Вредоносы против песочницы на Standoff 15

Каждый год мы проводим масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей. В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным. Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам. Покопаться

https://habr.com/ru/companies/pt/articles/919358/

#sandbox #песочница #вредоносы #впо #бэкдор #хакерские_инструменты #троян #банковский_троян #cobalt_strike #вебшелл

Выясняем, кто поселился в вашей сети

Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что называется вручную. Наша задача будет состоять в том, чтобы самостоятельно, используя только Wireshark проанализировать образцы трафика и выявить в нем подозрительную активность для последующей настройки средств защиты.

https://habr.com/ru/companies/aeza/articles/908696/

#шифрование_трафика #информационная_безопасность #вредоносы #windows #linux #сети #virustotal #http #ldap #wireshark

Как найти и гоблина, и крысу. Интервью с исследователями из ГК «Солар», нашедшими вредонос GoblinRAT

Информационная служба Хабра побывала на SOC Forum 2024. Это ещё одно мероприятие, посвящённое кибербезопасности, которое проводит группа компаний «Солар». Из‑за плотного рабочего графика мне удалось попасть туда только на третий день и всего на несколько часов. Однако я смог поговорить со специалистами ГК «Солар» об одном довольно интересном исследовании. Оно было посвящено уникальному вредоносному ПО GoblinRAT , способному оставаться незамеченным в инфраструктуре атакованных организаций благодаря продвинутым методам маскировки и обхода защитных систем. Вредонос был найден в сетях нескольких российских государственных организаций и компаний, предоставляющих услуги госсектору, с признаками присутствия с 2020 года. В каждой из затронутых организаций злоумышленники получили полный доступ к сети.

https://habr.com/ru/articles/858586/

#солар #исследования_безопасности #Goblinrat #rat #вредоносы #взлом #хакеры #кибератаки #информационная_безопасность

[Перевод] Встраивание вредоносного исполняемого файла в обычный PDF или EXE

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Использование данных инструментов и методов против хостов, для которых у вас нет явного разрешения на тестирование, является незаконным. Вы несете ответственность за любые проблемы, которые могут возникнуть в результате использования этих инструментов и методов. Сегодня мы покажем, как создать вредоносный исполняемый файл, который выглядит как PDF, документ Word или исполняемый файл веб-браузера с функциональностью обычного файла или программы, но с встраиванием нашего вредоносного исполняемого файла. Для этого мы будем использовать WinRAR. Предположим, мы уже создали наш вредоносный исполняемый файл, который выполнит определенные действия на хосте жертвы или отправит нам обратную оболочку. Следующие шаги описывают процесс создания нашего файла, который выглядит легитимно: 1) Найдите PNG-иконку для того, как должен выглядеть ваш вредоносный исполняемый файл, используя https://iconfinder.com . В этом примере мы используем логотип Chrome, но можно найти логотипы любых типов файлов. Нажмите «Download PNG» (Скачать PNG).

https://habr.com/ru/articles/858446/

#malware #payload #bypass #информационная_безопасность #вредоносы #winrar #малварь

Цитата: "На тебе... Ну вообще таким манером общаются на форумах и подфорумах распространители-доказатели невирусности этого MediaGet. Им оплачивают комментарии через программу-реферал. И ботоводство, присутствует конечно.

Здесь один выступающий уже появлялся:
https://rutracker.org/forum/viewtopic.php?t=3360115&start=210

Манера - софистика и ничего больше.

Или люди действительно здесь в программе-реферале участвуют, или же пароли от аккаунтов при помощи того же сетевого бота MediaGet'а украдены."

Поделюсь своим опытом ещё раз:

Из-за него новый и совершенно ненужный роутер купил. Дело в том, что после установки MediaGet-а начались перебои в работе роутера, вплоть до отрубания инета. Подключаешь напрямую, без роутера, проблем нет, с роутером доступ в инет периодически отрубается. Я подумал, что проблема в роутере.
В общем, новый, более мощный и дорогой, купил себе. Подключаю, настраиваю, а проблемы те же, соединение нестабильно. Выясняю в чём дело. Тут проблемы со стабильностью работы системы начинаются. Антивирусом Dr. Web cureit-ом систему проверяю, он этого вредоноса MediaGet-а находит, и я сношу его антивирусом, а других вредоносов не было. Доступ в инет теперь стабильный, затем проверяю старый роутер и тот уже работает отлично.

Aldorr писал(а):
Цитата:
По результатам первых 15 минут - сумасшедший SYN-флуд. Открывается больше 200 сокетов раз в 10 секунд по разным направлениям
Ну благодаря этому SYN-флуду и прочему исходящему потоку DDos'а роутеры и загибались. Видимо тупо таблицы маршрутизации забивает.
Вообще конечно MediaGet это (сетевой) бот - ботнет создаёт.

Всем советую отнестись к моему вышеописанному отрицательному опыту серьёзно. А то опять, придется кому-то из-за вирусного MediaGet'а, себе новые роутеры покупать.

Учитесь на чужих ошибках.

**Комментарий к ситуации:**

Этот опыт показывает, как вредоносные программы, вроде MediaGet, могут вызывать серьёзные проблемы с сетевым оборудованием. Часто пользователи думают, что сбои вызваны аппаратными проблемами (например, устаревшим роутером), хотя истинная причина может скрываться в ПО, которое активно генерирует высокие потоки данных или использует устройство для скрытых целей, таких как DDoS-атаки. Так, программа открывает сотни сокетов, создавая значительную нагрузку на сеть, что перегружает маршрутизатор и нарушает стабильность соединения.

**Трактовка:**

Эта ситуация подчёркивает, насколько важно сканировать устройства на наличие скрытого вредоносного ПО и избегать программ, вызывающих аномальные сетевые активности. MediaGet, будучи нежелательным софтом с признаками сетевого бота, способен вызвать нестабильность и ненужные расходы на замену оборудования. Рекомендация: перед тем, как делать выводы о проблемах с сетью, проверьте, не является ли причина их следствием вредоносных программ.

ЗЫ: сейчас программу даже найти трудновато, в списках вредоноса Гугла, например. Но крайне интересно, кто еще любит эксперементировать на своих реальных машинах, в своей рабочей сети?

Самое свежее обсуждение, если нужно добавить графику, фидео.

https://bastyon.com/infernum1488?s=ca0ba7be376e682c5b3b7d27a89da8f9194915f0a4fdb908fb9384b101d1e3eb&ref=PFN2jQQL5PSwEdGP7h5T7JzkZMzeps98P2

**Хэштеги:**
#MediaGet #ВредоносноеПО #СетевойФлуд #DDoSАтака #БезопасностьИнтернета #Вредоносы #СтабильностьСети #Антивирус #СетевоеОборудование #Опыт

Кому жаловаться на вредоносный ресурс?

Привет, Хабр! Сегодня мы расскажем, куда можно пожаловаться, если вы столкнулись с фишингом или другими вредоносными сайтами. Эта информация не поможет полностью удалить такие сайты, но покажет, куда можно обратиться, чтобы их заблокировали.

https://habr.com/ru/articles/846684/

#фишинг #безопасность #регистратор #хостер #жалоба #вредоносы #вредоносная_реклама

Что внутри у призрака: разбираемся с вредоносом GHOSTENGINE

Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR. Сегодня я хочу поговорить про вредоносное ВПО, известное среди экспертов как HIDDENSHOVEL , или GHOSTENGINE . Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig. В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения. Подробнее

https://habr.com/ru/companies/pt/articles/826346/

#инциденты #cybersecurity #reverseengineering #вредоносы #вредоносное_по #windows

Профессия «кибердетектив»: кто такой исследователь угроз и как им стать

Привет, Хабр! Об исследовании киберугроз ходит немало мифов. Якобы это крайне узкая специализация, котирующаяся только в ИБ. Попасть в профессию непросто: необходимо на старте иметь глубокую теоретическую подготовку и навыки обратной разработки. Наконец, карьерные возможности такого специалиста строго ограничены: если ты все-таки прорвался в индустрию и дорос до исследователя угроз, дальше остается прокачивать свои скилы… в общем-то, все. Хорошая новость: это все мифы, с которыми я столкнулся лично и которые с радостью развею в этой статье . Меня зовут Алексей Вишняков, сегодня я руковожу процессами эмуляции атак и испытания экспертизы продуктов в Standoff 365 , Positive Technologies, но долгое время был руководителем отдела обнаружения вредоносного ПО экспертного центра безопасности (PT Expert Security Center). Разрушаем мифы ИБ вместе

https://habr.com/ru/companies/pt/articles/807935/

#исследователь_киберугроз #cybersecurity #threat_intelligence #вредоносы #реверсинжиниринг #хакерство #java #c# #вирусный_анализ #работа_в_it

О неуловимой киберпреступной группировке Mahagrass: RemCos, BadNews и CVE-2017-11882. Часть 1

Ежедневно в мире происходят сотни тысяч киберпреступлений, некоторые из них совсем незначительные, например, когда любопытный школьник устроил DDoS-атаку на сайт своей школы и вызвал кратковременные сбои в его работе, а некоторые из них насколько глобальны, что даже представить сложно. Скажем, недавно злоумышленники получили доступ к серверам компании, занимающейся пуском ракет в космос, утащили секретные чертежи и ушли совершенно невредимыми. А ведь именно безнаказанность порождает вседозволенность, и сегодня мы поговорим об одной неуловимой хакерской группировке, которая продолжает совершать преступления уже 14 лет подряд.

https://habr.com/ru/companies/first/articles/794672/

#безопасность #вредоносы #вирусы #мошенничество #BadNews #Mahagrass #RemCos #CVE201711882 #уязвимости #киберпреступность

Проблематика RaaS или почему вымогатель BlackCat так быстро прогрессирует

Приветствую, читатели. Не так давно в сети была обнаружена новая версия вымогателя BlackCat, и на этот раз злоумышленники начали использовать передовой инструмент под названием Munchkin. Он позволяет вредоносу развертываться из виртуальной среды на другие сетевые устройства. Теперь эта Кошка способна шифровать не только удаленные сетевые ресурсы через протокол SMB, но и ресурсы Common Internet File (CIFS). Исследовательская лаборатория по кибербезопасности Palo Alto Networks впервые обнаружила обновленный инструментарий Черной Кошки. По их словам, теперь вымогатель распространяется через ISO-файлы Linux и Windows. Когда жертва устанавливает образ в виртуальную среду (WMware, VirtualBox или другие), срабатывает ранее упомянутый Munchkin. В этой цепочке он является одновременно и дроппером и трояном удаленного доступа (RAT). Вшитый вредонос загружает в систему BlackCat, а после распространяет его и на удаленные сети.

https://habr.com/ru/companies/first/articles/794664/

#безопасность #вредоносы #вирусы #защита_информации #blackcat #RAS