через‏ ‎IP-адрес,‏ ‎предоставленный‏ ‎интернет-провайдером ‎(ISP),‏ ‎который ‎обычно‏ ‎присваивается ‎резидентному‏ ‎адресу.‏ ‎Из-за ‎этого‏ ‎трафик ‎выглядит ‎так, ‎как ‎будто‏ ‎он ‎исходит‏ ‎от‏ ‎обычного ‎пользователя, ‎что‏ ‎может ‎быть‏ ‎особенно ‎полезно ‎для ‎целей‏ ‎слиться‏ ‎с ‎обычным‏ ‎трафиком ‎и‏ ‎избежать ‎раскрытия.

Использование ‎резидентных ‎прокси-серверов ‎служит‏ ‎целью‏ ‎сокрытия ‎истинного‏ ‎местонахождения ‎и‏ ‎источника ‎их ‎вредоносной ‎деятельности. ‎Создавая‏ ‎впечатление,‏ ‎что‏ ‎их ‎трафик‏ ‎исходит ‎из‏ ‎диапазонов ‎легитмных‏ ‎провайдеров.‏ ‎Тактика ‎усложняет‏ ‎обеспечение ‎безопасности, ‎которые ‎полагаются ‎на‏ ‎репутацию ‎IP-адреса‏ ‎или‏ ‎геолокацию ‎как ‎на‏ ‎индикаторы ‎компрометации.

Проблемы,‏ ‎создаваемые ‎резидентными ‎прокси

Эффективность ‎резидентных‏ ‎прокси-серверов‏ ‎в ‎сокрытии‏ ‎источника ‎трафика‏ ‎представляет ‎собой ‎проблему ‎для ‎сетевой‏ ‎защиты.‏ ‎Традиционные ‎меры‏ ‎безопасности, ‎которые‏ ‎отслеживают ‎и ‎блокируют ‎известные ‎вредоносные‏ ‎IP-адреса,‏ ‎неэффективны‏ ‎против ‎использующих‏ ‎резидентные ‎прокси-серверы,‏ ‎поскольку ‎эти‏ ‎IP-адреса‏ ‎могут ‎не‏ ‎иметь ‎предыстории ‎вредоносной ‎активности ‎и‏ ‎неотличимы ‎от‏ ‎IP-адресов‏ ‎законных ‎пользователей.

Читать: 1+ мин
logo Хроники кибер-безопасника

Адаптация к Облачным Сервисам. Хамелеоны Кибермира

📌Адаптация ‎к‏ ‎облачным ‎сервисам: ‎сместился ‎фокус ‎с‏ ‎эксплуатации ‎уязвимостей‏ ‎локальной‏ ‎сети ‎на ‎прямое‏ ‎воздействие ‎на‏ ‎облачные ‎сервисы. ‎Это ‎изменение‏ ‎является‏ ‎ответом ‎на‏ ‎модернизацию ‎систем‏ ‎и ‎миграцию ‎инфраструктуры ‎в ‎облако.

📌Аутентификация‏ ‎как‏ ‎ключевой ‎шаг:‏ ‎чтобы ‎скомпрометировать‏ ‎облачные ‎сети, ‎необходимо ‎успешно ‎пройти‏ ‎аутентификацию‏ ‎у‏ ‎поставщика ‎облачных‏ ‎услуг. ‎Предотвращение‏ ‎этого ‎первоначального‏ ‎доступа‏ ‎имеет ‎решающее‏ ‎значение ‎для ‎предотвращения ‎компрометации.

📌Расширение ‎таргетинга: расширена‏ ‎сфера ‎воздействия‏ ‎на‏ ‎сектора, ‎такие ‎как,‏ ‎как ‎авиация,‏ ‎образование, ‎правоохранительные ‎органы, ‎региональные‏ ‎и‏ ‎федеральные ‎организации,‏ ‎правительственные ‎финансовые‏ ‎департаменты ‎и ‎военные ‎организации. ‎Это‏ ‎расширение‏ ‎указывает ‎на‏ ‎стратегическую ‎диверсификацию‏ ‎целей ‎сбора ‎разведывательной ‎информации.

📌Использование ‎служебных‏ ‎и‏ ‎неактивных‏ ‎учётных ‎записей:‏ ‎подчёркивается, ‎что‏ ‎за ‎последние‏ ‎12‏ ‎месяцев ‎использовались‏ ‎брутфорс-атаки ‎для ‎доступа ‎к ‎служебным‏ ‎и ‎неактивным‏ ‎учётным‏ ‎записям. ‎Эта ‎тактика‏ ‎позволяет ‎получить‏ ‎первоначальный ‎доступ ‎к ‎облачным‏ ‎средам.

📌Профессиональный‏ ‎уровень ‎атакующих: выявлена‏ ‎возможность ‎осуществления‏ ‎компрометациии ‎глобальной ‎цепочки ‎поставок, ‎как,‏ ‎например,‏ ‎инцидент ‎с‏ ‎SolarWinds ‎в‏ ‎2020 ‎году.

📌Первая ‎линия ‎защиты: ‎подчёркивается,‏ ‎что‏ ‎первая‏ ‎линия ‎защиты‏ ‎включает ‎предотвращения‏ ‎возможности ‎первичного‏ ‎доступа‏ ‎к ‎сервисам.

Читать: 2+ мин
logo Хроники кибер-безопасника

Современные атаки: Искусство Облачной Хитрости

Документ ‎под‏ ‎названием ‎«cyber ‎actors ‎adapt ‎tactics‏ ‎for ‎initial‏ ‎cloud‏ ‎access», ‎опубликованный ‎Агентством‏ ‎национальной ‎безопасности‏ ‎предупреждает, ‎об ‎адаптации ‎тактики‏ ‎для‏ ‎получения ‎первоначального‏ ‎доступа ‎к‏ ‎облачным ‎сервисам, ‎а ‎не ‎для‏ ‎использования‏ ‎уязвимостей ‎локальной‏ ‎сети.

Переход ‎от‏ ‎локальных ‎решений ‎к ‎облачным ‎является‏ ‎ответом‏ ‎на‏ ‎то, ‎что‏ ‎организации ‎модернизируют‏ ‎свои ‎системы‏ ‎и‏ ‎переходят ‎на‏ ‎облачную ‎инфраструктуру. ‎Также ‎кибер-кампании ‎расширяются‏ ‎в ‎сторону‏ ‎таких‏ ‎секторов, ‎как ‎авиация,‏ ‎образование, ‎секторов,‏ ‎связанных ‎региональными ‎и ‎федеральными,‏ ‎а‏ ‎также ‎госучреждениями,‏ ‎правительственными ‎финансовыми‏ ‎департаментами ‎и ‎военными ‎организациями.

Реальность ‎такова,‏ ‎что‏ ‎для ‎взлома‏ ‎облачных ‎сетей‏ ‎нужно ‎только ‎пройти ‎аутентификацию ‎у‏ ‎поставщика‏ ‎облачных‏ ‎услуг, ‎и‏ ‎в ‎случае‏ ‎успеха, ‎защита‏ ‎будет‏ ‎преодолена. ‎Другими‏ ‎словами, ‎«неожиданный» ‎аспект ‎облачных ‎сред:‏ ‎меньшая ‎уязвимость‏ ‎сети‏ ‎по ‎сравнению ‎с‏ ‎локальными ‎системами‏ ‎парадоксальным ‎образом ‎делает ‎преодоление‏ ‎первоначального‏ ‎доступа ‎наиболее‏ ‎эффективным.

За ‎последний‏ ‎год ‎наблюдаемые ‎TTPs ‎были ‎простыми,‏ ‎и‏ ‎вместе ‎с‏ ‎тем ‎эффективными‏ ‎так ‎как ‎использовались ‎служебные ‎и‏ ‎бездействующие‏ ‎учётные‏ ‎записи. ‎В‏ ‎целом ‎публикация‏ ‎вызывает ‎прохладное‏ ‎утешение,‏ ‎предполагая, ‎что‏ ‎прочная ‎основа ‎основ ‎безопасности ‎всего‏ ‎лишь ‎гонка‏ ‎на‏ ‎опережение ‎специалистов ‎по‏ ‎безопасности ‎с‏ ‎атакующими.

Ключевые ‎выводы

Адаптация ‎к ‎облачным‏ ‎сервисам:‏ ‎сместился ‎фокус‏ ‎с ‎эксплуатации‏ ‎уязвимостей ‎локальной ‎сети ‎на ‎прямое‏ ‎воздействие‏ ‎на ‎облачные‏ ‎сервисы. ‎Это‏ ‎изменение ‎является ‎ответом ‎на ‎модернизацию‏ ‎систем‏ ‎и‏ ‎миграцию ‎инфраструктуры‏ ‎в ‎облако.

📌Аутентификация‏ ‎как ‎ключевой‏ ‎шаг:‏ ‎чтобы ‎скомпрометировать‏ ‎облачные ‎сети, ‎необходимо ‎успешно ‎пройти‏ ‎аутентификацию ‎у‏ ‎поставщика‏ ‎облачных ‎услуг. ‎Предотвращение‏ ‎этого ‎первоначального‏ ‎доступа ‎имеет ‎решающее ‎значение‏ ‎для‏ ‎предотвращения ‎компрометации.

📌Расширение‏ ‎таргетинга: расширена ‎сфера‏ ‎воздействия ‎на ‎сектора, ‎такие ‎как,‏ ‎как‏ ‎авиация, ‎образование,‏ ‎правоохранительные ‎органы,‏ ‎региональные ‎и ‎федеральные ‎организации, ‎правительственные‏ ‎финансовые‏ ‎департаменты‏ ‎и ‎военные‏ ‎организации. ‎Это‏ ‎расширение ‎указывает‏ ‎на‏ ‎стратегическую ‎диверсификацию‏ ‎целей ‎сбора ‎разведывательной ‎информации.

📌Использование ‎служебных‏ ‎и ‎неактивных‏ ‎учётных‏ ‎записей: ‎подчёркивается, ‎что‏ ‎за ‎последние‏ ‎12 ‎месяцев ‎использовались ‎брутфорс-атаки‏ ‎для‏ ‎доступа ‎к‏ ‎служебным ‎и‏ ‎неактивным ‎учётным ‎записям. ‎Эта ‎тактика‏ ‎позволяет‏ ‎получить ‎первоначальный‏ ‎доступ ‎к‏ ‎облачным ‎средам.

📌Профессиональный ‎уровень ‎атакующих: ‎выявлена‏ ‎возможность‏ ‎осуществления‏ ‎компрометациии ‎глобальной‏ ‎цепочки ‎поставок,‏ ‎как, ‎например,‏ ‎инцидент‏ ‎с ‎SolarWinds‏ ‎в ‎2020 ‎году.

📌Первая ‎линия ‎защиты:‏ ‎подчёркивается, ‎что‏ ‎первая‏ ‎линия ‎защиты ‎включает‏ ‎предотвращения ‎возможности‏ ‎первичного ‎доступа ‎к ‎сервисам.

Читать: 1+ мин
logo Хроники кибер-безопасника

MASEPIE. Потому что одного вредоносного ПО недостаточно

В ‎декабре‏ ‎2023 ‎года ‎APT28 ‎разработали ‎MASEPIE,‏ ‎небольшой ‎бэкдор‏ ‎на‏ ‎Python, ‎способный ‎выполнять‏ ‎произвольные ‎команды‏ ‎на ‎машинах-жертвах. ‎Расследование ‎ФБР‏ ‎показало,‏ ‎что ‎скомпрометированные‏ ‎Ubiquiti ‎EdgeRouters‏ ‎были ‎использованы ‎в ‎качестве ‎C2-инфраструктуры‏ ‎для‏ ‎бэкдоров ‎MASEPIE.

C2‏ ‎инфраструктура

Хотя ‎APT28‏ ‎не ‎развёртывает ‎MASEPIE ‎на ‎самих‏ ‎EdgeRouters,‏ ‎скомпрометированные‏ ‎маршрутизаторы ‎использовались‏ ‎в ‎качестве‏ ‎инфраструктуры ‎C2‏ ‎для‏ ‎связи ‎с‏ ‎бэкдорами ‎MASEPIE ‎и ‎контроля ‎над‏ ‎ними, ‎установленными‏ ‎в‏ ‎системах, ‎принадлежащих ‎целевым‏ ‎лицам ‎и‏ ‎организациям.

Данные, ‎отправляемые ‎на ‎EdgeRouters,‏ ‎действующие‏ ‎как ‎серверы‏ ‎C2, ‎были‏ ‎зашифрованы ‎с ‎использованием ‎случайно ‎сгенерированного‏ ‎16-символьного‏ ‎ключа ‎AES,‏ ‎для ‎затруднения‏ ‎обнаружения ‎и ‎анализа ‎трафика.

Функциональность ‎бэкдора‏ ‎MASEPIE

MASEPIE‏ ‎—‏ ‎это ‎бэкдор‏ ‎на ‎основе‏ ‎Python, ‎который‏ ‎позволяет‏ ‎выполнять ‎произвольные‏ ‎команды ‎в ‎заражённых ‎системах. ‎Этот‏ ‎бэкдор ‎предоставляет‏ ‎возможности‏ ‎удалённого ‎управления ‎для‏ ‎выполнения ‎действий:

📌 эксфильтрация‏ ‎данных

📌 распространение ‎внутри ‎скомпрометированной ‎сети

📌 развёртывание‏ ‎дополнительных‏ ‎вредоносных ‎программ‏ ‎или ‎инструментов

📌 выполнение‏ ‎команд ‎разведки ‎и ‎сбора ‎разведданных

Смягчение‏ ‎последствий‏ ‎

Чтобы ‎снизить‏ ‎риск ‎появления‏ ‎бэкдоров ‎MASEPIE ‎и ‎использования ‎скомпрометированных‏ ‎EdgeRouters‏ ‎в‏ ‎качестве ‎C2-инфраструктуры,‏ ‎следует ‎предпринять‏ ‎следующие ‎шаги:

📌 Внедрение‏ ‎защиты‏ ‎конечных ‎устройств:‏ ‎развёртывание ‎решений ‎для ‎защиты ‎конечных‏ ‎устройств, ‎способных‏ ‎обнаруживать‏ ‎и ‎предотвращать ‎выполнение‏ ‎MASEPIE ‎и‏ ‎других ‎вредоносных ‎скриптов ‎Python‏ ‎или‏ ‎бэкдоров.

📌 Мониторинг ‎сетевого‏ ‎трафика: отслеживание ‎сетевого‏ ‎трафика ‎на ‎предмет ‎любых ‎подозрительных‏ ‎зашифрованных‏ ‎сообщений ‎или‏ ‎подключений ‎к‏ ‎известной ‎инфраструктуре, ‎включая ‎скомпрометированные ‎EdgeRouters.

📌 Анализ‏ ‎сетевых‏ ‎журналов: просмотр‏ ‎сетевых ‎журналов‏ ‎на ‎предмет‏ ‎признаков ‎зашифрованных‏ ‎сообщений‏ ‎или ‎подключений‏ ‎к ‎EdgeRouters, ‎которые ‎могут ‎действовать‏ ‎как ‎серверы‏ ‎C2.

Читать: 1+ мин
logo Хроники кибер-безопасника

Прокси и туннель. Неофициальные функции Ubiquiti

Прокси-сервер ‎и‏ ‎туннельная ‎инфраструктура

APT28 ‎использовали ‎скомпрометированные ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎установления‏ ‎прокси-соединений ‎и ‎SSH-туннелей‏ ‎к ‎подконтрольной‏ ‎инфраструктуре ‎для ‎поддержания ‎постоянного‏ ‎доступа‏ ‎и ‎контроля‏ ‎над ‎скомпрометированными‏ ‎устройствами ‎даже ‎после ‎смены ‎пароля‏ ‎или‏ ‎других ‎попыток‏ ‎взлома.

Reverse ‎proxy-подключения

Были‏ ‎использованы ‎правила ‎iptables ‎в ‎EdgeRouters‏ ‎для‏ ‎установления‏ ‎подключений, ‎например:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING‏ ‎-d‏ ‎<router ‎IP‏ ‎address> ‎-p ‎tcp ‎-m ‎tcp‏ ‎--dport ‎4443‏ ‎-j‏ ‎DNAT ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:‏ ‎10081

Это ‎правило ‎iptables ‎перенаправляет‏ ‎входящий‏ ‎трафик ‎через‏ ‎порт ‎4443‏ ‎EdgeRouter ‎в ‎выделенную ‎инфраструктуру ‎на‏ ‎порту‏ ‎10081.

Reverse ‎SSH-туннели

Кроме‏ ‎того, ‎APT28‏ ‎загрузили ‎контролируемые ‎SSH-RSA-ключи ‎на ‎скомпрометированные‏ ‎EdgeRouters‏ ‎для‏ ‎создания ‎SSH-туннелей.‏ ‎Эти ‎туннели‏ ‎позволяют ‎получать‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎устройствам ‎даже ‎после ‎смены ‎пароля‏ ‎или ‎других‏ ‎попыток‏ ‎взлома.

Следующие ‎каталоги ‎необходимо‏ ‎просмотреть ‎на‏ ‎предмет ‎неизвестных ‎ключей ‎RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие‏ ‎неизвестных‏ ‎ключей ‎RSA‏ ‎в ‎этих‏ ‎каталогах ‎может ‎указывать ‎на ‎то,‏ ‎что‏ ‎их ‎использовали‏ ‎для ‎доступа‏ ‎к ‎EdgeRouters ‎в ‎обход ‎аутентификации‏ ‎по‏ ‎паролю.

Кроме‏ ‎того, ‎безопасники‏ ‎могут ‎проверить‏ ‎журналы ‎сетевого‏ ‎трафика‏ ‎на ‎EdgeRouters‏ ‎для ‎идентификации ‎аномальные ‎сеансы ‎SSH:

ssh‏ ‎–i ‎<RSA‏ ‎key>‏ ‎-p ‎<port> ‎root@<router‏ ‎IP ‎address>‏ ‎-R ‎<router ‎IP ‎address>:<port>

Эта‏ ‎команда‏ ‎устанавливает ‎SSH-туннель‏ ‎от ‎EdgeRouter‏ ‎к ‎инфраструктуре, ‎позволяя ‎поддерживать ‎удалённый‏ ‎доступ‏ ‎и ‎контроль‏ ‎над ‎скомпрометированным‏ ‎устройством.

Читать: 1+ мин
logo Хроники кибер-безопасника

CVE-2023-23397. Эксплойт, который продолжает эксплуатироваться

APT28 ‎использовали‏ ‎CVE-2023–23397, ‎уязвимость ‎с ‎критическим ‎повышением‏ ‎привилегий ‎в‏ ‎Microsoft‏ ‎Outlook ‎в ‎Windows,‏ ‎для ‎облегчения‏ ‎утечки ‎учётных ‎данных ‎NTLMv2.‏ ‎Эта‏ ‎0day-уязвимость ‎позволяет‏ ‎передавать ‎хэши‏ ‎Net-NTLMv2 ‎в ‎подконтрольную ‎инфраструктуру.

Для ‎использования‏ ‎CVE-2023–23397‏ ‎и ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎использованы ‎два ‎общедоступных ‎инструмента:

📌 http://ntlmrelayx.py: инструмент‏ ‎является‏ ‎частью‏ ‎Impacket ‎suite,‏ ‎набора ‎классов‏ ‎Python ‎для‏ ‎работы‏ ‎с ‎сетевыми‏ ‎протоколами. ‎APT28 ‎использовали ‎http://ntlmrelayx.py для ‎выполнения‏ ‎relay-атак ‎NTLM‏ ‎[T1557]‏ ‎и ‎облегчения ‎утечки‏ ‎учётных ‎данных‏ ‎NTLMv2.

📌 Responder: ‎инструмент, ‎предназначенный ‎для‏ ‎сбора‏ ‎и ‎передачи‏ ‎хэшей ‎NTLMv2‏ ‎путём ‎настройки ‎подконтрольного ‎сервера ‎аутентификации‏ ‎[T1556]‏ ‎для ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎от ‎целевых ‎учётных ‎записей‏ ‎Outlook.

Безопасники‏ ‎могут‏ ‎выполнять ‎поиск‏ ‎файлов ‎журналов,‏ ‎а ‎также‏ ‎наличия‏ ‎http://ntlmrelayx.py и ‎Responder.db,‏ ‎Responder-Session.log ‎для ‎выявления ‎потенциальной ‎активности,‏ ‎связанной ‎с‏ ‎эксплуатацией‏ ‎CVE-2023–23397.

Смягчение ‎последствий

Чтобы ‎снизить‏ ‎риск ‎использования‏ ‎CVE-2023–23397 ‎и ‎утечки ‎учётных‏ ‎данных‏ ‎NTLMv2 ‎следует‏ ‎предпринять ‎следующие‏ ‎шаги:

📌 Применение ‎исправления ‎Microsoft: ‎Microsoft ‎выпустила‏ ‎исправление‏ ‎для ‎CVE-2023–23397.

📌 Проверка‏ ‎на ‎наличие‏ ‎скомпрометированных ‎EdgeRouters: ‎необходимо ‎использовать ‎предоставленную‏ ‎информацию‏ ‎для‏ ‎проверки ‎EdgeRouters‏ ‎на ‎наличие‏ ‎http://ntlmrelayx.py, связанных ‎с‏ ‎ними‏ ‎файлов ‎журналов,‏ ‎провести ‎идентификацию ‎и ‎изоляцию ‎всех‏ ‎скомпрометированных ‎маршрутизаторов‏ ‎для‏ ‎дальнейшего ‎расследования.

📌 Сброс ‎скомпрометированных‏ ‎учётных ‎данных: при‏ ‎обнаружении ‎утечки ‎учётных ‎данных‏ ‎NTLMv2‏ ‎следует ‎сбросить‏ ‎соответствующие ‎учётные‏ ‎записи ‎пользователей ‎и ‎применить ‎дополнительные‏ ‎меры‏ ‎безопасности, ‎такие‏ ‎как ‎MFA.

📌 Применение‏ ‎рекомендуемых ‎мер ‎по ‎устранению ‎неполадок:‏ ‎меры‏ ‎по‏ ‎устранению ‎включают‏ ‎сброс ‎настроек‏ ‎оборудования ‎к‏ ‎заводским‏ ‎настройкам, ‎обновление‏ ‎до ‎последней ‎версии ‎встроенного ‎ПО‏ ‎и ‎изменение‏ ‎имён‏ ‎пользователей ‎и ‎паролей‏ ‎по ‎умолчанию.

Читать: 2+ мин
logo Хроники кибер-безопасника

Облегчение кражи учетных данных с Ubiquiti

APT28 ‎размещали‏ ‎скрипты ‎Python ‎на ‎скомпрометированных ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎сбора‏ ‎и ‎проверки ‎украденных‏ ‎учётных ‎данных‏ ‎учётной ‎записи ‎веб-почты. ‎Эти‏ ‎сценарии‏ ‎обычно ‎хранятся‏ ‎вместе ‎со‏ ‎связанными ‎файлами ‎журналов ‎в ‎домашнем‏ ‎каталоге‏ ‎скомпрометированного ‎пользователя,‏ ‎например:

📌 /home/<compromised ‎user>/srv/http://core.py

📌 /home/<compromised‏ ‎user>/srv/debug.txt

ФБР ‎заявило ‎о ‎восстановлении ‎подробных‏ ‎файлов‏ ‎журналов,‏ ‎содержащие ‎информацию‏ ‎об ‎активности‏ ‎APT28 ‎на‏ ‎скомпрометированных‏ ‎EdgeRouters.

Пользовательские ‎скрипты‏ ‎на ‎Python

📌 Размещённые ‎крипты ‎Python ‎служат‏ ‎для ‎сбора‏ ‎и‏ ‎проверки ‎украденных ‎данных‏ ‎учётной ‎записи‏ ‎веб-почты. ‎APT28 ‎используют ‎эти‏ ‎скрипты‏ ‎как ‎часть‏ ‎своих ‎операций‏ ‎сбора ‎учётных ‎данных, ‎нацеленных ‎на‏ ‎конкретных‏ ‎пользователей ‎веб-почты.

📌 Скрипты‏ ‎предназначены ‎для‏ ‎автоматического ‎устранения ‎проблем ‎с ‎капчей‏ ‎на‏ ‎страницах‏ ‎входа ‎в‏ ‎веб-почту, ‎позволяя‏ ‎атакующим ‎обойти‏ ‎эту‏ ‎меру ‎безопасности‏ ‎и ‎получить ‎несанкционированный ‎доступ ‎к‏ ‎целевым ‎учётным‏ ‎записям.‏ ‎Чтобы ‎достичь ‎этого,‏ ‎скрипты ‎устанавливают‏ ‎соединения ‎с ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎который ‎используется‏ ‎APT28 ‎для‏ ‎решения ‎проблем ‎с ‎капчей.

Yara-правила ‎для‏ ‎обнаружения

📌 Чтобы‏ ‎помочь ‎найти‏ ‎скрипты ‎сбора‏ ‎учётных ‎данных ‎на ‎скомпрометированных ‎EdgeRouters,‏ ‎ФБР‏ ‎разработало‏ ‎правило ‎Yara.‏ ‎Yara ‎—‏ ‎это ‎инструмент,‏ ‎используемый‏ ‎для ‎идентификации‏ ‎и ‎классификации ‎вредоносных ‎программ ‎на‏ ‎основе ‎текстовых‏ ‎или‏ ‎двоичных ‎шаблонов. ‎Предоставленное‏ ‎ФБР ‎правило‏ ‎Yara ‎можно ‎использовать ‎для‏ ‎сканирования‏ ‎файловой ‎системы‏ ‎EdgeRouters ‎и‏ ‎обнаружения ‎присутствия ‎скриптов ‎Python.

📌 Помимо ‎использования‏ ‎правила‏ ‎Yara, ‎можно‏ ‎также ‎запрашивать‏ ‎сетевой ‎трафик ‎на ‎предмет ‎подключений‏ ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Обнаружение‏ ‎трафика, ‎направленного‏ ‎к ‎этому‏ ‎API,‏ ‎может ‎помочь‏ ‎выявить ‎скомпрометированные ‎EdgeRouters ‎и ‎потенциальные‏ ‎действия ‎по‏ ‎сбору‏ ‎учётных ‎данных.

Смягчение ‎последствий

📌 При‏ ‎обнаружении ‎наличия‏ ‎скриптов ‎или ‎подключений ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint ‎сетевые‏ ‎необходимо ‎предпринять‏ ‎немедленные ‎действия ‎для ‎снижения ‎риска‏ ‎и‏ ‎исследовать ‎степень‏ ‎компрометации. ‎Изоляция‏ ‎затронутых ‎маршрутизаторов ‎Edge ‎от ‎сети

📌 Выполнение‏ ‎тщательного‏ ‎анализа‏ ‎сценариев ‎и‏ ‎файлов ‎журналов‏ ‎для ‎понимания‏ ‎объема‏ ‎операций ‎по‏ ‎сбору ‎учётных ‎данных

📌 Сброс ‎паролей ‎для‏ ‎потенциально ‎скомпрометированных‏ ‎учётных‏ ‎записей ‎веб-почты

Читать: 1+ мин
logo Хроники кибер-безопасника

Троян Moobot. Когда роутер становится лучшим другом ботнета

APT28 ‎использовали‏ ‎учётные ‎данные ‎по ‎умолчанию ‎и‏ ‎троянизированные ‎серверные‏ ‎процессы‏ ‎OpenSSH ‎для ‎доступа‏ ‎к ‎Ubiquiti‏ ‎EdgeRouters, ‎связанеые ‎с ‎Moobot,‏ ‎ботнетом‏ ‎на ‎базе‏ ‎Mirai, ‎который‏ ‎заражает ‎устройства ‎Интернета ‎вещей ‎(IoT)‏ ‎с‏ ‎использованием ‎уязвимостей,‏ ‎которые ‎можно‏ ‎использовать ‎удалённо, ‎таких ‎как ‎слабые‏ ‎пароли‏ ‎или‏ ‎пароли ‎по‏ ‎умолчанию.

Троянские ‎файлы‏ ‎OpenSSH-сервера

Троянские ‎бинарные‏ ‎OpenSSH,‏ ‎загруженные ‎с‏ ‎packinstall[.]kozow ‎[.]com, ‎заменили ‎оригинальные ‎бинарные‏ ‎файлы ‎на‏ ‎EdgeRouters‏ ‎с ‎целью ‎удалённо‏ ‎обходить ‎аутентификацию‏ ‎и ‎получать ‎несанкционированный ‎доступ‏ ‎к‏ ‎скомпрометированным ‎маршрутизаторам.

Ботнет‏ ‎Moobot ‎известен‏ ‎своей ‎способностью ‎использовать ‎уязвимости ‎в‏ ‎устройствах‏ ‎Интернета ‎вещей,‏ ‎особенно ‎с‏ ‎ненадёжными ‎паролями ‎или ‎паролями ‎по‏ ‎умолчанию.‏ ‎Заменяя‏ ‎законные ‎двоичные‏ ‎файлы ‎сервера‏ ‎OpenSSH ‎троянскими‏ ‎версиями,‏ ‎APT28 ‎могут‏ ‎поддерживать ‎постоянный ‎доступ ‎к ‎скомпрометированным‏ ‎EdgeRouters ‎и‏ ‎использовать‏ ‎их ‎в ‎различных‏ ‎вредоносных ‎целях.

Ботнет‏ ‎на ‎базе ‎Mirai

Moobot ‎—‏ ‎это‏ ‎ботнет ‎на‏ ‎базе ‎Mirai‏ ‎и ‎является ‎производным ‎от ‎Mirai,‏ ‎которая‏ ‎впервые ‎появилась‏ ‎в ‎2016‏ ‎году. ‎Mirai ‎был ‎предназначен ‎для‏ ‎сканирования‏ ‎и‏ ‎заражения ‎IoT-устройств‏ ‎путём ‎использования‏ ‎распространённых ‎уязвимостей‏ ‎и‏ ‎учётных ‎данных‏ ‎по ‎умолчанию. ‎Как ‎только ‎устройство‏ ‎заражено, ‎оно‏ ‎становится‏ ‎частью ‎ботнета ‎и‏ ‎может ‎использоваться‏ ‎для ‎распределённых ‎атак ‎типа‏ ‎«отказ‏ ‎в ‎обслуживании»‏ ‎(DDoS), ‎credential‏ ‎stuffing ‎и ‎других ‎вредоносных ‎действий.

Воздействие‏ ‎на‏ ‎маршрутизаторы ‎EdgeRouters

При‏ ‎наличии ‎троянизированных‏ ‎процессов ‎OpenSSH ‎APT28 ‎могут ‎поддерживать‏ ‎постоянный‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎маршрутизаторы ‎и‏ ‎использовать ‎их‏ ‎в‏ ‎качестве ‎платформы‏ ‎для ‎вредоносных ‎действий:

📌 Сбор ‎учётных ‎данных

📌 Сбор‏ ‎NTLMv2

📌 Проксирование ‎сетевого‏ ‎трафика

📌 Размещение‏ ‎целевых ‎страниц ‎для‏ ‎защиты ‎от‏ ‎фишинга ‎и ‎пользовательских ‎инструментов

Читать: 2+ мин
logo Хроники кибер-безопасника

Атакующие обожают Ubiquiti. Союз, заключенный на небесах киберпространства

Операции ‎были‏ ‎нацелены ‎на ‎различные ‎отрасли, ‎включая‏ ‎аэрокосмическую ‎и‏ ‎оборонную,‏ ‎образование, ‎энергетику ‎и‏ ‎коммунальные ‎услуги,‏ ‎госсектор, ‎гостиничный ‎бизнес, ‎нефть‏ ‎и‏ ‎газ, ‎розничную‏ ‎торговлю, ‎технологии‏ ‎и ‎транспорт. ‎Целевые ‎страны ‎включают‏ ‎Чешскую‏ ‎Республику, ‎Италию,‏ ‎Литву, ‎Иорданию,‏ ‎Черногорию, ‎Польшу, ‎Словакию, ‎Турцию, ‎Объединённые‏ ‎Арабские‏ ‎Эмираты‏ ‎и ‎США

Потенциальные‏ ‎последствия ‎воздействия‏ ‎включают:

📌 Утечка ‎данных‏ ‎и‏ ‎кража ‎конфиденциальной‏ ‎информации, ‎интеллектуальной ‎собственности ‎или ‎коммерческой‏ ‎тайны.

📌 Нарушение ‎работы‏ ‎критически‏ ‎важных ‎объектов ‎инфраструктуры,‏ ‎таких ‎как‏ ‎электросети, ‎транспортные ‎системы ‎или‏ ‎производственные‏ ‎процессы.

📌 Компрометация ‎правительственных‏ ‎сетей ‎и‏ ‎систем, ‎потенциально ‎ведущая ‎к ‎шпионажу‏ ‎или‏ ‎угрозам ‎национальной‏ ‎безопасности.

📌 Финансовые ‎потери‏ ‎из-за ‎сбоев ‎в ‎работе, ‎кражи‏ ‎данных‏ ‎клиентов‏ ‎или ‎ущерба‏ ‎репутации.

📌 Потенциальные ‎риски‏ ‎для ‎безопасности‏ ‎в‏ ‎случае ‎взлома‏ ‎систем ‎управления ‎или ‎сетей ‎операционных‏ ‎технологий ‎(OT).

📌 Потеря‏ ‎доверия‏ ‎клиентов ‎и ‎доверия‏ ‎к ‎пострадавшим‏ ‎организациям.


TTPs ‎MITRE ‎ATT& ‎CK‏ ‎

Разработка:

📌 T1587‏ ‎(разработка): ‎создание‏ ‎пользовательских ‎Py-скриптов‏ ‎для ‎сбора ‎учётных ‎данных ‎в‏ ‎т.ч‏ ‎веб-почты.

📌 T1588 ‎(возможности‏ ‎получения): доступ ‎к‏ ‎EdgeRouters, ‎скомпрометированным ‎ботнетом ‎Moobot, ‎который‏ ‎устанавливает‏ ‎троянские‏ ‎программы ‎OpenSSH.

Первоначальный‏ ‎доступ:

📌 T1584 ‎(скомпрометированная‏ ‎инфраструктура): ‎доступ‏ ‎к‏ ‎EdgeRouters, ‎ранее‏ ‎скомпрометированным ‎троянцем ‎OpenSSH.

📌 T1566 ‎(фишинг): межсайтовые ‎скриптовые‏ ‎кампании ‎и‏ ‎фишинговые‏ ‎кампании ‎«браузер ‎в‏ ‎браузере».

Выполнение:

📌 T1203 ‎(Использование‏ ‎для ‎выполнения ‎клиентом): ‎использование‏ ‎уязвимости‏ ‎CVE-2023-23397.

Закрепление:

📌 T1546 ‎(выполнение,‏ ‎инициируемое ‎событием):‏ ‎На ‎скомпрометированных ‎маршрутизаторах ‎были ‎размещены‏ ‎скрипты‏ ‎Bash ‎и‏ ‎двоичные ‎файлы‏ ‎ELF, ‎предназначенные ‎для ‎бэкдора ‎демонов‏ ‎OpenSSH‏ ‎и‏ ‎связанных ‎с‏ ‎ними ‎служб.

Доступ‏ ‎с ‎учётными‏ ‎данными:

📌 T1557‏ ‎(Злоумышленник ‎посередине):‏ ‎инструменты ‎Impacket ‎http://ntlmrelayx.py и ‎Responder, ‎на‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎для‏ ‎выполнения ‎ретрансляционных ‎атак‏ ‎NTLM.

📌 T1556 ‎(Изменение‏ ‎процесса ‎аутентификации): поддельные ‎серверы ‎аутентификации-NTLMv2‏ ‎для‏ ‎изменения ‎процесса‏ ‎аутентификации ‎с‏ ‎использованием ‎и ‎передачей ‎украденных ‎учётных‏ ‎данных.

Сбор‏ ‎данных:

📌 T1119 ‎(автоматический‏ ‎сбор): ‎APT28‏ ‎использовал ‎CVE-2023-23397 ‎для ‎автоматизации ‎сбора‏ ‎хэшей‏ ‎NTLMv2.

Эксфильтрация‏ ‎данных:

📌 T1020 ‎(автоматизированная‏ ‎эксфильтрация): ‎использование‏ ‎CVE-2023-23397 ‎для‏ ‎автоматизации‏ ‎эксфильтрации ‎данных‏ ‎в ‎подконтрольную ‎инфраструктуру.



Читать: 3+ мин
logo Хроники кибер-безопасника

Безопасность Ubiquiti — это необязательная опция

Документ ‎под‏ ‎названием ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations», ‎опубликованный‏ ‎ФБР, ‎АНБ,‏ ‎киберкомандованием ‎США ‎и ‎международными‏ ‎партнёрами‏ ‎предупреждает ‎об‏ ‎использовании ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎для ‎облегчения‏ ‎вредоносных‏ ‎киберопераций ‎по‏ ‎всему ‎миру.

Популярность‏ ‎Ubiquiti ‎EdgeRouters ‎объясняется ‎удобной ‎в‏ ‎использовании‏ ‎ОС‏ ‎на ‎базе‏ ‎Linux, ‎учётными‏ ‎данными ‎по‏ ‎умолчанию‏ ‎и ‎ограниченной‏ ‎защитой ‎брандмауэром. ‎Маршрутизаторы ‎часто ‎поставляются‏ ‎с ‎небезопасными‏ ‎конфигурациями‏ ‎по ‎умолчанию ‎и‏ ‎не ‎обновляют‏ ‎прошивку ‎автоматически.

Скомпрометированные ‎EdgeRouters ‎использовались‏ ‎APT28‏ ‎для ‎сбора‏ ‎учётных ‎данных,‏ ‎NTLMv2, ‎сетевого ‎трафика ‎прокси-сервера ‎и‏ ‎размещения‏ ‎целевых ‎страниц‏ ‎для ‎фишинга‏ ‎и ‎пользовательских ‎инструментов. ‎APT28 ‎получила‏ ‎доступ‏ ‎к‏ ‎маршрутизаторам, ‎используя‏ ‎учётные ‎данные‏ ‎по ‎умолчанию,‏ ‎и‏ ‎троянизировала ‎серверные‏ ‎процессы ‎OpenSSH. ‎Наличие ‎root-доступ ‎к‏ ‎скомпрометированным ‎маршрутизаторам,‏ ‎дало‏ ‎доступ ‎к ‎ОС‏ ‎для ‎установки‏ ‎инструментов ‎и ‎сокрытия ‎своей‏ ‎личности.

APT28‏ ‎также ‎развернула‏ ‎пользовательские ‎скрипты‏ ‎Python ‎на ‎скомпрометированных ‎маршрутизаторах ‎для‏ ‎сбора‏ ‎и ‎проверки‏ ‎украденных ‎данных‏ ‎учётной ‎записи ‎веб-почты, ‎полученных ‎с‏ ‎помощью‏ ‎межсайтовых‏ ‎скриптов ‎и‏ ‎кампаний ‎фишинга‏ ‎«браузер ‎в‏ ‎браузере».‏ ‎Кроме ‎того,‏ ‎они ‎использовали ‎критическую ‎уязвимость ‎с‏ ‎повышением ‎привилегий‏ ‎на‏ ‎нулевой ‎день ‎в‏ ‎Microsoft ‎Outlook‏ ‎(CVE-2023–23397) ‎для ‎сбора ‎данных‏ ‎NTLMv2‏ ‎из ‎целевых‏ ‎учётных ‎записей‏ ‎Outlook ‎и ‎общедоступные ‎инструменты ‎для‏ ‎оказания‏ ‎помощи ‎в‏ ‎NTLM-атаках

Ключевые ‎моменты

📌 APT28‏ ‎(известные ‎как ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard‏ ‎и‏ ‎Strontium) ‎использовали‏ ‎скомпрометированные ‎серверы‏ ‎Ubiquiti ‎EdgeRouters‏ ‎для‏ ‎проведения ‎вредоносных‏ ‎киберопераций ‎по ‎всему ‎миру.

📌 Эксплуатация ‎включает‏ ‎сбор ‎учётных‏ ‎данных,‏ ‎сбор ‎дайджестов ‎NTLMv2,‏ ‎проксирование ‎сетевого‏ ‎трафика, ‎а ‎также ‎размещение‏ ‎целевых‏ ‎страниц ‎для‏ ‎фишинга ‎и‏ ‎пользовательских ‎инструментов.

📌 ФБР, ‎АНБ, ‎киберкомандование ‎США‏ ‎и‏ ‎международные ‎партнеры‏ ‎выпустили ‎совместное‏ ‎консультативное ‎заключение ‎по ‎кибербезопасности ‎(CSA)‏ ‎с‏ ‎подробным‏ ‎описанием ‎угрозы‏ ‎и ‎рекомендациями‏ ‎по ‎ее‏ ‎устранению.

📌 Рекомендации‏ ‎включают ‎наблюдаемые‏ ‎тактики, ‎методы ‎и ‎процедуры ‎(TTP),‏ ‎индикаторы ‎компрометации‏ ‎(IoC)‏ ‎для ‎сопоставления ‎с‏ ‎системой ‎MITRE‏ ‎ATT& ‎CK ‎framework.

📌 В ‎рекомендациях‏ ‎содержится‏ ‎настоятельный ‎призыв‏ ‎к ‎немедленным‏ ‎действиям ‎по ‎устранению ‎угрозы, ‎включая‏ ‎выполнение‏ ‎заводских ‎настроек‏ ‎оборудования, ‎обновление‏ ‎встроенного ‎ПО, ‎изменение ‎учётных ‎данных‏ ‎по‏ ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических ‎правил‏ ‎брандмауэра.

📌 APT28 ‎использует‏ ‎скомпрометированные‏ ‎EdgeRouters ‎как‏ ‎минимум ‎с ‎2022 ‎года ‎для‏ ‎содействия ‎операциям‏ ‎против‏ ‎различных ‎отраслей ‎промышленности‏ ‎и ‎стран,‏ ‎включая ‎США.

📌 EdgeRouters ‎популярны ‎благодаря‏ ‎своей‏ ‎удобной ‎операционной‏ ‎системе ‎на‏ ‎базе ‎Linux, ‎но ‎часто ‎поставляются‏ ‎с‏ ‎учётными ‎данными‏ ‎по ‎умолчанию‏ ‎и ‎ограниченной ‎защитой ‎брандмауэром.

📌 В ‎рекомендациях‏ ‎содержатся‏ ‎подробные‏ ‎TTP ‎и‏ ‎IOC, ‎которые‏ ‎помогут ‎сетевым‏ ‎защитникам‏ ‎идентифицировать ‎угрозу‏ ‎и ‎смягчить ‎ее ‎последствия.

📌 Рекомендация ‎также‏ ‎включает ‎информацию‏ ‎о‏ ‎том, ‎как ‎сопоставить‏ ‎вредоносную ‎киберактивность‏ ‎с ‎платформой ‎MITRE ‎ATT‏ ‎&‏ ‎CK ‎framework.

📌 Организации,‏ ‎использующие ‎Ubiquiti‏ ‎EdgeRouters, ‎должны ‎принять ‎немедленные ‎меры‏ ‎для‏ ‎защиты ‎своих‏ ‎устройств ‎от‏ ‎использования ‎APT28.

📌 Рекомендуемые ‎действия ‎включают ‎сброс‏ ‎оборудования‏ ‎к‏ ‎заводским ‎настройкам,‏ ‎обновление ‎до‏ ‎последней ‎версии‏ ‎прошивки,‏ ‎изменение ‎имен‏ ‎пользователей ‎и ‎паролей ‎по ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических‏ ‎правил ‎брандмауэра.

Читать: 3+ мин
logo Хроники кибер-безопасника

Последствия: последствия игнорирования безопасности маршрутизаторов SOHO

Последствия ‎атак‏ ‎на ‎маршрутизаторы

📌 Распространённые ‎уязвимости: Значительное ‎количество ‎уязвимостей,‏ ‎всего ‎около‏ ‎226‏ ‎в ‎совокупности ‎представляют‏ ‎существенную ‎угрозу‏ ‎безопасности.

📌 Устаревшие ‎компоненты: ‎Основные ‎компоненты,‏ ‎такие‏ ‎как ‎ядро‏ ‎Linux, ‎и‏ ‎дополнительные ‎службы, ‎такие ‎как ‎VPN,‏ ‎устарели,‏ ‎что ‎делает‏ ‎их ‎уязвимыми‏ ‎для ‎известных ‎эксплойтов.

📌 Пароли ‎по ‎умолчанию‏ ‎и‏ ‎незашифрованные‏ ‎соединения: ‎Многие‏ ‎маршрутизаторы ‎поставляются‏ ‎с ‎легко‏ ‎угадываемыми‏ ‎паролями ‎по‏ ‎умолчанию ‎и ‎используют ‎незашифрованные ‎соединения,‏ ‎которыми ‎могут‏ ‎легко‏ ‎воспользоваться ‎злоумышленники.

📌 Скомпрометированные ‎устройства‏ ‎и ‎данные:‏ ‎После ‎взлома ‎маршрутизатора ‎все‏ ‎устройства,‏ ‎защищенные ‎его‏ ‎брандмауэром, ‎становятся‏ ‎уязвимыми, ‎позволяя ‎злоумышленникам ‎отслеживать, ‎перенаправлять,‏ ‎блокировать‏ ‎или ‎изменять‏ ‎данные.

📌 Риск ‎для‏ ‎критической ‎инфраструктуры: ‎скомпрометированные ‎маршрутизаторы ‎SOHO‏ ‎могут‏ ‎использоваться‏ ‎для ‎атаки‏ ‎на ‎критическую‏ ‎инфраструктуру ‎США,‏ ‎потенциально‏ ‎нарушая ‎работу‏ ‎основных ‎служб ‎в ‎секторах ‎связи,‏ ‎энергетики, ‎транспорта‏ ‎и‏ ‎водоснабжения.

📌 Отказ ‎в ‎обслуживании‏ ‎и ‎перехват‏ ‎трафика: Уязвимости ‎в ‎протоколах ‎могут‏ ‎приводить‏ ‎к ‎атакам‏ ‎типа ‎«отказ‏ ‎в ‎обслуживании» ‎против ‎служб ‎хоста‏ ‎и‏ ‎перехвату ‎как‏ ‎внутреннего, ‎так‏ ‎и ‎внешнего ‎трафика.

📌 Перехват ‎и ‎кибератаки: Злоумышленники‏ ‎могут‏ ‎перехватывать‏ ‎трафик ‎и‏ ‎запускать ‎дальнейшие‏ ‎сетевые ‎атаки,‏ ‎затрудняя‏ ‎пользователям ‎обнаружение‏ ‎взлома ‎из-за ‎минимальных ‎пользовательских ‎интерфейсов‏ ‎маршрутизатора.

📌 Отсутствие ‎методов‏ ‎обеспечения‏ ‎безопасности: ‎Исследования ‎показывают,‏ ‎что ‎многие‏ ‎пользователи, ‎включая ‎ИТ-специалистов, ‎не‏ ‎соблюдают‏ ‎базовые ‎методы‏ ‎обеспечения ‎безопасности,‏ ‎такие ‎как ‎смена ‎паролей ‎по‏ ‎умолчанию‏ ‎или ‎обновление‏ ‎встроенного ‎программного‏ ‎обеспечения, ‎что ‎делает ‎маршрутизаторы ‎уязвимыми‏ ‎для‏ ‎атак.

📌 Потенциал‏ ‎для ‎широкомасштабной‏ ‎эксплуатации: Само ‎количество‏ ‎уязвимых ‎устройств,‏ ‎исчисляемое‏ ‎миллионами, ‎указывает‏ ‎на ‎значительный ‎потенциал ‎для ‎широкомасштабной‏ ‎эксплуатации ‎злоумышленниками.

📌 Юридические‏ ‎и‏ ‎технические ‎проблемы: ‎Идентификация‏ ‎конкретных ‎уязвимых‏ ‎устройств ‎является ‎сложной ‎задачей‏ ‎из-за‏ ‎юридических ‎и‏ ‎технических ‎проблем,‏ ‎что ‎усложняет ‎процесс ‎устранения ‎этих‏ ‎уязвимостей.

📌 Повышенная‏ ‎осведомлённость, ‎но‏ ‎постоянные ‎риски:‏ ‎несмотря ‎на ‎растущую ‎осведомлённость ‎и‏ ‎усилия‏ ‎по‏ ‎повышению ‎безопасности‏ ‎маршрутизаторов ‎SOHO,‏ ‎многие ‎известные‏ ‎недостатки‏ ‎остаются ‎не‏ ‎устраненными, ‎а ‎продолжают ‎обнаруживаться ‎новые‏ ‎уязвимости

Последствия ‎для‏ ‎производителей

📌 Баланс‏ ‎между ‎безопасностью ‎и‏ ‎удобством ‎использования: Одной‏ ‎из ‎проблем ‎при ‎реализации‏ ‎принципов‏ ‎Secure ‎by‏ ‎Design ‎является‏ ‎поддержание ‎удобства ‎использования. ‎Меры ‎безопасности‏ ‎не‏ ‎должны ‎чрезмерно‏ ‎усложнять ‎работу‏ ‎пользователя.

📌 Финансовые ‎издержки: Разработка ‎безопасных ‎продуктов ‎может‏ ‎повлечь‏ ‎за‏ ‎собой ‎дополнительные‏ ‎расходы. ‎Однако‏ ‎долгосрочные ‎выгоды‏ ‎от‏ ‎снижения ‎риска‏ ‎взломов ‎и ‎атак ‎оправдывают ‎эти‏ ‎инвестиции.

📌 Непрерывное ‎развитие: Обеспечение‏ ‎безопасности‏ ‎— ‎это ‎не‏ ‎разовое ‎мероприятие,‏ ‎оно ‎требует ‎постоянного ‎внимания‏ ‎для‏ ‎адаптации ‎к‏ ‎новым ‎угрозам‏ ‎и ‎уязвимостям.

📌 Укрепление ‎доверия: Уделяя ‎приоритетное ‎внимание‏ ‎безопасности,‏ ‎производители ‎получают‏ ‎возможность ‎укреплять‏ ‎доверие ‎клиентов, ‎продукцию ‎на ‎конкурентном‏ ‎рынке.

📌 Глобальная‏ ‎цепочка‏ ‎поставок: Маршрутизаторы ‎SOHO‏ ‎часто ‎производятся‏ ‎как ‎часть‏ ‎сложной‏ ‎глобальной ‎цепочки‏ ‎поставок. ‎Обеспечение ‎безопасности ‎по ‎всей‏ ‎этой ‎цепочке,‏ ‎от‏ ‎производителей ‎компонентов ‎до‏ ‎окончательной ‎сборки,‏ ‎требует ‎координации ‎и ‎соблюдения‏ ‎передовых‏ ‎методов ‎обеспечения‏ ‎безопасности ‎на‏ ‎каждом ‎этапе.

Читать: 9+ мин
logo Хроники кибер-безопасника

Атакующие — лучшие друзья SOHO

📌 Эксплуатация ‎группами,‏ ‎спонсируемыми ‎государством: ‎Спонсируемая ‎Китайской ‎Народной‏ ‎Республикой ‎(КНР)‏ ‎Volt‏ ‎Typhoon ‎group ‎активно‏ ‎компрометирует ‎маршрутизаторы‏ ‎SOHO, ‎используя ‎проблемы ‎ПО,‏ ‎который‏ ‎затем ‎используются‏ ‎в ‎качестве‏ ‎стартовых ‎площадок ‎для ‎дальнейшей ‎компрометации‏ ‎критически‏ ‎важных ‎объектов‏ ‎инфраструктуры ‎США.

📌 Воздействие‏ ‎на ‎критически ‎важную ‎инфраструктуру: ‎Взломанные‏ ‎маршрутизаторы‏ ‎SOHO‏ ‎представляют ‎серьёзную‏ ‎угрозу, ‎поскольку‏ ‎они ‎могут‏ ‎использоваться‏ ‎для ‎распространения‏ ‎внутри ‎сетей ‎и ‎дальнейшего ‎подрыва‏ ‎критически ‎важных‏ ‎секторов‏ ‎инфраструктуры ‎в ‎США,‏ ‎включая ‎связь,‏ ‎энергетику, ‎транспорт ‎и ‎водоснабжение.

📌 ZuoRAT‏ ‎Campaign:‏ ‎Выявлена ‎ZuoRAT‏ ‎кампания ‎с‏ ‎использованием ‎заражённых ‎маршрутизаторов ‎SOHO, ‎где‏ ‎задействован‏ ‎троян, ‎предоставляющий‏ ‎удалённый ‎доступ‏ ‎и ‎позволяющий ‎сохранять ‎незаметное ‎присутствие‏ ‎в‏ ‎целевых‏ ‎сетях ‎и‏ ‎для ‎сбора‏ ‎конфиденциальную ‎информацию.

📌 Формирована‏ ‎ботнета:‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎могут ‎быть ‎задействованы ‎в ‎ботнетах,‏ ‎крупных ‎сетях‏ ‎заражённых‏ ‎устройств, ‎используемых ‎для‏ ‎запуска ‎распределённых‏ ‎атак ‎типа ‎«отказ ‎в‏ ‎обслуживании»‏ ‎(DDoS), ‎кампаний‏ ‎рассылки ‎спама‏ ‎и ‎других ‎вредоносных ‎действий.

📌 Атаки ‎типа‏ ‎«MITM»: использование‏ ‎уязвимости ‎в‏ ‎маршрутизаторах ‎для‏ ‎перехвата ‎данных, ‎проходящих ‎по ‎сети,‏ ‎и‏ ‎манипулирования‏ ‎ими, ‎что‏ ‎приводит ‎к‏ ‎утечке ‎данных,‏ ‎краже‏ ‎личных ‎данных‏ ‎и ‎шпионажу.

TTPs

📌 Вредоносное ‎ПО ‎KV ‎Botnet:‏ ‎Volt ‎Typhoon‏ ‎внедрили‏ ‎вредоносное ‎ПО ‎KV‏ ‎Botnet ‎в‏ ‎устаревшие ‎маршрутизаторы ‎Cisco ‎и‏ ‎NETGEAR‏ ‎SOHO, ‎которые‏ ‎больше ‎не‏ ‎поддерживаются ‎исправлениями ‎безопасности ‎или ‎обновлениями‏ ‎ПО.

📌 Сокрытие‏ ‎источника: ‎совершая‏ ‎действия ‎через‏ ‎маршрутизаторы ‎SOHO, ‎возможно ‎скрывать ‎происхождение‏ ‎действий‏ ‎из‏ ‎КНР, ‎что‏ ‎усложняет ‎обнаружение‏ ‎и ‎атрибуцию‏ ‎атак.

📌 Нацеливание‏ ‎на ‎электронные‏ ‎письма: замечено, ‎что ‎Volt ‎Typhoon ‎нацеливались‏ ‎на ‎электронные‏ ‎письма‏ ‎ключевых ‎сетевых ‎и‏ ‎ИТ-сотрудников, ‎чтобы‏ ‎получить ‎первоначальный ‎доступ ‎к‏ ‎сетям.

📌 Использование‏ ‎мульти ‎прокси-серверов:‏ ‎для ‎C2-инфраструктуры‏ ‎участники ‎используют ‎multi-hop ‎прокси-серверы, ‎обычно‏ ‎состоящие‏ ‎из ‎VPS‏ ‎или ‎маршрутизаторов‏ ‎SOHO.

📌 Методы ‎LOTL: ‎вместо ‎того, ‎чтобы‏ ‎полагаться‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎для ‎выполнения‏ ‎после ‎компрометации,‏ ‎Volt‏ ‎Typhoon ‎использовали‏ ‎встроенные ‎инструменты ‎и ‎процессы ‎в‏ ‎системах, ‎стратегию,‏ ‎известную‏ ‎как ‎LOTL, ‎для‏ ‎закрепления ‎и‏ ‎расширения ‎доступа ‎к ‎сетям‏ ‎жертв.

Воздействие‏ ‎и ‎ответные‏ ‎меры

📌 Нарушение ‎работы‏ ‎критически ‎важной ‎инфраструктуры: ‎Эксплуатация ‎маршрутизаторов‏ ‎представляет‏ ‎значительную ‎угрозу,‏ ‎поскольку ‎потенциально‏ ‎может ‎нарушить ‎работу ‎основных ‎служб,‏ ‎предоставляемых‏ ‎секторами‏ ‎критически ‎важной‏ ‎инфраструктуры.

📌 Федеральный ‎ответ: ФБР‏ ‎и ‎Министерство‏ ‎юстиции‏ ‎провели ‎операции‏ ‎по ‎нарушению ‎работы ‎ботнета ‎KV‏ ‎путем ‎удаленного‏ ‎удаления‏ ‎вредоносного ‎ПО ‎с‏ ‎заражённых ‎маршрутизаторов‏ ‎и ‎принятия ‎мер ‎по‏ ‎разрыву‏ ‎их ‎соединения‏ ‎с ‎ботнетом.

📌 Компромиссный‏ ‎ответ: ‎Volt ‎Typhoon ‎продемонстрировал ‎сложность‏ ‎защиты‏ ‎от ‎госкампаний‏ ‎кибершпионажа ‎и‏ ‎решающую ‎роль ‎сотрудничества ‎между ‎правительством,‏ ‎частным‏ ‎сектором‏ ‎и ‎международными‏ ‎партнёрами. ‎Подчёркивалась‏ ‎необходимость ‎комплексных‏ ‎стратегий‏ ‎кибербезопасности, ‎которые‏ ‎включают ‎защиту ‎устройств, ‎обмен ‎информацией‏ ‎об ‎угрозах‏ ‎и‏ ‎информирование ‎общественности. ‎Поскольку‏ ‎киберугрозы ‎продолжают‏ ‎развиваться, ‎необходимы ‎и ‎коллективные‏ ‎усилия‏ ‎по ‎защите‏ ‎критически ‎важной‏ ‎инфраструктуры ‎и ‎поддержанию ‎целостности ‎глобальных‏ ‎сетей.

📌 Государственно-частное‏ ‎партнёрство: Компромиссные ‎меры‏ ‎в ‎ответ‏ ‎на ‎Volt ‎Typhoon ‎предполагали ‎тесное‏ ‎сотрудничество‏ ‎между‏ ‎правительственными ‎учреждениями,‏ ‎включая ‎ФБР‏ ‎и ‎CISA,‏ ‎и‏ ‎организациями ‎частного‏ ‎сектора. ‎Это ‎партнёрство ‎способствовало ‎обмену‏ ‎информацией ‎об‏ ‎угрозах,‏ ‎техническими ‎индикаторами ‎компрометации‏ ‎(IoC) ‎и‏ ‎передовыми ‎практиками ‎по ‎смягчению‏ ‎последствий.

📌 Анализ‏ ‎прошивки ‎и‏ ‎исправление: ‎Производители‏ ‎затронутых ‎маршрутизаторов ‎SOHO ‎были ‎предупреждены‏ ‎об‏ ‎уязвимостях, ‎используемых‏ ‎участниками ‎Volt‏ ‎Typhoon. ‎Были ‎предприняты ‎усилия ‎по‏ ‎анализу‏ ‎вредоносного‏ ‎ПО, ‎пониманию‏ ‎методов ‎эксплуатации‏ ‎и ‎разработке‏ ‎исправлений‏ ‎для ‎устранения‏ ‎уязвимостей.

📌 Меры ‎по ‎смягчению ‎последствий: ‎ФБР‏ ‎уведомляет ‎владельцев‏ ‎или‏ ‎операторов ‎маршрутизаторов ‎SOHO,‏ ‎доступ ‎к‏ ‎которым ‎был ‎получен ‎во‏ ‎время‏ ‎операции ‎«по‏ ‎демонтажу». ‎Меры‏ ‎по ‎смягчению ‎последствий, ‎санкционированные ‎судом,‏ ‎носят‏ ‎временный ‎характер,‏ ‎и ‎перезапуск‏ ‎маршрутизатора ‎без ‎надлежащего ‎смягчения ‎последствий‏ ‎сделает‏ ‎устройство‏ ‎уязвимым ‎для‏ ‎повторного ‎заражения.

Общественный‏ ‎и ‎потребительский‏ ‎спрос‏ ‎на ‎безопасность

В‏ ‎современную ‎цифровую ‎эпоху ‎безопасность ‎сетевых‏ ‎устройств ‎стала‏ ‎первостепенной‏ ‎заботой ‎как ‎для‏ ‎населения, ‎так‏ ‎и ‎для ‎бизнеса. ‎Такая‏ ‎повышенная‏ ‎осведомлённость ‎обусловлена‏ ‎растущим ‎числом‏ ‎громких ‎кибератак ‎и ‎утечек ‎данных,‏ ‎которые‏ ‎подчеркнули ‎уязвимости,‏ ‎присущие ‎подключённым‏ ‎устройствам. ‎В ‎результате ‎растёт ‎спрос‏ ‎со‏ ‎стороны‏ ‎потребителей ‎и‏ ‎общественности ‎на‏ ‎то, ‎чтобы‏ ‎производители‏ ‎уделяли ‎приоритетное‏ ‎внимание ‎безопасности ‎в ‎своих ‎продуктах.

Факторы,‏ ‎определяющие ‎спрос

📌 Повышение‏ ‎осведомлённости‏ ‎о ‎киберугрозах: ‎Широкая‏ ‎общественность ‎и‏ ‎предприятия ‎становятся ‎все ‎более‏ ‎осведомлёнными‏ ‎о ‎рисках,‏ ‎связанных ‎с‏ ‎киберугрозами, ‎включая ‎потенциальные ‎финансовые ‎потери,‏ ‎нарушения‏ ‎конфиденциальности ‎и‏ ‎сбои ‎в‏ ‎работе ‎сервисов.

📌 Давление ‎со ‎стороны ‎регулирующих‏ ‎органов:‏ ‎Правительства‏ ‎и ‎регулирующие‏ ‎органы ‎по‏ ‎всему ‎миру‏ ‎внедряют‏ ‎более ‎строгие‏ ‎правила ‎и ‎стандарты ‎кибербезопасности, ‎вынуждая‏ ‎производителей ‎улучшать‏ ‎функции‏ ‎безопасности ‎своих ‎продуктов.

📌 Экономические‏ ‎последствия ‎кибератак: Экономические‏ ‎последствия ‎кибератак, ‎включая ‎стоимость‏ ‎восстановления‏ ‎и ‎влияние‏ ‎на ‎репутацию‏ ‎бренда, ‎сделали ‎безопасность ‎критически ‎важным‏ ‎фактором‏ ‎для ‎покупателей‏ ‎при ‎выборе‏ ‎продуктов.

📌 Взаимосвязанность ‎устройств: Распространение ‎устройств ‎Интернета ‎вещей‏ ‎и‏ ‎взаимосвязанность‏ ‎цифровых ‎экосистем‏ ‎усилили ‎потенциальное‏ ‎воздействие ‎взломанных‏ ‎устройств,‏ ‎сделав ‎безопасность‏ ‎приоритетом ‎для ‎обеспечения ‎целостности ‎личных‏ ‎и ‎корпоративных‏ ‎данных.

Ожидания‏ ‎клиентов

📌 Встроенные ‎функции ‎безопасности:‏ ‎теперь ‎клиенты‏ ‎ожидают, ‎что ‎устройства ‎будут‏ ‎поставляться‏ ‎с ‎надёжными‏ ‎встроенными ‎функциями‏ ‎безопасности, ‎которые ‎защищают ‎от ‎широкого‏ ‎спектра‏ ‎угроз, ‎не‏ ‎требуя ‎обширных‏ ‎технических ‎знаний ‎для ‎настройки.

📌 Регулярные ‎обновления‏ ‎системы‏ ‎безопасности:‏ ‎ожидается, ‎что‏ ‎производители ‎будут‏ ‎предоставлять ‎регулярные‏ ‎и‏ ‎своевременные ‎обновления‏ ‎системы ‎безопасности ‎для ‎устранения ‎новых‏ ‎уязвимостей ‎по‏ ‎мере‏ ‎их ‎обнаружения.

📌 Прозрачность: ‎Клиенты‏ ‎требуют ‎от‏ ‎производителей ‎прозрачности ‎в ‎отношении‏ ‎безопасности‏ ‎их ‎продуктов,‏ ‎включая ‎чёткую‏ ‎информацию ‎об ‎известных ‎уязвимостях ‎и‏ ‎шагах,‏ ‎предпринимаемых ‎для‏ ‎их ‎устранения.

📌 Простота‏ ‎использования: ‎Клиенты, ‎требующие ‎высокого ‎уровня‏ ‎безопасности,‏ ‎также‏ ‎ожидают, ‎что‏ ‎эти ‎функции‏ ‎будут ‎удобными‏ ‎для‏ ‎пользователя ‎и‏ ‎не ‎повлияют ‎на ‎функциональность ‎или‏ ‎производительность ‎устройства.

Ответственность‏ ‎производителей‏ ‎(Security ‎by ‎design)

📌 Автоматические‏ ‎обновления: ‎Реализация‏ ‎механизмов ‎автоматического ‎обновления ‎встроенного‏ ‎программного‏ ‎обеспечения ‎для‏ ‎обеспечения ‎того,‏ ‎чтобы ‎на ‎маршрутизаторах ‎всегда ‎работала‏ ‎последняя‏ ‎версия ‎с‏ ‎самыми ‎последними‏ ‎исправлениями ‎безопасности. ‎Это ‎снижает ‎зависимость‏ ‎от‏ ‎ручного‏ ‎обновления ‎устройств.

📌 Цифровая‏ ‎подпись: Обеспечение ‎цифровой‏ ‎подписи ‎обновлений‏ ‎для‏ ‎проверки ‎их‏ ‎подлинности ‎и ‎целостности. ‎Это ‎предотвращает‏ ‎установку ‎вредоносных‏ ‎обновлений‏ ‎встроенного ‎ПО, ‎которые‏ ‎могут ‎скомпрометировать‏ ‎маршрутизатор.

📌 Безопасный ‎веб-интерфейс ‎управления: Размещение ‎веб-интерфейса‏ ‎управления‏ ‎на ‎портах‏ ‎локальной ‎сети‏ ‎и ‎повышение ‎его ‎безопасности ‎для‏ ‎обеспечения‏ ‎безопасного ‎использования‏ ‎при ‎доступе‏ ‎через ‎Интернет. ‎Это ‎включает ‎в‏ ‎себя‏ ‎внедрение‏ ‎надёжных ‎механизмов‏ ‎аутентификации ‎и‏ ‎шифрования.

📌 Контроль ‎доступа: Ограничение‏ ‎доступа‏ ‎к ‎веб-интерфейсу‏ ‎управления ‎маршрутизатором ‎со ‎стороны ‎локальной‏ ‎сети ‎по‏ ‎умолчанию‏ ‎и ‎предоставление ‎опций‏ ‎для ‎безопасного‏ ‎включения ‎удалённого ‎управления ‎при‏ ‎необходимости.

📌 Надёжные‏ ‎пароли ‎по‏ ‎умолчанию: ‎Поставка‏ ‎маршрутизаторов ‎с ‎надёжными ‎уникальными ‎паролями‏ ‎по‏ ‎умолчанию ‎для‏ ‎предотвращения ‎несанкционированного‏ ‎доступа. ‎Рекомендуется ‎пользователям ‎менять ‎эти‏ ‎пароли‏ ‎во‏ ‎время ‎первоначальной‏ ‎настройки.

📌 Шифрование: ‎Использование‏ ‎шифрования ‎для‏ ‎веб-интерфейса‏ ‎управления ‎для‏ ‎защиты ‎связи ‎между ‎маршрутизатором ‎и‏ ‎пользователем.

📌 Аутентификация: ‎Реализация‏ ‎механизмов‏ ‎надёжной ‎аутентификации, ‎включая‏ ‎возможность ‎многофакторной‏ ‎аутентификации, ‎для ‎обеспечения ‎доступа‏ ‎к‏ ‎интерфейсу ‎управления‏ ‎маршрутизатором

📌 Безопасные ‎настройки‏ ‎по ‎умолчанию: ‎маршрутизаторы ‎по ‎умолчанию‏ ‎поставляются‏ ‎с ‎безопасными‏ ‎конфигурациями, ‎такими‏ ‎как ‎надёжные ‎уникальные ‎пароли, ‎и‏ ‎отключены‏ ‎ненужные‏ ‎службы. ‎Пользователей‏ ‎следует ‎предостеречь‏ ‎от ‎небезопасных‏ ‎конфигураций,‏ ‎если ‎они‏ ‎решат ‎переопределить ‎значения ‎по ‎умолчанию.

📌 Раскрытие‏ ‎уязвимостей ‎и‏ ‎исправление: Разработка‏ ‎четкой, ‎ответственной ‎политики‏ ‎раскрытия ‎уязвимостей‏ ‎и ‎своевременное ‎предоставление ‎исправлений.‏ ‎Это‏ ‎включает ‎в‏ ‎себя ‎участие‏ ‎в ‎программе ‎CVE ‎по ‎отслеживанию‏ ‎и‏ ‎раскрытию ‎уязвимостей.

📌 Поддержка‏ ‎по ‎окончании‏ ‎срока ‎службы: ‎Решающее ‎значение ‎имеет‏ ‎чёткое‏ ‎информирование‏ ‎о ‎политике‏ ‎по ‎окончании‏ ‎срока ‎службы‏ ‎(EOL)‏ ‎для ‎продуктов‏ ‎и ‎предоставление ‎поддержки ‎и ‎обновлений‏ ‎на ‎протяжении‏ ‎всего‏ ‎жизненного ‎цикла ‎продукта.‏ ‎Для ‎устройств,‏ ‎которые ‎больше ‎не ‎поддерживаются,‏ ‎производителям‏ ‎следует ‎предоставить‏ ‎рекомендации ‎по‏ ‎безопасной ‎утилизации ‎или ‎замене.


Читать: 2+ мин
logo Хроники кибер-безопасника

Кто попал: пострадавшие от роутеров SOHO отрасли

Эксплуатация ‎небезопасных‏ ‎маршрутизаторов ‎SOHO ‎представляет ‎серьёзную ‎угрозу‏ ‎во ‎многих‏ ‎секторах,‏ ‎что ‎подчёркивает ‎необходимость‏ ‎улучшения ‎методов‏ ‎обеспечения ‎безопасности.

Коммуникации

📌 Утечки ‎данных ‎и‏ ‎перехват‏ ‎данных: небезопасные ‎маршрутизаторы‏ ‎могут ‎привести‏ ‎к ‎несанкционированному ‎доступу ‎к ‎сетевому‏ ‎трафику,‏ ‎позволяя ‎злоумышленникам‏ ‎перехватывать ‎конфиденциальные‏ ‎сообщения.

📌 Нарушение ‎работы ‎служб: скомпрометированные ‎маршрутизаторы ‎могут‏ ‎использоваться‏ ‎для‏ ‎запуска ‎распределённых‏ ‎атак ‎типа‏ ‎«Отказ ‎в‏ ‎обслуживании»‏ ‎(DDoS), ‎нарушающих‏ ‎работу ‎служб ‎связи.

Транспорт ‎и ‎Логистика

📌 Уязвимость‏ ‎инфраструктуры: транспортный ‎сектор‏ ‎в‏ ‎значительной ‎степени ‎полагается‏ ‎на ‎сетевые‏ ‎системы ‎для ‎выполнения ‎операций.‏ ‎Скомпрометированные‏ ‎маршрутизаторы ‎могут‏ ‎позволить ‎злоумышленникам‏ ‎нарушить ‎работу ‎систем ‎управления ‎трафиком‏ ‎и‏ ‎логистических ‎операций.

Водоснабжение

📌 Операционные‏ ‎технологии ‎(ОТ): небезопасные‏ ‎маршрутизаторы ‎предоставляют ‎злоумышленникам ‎шлюз ‎для‏ ‎атак‏ ‎на‏ ‎системы ‎ОТ‏ ‎в ‎секторе‏ ‎водоснабжения, ‎что‏ ‎потенциально‏ ‎влияет ‎на‏ ‎системы ‎очистки ‎и ‎распределения ‎воды.

Энергетика

📌 Сетевая‏ ‎безопасность: Энергетический ‎сектор,‏ ‎особенно‏ ‎предприятия ‎электроэнергетики, ‎подвержены‏ ‎риску ‎целенаправленных‏ ‎атак ‎через ‎небезопасные ‎маршрутизаторы.‏ ‎Злоумышленники‏ ‎могли ‎получить‏ ‎доступ ‎к‏ ‎системам ‎управления, ‎создавая ‎угрозу ‎стабильности‏ ‎электросети.

Другие‏ ‎отрасли

📌 Здравоохранение: Небезопасные ‎маршрутизаторы‏ ‎могут ‎скомпрометировать‏ ‎данные ‎пациентов ‎и ‎нарушить ‎работу‏ ‎медицинских‏ ‎служб,‏ ‎предоставляя ‎злоумышленникам‏ ‎доступ ‎к‏ ‎сетям ‎здравоохранения.

📌 Розничная‏ ‎торговля‏ ‎и ‎гостиничный‏ ‎бизнес: Эти ‎сектора ‎уязвимы ‎для ‎утечки‏ ‎данных, ‎связанных‏ ‎с‏ ‎информацией ‎о ‎клиентах‏ ‎и ‎финансовыми‏ ‎транзакциями, ‎из-за ‎небезопасных ‎сетевых‏ ‎устройств.

📌 Промышленность: Промышленные‏ ‎системы ‎управления‏ ‎могут ‎быть‏ ‎взломаны ‎через ‎небезопасные ‎маршрутизаторы, ‎что‏ ‎влияет‏ ‎на ‎производственные‏ ‎линии ‎и‏ ‎производственные ‎процессы.

📌 Образование: Школы ‎и ‎университеты ‎подвержены‏ ‎риску‏ ‎утечки‏ ‎данных ‎и‏ ‎сбоев ‎в‏ ‎предоставлении ‎образовательных‏ ‎услуг.

📌 Государственный‏ ‎и ‎общественный‏ ‎сектор: небезопасные ‎маршрутизаторы ‎могут ‎привести ‎к‏ ‎несанкционированному ‎доступу‏ ‎к‏ ‎правительственным ‎сетям, ‎подвергая‏ ‎риску ‎конфиденциальную‏ ‎информацию ‎и ‎критически ‎важные‏ ‎услуги

Показать еще

Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Пн
Вт
Ср
Чт
Пт
Сб
Вс
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048