fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Що нового в Labyrinth Deception Platform: реліз 2.0.32

Новина

Компанія Labyrinth випустила нову версію свого високоефективнішого рішення для виявлення та припинення хакерської діяльності всередині корпоративних мереж. Це оновлення пропонує низку покращених функцій, які ми детально розглянемо в цій статті.


New + Improved

Частковий процесс Generate/Terminate для Honeynet

На противагу класичному процессу Generate/Terminate, коли створюються Point’s глобально для всіх Honeynet, частковий процесс Generate/Terminate дає змогу генерувати або видаляти Point’s для кожного Honeynet окремо. Це дозволяє значно швидше вносити зміни у конфігурацію Лабіринту, тому що не потрібно чекати, коли створяться Point’s для всіх Honeynet при внесенні незначних змін у конкретний Honeynet.



Web інтерфейс з Worker Node

Починаючи з цього релізу, Web інтерфейс лабіринту доступний не тільки з аплаянсу Admin Console, але й з кожної Worker Node. Тобто достатньо у адресній стрічці браузера вбити IP-адресу Worker Node і відкриється головний Web інтерфейс лабіринту.

Ця функція буде корисною, коли є розподілені інсталяції Лабіринту (тобто одна або більше Worker Node знаходяться у різних локаціях), а доступ до локації, де встановлений Admin Console, обмежений.

ВАЖЛИВО! Web інтерфейс на Worker Node увімкнений за замовчанням і наразі немає можливості його вимкнути. У наступних релізах розглядається можливість функції вимкнення даного інтерфейсу.


Опціональне сканування мереж Honeynet

Перед кожним процесом Generate запускається процес сканування мереж, які відносяться до Лабіринту, тобто мережі, що прописані у конфігурації всіх Honeynet. Сканування мереж необхідно для того, щоб знайти автоматично сервіси (IP-адреси та порти) для таких типів Point, як Universal Web Point (HTTP/HTTPS сервіси), Windows 10 Host (RDP сервіси) та ін. Це дозволяє у автоматичному або напів автоматичному режимі запустити роботу Лабіринту.

З іншого боку процес сканування значно сповільнює час генерування Лабіринту (в залежності від кількості мереж та їх розмірів), але у певних конфігураціях Honeynet не є обов’язковим. Наприклад, якщо прописати веб сервіси для Universal Web Point у конфігурації Honeynet в полі Allowed IP Addresses (CSV), немає необхідності сканувати мережі, щоби знайти веб сервіси.

Починаючи з даного релізу є можливість в конфігурації кожного Honeynet включити або виключити сканування мереж, що відносяться до конкретного Honeynet. Цим самим значно пришвидшити процесс Generate.

Разом з частковим Generate час внесення змін у конфігурацію Лабіринту значно скорочується.


Вдосконалений Universal WEB Point

Тип Point Universal Web Point був значно перероблений. Із основних функцій можна виділити наступне:

  1. Автоматичне клонування TLS/SSL сертифікату. Тобто при старті даного типу поінта, він намагається створити самопідписний сертифікат, який по параметрам максимально схожий на оригінальний.
  2. Можливість “слухати” більше, ніж на одному TCP порту. Раніше Point даного типу міг “слухати” на одному TCP порту. Тобто, якщо оригінальний застосунок, скажімо, “слухає” на порту 80 з редіректом на HTTPS, то Universal Web Point слухав би тільки HTTPS.
  3. Додано детект та імітацію вразливості Log4Shell


Settings Integrations migration

Значно перероблені та вдосконалені налаштування Settings -> Integrations. Ці зміни стосуються зовнішнього вигляду (більш компактний список інтеграцій) та фіксу мінорних багів.

ВАЖЛИВО! Рекомендуємо перевірити налаштування інтеграцій після оновлення.

Wordlists forms and Honeynet refactoring

Також значно перероблені Wordlist’s (списки hostnames, usernames, passwords). Напротивагу глобальним спискам, які використовуються під час генерації Лабіринту, зараз ці списки налаштовуються для кожного Honeynet окремо. Тобто у вас є можливість для кожного сегменту мережі задавати різні списки, наприклад, для hostnames.


Список доступних (тобто завантажених Wordlist):


Налаштування Honeynet:


Новий тип Point: VMWare vCenter Virtual Appliance

Доданий новий тип Point - VMWare vCenter Virtual Appliance. Це імітація логін форми VMWare vCenter 6.8 Virtual Appliance, що містить в собі вразливість Log4Shell.

Fixes

Seeder Tasks: empty seeder tasks after generation

Виправлено. При певних обставинах Seeder Tasks не генерувались для Seeder Agent’ів, які підключались після Generate. Очікувана поведінка: після Generate для нових агентів, які підключились після Generate, повинні створитися Seeder Tasks.


Seeder Tasks: empty related point_id

Виправлено. При певних налаштуваннях Лабіринту могла виникнути така ситуація:


TLS Certificate and Key Content-Type issue

Виправлено. Якщо сертифікат або ключ, що завантажуються, правильного формату, але - з неправильним розширенням файлу, їх завантажити було неможливо. Зараз неважливо, з яким розширенням файли, головне, щоб був вірний формат вмісту файлів: PEM-encoded x509 сертифікат, та PEM-encoded RSA ключ.


Дізнатися більше про інноваційне кіберрішення від Labyrinth.


iIT Distribution є офіційним дистриб'ютором рішення Labyrinth, який не тільки забезпечує постачання ПЗ, але й надає повний комплекс послуг із супроводу та консультації. Наша компанія пропонує початкову експертизу та оцінку стану ІБ вашого підприємства від кваліфікованих фахівців, підбір обладнання та ПЗ, а також впровадження комплексних рішень кібербезпеки в наявну інфраструктуру. У сьогоднішніх реаліях дуже важливо зберігати пильність, не відкладаючи питання забезпечення захисту своїх систем на потім.

Назад

Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR

Новина

Palo Alto Networks проінформувала клієнтів про вразливості, які можуть дозволити зловмиснику відключити її продукти, а саме Cortex XDR – свою топову платформу з виявлення та реагування на комп’ютерні загрози з великим покриттям – від захисту кінцевих точок до мережевого та хмарного захисту!


Про проблеми стало відомо від ентузіаста з ніком mr.d0x, який повідомив, що агент Cortex XDR може обійти зловмисник з підвищеними привілеями. Дослідник виявив, що агент може бути відключений локальним зловмисником із правами адміністратора шляхом простої зміни ключа реєстру, що залишить кінцеву точку вразливою до атак. Причому функція захисту від несанкціонованого доступу не запобігає використанню цього метода.


Крім того, mr.d0x виявив, що за замовчуванням існує "пароль для видалення", який (якщо він не був змінений адміністратором) також може використовуватися для відключення агента XDR. А якщо пароль за замовчуванням все ж таки був змінений, хеш нового пароля можна отримати з файлу, що дає можливість зловмиснику спробувати зламати пароль.

Щобільше, зловмисник, який не має прав адміністратора, також може отримати цей хеш. Фахівець розповів, що виявив ці вразливості ще влітку 2021 року, але лише зараз опублікував повідомлення у блозі з докладним описом результатів, щоб дати постачальнику достатньо часу для ухвалення відповідних заходів. Однак Palo Alto Networks все ще працює над виправленнями та засобами захисту від цих проблем.


Незважаючи на це все, кіберкомпанія проінформувала клієнтів про вразливість відмови в обслуговуванні (DoS), що стосується функції DNS-проксі в її програмному забезпеченні PAN-OS. Під час реалізації сценарію MitM-атаки (людина посередині) зловмисник може використовувати спеціально створений трафік для порушення роботи вразливих брандмауерів. Патчі оновлень доступні для всіх підтримуваних версій PAN-OS.

Також під час реалізації MitM зловмисник може запустити DoS-атаку на PAN-OS, додатку GlobalProtect та агенті Cortex XDR, використовуючи нещодавно виправлену вразливість OpenSSL, відстежувану як CVE-2022-0778.


У Palo Alto Networks заявили, що для компанії не є відомими атаки з використанням цих вразливостей у дикій природі і, на її думку, ці помилки мають рейтинг серйозності «середній», «низький»» або «інформаційний».

Назад

Передові anti-DDoS рішення від A10 Networks доступні для інсталяції!

Новина

Бажаємо ми цього чи ні, але в умовах сьогодення наші системи тією чи іншою мірою перебувають у зоні справжнісіньких кібербойових дій. Слід бути готовим до найгіршого, адже нині загрози підстерігають своїх потенційних жертв на кожному кроці, і саме тому команда iIT Distribution розуміє, наскільки важливо зберігати відданість безперервному процесу забезпечення захисту своїх клієнтів.


Зважаючи на тимчасове обмеження в поставці «залізного» обладнання від лідера в розробці рішень для балансування трафіку, захисту периметру мереж і оптимізації IP-адресації A10 Networks, ми хочемо звернути вашу увагу на високоефективні anti-DDoS рішення A10 Thunder TPS, доступні для безперешкодного та швидкого розгортання у віртуальному середовищі.

Висока масштабованість, продуктивність і гнучкість розгортання робить vThunder TPS лідером серед інших кіберпродуктів для виявлення/запобігання DDoS атакам. Це рішення, залежно від типу ліцензії та апаратних можливостей віртуального середовища, може працювати з продуктивністю до 100 Гбіт/с, підтримуючи детекцію потоку до 1,5 млн кадрів у секунду. Широкий спектр реалізації на будь-яких віртуальних платформах (ESXi, KVM, Hyper-V) робить vThunder TPS легко адаптованим під усі можливі варіанти розгортання.

Дізнайтеся більше про рішення від A10 Networks.


Ми готові надати нашим замовникам тріальні ліцензії продукту A10 Thunder TPS з повним функціоналом на необхідний термін (враховуючи пілотний період, періоди налаштування та запуску). Зверніть увагу, що після підписання договору про придбання рішення, час заміни ліцензії займатиме лічені хвилини, не спричиняючи зупинки системи замовника. Це стосується й інших продуктів від A10 (A10 Thunder ADC та A10 Thunder CGN).

iIT Distribution офіційний дистриб’ютор компанії A10 Networks, що забезпечує дистрибуцію та просування рішень вендора на територіях України, Казахстану, Узбекистану та Грузії, а також професійну підтримку в їх проєктуванні та впровадженні.

Назад

Inspur другий рік поспіль стає зразковим постачальником Cloud-Optimized обладнання за версією Gartner Hype Cycle

Новина

Inspur, провідний виробник та постачальник серверного обладнання, систем зберігання даних та послуг у сфері хмарних обчислень, вчергове був обраний компанією Gartner як зразковий постачальник Cloud-Optimized обладнання, згідно з нещодавнім звітом "Hype Cycle for Cloud Computing".


Gartner згадує Inspur у своїх звітах вже другий рік поспіль, підкреслюючи переваги ключових хмарних технологій компанії, що активно використовуються сьогодні, а також інноваційні рішення, здатні задовольнити вимоги майбутнього.

За даними Gartner, провідної світової дослідницької IT-компанії, у найближчі 2-5 років варто очікувати на впровадження масштабних і високофункціональних сучасних застосунків. Ця тенденція безпосередньо пов'язана зі збільшенням числа інноваційних Cloud-Optimized апаратних розробок для великих хмарних центрів обробки даних.


Хмарні обчислення розширили межі гіпермасштабованих хмарних послуг з погляду маневровості та еластичності. Gartner доводить, що у сфері інфраструктури постачальникам гіпермасштабованих хмарних послуг потрібні більш гнучкі та інноваційні продукти, які допоможуть знизити енергоспоживання та експлуатаційні витрати центрів обробки даних, а також оптимізувати конкретні робочі навантаження. Сьогодні все більше ІТ-команд у своїх великих центрах обробки даних використовують саме Cloud-Optimized обладнання.

Це обладнання переважно включає сервери, мережі, системи зберігання даних та спеціалізовані мікросхеми. Компанія Gartner відзначила, що оптимізовані для хмарних обчислень конструкції серверів і стійки дозволяють зменшити енергоспоживання, спростити установку та прискорити доставку обладнання. Наприклад, проєкт Open Compute Project (OCP), в якому компанія Inspur бере активну участь, визначає стандарти для стійкових серверів "all-in-one" у центрах обробки даних. Завдяки використанню Cloud-optimized відкритих стійкових серверів "all-in-one", масштабний ЦОД, що є клієнтом Inspur, знизив споживання електроенергії на 30%, скоротив частоту відмов системи на 90%, збільшив окупність інвестицій на 33% та втричі підвищив ефективність OPS. Inspur щоденно постачала замовнику 10 000 серверів.


Сьогодні технології відкритих хмарних обчислень широко застосовуються в інтернет-компаніях, які експлуатують найсучасніші центри обробки даних. Провідні компанії у таких ключових галузях, як комунікації, фінанси та енергетика, по всьому світу також приєдналися до організацій, які використовують відкриті хмарні обчислення, повною мірою застосовуючи їх під час створення власних центрів обробки даних.

Як єдиний у світі постачальник серверів, який приєднався до всіх Open Computing організацій (OCP, ODCC, Open19), Inspur активно розробляє специфікації продуктів, бере участь у розробці стандартів і керує реалізацією проєктів. Використовуючи відкриті хмарні обчислення та інноваційний підхід до забезпечення глобального співробітництва, Inspur працює з підприємствами галузі над пошуком стійких та високоефективних рішень для інфраструктури великих ЦОД, таких як сервери з рідинним охолодженням, високошвидкісні мережеві комунікації та інтелектуальні системи OPS.

Нещодавно Gartner опублікувала дані про світовий ринок серверів за третій квартал 2021 року. Inspur зайняла друге місце у світі з часткою ринку 11,3%. Стрімко розширюючи глобальну присутність, компанія також збільшує свою присутність у багатьох галузях, пояснюючи це своїм внеском у діяльність організацій, що спеціалізуються на відкритих хмарних обчисленнях.


iIT Distribution є офіційним дистриб’ютором надійних і конкурентних продуктів від Inspur на територіях України, Грузії, Казахстану та Узбекистану, що пропонує свою підтримку у впровадженні інтелектуальних рішень компанії у багатьох виробничих напрямках. iITD прагне забезпечувати своїх замовників лише високотехнологічним й ефективним обладнанням для побудови надійної IT-інфраструктури підприємств.

Познайомтеся ближче з продуктами від Inspur! Продуктова лінійка буде доповнюватися новими продуктами, тож слідкуйте за оновленнями.

Назад

Швидка доставка рішень від INFINIDAT і Inspur доступна вже зараз!

Новина

iIT Distribution оголошує, що, попри всі зовнішні обставини, логістика компанії працює в інтенсивному режимі!

Просто зараз ви можете скористатися швидкою доставкою мультипетабайтних СЗД-рішень корпоративного класу від INFINIDAT, а також висококласного серверного обладнання від Inspur під замовлення. Ми готові доставити обрані вами продукти МАКСИМУМ за 45 днів після подання заявки.

Щоб зробити замовлення, звертайтеся за адресами infinidat@iitd.com.ua та inspur@iitd.com.ua відповідно.


Нагадаємо, що INFINIDAT є лідером ринку систем зберігання даних за оцінками магічного квадранту Gartner 2021 року для основних систем зберігання даних! Компанія розробила власні інноваційні технології зберігання (як основного - рішення InfiniBox, так і дискового резервного копіювання - рішення InfiniGuard) і надійного захисту тисяч терабайт даних за мінімальною можливою ціною.

Дізнайтеся більше про рішення від INFINIDAT.


З великим захопленням пропонуємо вам познайомитися з продуктами Inspur — компанії, що є абсолютним лідером китайського ринку AI-серверів та постачальником серверів №3 у світі (згідно з оцінками IDC та Gartner). Високотехнологічні рішення для зберігання даних від Inspur встановили понад 80 рекордів у різноманітних тестах, таких як TPC-E, TPC-H, SPECAppServer та SPECPower!

Розгляньте продукти від Inspur на будь-який смак!


Якщо ви зволікали з цим раніше, зараз саме час спрямувати свої сили на підбір і придбання по-справжньому якісного обладнання для надійного зберігання даних від світових лідерів галузі.

Компанія iIT Distribution безперестанку турбується про захищеність і ефективну, безперебійну роботу IT-інфраструктур наших клієнтів. У воєнний час ми відчуваємо особливу відповідальність за безпеку та цифровий комфорт кожного нашого замовника. Саме тому iITD як офіційний дистриб'ютор компаній INFINIDAT та Inspur і надалі пропонуватиме свою підтримку в підборі, проєктуванні та впровадженні найефективнішіх кіберрішень цих вендорів.

Назад

Команда CrowdStrike дослідила програму-вимагач PartyTicket, націлену на українські компанії

Реліз

23 лютого 2022 року було проведено низку руйнівних кібератак, спрямованих на українські організації. Згідно з галузевими звітами, в декількох організаціях, які безпосередньо постраждали від атаки, було виявлено Go-based програму-вимагач під назвою PartyTicket (або HermeticRansom). Разом з нею були ідентифіковані й інші сімейства шкідливих програм, включно з програмою типу Wiper, яку розвідка CrowdStrike відстежує як DriveSlayer (HermeticWiper).

Аналіз програми-вимагача PartyTicket показав, що вона реалізовує досить поверхневе шифрування файлів, неправильно ініціалізуючи ключ шифрування, що дає можливість дешифрувати зашифрований файл з відповідним розширенням .encryptedJB.


Технічний аналіз

Екземпляр програми-вимагача PartyTicket має хеш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Було помічено, що він пов’язаний з іменами файлів cdir.exe, cname.exe, connh.exe та intpub.exe.

Екземпляр програми-вимагача, написаний за допомогою Go версії 1.10.1, містить багато символів, які посилаються на політичну систему США, включаючи voteFor403, C:/projects/403forBiden/wHiteHousE та primaryElectionProcess.

Програма-вимагач перебирає букви всіх дисків і рекурсивно перераховує файли на кожному диску та його підпапках, за винятком шляхів до файлів, які містять рядки Windows і Program Files, а також шлях до папки C:\Documents and Settings (остання папка була замінена у версіях Windows, Windows XP, на C:\Users). Для шифрування обираються файли з такими розширеннями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для кожного шляху до файлу, який проходить раніше описані перевірки, ransomware копіює власний екземпляр у той самий каталог, з якого він був запущений, і запускає його через командний рядок, передаючи шлях до файлу як аргумент. Батьківський процес ransomware присвоює імена своїм клонам за допомогою випадкового UUID, створеного загальнодоступною бібліотекою, яка використовує поточну мітку часу та MAC-адреси мережевих адаптерів зараженого хоста.

Розробник шкідливої програми намагався використовувати типи WaitGroup мови Go для реалізації багатопотоковості, але через ймовірну помилку в кодуванні програма створює велику кількість потоків (по одному на перерахований шлях до файлу) і копіює власний двійковий файл в поточний каталог стільки разів, скільки було вибрано файлів. Після завершення всіх потоків шифрування вихідний двійковий файл видаляє себе через командний рядок.

Коли екземпляр отримує шлях до файлу як аргумент, він шифрує його за допомогою AES в режимі Galois/Counter (GCM). Ключ AES генерується за допомогою функції Intn пакета Go rand для вибору зміщення в масиві символів 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генеруючи 32-байтовий ключ. Через ймовірну помилку в кодуванні затравка для функції Intn оновилася після генерації ключа, тобто при кожному запуску бінарного файлу та його клонів генерується один і той же ключ AES. Усі файли, зашифровані на хості, шифруються тим самим ключем, і знання ключа відповідного екземпляра PartyTicket дозволяє розшифрувати їх. Сценарій, який використовує цей недолік для відновлення зашифрованих файлів, доступний у Git-репозиторії CrowdStrike.

Для кожного файлу ключ шифрування AES сам шифрується за допомогою RSA-OAEP використовуючи відкритий ключ RSA, який має такі параметри:

Modulus (N): 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
Exponent (E): 0x10001


Перед шифруванням програма-вимагач перейменовує файл у форматі <original file name>.[[email protected][.]com].encryptedJB ("JB", ймовірно, означає ініціали президента США Джозефа Байдена, враховуючи політичний зміст бінарного файлу). Потім програма-вимагач перезаписує вміст зашифрованими даними. PartyTicket шифрує лише перші 9437184 байта (9,44 МБ) файлу. Якщо розмір файлу, переданого як аргумент, більший за ліміт, всі дані, що перевищують обмеження, залишаються незашифрованими. Після шифрування вмісту файлу PartyTicket додає до кінця файлу ключ AES, зашифрований за допомогою RSA .

Перед початком шифрування програма пише викупну HTML-нотатку в каталог робочого столу користувача з назвою read_me.html (рисунок 1). Якщо це не навмисні помилки, граматичні конструкції в нотатці свідчать про те, що вона, ймовірно, не була написана або вичитана людиною, яка вільно володіє англійською.

Рисунок 1. Викупна записка


Аналіз

Спочатку аналітична служба CrowdStrike не приписувала діяльність програми PartyTicket конкретному зловмиснику.

Програма-вимагач містить помилки в реалізації, що робить її шифрування повільним та легко зламним. Цей недолік говорить про те, що автор шкідливої програми або не мав досвіду написання мовою Go, або доклав замало зусиль для її тестування, можливо через обмежений час розробки. Зокрема, PartyTicket не такий досконалий, як DriveSlayer, який реалізує низькорівневу схему аналізу NTFS. Відносна незрілість та політична спрямованість цієї програми-вимагача, час її розгортання та орієнтація на українські організації дозволяють припустити, що вона використовується як додаткове корисне навантаження до DriveSlayer, а не як стандартна програма-вимагач.


Сигнатури YARA

Для виявлення PartyTicket можна використати наступне правило YARA:


Сценарій для розшифровування файлів

Через вище описані помилки в генерації ключа AES, використовуваного PartyTicket в процесі шифрування, його можна розшифрувати. Наведений нижче скрипт Go розшифровує файли, зашифровані екземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт приймає файл для розшифровування як аргумент через flag "-p" і зберігає розшифрований результат у "decrypted.bin" у тому ж каталозі. Сценарій може бути створений у вигляді файлу, запущеного за допомогою пакета Go run; він був протестований за допомогою Go версії 1.16.6.


Дізнайтеся, як захистити свою організацію від сучасних кібератак за допомогою продуктів CrowdStrike.


iIT Distribution – офіційний дистриб'ютор рішень від CrowdStrike, які дозволяють компаніям використовувати передові технології в галузі побудови безперебійного захисту своїх IT-інфраструктур. Ми тісно співпрацюємо з нашими клієнтами, надаючи повний комплекс послуг із супроводу проєктів.


Назад

Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 3)

Новина

Компаніям вже зараз слід вживати активних заходів захисту, щоб не виявитися маріонеткою в руках російських кіберзловмисників.


Чим корисна інформація з двох попередніх статей нашої серії? Вона наочно демонструє: велика кількість організацій у всьому світі мають сервіси, що сприяють атакам на українську цифрову інфраструктуру. І хоча ці атаки не є навмисними, оскільки йдеться про цілком законні системи, які були перетворені на DDoS-зброю, ІТ-фахівцям вже зараз слід переглянути свої служби та вжити належних заходів впровадження безпеки, використовуючи всі свої інструменти захисту, а не тільки системи захисту від DDoS.


Кроки на шляху до розв'язання цієї проблеми можуть включати:

  • Вимкнення будь-яких другорядних служб, які можуть генерувати потенційні атаки.
  • Вивчення підозрілих потоків трафіку, що виходять з організації, навколо протоколів, які можуть бути використані в атаках відбиття/посилення, зокрема UDP-сервісів (наприклад, традиційних протоколів, таких як DNS, NTP тощо, та менш поширених протоколів, таких як ARD, CLDAP тощо).
  • Активізація наявних засобів контролю доступу на брандмауерах та мережевому обладнанні для запобігання використанню систем у якості зброї.
  • Перевірка того, чи всі системи виправлені та оновлені для боротьби з відомими CVE.
  • Вивчення рекомендацій з різноманітних джерел: CISA, інформація від виробників та інші ресурси, які здатні допомогти в питаннях безпеки. Слідкуйте за розвитком ситуації, а потім робіть відповідні кроки щодо забезпечення захисту своїх систем.
  • Перевірка працездатності відповідних процедур захисту на випадок кібератаки. Це особливо важливо в тих ситуаціях, коли DDoS-атаки використовуються в якості «димової завіси» для відволікання уваги від інших атак.


Спеціалізовані системи захисту від DDoS-атак також забезпечують підвищений рівень безпеки, дозволяючи використовувати такі методи боротьби, як формування дієвих великоформатних списків загроз, спираючись на різні бази даних про загрози; перевірка аномалій трафіку; пошук порушень базової лінії трафіку; використання штучного інтелекту (AI), машинного навчання (ML) та багато іншого.

Важливо зазначити, що організаціям слід використовувати всі доступні засоби спостереження та звітності для отримання повної картини стану мережі для запобігання вищезазначеним аномальним діям.


Поширення більш масштабних та інтенсивних DDoS-атак свідчить про те, що захисні заходи мають бути вжиті вже зараз

DDoS-атаки відбиття/посилення все ще лишаються швидкими, дешевими і простими у виконанні. Дані, наведені у звіті A10 DDoS Attack Mitigation: A Threat Intelligence Report, вказують на нову, найбільшу серед усіх зареєстрованих атаку, яка побила всі торішні рекорди (3,47 Тбіт/с і 340 мільйонів пакетів на секунду) і про яку компанія Microsoft повідомила в січні 2022 року. Це підкреслює серйозний розмах, який можуть набути ці скоординовані атаки. І також вказує на те, що атаки можуть стати значно масштабнішими в майбутньому. Компанія Microsoft вже захистила себе від них, маючи у своєму арсеналі всі засоби як для виявлення, так і для пом'якшення їх наслідків.

Непідготовлені до атак організації своєю чергою найчастіше потрапляють у заголовки газет або сприяють поширенню загрози серед багатьох інших систем. Збільшення кількості офіційних публічних повідомлень та широкого висвітлення проблеми призводить до підвищення інформованості про кіберзагрози та допомагає спільнотам ІТ-фахівців покращити процес планування кроків пом'якшення цих загроз та обмеження збоїв. Як приклад можна навести DDoS-атаки Mirai у 2016 році, які добряче струснули ряд організацій, змусивши їх посилити свій кіберзахист. Це спричинило появу деяких нових успішних механізмів пом'якшення наслідків атак, які ми спостерігаємо сьогодні.


Висновок: будьте в числі всебічно підготовлених до потенційних атак компаній

Виконуючи вищезгадані кроки щодо забезпечення захисту систем, організації можуть бути впевненими в тому, що вони не стануть руйнівною маріонеткою в руках російських злочинних суб'єктів, які прагнуть порушити роботу інтернет-сервісів та іншої критично важливої інфраструктури в Україні. Згідно з дослідженнями A10 Networks, певні типи організацій та регіони стали реальною мішенню для російських атак. У зв'язку з мінливим ландшафтом загроз, організаціям у чутливих секторах по всьому світу, будь це урядові, військові чи критично важливі комерційні інфраструктури, рекомендується переглянути свої служби, щоб не стати посередником зловмисної діяльності.


iIT Distribution – офіційний дистриб'ютор передових рішень від A10 Networks на територіях України, Грузії, Казахстану та Узбекистану. Ми вдячні компанії А10 за трансляцію антизагарбницької позиції шляхом впровадження заходів щодо придушення російських атак на українські системи!

Зі свого боку iITD і надалі допомагатиме своїм партнерам у підборі та впровадженні продуктів захисту цього вендора.

Назад

CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України

Новина

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 лютого 2022 року стало відомо про появу нової шкідливої wiper-програми, яка вразила українські системи. Після серії атак типу "denial-of-service" та зламу низки українських вебсайтів нова шкідлива програма порушила роботу головного завантажувального запису (MBR), а також розділів та файлової системи всіх доступних фізичних дисків на машинах Windows.

Розвідка CrowdStrike дала назву цьому новому руйнівному ПЗ — DriveSlayer, і це вже друга програма типу Wiper, яка вразила Україну у розрізі недавніх атак з використанням шкідливої програми WhisperGate. DriveSlayer має цифровий підпис із використанням чинного сертифіката. Це програмне забезпечення зловживає легітимним драйвером EaseUS Partition Master для отримання доступу до диска та управління ним з метою приведення системи в непрацездатний стан.


Платформа CrowdStrike Falcon здатна забезпечити надійний та безперервний захист від DriveSlayer та загроз типу wiper, надаючи можливість відстежувати робочі навантаження в реальному часі для захисту клієнтів.

Перевірте ефективність рішення від CrowdStrike особисто, надіславши нам запит на тестування високоефективної платформи Falcon.


Технічний аналіз

На відміну від WhisperGate, який використовує високорівневі запити API, DriveSlayer використовує безпосередній доступ до диска для знищення даних.

При ініціалізації два додаткові параметри командного рядка можуть бути використані для вказівки часу сну шкідливої програми перед початком процесу знищення та перезавантаженням системи. Якщо вони не вказані, то за замовчуванням буде встановлено значення 20 і 35 хвилин.

Далі шкідлива програма переконується в тому, що вона має відповідні привілеї для виконання своїх руйнівних дій. Вона використовує API AdjustTokenPrivileges для присвоєння наступних привілеїв: SeShutdownPrivilege, SeBackupPrivilege і SeLoadDriverPrivilege.

Назва привілею Опис
SeShutdownPrivilege Забезпечує можливість вимкнення локальної системи
SeBackupPrivilege Забезпечує можливість виконання операцій системного резервного копіювання
SeLoadDriverPrivilege Забезпечує можливість завантаження чи вивантаження драйверів пристрою


Різноманітні драйвери будуть завантажуватися залежно від версії системи. Шкідлива програма використовує IsWow64Process для визначення версії завантажуваного драйвера. Ці драйвери зберігаються в секції ресурсів двійкового файлу та стискаються за допомогою алгоритму Lempel-Ziv. Файл драйвера записується в system32\drivers з 4-символьним, псевдовипадково згенерованим ім’ям. Після чого, цей файл розпаковується за допомогою LZCopy в новий файл з розширенням ".sys".

Приклад назви файлу Опис
C:\Windows\System32\drivers\bpdr Драйвер, стиснутий за допомогою алгоритму Лемпеля- Зіва
C:\Windows\System32\drivers\bpdr.sys Декомпресований драйвер


Перед завантаженням драйвера шкідлива програма відключає аварійний дамп, встановлюючи наступний ключ реєстру:

Реєстр Значення Опис
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Вимикає аварійний дамп

Для завантаження драйвера створюється нова служба за допомогою API CreateServiceW. Назвою та іменем, що відображається для цієї служби, є 4-символьне значення, яке використовується для імені файлу. Потім StartServiceW циклічно запускається п'ять разів, щоб переконатися, що драйвер завантажено. Відразу після завантаження драйвера служба знищується шляхом видалення всього ключа реєстру.

Після завершення завантаження драйвера служба VSS вимикається за допомогою диспетчера служб керування. Потім утворюється кілька додаткових потоків. Один із потоків створюється з метою обробки перезавантаження системи. Він перебуватиме в режимі сну протягом часу, вказаного параметром командного рядка, що дорівнює 35 хвилин, після чого система буде перезавантажена викликом API InitializeSystemShutdownExW.

Інший потік вимикає функції інтерфейсу користувача, які можуть попередити користувача про підозрілі активності, що відбувається в системі, перед ітерацією підключених дисків.

Реєстр Значення Опис
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Відключення кольорів для стиснених та зашифрованих файлів NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Відключення спливаючих сповіщень про папки та елементи робочого столу


Нарешті, шкідлива програма починає свою руйнівну роботу, породжуючи безліч додаткових потоків, які перезаписують файли на диску та знищують таблиці розділів. Після перезавантаження системи користувач побачить порожній екран із написом "Операційна система відсутня".


Безперервний моніторинг і видимість платформи Falcon зупиняють руйнівний вплив DriveSlayer

Платформа Falcon використовує багаторівневий підхід захисту робочих навантажень. Використовуючи on-sensor та cloud-based машинне навчання, behavior-based виявлення з використанням індикаторів атак (IOA) та розвіддані про тактики, методи та процедури (TTP), що застосовуються суб'єктами загроз, платформа Falcon забезпечує видимість, виявлення та безперервний моніторинг для будь-якого середовища, скорочуючи час на пошук та усунення загроз.

Як проілюстровано на рисунку 1, Falcon використовує хмарне машинне навчання для виявлення DriveSlayer і запобігання виконання програмою шкідливих дій, таких як завантаження додаткових компонентів.


Рисунок 1. Хмарне машинне навчання платформи Falcon виявляє DriveSlayer wiper


IOA платформи Falcon, засновані на поведінкових факторах, можуть виявляти та запобігати виконанню підозрілих процесів або завантаженню додаткових компонентів, а також інші види шкідливої поведінки. Наприклад, Falcon здатний визначити таку поведінку DriveSlayer, як втручання у певні ключі реєстру. Behavior-based виявлення додатково накладається традиційне виявлення хешів на основі індикаторів компрометації (IOC) (див. рисунок 2).


Рисунок 2. CrowdStrike Falcon виявляє та запобігає деструктивній діяльності DriveSlayer


DriveSlayer не має вбудованих технологій розповсюдження по інфраструктурах, а відомості про його використання в атаках на українські системи поки що обмежені. Компанія CrowdStrike і надалі стежитиме за ситуацією та повідомлятиме про те, що відбувається.

Клієнти CrowdStrike Falcon можуть здійснювати проактивний моніторинг своїх середовищ за допомогою hunting-запитів для виявлення індикаторів присутності DriveSlayer. Ознайомтеся з коротким описом DriveSlayer та способами його пошуку на порталі підтримки CrowdStrike.

iIT Distribution як офіційний дистриб'ютор рішень компанії CrowdStrike наполегливо рекомендує організаціям, що стикаються з ризиками кіберінцидентів, вжити заходів щодо підвищення своєї операційної стійкості. Рішення безпеки від CrowdStrike здатні захистити від шкідливого ПЗ та загрози знищення даних, забезпечуючи повну видимість середовища та інтелектуальний моніторинг хмарних ресурсів з метою виявлення та реагування на потенційні загрози – у тому числі руйнівні – та обмеження можливої шкоди від них.

Назад

Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 2)

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.


У попередній статті цієї серії ми розглянули розвіддані від компанії А10, що дають змогу осягнути характер фінансованих російським урядом, свіжих кіберзлочинів, спрямованих на українські цілі. Масовий сплеск атак на українські державні системи припав на перший же день російсько-української війни.


Пригадаємо дві основні цілі, на які була спрямована російська скоординована DDoS-атака відбиття/посилення (DDoS Amplification and Reflection Attacks):

  • ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD). Ця ціль належить до блоку IP-адрес 194.79.8.0, підв'язаних своєю геолокацією до одного з найбільших міст України – Харкова. Водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ.
  • Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Вивчаючи ці атаки, бачимо, що вони були схожими між собою, але не ідентичними. Наприклад, друга атака була спрямована на запит до протоколу мережевого часу (NTP) для здійснення DDoS-атаки посилення та відбиття на UDP-порту 123, що є досить поширеним явищем, тоді як перша атака мала в собі запити до менш поширеного протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.


Рисунок 1: Протоколи, спрямовані на українські зареєстровані ASN за протоколом UDP 24 лютого 2022 року на єдиний honeypot. Відповідно, ARD, NTP і CLDAP є найбільш запитуваними. Протягом наступних шести днів NTP став найбільшим протоколом, що спостерігається на цьому ж honeypot після сплеску активності під час першого дня війни


Оскільки йдеться про порти UDP, вони не мають з'єднання (на відміну від TCP, орієнтованого на з'єднання), що дозволяє підмінити адресу джерела, маскуючи запитувача і, водночас, відображаючи відповідь призначеній жертві, що отримує велике, посилене корисне навантаження. Саме тому зловмисники надають перевагу техніці посилення та відбиття.


ARD, наприклад, може мати коефіцієнт посилення, що у 34 рази перевищує вихідний запит. Для атаки ARD на першу ціль, за оцінками A10 Networks, більшість пакетів, на які надходив запит, були розміром 370 байт (70%). Однак, враховуючи велику кількість пакетів розміром 1014 байт (23%), ми можемо вирахувати середнє значення ~500 байт. Якщо помножити 500 байт на 2099092 запита, то вийде 1049546000 байт, або трохи більше 1 гігабайта, і всі вони були запрошені з однієї машини.


У звіті "A10 DDoS Attack Mitigation: A Threat Intelligence Report", жоден з цих протоколів не входить до п'ятірки лідерів. Згідно з дослідженнями, існує 30622 одиниць потенційної DDoS-зброї для ARD, які відстежуються компанією A10. Використання лише 10 відсотків їх теоретично може згенерувати 3,2 терабайта трафіку, а використання 50 відсотків - 16 терабайт.

Рисунок 2: Топ-10 локалізацій ARD UDP потенційної DDoS-зброї, яку відстежує A10 (за країнами та загалом)


Порівнюючи протокол ARD, ідентифікований проти першої мети кібератаки, бачимо, що існує 30 622 одиниць зброї, відстежуваної A10, 18 290 (59%) з якої перебуває в США. І хоча така зброя не є рідкістю, це наочно ілюструє, що ІТ-підрозділи за межами країн, що воюють, можуть бути активно залучені до кіберконфліктів. Якщо вжити відповідних заходів, ці підрозділи можуть безпосередньо допомогти мінімізувати збитки, завдані Україні. Аналізований нами honeypot базувався у США.


Як зазначено вище, два приклади атак, здійснених 24 лютого, були надзвичайно масштабними. Однак, спостерігається постійне зростання кількості більш дрібних атак на українські цілі з використанням різних протоколів UDP. Поєднання цих протоколів змінювалося з часом. Першого дня домінував ARD, а наступні шість днів - NTP. Спираючись на ці факти, власникам необхідно регулярно стежити за тим, щоб їх системи не допомагали російським зловмисникам здійснювати кібератаки та іншу дистабілізуючу незаконну діяльність, спрямовану на українські цілі.


Дізнайтеся більше про компанію А10 Networks та її високоефективні рішення,

Далі буде. Слідкуйте за оновленнями, щоб не пропустити третьої частини серії статей від iIT Distribution та A10 Networks!

Назад

Дослідження security-групи A10 Networks: як не стати «мимовільним спільником» російських кібератак на українські системи

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.

Компанія A10 Networks – один із тих вендорів, який активно підтримує Україну в критичний для неї час, усіма шляхами засуджуючи нелюдські злочини Росії проти української нації. У зв'язку з російсько-українською війною, яка шокує масштабами свого кровопролиття, російські терористи приділяють особливу увагу не лише територіальним наступам, а й дистабілізуючими кібератакам на українські системи, спонсоровані російською державою. Необхідно вживати негайних заходів щодо припинення цієї руйнівної діяльності, а також ліквідації потенційних шкідливих наслідків для інших країн. Потрібно діяти вже зараз. З цієї серії статей дізнайтеся про особливості та деталі нових кібератак, виявлених дослідницькою security-групою компанії A10 Networks. Вкрай важливо з’ясувати, які дії варто вжити задля пом'якшення наслідків російських кібератак і як саме переконатися в тому, що ви не є «мимовільним спільником» агресора.


Звіти та рекомендації

Спонсоровані державою атаки важко назвати новим явищем. Світ бачив випадки, в яких низка великих підприємств із таких галузей, як банківська справа, охорона здоров'я та державні структури, піддавалися масштабним DDoS-атакам, потрапляючи на перші шпальта газет. Але що стосується нинішнього кіберконфлікту, він ведеться відразу по кількох напрямках. Свіжі звіти A10 Networks містили інформацію про шкідливі ПЗ, DDoS-атаки та пошкодження українських веб-сайтів. Керівництво Агентства з кібербезпеки та захисту інфраструктури (CISA), що входить до складу Міністерства внутрішньої безпеки США, попереджає про нову загрозу:

"Вірогідні подальші підривні кібератаки проти українських компаній, які можуть запросто торкнутися й організацій з інших країн. Компаніям слід підвищити свою пильність та переоцінити свої функціональні можливості, що включають планування, підготовку, виявлення та реагування на подібні загрози".


Сьогодні ми можемо спостерігати результати тривалої підготовки до теперішнього кіберконфлікту. Наприклад, у 2020 році стало відомо, що російська ФСБ прагне створити потужний ботнет IoT. Ми також бачили повідомлення про шкідливі програми з численними варіаціями, такі як Wiper, що завдають шкоди шляхом видалення конфіденційних даних з цільових комп'ютерних систем. Крім того, DDoS-атаки, які спонсоруються державою, спрямовані на урядові, банківські та освітні послуги, тобто на організації, які обслуговують звичайних людей. Варто зазначити і про контратаки з боку хактивістів. Наприклад, групою Anonymous було зламано відомі російські сайти з ціллю розміщення антивоєнних повідомлень. Це наочно демонструє той факт, що як наступальні, так і оборонні заходи проти російських зловмисників активно вживаються та мають відчутний успіх.


DDoS-атаки відбиття/посилення (DDoS Amplification and Reflection Attacks) були й залишаються націленими на Україну

Системи дослідницької security-групи A10 фіксували потужні та тривалі атаки на українські державні мережі та, як наслідок, на комерційні інтернет-ресурси. Масовий сплеск атак припав на перший день воєнного конфлікту.

Вивчаючи один із досліджуваних honeypots і зосередившись на сплеску порушень першого дня, спеціалісти А10 побачили, що хакери намагаються залучити легітимні системи до скоординованої DDoS-атаки відбиття/посилення. Спроба захопити вузол honeypot була зроблена через кілька годин після початку перших територіальних нападів на Україну 24 лютого. Беручи до уваги відповіді на запити систем, що стосуються українських мішеней, можна виділити дві основні цілі:


1) ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD).

2) Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Перша ціль спочатку може здатися трохи незрозумілою через свою назву. При отриманні поглибленої інформації про ПП «Інфосервіс-Лінк» ми бачимо, що вона належить блоку IP-адрес 194.79.8.0. Перевіряючи, куди вона була підв'язана, ми бачимо в одному з джерел геолокацію до одного з найбільших міст України - Харкова, водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ. Флуд на блок, хоч і не на конкретний хост, все ж таки створює DDoS-атаку, з якою мережеве обладнання в принципі має впоратися, якщо воно не ослаблене. Таким чином, можна зробити висновок, що мета атаки - завдати шкоди безлічі додатків, серверів та основній інфраструктурі, що обслуговується цим блоком та обладнанням.


Друга ціль - урядовий департамент - виглядає як очевидне джерело можливостей для зловмисників:

"Основним завданням Секретаріату є організаційне, експертно-аналітичне, правове, інформаційне, матеріально-технічне забезпечення діяльності Кабінету Міністрів України, урядових комітетів Прем'єр-міністра України, першого віце-прем'єр-міністра, віце-прем'єр-міністрів, міністра Кабінету Міністрів України", - Wikipedia.


Рисунок 1: Інформація про місцерозташування з пошуку ipinfo.io


Рисунок 2: 645 248 спроб amplification-запиту до одного honeypot за 15 хвилин


Далі буде. Слідкуйте за оновленнями!

Компанія iIT Distribution є офіційнім дистриб'ютором продуктів від A10 Networks на територіях України, Казахстану, Грузії та Узбекистану. Ми щиро вдячні А10 за активну трансляцію антизагарбницької позиції шляхом впровадження заходів по придушенню російських атак на українські системи! Зі свого боку iITD і надалі допомагатиме своїм клієнтам у підборі та впровадження найефективнішіх кіберрішень цього вендора.

Назад

Mobile Marketing
+