-
Похожий контент
-
От ГНФ
Здоровья всем, заглянувшим в тему.
У моего товарища, как и у меня, на ПК установлен KAV-19, с отменённым обновлением программных модулей, и он не собирается менять его на другие приложения Касперского. Это приложение нравится ему и мне тем, что в рём можно настроить его работу так, как нам нужно, а не так, как навязывают своим пользователям, разработчики программы в своих новых версиях приложений антивируса.
Но сейчас, для таких, как мы с другом любителей всего старого и надёжного, наступили чёрные времена. Разработчики отменили продление лицензии по коду активации, предлагая продлить закончившуюся подписку, купив лицензию для новых приложений. Ближайшим по функциональности к KAV приложением оказался Kaspersky Standard. Я успел приобрести подписку на это приложение до того, как закончилась моя подписка на KAV, а так как мой компьютер был прописан в моём аккаунте на My Kaspersky, то по окончании старой подписки по коду активации, он был автоматически подключён к новой подписке для Kaspersky Standard. С этой подпиской мой KAV-19 прекрасно работает, как до этого проработал 5 лет. Базы обновляются, сетевые атаки и загрузка несанкционированного мною контента пресекаются.
У товарища же, ситуация другая, он прозевал окончание старой подписки, и теперь, для продления подписки (при уже купленной подписке на Kaspersky Standard), ему предлагается установить вместо KAV, это новое приложение, а в его приложении KAV (значок в трее - красный), висит сообщение: "Срок действия лицензии истёк" и активна кнопка: "Купить". В новой подписке на странице его аккаунта, красным написано: "Не используется", а подключённых устройств нет. При попытке подключить устройство, предлагается ссылка для скачивания и установки Kaspersky Standard.
Я решил попробовать обмануть программу и оформил на ПК временную подписку. Попытка была успешной, и теперь у него в аккаунте висят две подписки - одна пробная, на 30 дней (Активна), у которой в устройствах указан ПК друга, с зелёным экраном и всеми настройками приложения KAV-19, а ниже - подписка на Kaspersky Standard (Активна), в которой нет подключённых устройств и предлагается подключить устройство.
У меня к сообществу вопрос - перейдёт ли новая подписка на ПК друга автоматически, после окончания действия пробной подписки, как это произошло у меня, или придётся искать другие пути, для того, чтобы сохранить на ПК друга KAV-19?
-
От KL FC Bot
Специалисты по информационной безопасности знают, что киберкриминал просто обожает праздники. Доверчивых людей ожидают мошеннические распродажи, а также фишинг под видом подарков и поздравлений, а для организаций испорченный праздник выглядит, как DDoS-атака на онлайн-сервисы компании (Xbox и Playstation не дадут соврать) или, что того хуже, проникновение хакеров в сеть (привет, BBC). Рождество дает две дополнительные возможности для атаки на сеть. Во-первых, люди расслаблены перед праздником, а следовательно — менее готовы к серьезному инциденту. Во-вторых, из-за многочисленных отпусков некому реагировать на атаку. Значит, противодействие злоумышленникам будет более слабым и менее оперативным. Чтобы минимизировать шансы атакующих, можно заранее принять несколько простых, но достаточно эффективных мер. Разумеется, они не дадут полной гарантии безопасности, но сильно снизят возможности хакеров.
Разлогиньтесь
Как показал 2022-й, мир криминала стал еще более специализированным и разделенным на ниши. Злоумышленники продают первоначальный доступ в сеть организации как услугу, и один из самых распространенных товаров тут — легитимные логины и пароли действующих сотрудников, заранее украденные при помощи вредоносного ПО или фишинга. Усложнить подобную атаку можно с помощью дорогостоящей системы многофакторной аутентификации и внедрения элементов стратегии Zero Trust, но неделя перед Рождеством — точно не то время, когда вы хотите вносить радикальные изменения в систему безопасности.
Однако есть несколько относительно простых рецептов.
Проверьте, что в списке сотрудников, имеющих доступ через VPN или RDP, нет посторонних лиц, ненужных технических аккаунтов и уволенных коллег. Отзовите доступы у тех, кому они не нужны. Смените пароли администраторских аккаунтов и убедитесь, что все дежурные админы точно получили новый пароль. Если у кого-то из них не включена многофакторная аутентификация — самое время ее включить. Более радикальная версия предыдущего совета: создайте специальные «аварийные» админские учетные записи для возможной реакции на инциденты в период праздников. В этом случае штатные аккаунты администраторов можно даже временно понизить в правах, чтобы ими не могли воспользоваться атакующие. Деактивируйте ненужные сессии, которые сотрудники оставили на каких-либо устройствах на длительное время. Это касается в том числе корпоративного мессенджера, веб-приложений и любых других сервисов. Оборвите ненужные VPN-соединения.
View the full article
-
От Александр4321
KAV Endpoint Security примерно каждые 20 минут создает в папке c:\windows\temp папку с названием вроде "CEA8337C74B14948939ADB5A1E7D097A". В ней вложенные папки clr\all\, в которых ини файлы, соответствующие названию популярных антивирусов.
Сообщения из логов системы, которые совпадают со временем создания файлов:
Cобытие 1042, MsiInstaller : Окончание транзакции установщика Windows: C:\ProgramData\Kaspersky Lab\KES\Patches\kes11\kes11_8\aes56\ru\kes_win.msi. ИД клиентского процесса: 8048.
Cобытие 1033, MsiInstaller : Установщик Windows выполнил установку продукта. Продукт: Kaspersky Endpoint Security для Windows. Версия: 11.8.0.384. Язык: 1049. Изготовитель: АО "Лаборатория Касперского". Установка завершена с состоянием: 1603.
Cобытие 11708, MsiInstaller : Программа: Kaspersky Endpoint Security для Windows -- Установка программы завершена с ошибкой.
Вопрос: как корректно обновить антивирус и как заставить его убирать за собой?
-
От KL FC Bot
Устройства на границе Интернета и внутренней сети компании, особенно ответственные за безопасность и управление сетевым трафиком, зачастую становятся приоритетной целью атакующих. Они не вызывают подозрений, отправляя большие объемы трафика вовне, но в то же время имеют доступ к ресурсам организации и значительной части внутреннего трафика. Немаловажен и тот факт, что логи сетевой активности нередко генерируются и хранятся прямо на этих устройствах, так что, скомпрометировав роутер, можно легко удалить из них следы вредоносной активности.
Именно поэтому компрометация роутеров стала «коронным номером» самых сложных киберугроз, таких как Slingshot, APT28 и Camaro Dragon. Но сегодня эта тактика доступна и атакующим попроще, особенно если в организации используются устаревшие, неофициально поддерживаемые или полубытовые модели маршрутизаторов.
Для атаки на маршрутизаторы и межсетевые экраны, как правило, используются уязвимости, благо они обнаруживаются с завидной регулярностью. Иногда эти уязвимости настолько серьезны и при этом настолько удобны атакующим, что некоторые эксперты ставят вопрос о намеренном внедрении бэкдоров в прошивку устройств. Однако даже при закрытых уязвимостях некоторые ошибки конфигурации и просто неустранимые особенности старых моделей роутеров могут привести к их заражению. Подробный анализ такой продвинутой атаки недавно опубликовали американские и японские агентства по кибербезопасности, сфокусировавшись на активностях группировки BlackTech (она же T-APT-03, Circuit Panda и Palmerworm). В анализе есть описание их TTP внутри зараженной сети, но мы сосредоточимся на самом интересном аспекте этого отчета — вредоносных прошивках.
Атака Black Tech на слабое звено в системе защиты компании
Атакующие начинают атаку на компанию с проникновения в один из региональных филиалов крупной компании-жертвы. Для этого используются классические тактики, от фишинга до эксплуатации уязвимостей, но атака на роутер еще не происходит. Преступники пользуются тем, что в филиалах часто используется более простая техника и хуже соблюдаются политики IT и ИБ.
Затем BlackTech расширяет присутствие в сети филиала и получает административные реквизиты доступа к роутеру или межсетевому экрану. С их помощью пограничное устройство обновляют вредоносной прошивкой и используют его статус доверенного для разворачивания атаки уже на штаб-квартиру.
Посмотреть статью полностью
-
От KL FC Bot
Ошибки в настройке IT-инфраструктуры регулярно встречаются в крупных организациях с большими и компетентными отделами IT и ИБ. Доказательство тому — еженедельно появляющиеся новости о взломах больших и солидных компаний, а также результаты аудитов безопасности, которые, правда, редко публикуются. Но проблема достаточно масштабна — это признают, в частности, американские регуляторы, такие как CISA и АНБ. В своем новом документе с рекомендациями, подготовленном «красной» и «синей» командами после множества аудитов и реагирования на инциденты, они отмечают, что «ошибки в конфигурации иллюстрируют системные слабости в крупных организациях, включая компании со зрелой ИБ». При этом в документе утверждается, что «команды сетевой безопасности при достаточном финансировании, подготовке и штатной численности могут нейтрализовать или смягчить эти слабости». Давайте посмотрим, какие ошибки коллеги считают наиболее опасными.
1. Конфигурация приложений по умолчанию
Любое устройство или приложение, будь то принтер, почтовый или файл-сервер, система конференц-связи, часто имеют механизм входа с использованием дефолтных реквизитов доступа, которые забывают отключать. Настройки этих устройств по умолчанию обычно мягкие, не очень безопасные, но их никто не меняет. Типичный пример — принтер, имеющий привилегированный сетевой доступ для удобства печати, а также веб-панель управления со стандартными реквизитами входа. Часто встречаются Windows-серверы, на которых не отключили старые версии SMB или других ретропротоколов. Весьма опасны стандартные настройки и шаблоны Active Directory Certificate Services, позволяющие выдать непривилегированному юзеру серверный сертификат, поднять права до администраторских или авторизоваться, получив Kerberos TGT.
Рекомендованные меры защиты:
Обязательная процедура служб IT перед началом эксплуатации IT-системы: отключить стандартные аккаунты (admin, guest и тому подобные) или как минимум сменить на них пароли. Сделать обязательным использование стойких паролей — минимум 15 случайных символов. Установить на устройстве или сервисе безопасные настройки, руководствуясь инструкциями производителя по улучшению стойкости (hardening), а также релевантными общими руководствами, например DISA STIG. Внедрить безопасную конфигурацию ADCS: по возможности отключить присоединение через веб, отключить NTLM на серверах ADCS, отключить альтернативные имена (SAN) для UPN. Перепроверить стандартные разрешения в шаблонах ADCS, удалить из шаблонов флаг CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, забрать у низкопривилегированных пользователей свойства FullControl, WriteDacl и Write. Активировать подтверждение руководителем любых запрошенных сертификатов.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти