Как стать автором
Обновить

Компания Varonis Systems временно не ведёт блог на Хабре

Сначала показывать

Приключения неуловимой малвари, часть I

Время на прочтение 4 мин
Количество просмотров 16K


Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения ценного контента. Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа. Но хорошая новость состоит в том, что такое ПО все же существует. Например, UBA-системы, способные обнаружить вредоносную активность в файловых системах.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Комментарии 12

Использование PowerShell для повышения привилегий локальных учетных записей

Время на прочтение 4 мин
Количество просмотров 13K


Повышение привилегий — это использование злоумышленником текущих прав учетной записи для получения дополнительного, как правило, более высокого уровня доступа в системе. Несмотря на то что повышение привилегий может быть результатом эксплуатации уязвимостей нулевого дня, или работы первоклассных хакеров, проводящих целенаправленную атаку, или же грамотно замаскированной вредоносной программой, но все же чаще всего это происходит из-за неправильной настройки компьютера или учетной записи. Развивая атаку далее, злоумышленники используют ряд отдельных уязвимостей, что в совокупности может привести к катастрофической утечке данных.
Читать дальше →
Всего голосов 14: ↑9 и ↓5 +4
Комментарии 9

Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена

Время на прочтение 2 мин
Количество просмотров 6.4K
Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить.


Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 3

Qbot возвращается. Varonis представила подробный анализ банковского трояна Qbot

Время на прочтение 6 мин
Количество просмотров 4.6K
Исследовательская группа по безопасности Varonis обнаружила и исследовала
глобальную кибератаку, использующую новый штамм вредоносного программного
обеспечения Qbot. Кампания активно нацелена на американские корпорации, но поразила сети по всему миру — с жертвами по всей Европе, Азии, России и Южной Америке — с целью кражи конфиденциальной финансовой информации, включая учетные данные банковских счетов.

Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Комментарии 2

Отключение PowerShell и другие способы борьбы с Malware, Часть II

Время на прочтение 4 мин
Количество просмотров 4.8K
Эта статья является частью серии «Отключение PowerShell и другие способы борьбы с Malware».

Смотрите также:

Часть I
• Часть II
• Часть III

Список разрешенных приложений – это вам не шутки. Сперва, придется начать с чистого листа, а затем осторожно добавлять туда безопасные приложения, которые вы знаете и доверяете. Это то, с чего мы начали развивать идею политик ограниченного использования программ (SRP) в прошлой раз.

image
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Отключение PowerShell и прочие особенности борьбы с Malware. Часть I

Время на прочтение 5 мин
Количество просмотров 26K
Кажется не так давно это было, примерно в 2015 году, мы начали слышать о хакерах, не использовавших вредоносных программ внутри периметра атакуемой цели. А использовали они то, что было под рукой – это были различные инструменты, находившиеся на целевом сайте. Это оказалось идеальным способом, чтобы сделать свое «грязное дело» не поднимая лишнего «шума».

Этот подход в наше время набрал обороты и стал мейнстримом, в первую очередь из-за обилия готовых инструментариев хакеров, таких как PowerShell Empire.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Комментарии 12

Как легко начать писать на PowerShell или несложная автоматизация для управления Active Directory

Время на прочтение 6 мин
Количество просмотров 43K
image

Изучить основы PowerShell


Данная статья представляет собой текстовую версию урока из нашего бесплатного видеокурса PowerShell и Основы Active Directory (для получения полного доступа используйте секретное слово «blog»).

Данный видеокурс оказался необычайно популярным по всему миру и он проведет вас по всем ступеням для создания полного набора инструментов по управлению службой каталогов Active Directory начиная с самых азов.
Читать дальше →
Всего голосов 22: ↑14 и ↓8 +6
Комментарии 11

Определение аномалий с использованием анализа поведения пользователей

Время на прочтение 5 мин
Количество просмотров 6.3K
image

В течение последних 10 лет центры оперативного управления информационной безопасности (Security Operation Center, SOC) и аналитики оперировали такими понятиями как индикаторы компрометации (Indicators of Compromise, IoC), сигнатуры, пороговые (threshold-based) признаки проникновения или попыток проникновения в попытке угнаться за темпом постоянно меняющихся угроз. Это было проигрышное противостояние.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 1

Применение PowerShell для ИТ-безопасности. Часть V: оптимизация платформы безопасности с использованием скриптов

Время на прочтение 8 мин
Количество просмотров 4.1K
Несколько месяцев тому назад я приступил к решению одной задачи. Я решил доказать, что PowerShell может использоваться как инструмент контроля безопасности. Я закончил работу над своей публикацией, в которой описывается код PowerShell, позволяющий собирать события файловой системы, выполнять некоторые базовые функции анализа, а затем выводить результаты в графическом формате. Возможно, моя платформа безопасности с использованием скриптов (Security Scripting Platform; SSP) не является минимально жизнеспособным продуктом, но она, как мне кажется, полезна в качестве простого инструмента контроля для одиночного каталога файлов.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

PowerShell для ИТ-безопасности. Часть IV: платформа безопасности с использованием скриптов

Время на прочтение 7 мин
Количество просмотров 8.2K


В предыдущей заметке этой серии я предложил возможность объединения моих отдельных скриптов — один для обработки событий, другой для классификации — в одну систему. Не замахнуться ли на платформу безопасности на основе одного кода PowerShell?

Проработав некоторые детали, в основном относящиеся к зубодробительным событиям PowerShell, я смог заявить о своей победе и зарегистрировал патент на платформу безопасности на базе скриптов — SSP (Security Scripting Platform ).
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Применение PowerShell для ИТ-безопасности. Часть III: бюджетная классификация

Время на прочтение 7 мин
Количество просмотров 7.6K


Последний раз с помощью нескольких строк кода PowerShell я запустил совершенно новую категорию программного обеспечения — анализ доступа к файлам. Мои 15 минут славы почти закончились, но я смог отметить, что PowerShell предоставляет практические возможности для мониторинга событий доступа к файлам. В этой заметке я завершу работу над инструментом анализа доступа к файлам и перейду к классификации данных PowerShell.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 1

Эпидемия вируса-шантажиста Petya: что необходимо знать

Время на прочтение 6 мин
Количество просмотров 7.2K
Следом за массивными атаками WannaCry в прошлом месяце в настоящее время развивается крупный инцидент с программой-шантажистом, получившей название NotPetya. Утром исследователи предполагали, что эта программа является вариантом вируса-шантажиста Petya, но Kaspersky Labs и другие компании сообщили, что несмотря на их схожесть, на самом деле это #NotPetya. Независимо от его имени, вот что следует знать.

Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.
Читать дальше →
Всего голосов 16: ↑6 и ↓10 -4
Комментарии 6

Применение PowerShell для ИТ-безопасности. Часть II: анализ доступа к файлам

Время на прочтение 7 мин
Количество просмотров 11K
При работе над этой серией статей я почти поверил, что с PowerShell у нас появилась технология, которая непонятным образом попала к нам из будущего. Помните сериал «Звездный путь» — оригинальный, конечно же, — когда старший офицер звездолета «Энтерпрайз» Спок смотрел в свой визор, сканируя парсеки космоса? На самом деле Спок разглядывал результаты работы одобренного Звездным флотом скрипта PowerShell.

Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 1

Применение PowerShell для ИТ-безопасности. Часть I: отслеживание событий

Время на прочтение 5 мин
Количество просмотров 17K


Во времена, когда я писал серию статей о тестах на проникновение, чтобы помочь человечеству в борьбе с хакерами, мне попалась информация о некоторых интересных командлетах и техниках PowerShell. Я сделал выдающееся открытие: PowerShell является самостоятельным средством защиты. Похоже, самое время начать новую серию публикаций о PowerShell.

В этих публикациях мы будем придерживаться мнения, что, хотя PowerShell не заменит специальные платформы безопасности (сотрудники Varonis могут вздохнуть с облегчением), это средство поможет ИТ-специалистам отслеживать угрозы и принимать другие меры для обеспечения безопасности. Кроме того, ИТ-отдел начнет ценить чудеса специализированных платформ безопасности, таких как наше решение Metadata Framework. PowerShell может выполнять интересные задачи по обеспечению безопасности в малых масштабах, но это средство не обладает характеристиками для работы со всей инфраструктурой.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 2

Исследование: предприятия больше внимания уделяют угрозам, а не защите данных

Время на прочтение 4 мин
Количество просмотров 2.2K
По данным нового исследования, предприятия, вкладывающие средства в специализированные продукты, больше внимания уделяют угрозам, а не собственным данным.

Опубликованное во вторник исследование показало, что предприятия больше внимания уделяют угрозам, а не защите своих данных.
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Комментарии 1

Как комментарии Трампа о защите информации могут отразиться на политике в области кибербезопасности

Время на прочтение 6 мин
Количество просмотров 2.7K
image

Накануне Нового года избранный президент Дональд Трамп сказал несколько слов о кибербезопасности. Как это бывает, его слова вызвали ажиотаж.

«Если вы хотите передать действительно важную информацию, запишите ее и доставьте по старинке — курьером. Вот что я вам скажу: безопасных компьютеров не существует, — заявил Трамп. — Неважно, что говорят другие».

Хотя многие высмеяли это заявление, вопрос хранения конфиденциальной информации офлайн стал особенно интересен после нашумевших взломов федерального Управления кадровой службы, Налогового управления США и Национального комитета Демократической партии. Следует ли правительству подумать о возвращении в дотехнологическую эпоху?
Читать дальше →
Всего голосов 10: ↑7 и ↓3 +4
Комментарии 2

Сообщения WhatsApp могут быть доступны посторонним: серьезная уязвимость позволяет получить доступ к вашей переписке

Время на прочтение 4 мин
Количество просмотров 11K
• Facebook заявляет, что никто, даже сама компания, не может получить доступ к сообщениям WhatsApp.

• Однако лазейка в системе безопасности позволяет Facebook читать переписку клиентов.

• Это становится возможным при принудительной генерации ключей шифрования WhatsApp для пользователей не в сети.

• Сообщение об уязвимости поступило в компанию Facebook в апреле прошлого года.

Благодаря сквозному шифрованию WhatsApp считается одной из самых безопасных служб обмена сообщениями.

При сквозном шифровании перехваченное сообщение невозможно прочитать.

Тем не менее в системе безопасности программы выявлена брешь, которая позволяет посторонним лицам и Facebook перехватывать и читать зашифрованные сообщения WhatsApp.

image
Читать дальше →
Всего голосов 17: ↑7 и ↓10 -3
Комментарии 2

Подробное руководство по настройке TTL для записей DNS

Время на прочтение 9 мин
Количество просмотров 100K
image

Система DNS — это фундаментальный технологический продукт. Обработка практически всех сетевых запросов верхнего уровня и поисковых запросов в Интернете, пересылка интернет-трафика и электронной почты, а также многие другие операции становятся возможными благодаря установке определенных соответствий при поиске DNS (преобразованию таких имен, как some.domain.org, в IP-адреса или имена других доменов).
Читать дальше →
Всего голосов 18: ↑16 и ↓2 +14
Комментарии 8

Модели угроз, основанные на анализе поведения пользователей

Время на прочтение 6 мин
Количество просмотров 2.6K
Всё больше исследователей, с чьим мнением мы согласны, говорят о том, что меры защиты, применямые на сетевом периметре (такие как, например, системы предотвращения утечек данных — DLP) неэффективны — не помогают превентивно закрыть канал утечки, до того как она произойдёт.

Причинами упомянутой неэффективности являются как требования непрерывности бизнеса (у Российских компаний также есть исторически сложившаяся психологическая привязка, связанная как с нежеланием выбора модели сопровождения внедрений до того момента, когда ложные срабатывания будут сведены практически к нулю, так и с отставанием в прошлые годы технических средств, разрабатываемых на просторах СНГ, от зарубежных технологических лидеров, не позволяющая включать механизмы предотвращения утечки, останавливаясь на их обнаружении*), так и то, что обнаружение утечки происходит, зачастую, либо когда она уже произошла, постфактум или вовсе никогда, что ещё более ухудшит данную статистику (а обнаружение атак стандартными средствами не происходит быстрее, чем в течение часа и более с момента получения значимого события), либо в тот момент, когда данные вот-вот покинут пределы сети компании — и нет никакой возможности распознать подготовку данных к отправке наружу (неважно по сети, на физическом носителе или же в галерее фотоснимков гаджета).
Читать дальше →
Всего голосов 9: ↑6 и ↓3 +3
Комментарии 1

Классификация данных. Мониторинг использования критически важной информации на файловых серверах

Время на прочтение 4 мин
Количество просмотров 4.8K
В современных организациях на файловых серверах скапливается огромное количество информации, создаваемой пользователями в своей работе. Необходимо понимать, что множество документов, которые могут находиться на файловом сервере, содержат в себе важную, часто конфиденциальную, информацию. И найти ее, а также понять, кто имеет доступ к ней, и кто этой информацией пользуется, не всегда бывает просто.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Комментарии 0