Как стать автором
Обновить
33
1.2
Jet CSIRT @CSIRT

Центр мониторинга и реагирования на инциденты ИБ

Отправить сообщение

Открываем темные врата. Разбор вредоносного ПО DarkGate

Уровень сложности Средний
Время на прочтение 9 мин
Количество просмотров 4.2K

0x0 Введение в предмет исследования

Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится выкручиваться как можем  находить решения и проводить настоящую исследовательскую работу. Так произошло и в нашем случае, когда коллеги из «Лаборатории Касперского» сообщили о возобновившем активность вредоносе DarkGate практически в тот же момент, когда мы проводили анализ семпла. Выяснилось, что существовавшие с 2017 года «Темные Врата» не просто оживили в 2023-м, но и оснастили дополнительным мощным инструментарием.

Изначально ничем не примечательный инцидент привел к исследованию, результатами которого мы решили поделиться с комьюнити.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 2

«Пароль неверный». Парольные менеджеры глазами хакера

Время на прочтение 11 мин
Количество просмотров 29K

Привет, Хабр! На проектах по пентестам нам часто удается получить доступ к корпоративному компьютеру «жертвы», а затем и добыть из него плохо защищенные пароли. К чему это приводит, все понимают. А как происходит такая компрометация — сегодня попробуем раскрыть.

Подробности под катом

Читать далее
Всего голосов 61: ↑61 и ↓0 +61
Комментарии 91

Видеозаписи докладов CyberCamp. Разбираем вопросы безопасности Linux

Время на прочтение 4 мин
Количество просмотров 4.8K

Привет, Хабр! В конце декабря мы командой CyberCamp провели митап, посвященный безопасности Linux. Прошлись по всей ОС — от ядра до логов. Плюсы в виде открытого кода, надежности, быстродействия и, казалось бы, повышенный уровень защищенности от киберугроз увеличивает пул активных пользователей. Но среди этих качеств нет неуязвимости. На митапе были разобраны вопросы, какие угрозы актуальны для Linux и как от них защититься.

Под катом мы собрали полный плейлист выступлений:

  Безопасность ядра Linux: в теории и на практике / Александр Попов, Positive Technologies

 Повышение привилегий на Linux / Владимир Ротанов, «Инфосистемы Джет»

 Анализ взлома общедоступных экземпляров баз данных / Александр Матвиенко, «Инфосистемы Джет»

 Особенности вредоносного ПО под Linux-системы / Ярослав Шмелёв, «Лаборатория Касперского»

 Анализ логов в Unix-системах / Артём Крикунов, «Инфосистемы Джет»

Харденинг Linux / Антон Велижанинов, «Инфосистемы Джет»

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Твоя работа в ИБ по мемасикам

Время на прочтение 3 мин
Количество просмотров 5.3K

· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Читать далее
Всего голосов 25: ↑20 и ↓5 +15
Комментарии 5

Биграммы и триграммы. Кейс сбора и анализа информации из аудио с непонятными словами

Время на прочтение 4 мин
Количество просмотров 2.7K

Привет. Меня зовут Александр Родченков, я занимаюсь речевой аналитикой в центре машинного обучения «Инфосистемы Джет». Тут я расскажу о биграммах и триграммах на примере реального, хоть и довольно скромного, кейса. Что же это за «граммы» такие, с чем их «едят» и зачем они нам? Кейс решал задачу сбора и обработки данных одной из продовольственных компаний. Сложность задачи заключалась в том, что в речи было очень много специфических терминов и аббревиатур. Как мы с этим справились, и с какими неожиданностями столкнулись после, читай под катом.

Жми, не пожалеешь!
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 1

Это не больно: как мы сделали свою платформу киберучений и научились контейнеризировать всё подряд

Время на прочтение 14 мин
Количество просмотров 3.3K

Два года мы с командой строили платформу киберучений. Мы начали с пары виртуалок c 2 Гб RAM на борту в EVE-NG (причем это была вложенная в VMWare ESXi виртуализация) и домасштабировали до самостоятельной инфраструктуры с контейнеризованными сервисами для обучения по ИБ и возможностью подключения практически неограниченного количества обучающихся. Это статья о нестандартных решениях, самой платформе и участии в мероприятии CyberCamp, для которого предоставили виртуальную инфраструктуру.

Переходи под кат, если интересно, как пробросить большое количество пользователей в виртуальную среду с помощью одного браузера, не давая им прямой RDP\VNC\ssh доступ, да еще и бесплатно. Также поделюсь нашими наработками и планами по развитию платформы Jet CyberCamp.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Байки по кибербезопасности: играем в «Правда или ложь»

Время на прочтение 9 мин
Количество просмотров 16K

Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

2. «Новогодняя ёлка»
Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Читать далее
Всего голосов 59: ↑59 и ↓0 +59
Комментарии 25

Как бесплатно мониторить массивы HP EVA с помощью Zabbix: два варианта решения

Время на прочтение 11 мин
Количество просмотров 2.9K

Привет, Хабр! В данной статье мы рассмотрим процесс настройки мониторинга массивов семейства HP EVA (Enterprise Virtual Array) с помощью Open Source продукта Zabbix, объясним, как получать и обрабатывать данные с массива, покажем, с какими проблемами можно столкнуться при настройке, а также расскажем о двух вариантах реализации системы мониторинга.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Кибербезопасность в массы: как мы в Positive Technologies проводили крупнейшие мероприятия по инфобезу

Время на прочтение 8 мин
Количество просмотров 3K

Привет, Хабр! Меня зовут Герман Холмов, долгое время я работал в Positive Technologies в должности Digital Marketing Director. На Хабре многие знают эту компанию, а если нет - то вот ее блог. Но речь сейчас не о компании, а об организации двух онлайн-ивентов для специалистов по кибербезопасности. Я вместе с командой отвечал за запуск. В ходе реализации проекта пришлось решать немало проблем, которые возникали как до организации мероприятий, так и во время. Думаю, что мой опыт будет полезен, поэтому и решил написать статью. О подробностях - под катом.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

От MITRE ATT&CK до форензики: видеозаписи ТОП-5 докладов CyberCamp 2022

Время на прочтение 2 мин
Количество просмотров 3.5K

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Время на прочтение 2 мин
Количество просмотров 602

Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.

Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

5 способов, как взять домен с помощью PetitPotam

Время на прочтение 11 мин
Количество просмотров 16K

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Всего голосов 14: ↑12 и ↓2 +10
Комментарии 2

CyberCamp 2022: от идеи до первого крупного кибертренинга

Время на прочтение 5 мин
Количество просмотров 1.7K

В сентябре мы организовали в онлайне кибертренинг в рамках CyberCamp 2022. В нем приняли участие 40 команд со всей России, а с нашей стороны более 40 человек придумывали задания, тестили платформу, мониторили инфраструктуру, курировали команды. О полученном опыте, эмоциях и набитых шишках рассказываем в этом посте.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 0

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Время на прочтение 2 мин
Количество просмотров 771

Сегодня в ТОП-3 — обновление безопасности GitLab, уязвимость в приложении TikTok и пять расширений Google Chrome, крадущих данные пользователей.

Новости собирал Евгений Тюрин, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Старт 2 сезона Security Small Talk: ролики для профи и новичков в ИБ

Время на прочтение 1 мин
Количество просмотров 2.1K

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 1

Низко висящие фрукты Active Directory

Время на прочтение 7 мин
Количество просмотров 9.7K

В данной статье рассмотрим уязвимости, которые легко проэксплуатировать в Active Directory — так называемые «низко висящие фрукты». Они часто встречаются и в результате дают возможность атакующему продвинуться вглубь инфраструктуры или получить дополнительную информацию.

Комбинация таких участков часто позволяет достичь полного контроля над средой Active Directory с правами администратора домена или расширить исходные привилегии.

Не углубляясь в технические дебри, я хочу показать, какие типовые проблемы существуют в домене Active Directory, что они из себя представляют и какие меры защиты стоит применить либо принять во внимание.

Подробнее — под катом.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Комментарии 2

Для секьюрной разработки: ролик о защите сред контейнерной оркестрации

Время на прочтение 1 мин
Количество просмотров 1.9K

Заходите под кат смотреть видео о защите сред контейнерной оркестрации. Спецы по DevSecOps упаковали в пятиминутный ролик выжимку из NIST SP 800-190, официальной документации Kubernetes, десятки страниц материалов производителей средств защиты и свой опыт на проектах.

Будет полезно и тем, кто пишет код, и тем, кто следит за его секьюрностью.

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 1

5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ

Время на прочтение 2 мин
Количество просмотров 9.8K

Добро пожаловать под кат, если не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками.

Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам. Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Смотреть ролики
Всего голосов 19: ↑16 и ↓3 +13
Комментарии 1

Как управлять сетью — класс решений Firewall management. Часть 1. Skybox

Время на прочтение 17 мин
Количество просмотров 8.1K

Не можете разобраться, что происходит в сетевой инфраструктуре? Создание Access Control List (ACL) давно стало рутиной, но по-прежнему отнимает очень много времени? Приходится управлять несколькими межсетевыми экранами разных вендоров одновременно? Скоро придет аудитор, чтобы проверить, насколько написанные вами правила доступа соответствуют требованиям регулятора или отраслевому стандарту? Если вы узнали себя хоть в одном вопросе, этот текст для вас.

В общем, добро пожаловать под кат все ищущие унификации в анализе и контроле настроек межсетевых экранов (МСЭ) и сетевых устройств.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 4

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Время на прочтение 2 мин
Количество просмотров 888
Уходящая неделя запомнилась нам новой ошибкой в Windows 10, вызывающей синий экран смерти, атаками на Linux-устройства с использованием нового вредоноса FreakOut и фишинговой кампанией, в результате которой злоумышленникам удалось похитить несколько тысяч учетных записей Microsoft Office 365. Подробности расскажем под катом.


Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 0

Информация

В рейтинге
1 169-й
Откуда
Россия
Работает в
Зарегистрирован
Активность