-
Похожий контент
-
От KL FC Bot
В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых злоумышленниками.
Как злоумышленники отключают или модифицируют локальный межсетевой экран
Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
netsh firewall add allowedprogram netsh firewall set opmode mode=disable netsh advfirewall set currentprofile state off netsh advfirewall set allprofiles state off
Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:
HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:
net stop mpssvc Как наше SIEM-решение выявляет T1562.004
Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений; отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe); изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows); отключения злоумышленником локального межсетевого экрана через реестр; манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.
View the full article
-
От KL FC Bot
На момент написания этого материала Павлу Дурову предъявлено обвинение во Франции, но он еще не предстал перед судом. Юридические перспективы дела очень неочевидны, но интересом и паникой вокруг Telegram уже пользуются жулики, а по соцсетям ходят сомнительные советы о том, что делать с приложением и перепиской в нем. Пользователям Telegram нужно сохранять спокойствие и действовать, основываясь на своей специфике использования мессенджера и доступной фактической информации. Вот что можно порекомендовать уже сегодня.
Конфиденциальность переписки и «ключи от Telegram»
Если очень коротко, то большую часть переписки в Telegram нельзя считать конфиденциальной, и так было всегда. Если вы вели в Telegram конфиденциальную переписку без использования секретных чатов, считайте ее давно скомпрометированной, а также переместите дальнейшие приватные коммуникации в другой мессенджер, например, следуя этим рекомендациям.
Многие новостные каналы предполагают, что основная претензия к Дурову и Telegram — отказ сотрудничать с властями Франции и предоставить им «ключи от Telegram». Якобы у Дурова есть какие-то криптографические ключи, без которых невозможно читать переписку пользователей, а при наличии этих ключей — станет возможно. На практике мало кто знает, как устроена серверная часть Telegram, но из доступной информации известно, что основная часть переписки хранится на серверах в минимально зашифрованном виде, то есть ключи для расшифровки хранятся в той же инфраструктуре Telegram. Создатели заявляют, что чаты хранятся в одной стране, а ключи их расшифровки — в другой, но насколько серьезно это препятствие на практике, учитывая, что все серверы постоянно коммуницируют друг с другом, — не очевидно. Эта мера поможет против конфискации серверов одной страной, но и только. Стандартное для других мессенджеров (WhatsApp, Signal, даже Viber) сквозное шифрование называется в Telegram «секретным чатом», его довольно трудно найти в глубинах интерфейса, и оно доступно только для ручной активации в индивидуальной переписке.
View the full article
-
От KL FC Bot
Число ежегодно обнаруживаемых уязвимостей в ПО неуклонно растет и уже приближается к круглой цифре 30 000. Но команде ИБ важно выявить именно те уязвимости, которыми злоумышленники реально пользуются. Изменения в топе «самых популярных» уязвимостей серьезно влияют на приоритеты установки обновлений или принятия компенсирующих мер. Поэтому мы регулярно отслеживаем эту динамику, и вот какие выводы можно сделать из отчета об эксплойтах и уязвимостях за I квартал 2024 года.
Растет критичность и доступность уязвимостей
Благодаря bug bounty и автоматизации, масштабы охоты за уязвимостями значительно выросли. Это приводит к тому, что уязвимости обнаруживаются чаще, а там, где исследователям удалось найти интересную поверхность атаки, следом за первой выявленной уязвимостью нередко обнаруживаются целые серии других, как мы это видели недавно с решениями Ivanti. 2023 год стал рекордным за 5 лет по числу найденных критических уязвимостей. Одновременно растет и доступность уязвимостей широкому кругу атакующих и защитников — для более чем 12% обнаруженных уязвимостей оперативно появился публично доступный код, демонстрирующий возможность эксплуатации (proof of concept, PoC). В первом квартале 2024 года доля критических уязвимостей также остается высокой.
Посмотреть статью полностью
-
От KL FC Bot
Спросите первого встречного о том, как защитить свою конфиденциальность в Интернете — и скорее всего, вы услышите про приватный режим браузера. Режим этот есть во всех популярных браузерах, хотя называется по-разному: в Chrome — Incognito, в Edge — InPrivate, в Firefox — Private Window/Tab, в Safari — Private Browsing. Все эти названия создают чувство защищенности, даже невидимости — кажется, что можно бродить по Интернету безопасно и анонимно. Увы, на практике этот режим далеко не «инкогнито», хотя все равно полезен, если понимать его особенности и дополнить защитой с антишпионскими функциями.
Как работает режим инкогнито
В приватном режиме браузер не сохраняет историю посещенных сайтов, не запоминает информацию, вводимую на сайтах в веб-формах, не сохраняет на диске компьютера графику и код посещаемых веб-страниц в браузерном кэше. Маленькие текстовые файлы куки (cookie), в которых сайты сохраняют настройки и предпочтения пользователя, хранятся до тех пор, пока открыто окно в режиме инкогнито, и удаляются при его закрытии. Таким образом, на компьютере пользователя не остается следов от посещения сайтов.
Но действия пользователя по-прежнему видны извне. За ними могут следить: посещаемые сайты, сам браузер пользователя и браузерные дополнения, провайдер пользователя, системный администратор в офисе или учебном заведении, а также разнообразные системы рекламы и аналитики — например, принадлежащие Google.
Некоторые браузеры — в частности, Firefox — в приватном режиме включают дополнительные меры защиты: отключение браузерных дополнений, блокировку известных сайтов аналитики, отслеживающих пользователей, и сторонних куки, установленных не тем сайтом, на который вы заходите. Все это, впрочем, тоже не дает полной «невидимости».
Посмотреть статью полностью
-
От KL FC Bot
Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса мониторинга и реагирования (MDR) и сервиса реагирования на инциденты (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях. Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
Эксплуатация публично доступных приложений
Техника ATT&CK: T1190, тактика ТА0001 (первоначальный доступ)
Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
Как защититься: отдавайте приоритет обновлению ПО на периметре сети, а также используйте дополнительные меры защиты для сервисов на периметре. Закрывайте порты управления от доступа извне. Регулярно сканируйте внешний периметр в поисках уязвимостей и просто приложений, внешний доступ к которым предоставлен случайно и должен быть отозван. Устанавливайте агенты EDR и средства защиты, в том числе на серверы приложений.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти