ИБ: PT MultiScanner: перезагрузка

Атаки с использованием вредоносного ПО по-прежнему одни из самых популярных и разрушительных. В 2017 году мир захлестнула волна массовых атак (WannaCry, NotPetya). Согласно исследованиям Positive Technologies, ущерб от подобных атак может достигать 1 млрд долларов. Развитие тренда «шифровальщик как услуга» (Ransomware-as-a-Service) ведет к появлению новых типов вредоносного ПО и к снижению необходимого для взлома уровня квалификации злоумышленника. В этих условиях существующие подходы не могут гарантировать абсолютной защиты.

Открытыми остаются вопросы, как оперативно локализовать и блокировать угрозы в период массового заражения, а также обнаружить вредоносное ПО, которое уже попало в инфраструктуру. На вебинаре мы расскажем, как бороться с этими проблемами, а также продемонстрируем новую версию системы выявления вредоносного контента PT MultiScanner. Новый PT MultiScanner дает возможность активно блокировать распространение вредоносного ПО. К тому же он агрегирует все объекты заражения в одну угрозу, что в разы повышает скорость реагирования и эффективность расследования инцидентов. Вы узнаете о сценариях использования продукта, увидите PT MultiScanner в действии, сможете задать интересующие вас вопросы. Вебинар будет интересен широкому кругу специалистов, в том числе тем, кто уже работал с продуктом.

Скачать презентацию

АКТУАЛЬНЫЕ КИБЕРУГРОЗЫ II КВАРТАЛ 2017 ГОДА

ИБ: В Skype обнаружена серьезная уязвимость, но Microsoft не намерена выпускать патч

В компании пояснили, что устранение проблемы потребует слишком много усилий.

Исследователь безопасности Стефан Кантак (Stefan Kanthak) обнаружил уязвимость в механизме обновления online-мессенджера Skype, позволяющую повысить права пользователя до уровня SYSTEM и таким образом получить полный доступ к уязвимому устройству.

Как пояснил Кантак в беседе с журналистами издания ZDNet, проблему можно проэксплуатировать с помощью метода подмены DLL-библиотек, что позволит атакующему обмануть установщик обновлений и «подсунуть» вредоносный код вместо правильной библиотеки. Злоумышленник может загрузить вредоносную библиотеку во временную папку и переименовать ее в соответствии с существующей DLL-библиотекой, которая может быть модифицирована непривилегированным пользователем, например, UXTheme.dll. Проблема заключается в том, что в процессе поиска приложением нужной библиотеки первой обнаруживается вредоносная библиотека. Получив полный доступ к системе, злоумышленник может выполнять различные действия, к примеру, похитить файлы, удалить данные или инфицировать устройство вымогательским ПО.

Кантак сообщил Microsoft об уязвимости в сентябре прошлого года, однако в компании заявили, что выпуск исправления потребует «пересмотра значительной части кода», поэтому уязвимость будет устранена уже в новой версии клиента.

https://www.securitylab.ru/news/491464.php

ИБ: Обнаружен метод обхода функции контролированного доступа к папкам в Windows 10

По словам исследователя безопасности, функция контролированного доступа не защищает систему от вымогательского ПО.

Испанский исследователь безопасности Яго Хесус (Yago Jesus) обнаружил способ обхода функции контролированного доступа к папкам (Controlled Folder Access, CFA), являющейся частью Windows Defender. Функция была добавлена в Windows 10 в октябре 2017 года и позиционируется Microsoft как надежная защита от вымогательского ПО.

Контролированный доступ к папкам блокирует любые изменения файлов в обозначенных пользователем директориях. Пользователи сами вручную должны утвердить приложения, которым разрешено вносить изменения в папках, защищенных CFA. Для этого они должны внести исполняемые файлы каждого приложения в белый список, управляемый с помощью опции «Разрешить работу приложения через контролируемый доступ к файлам».

Хесус обнаружил, что Microsoft по умолчанию внесла в белый список все приложения Office. По словам исследователя, злоумышленники могут с легкостью обойти CFA, добавив в файлы Office простые скрипты через объекты OLE. Исследователь представил три примера обхода CFA с помощью модифицированных документов Office. В первом случае ему удалось переписать содержимое других документов Office, хранящихся в папке CFA, во втором – защитить эти файлы паролем и в третьем – скопировать содержимое файлов в файлы за пределами папки CFA и удалить оригиналы.

Если первый пример позволяет только испортить файлы, то вторые два работают по принципу самого настоящего вымогательского ПО. Хесус сообщил Microsoft о проблеме, и вскоре получил от компании ответ. Согласно письму, проблема не является уязвимостью, однако производитель намерен улучшить безопасность CFA в будущих релизах с учетом полученных от Хесуса сведений.

https://www.securitylab.ru/news/491304.php

ИБ: Найден способ извлечения данных с физически изолированных устройств, защищенных щитом Фарадея

Техники MAGNETO и ODINI позволяют извлечь данные с физически изолированных устройств, находящихся в экранированном помещении.

Специалисты Исследовательского центра кибербезопасности университета имени Бен-Гуриона (Израиль) опубликовали исследование, в котором описали техники под названием MAGNETO и ODINI , позволяющие извлечь данные с физически изолированных устройств, находящихся в экранированном помещении (клетка Фарадея).

Оба метода основаны на внедрении вредоносного ПО на физически изолированные компьютеры внутри клетки Фарадея для регулирования нагрузки на ядра центрального процессора с целью контроля магнитных полей, излучаемых компьютером.

Двоичные данные с компьютера закодированы в частотах магнитного поля, достаточно сильного, чтобы проникнуть через клетку Фарадея. Как поясняют ученые, перемещение заряда в проводнике генерирует магнитное поле, которое изменяется при ускорении заряда. На стандартном компьютере проводники, передающие ток с блока питания на материнскую плату, являются главными источниками магнитного излучения. Центральный процессор является основным потребителем энергии, поскольку современные CPU энергоэффективны, временная нагрузка на процессор непосредственно влияет на динамические изменения потребления энергии. Путем регуляции нагрузки на процессор возможно управлять его энергопотреблением и таким образом контролировать сгенерированное магнитное поле. В наиболее простом случае увеличение вычислительной нагрузки на CPU приведет к генерации мощного магнитного поля. Намеренно увеличивая и уменьшая нагрузку на процессор, можно сгенерировать магнитное поле с нужной частотой и модулировать данные.
( Read more... )

ИБ: Автоматизация получения прав администратора домена в Active Directory

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред.

21.09.2017
Автор: byt3bl33d3r

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред. Поскольку каждый раз выполняются одни и те же операции, я решил, что настало время автоматизировать процесс. Мне кажется, что скрипт, работающий по принципу «запустил и забыл», который автоматически получает права администратора домена, является мечтой для каждого специалиста по безопасности.

К тому моменту когда я решил реализовать свою задумку, некоторые товарищи, упомянутые в конце статьи, уже проделали большую часть работ. Кроме того, некоторое время назад во фреймворке Empire появился RESTful API, который упрощает создание сторонних скриптов.

Перед тем как продолжить, я бы хотел упомянуть о том, что во время пентестов получение прав администратора домена не должно быть единственной целью (в противном случае следует еще раз подумать над своими целями). Нужно сосредоточиться на пост-эксплуатации в целом и получении персональной конфиденциальной информации, документов и так далее. То есть все, что можно продемонстрировать «менеджменту» как влияющее на деятельность организации в случае, если произойдет реальное компрометирование. С другой стороны, доступ с правами администратора домена серьезно упрощает жизнь, позволяет показать дополнительную ценность клиенту и придает уверенность исследовательской группе.

Цели проекта и практическая реализация

Изначально я хотел создать нечто, что будет брать выходные данные утилиты BloodHounds, выполнять парсинг и отдавать результаты во фреймворк Empire с последующим выполнением определенной «цепочки» операций. Хотя в BloodHound , насколько мне известно, не предусмотрено использование возможностей, которые можно получить при помощи эскалации привилегий домена, например, GPP-пароли в хранилище SYSVOL (лично я считаю, что эта тема встречается практически повсюду).
( Read more... )

Mac на службе у хакера. Создание образа шифрованного диска

Mac на службе у хакера.



Создание образа шифрованного диска

• Mac на службе у хакера. Часть 1 – Шифрование диска Подробнее: https://www.securitylab.ru/analytics/491107.php


• Mac на службе у хакера. Часть 2 – Создание образа шифрованного диска Подробнее: https://www.securitylab.ru/analytics/491268.php