fbpx

Наши представительства: 

Заказать обратный звонок
btn

Что нового в Labyrinth Deception Platform: релиз 2.0.32

Новость

Компания Labyrinth выпустила новую версию своего более эффективного решения для выявления и прекращения хакерской деятельности внутри корпоративных сетей. Это обновление предлагает ряд улучшенных функций, которые мы подробно рассмотрим в данной статье.


New + Improved

Частичный процесс Generate/Terminate для Honeynet

В противоположность классическому процессу Generate/Terminate, коли створюються Point’s глобально для всіх Honeynet, частковий процесс Generate/Terminate дає змогу генерувати або видаляти Point’s для кожного Honeynet окремо. Це дозволяє значно швидше вносити зміни у конфігурацію Лабіринту, тому що не потрібно чекати, коли створяться Point’s для всіх Honeynet при внесении незначительных изменений в конкретный Honeynet.



Web интерфейс с Worker Node

Начиная с этого релиза, Web интерфейс лабиринта доступен не только с аплаянса Admin Console, но и с каждой Worker Node. Тобто достатньо у адресній стрічці браузера вбити IP-адресу Worker Node і відкриється головний Web інтерфейс лабіринту.

Эта функция будет полезна, когда есть распределенные установки Лабиринта (т.е. одна или более Worker Node находятся в разных локациях), а доступ к локации, где установлен Admin Console, ограничен.

ВАЖЛИВО! Web интерфейс на Worker Node включен по умолчанию и пока нет возможности его отключить. В последующих релизах рассматривается возможность функции отключения данного интерфейса.


Опціональне сканування мереж Honeynet

Перед каждым процессом Generate запускається процес сканування мереж, які відносяться до Лабіринту, тобто мережі, що прописані у конфігурації всіх Honeynet. Сканування мереж необхідно для того, щоб знайти автоматично сервіси (IP-адреси та порти) для таких типів Point, як Universal Web Point (HTTP/HTTPS сервіси), Windows 10 Host (RDP сервіси) та ін. Це дозволяє у автоматичному або напів автоматичному режимі запустити роботу Лабіринту.

З іншого боку процес сканування значно сповільнює час генерування Лабіринту (в залежності від кількості мереж та їх розмірів), але у певних конфігураціях Honeynet не є обов’язковим. Наприклад, якщо прописати веб сервіси для Universal Web Point у конфігурації Honeynet в полі Allowed IP Addresses (CSV), нет необходимости сканировать сети, чтобы найти веб-сервисы.

Начиная с данного релиза есть возможность в конфигурации каждого Honeynet включить или исключить сканирование сетей, относящихся к конкретному Honeynet. Тем самым значительно ускорить процесс Generate.

Вместе с частичным Generate время внесения изменений в конфигурацию Лабиринта значительно сокращается.


Усовершенствованный Universal WEB Point

Тип Point Universal Web Point был значительно переработан. Из основных функций можно выделить следующее:

  1. Автоматичне клонування TLS/SSL сертифікату. Тобто при старті даного типу поінта, він намагається створити самопідписний сертифікат, який по параметрам максимально схожий на оригінальний.
  2. Можливість “слухати” більше, ніж на одному TCP порту. Раніше Point даного типу міг “слухати” на одному TCP порту. Тобто, якщо оригінальний застосунок, скажімо, “слухає” на порту 80 з редіректом на HTTPS, то Universal Web Point слухав би тільки HTTPS.
  3. Добавлен детект и имитацию уязвимости Log4Shell


Settings Integrations migration

Значно перероблені та вдосконалені налаштування Settings -> Integrations. Ці зміни стосуються зовнішнього вигляду (більш компактний список інтеграцій) та фіксу мінорних багів.

ВАЖЛИВО! Рекомендуется проверить настройки интеграции после обновления.

Формы Wordlist и рефакторинг Honeynet

Також значно перероблені Wordlist’s (списки hostnames, usernames, passwords). Напротивагу глобальним спискам, які використовуються під час генерації Лабіринту, зараз ці списки налаштовуються для кожного Honeynet окремо. Тобто у вас є можливість для кожного сегменту мережі задавати різні списки, наприклад, для hostnames.


Список доступных (т.е. загруженных Wordlist):


Настройка Honeynet:


Новый тип Point: VMWare vCenter Virtual Appliance

Добавлен новый тип Point – VMWare vCenter Virtual Appliance. Это имитация логина формы VMWare vCenter 6.8 Virtual Appliance, содержащая в себе уязвимость Log4Shell.

Fixes

Seeder Tasks: empty seeder tasks after generation

Исправлено. При определенных обстоятельствах Seeder Tasks не генерировались для Seeder Agent'ов, подключаемых после Generate. Ожидаемое поведение: после Generate для новых агентов, подключившихся после Generate, должны создать Seeder Tasks.


Seeder Tasks: empty related point_id

Исправлено. При определенных настройках Лабиринта могла возникнуть следующая ситуация:


TLS Certificate and Key Content-Type issue

Исправлено. Если сертификат или загружаемый ключ правильного формата, но - с неправильным расширением файла, их скачать было невозможно. Сейчас неважно, с каким расширением файлы, главное, чтобы был правильный формат содержимого файлов: PEM-encoded x509 сертификат, и PEM-encoded RSA ключ.


Узнать больше об инновационном киберрешении от Labyrinth.


iIT Distribution является официальным дистрибьютором решения Labyrinth, который не только обеспечивает поставки ПО, но и предоставляет полный комплекс услуг по сопровождению и консультации. Наша компания предлагает начальную экспертизу и оценку состояния ИБ вашего предприятия от квалифицированных специалистов, подбор оборудования и ПО, а также внедрение комплексных решений кибербезопасности в существующую инфраструктуру. В сегодняшних реалиях очень важно сохранять бдительность, не откладывая вопрос обеспечения защиты своих систем на потом.

Назад

Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR

Новость

Palo Alto Networks проінформувала клієнтів про вразливості, які можуть дозволити зловмиснику відключити її продукти, а саме Cortex XDR – свою топову платформу з виявлення та реагування на комп’ютерні загрози з великим покриттям – від захисту кінцевих точок до мережевого та хмарного захисту!


Про проблеми стало відомо від ентузіаста з ніком mr.d0x, який повідомив, що агент Cortex XDR може обійти зловмисник з підвищеними привілеями. Дослідник виявив, що агент може бути відключений локальним зловмисником із правами адміністратора шляхом простої зміни ключа реєстру, що залишить кінцеву точку вразливою до атак. Причому функція захисту від несанкціонованого доступу не запобігає використанню цього метода.


Крім того, mr.d0x виявив, що за замовчуванням існує "пароль для видалення", який (якщо він не був змінений адміністратором) також може використовуватися для відключення агента XDR. А якщо пароль за замовчуванням все ж таки був змінений, хеш нового пароля можна отримати з файлу, що дає можливість зловмиснику спробувати зламати пароль.

Щобільше, зловмисник, який не має прав адміністратора, також може отримати цей хеш. Фахівець розповів, що виявив ці вразливості ще влітку 2021 року, але лише зараз опублікував повідомлення у блозі з докладним описом результатів, щоб дати постачальнику достатньо часу для ухвалення відповідних заходів. Однак Palo Alto Networks все ще працює над виправленнями та засобами захисту від цих проблем.


Незважаючи на це все, кіберкомпанія проінформувала клієнтів про вразливість відмови в обслуговуванні (DoS), що стосується функції DNS-проксі в її програмному забезпеченні PAN-OS. Під час реалізації сценарію MitM-атаки (людина посередині) зловмисник може використовувати спеціально створений трафік для порушення роботи вразливих брандмауерів. Патчі оновлень доступні для всіх підтримуваних версій PAN-OS.

Також під час реалізації MitM зловмисник може запустити DoS-атаку на PAN-OS, додатку GlobalProtect та агенті Cortex XDR, використовуючи нещодавно виправлену вразливість OpenSSL, відстежувану як CVE-2022-0778.


У Palo Alto Networks заявили, що для компанії не є відомими атаки з використанням цих вразливостей у дикій природі і, на її думку, ці помилки мають рейтинг серйозності «середній», «низький»» або «інформаційний».

Назад

Передовые anti-DDoS решения от A10 Networks доступны для инсталляции!

Новость

Хотим мы этого или нет, но в сегодняшних условиях наши системы в той или иной степени находятся в зоне самых настоящих кибербоевых действий. Следует быть готовым к худшему, ведь сейчас угрозы подстерегают своих потенциальных жертв на каждом шагу, и именно поэтому команда iIT Distribution понимает, насколько важно быть преданным непрерывному процессу обеспечения защиты своих клиентов.


Учитывая временное ограничение в поставке «железного» оборудования от лидера в разработке решений для балансировки трафика, защиты периметра сетей и оптимизации IP-адресации A10 Networks, мы хотим обратить ваше внимание на высокоэффективные anti-DDoS решения A10 Thunder TPS, доступные для беспрепятственного и быстрого развертывание в виртуальной среде.

Высокая масштабируемость, производительность и гибкость развертывания делает vThunder TPS лидером среди других киберпродуктов для обнаружения/предотвращения DDoS атак. Это решение, в зависимости от типа лицензии и аппаратных возможностей виртуальной среды может работать с производительностью до 100 Гбит/с, поддерживая детекцию потока до 1,5 млн кадров в секунду.Широкий спектр реализации на любых виртуальных платформах (ESXi, KVM, Hyper-V) делает vThunder TPS легко адаптированным под все возможные варианты развертывания.

Узнайте больше о решениях от A10 Networks.


Мы готовы предоставить нашим заказчикам триальные лицензии A10 Thunder TPS с полным функционалом на необходимый срок (учитывая пилотный период, периоды настройки и запуска). Обратите внимание, что после подписания договора о приобретении решения время замены лицензии будет занимать считанные минуты, не вызывая остановки системы заказчика. Это относится и к другим продуктам от A10 (A10 Thunder ADC и A10 Thunder CGN).

iIT Distribution официальный дистрибьютор компании A10 Networks, обеспечивающий дистрибуцию и продвижение решений вендора на территориях Украины, Казахстана, Узбекистана и Грузии, а также профессиональную поддержку в их проектировании и внедрении.

Назад

Inspur второй год подряд становится образцовым поставщиком Cloud-Optimized оборудования по версии Gartner Hype Cycle.

Новость

Inspur, ведущий производитель и поставщик серверного оборудования, систем хранения данных и услуг в области облачных вычислений, в очередной раз был выбран компанией Gartner в качестве образцового поставщика Cloud-Optimized оборудования, согласно недавнему отчетету "Hype Cycle for Cloud Computing".


Gartner уже второй год подряд упоминает Inspur в своих отчетах, подчеркивая преимущества ключевых облачных технологии компании, активно используемых сегодня, а также инновации, способные удовлетворить требования завтрашнего дня.

По данным Gartner, ведущей мировой исследовательской IT-компании, в ближайшие 2-5 лет стоит ожидать внедения крупномасштабных высокофункциональных современных приложений. Эта тенденция напрямую связана с увеличением числа инновационных Cloud-Optimized аппаратных разработок для крупных облачных центров обработки данных.


Облачные вычисления расширили границы гипермасштабных облачных услуг с точки зрения маневренности и эластичности. Gartner доказывает, что в сфере инфраструктуры поставщикам гипермасштабных облачных услуг требуются более гибкие и инновационные продукты, которые помогут снизить энергопотребление и эксплуатационные расходы центров обработки данных, а также оптимизировать конкретные рабочие нагрузки. Сегодня все больше ИТ-команд в своих крупных центрах обработки данных используют именно Cloud-Optimized оборудование.

Это оборудование преимущественно включает в себя серверы, сети, системы хранения данных и специализированные микросхемы. Компания Gartner отметила, что оптимизированные для облачных вычислений стойки и конструкции серверов позволяют снизить энергопотребление, упростить физическую установку и ускорить доставку. Например, проект Open Compute Project (OCP), в котором компания Inspur принимает активное участие, определяет стандарты для стоечных серверов «all-in-one» в центрах обработки данных. Данные показывают, что благодаря использованию Cloud-optimized открытых стоечных серверов «all-in-one», крупный ЦОД, являющийся клиентом Inspur Information, снизил потребление электроэнергии на 30%, сократил частоту отказов системы на 90%, увеличил окупаемость инвестиций на 33% и повысил эффективность OPS более чем в три раза. Inspur Information смогла поставлять заказчику 10 000 серверов каждый день.


На сегодняшний день технологии открытых облачных вычислений широко применяются в интернет-компаниях, которые эксплуатируют наиболее современные центры обработки данных. Ведущие компании в таких ключевых отраслях, как коммуникации, финансы и энергетика, по всему миру также присоединились к организациям, использующим открытые облачные вычисления, в полной мере применяя их при создании собственных центров обработки данных.

Являясь единственным в мире поставщиком серверов, который присоединился ко всем Open Computing организациям (OCP, ODCC, Open19), Inspur активно разрабатывает спецификации продуктов, участвует в разработке стандартов и руководит реализацией проектов. Используя открытые облачные вычисления и инновационный способ обеспечения глобального сотрудничества, Inspur работает с предприятиями отрасли над поиском устойчивых и высокоэффективных решений для инфраструктуры крупных ЦОД, таких как серверы с жидкостным охлаждением, высокоскоростные сетевые коммуникации и интеллектуальные системы OPS.

Недавно Gartner опубликовала данные о мировом рынке серверов за третий квартал 2021 года. Inspur заняла второе место в мире с долей рынка 11,3%. Стремительно расширяя свое глобальное присутствие, компания расширяет свое присутствие во многих отраслях, объясняя это своим вкладом в деятельность организаций, специализирующихся на открытых облачных вычислениях.


iIT Distribution является официальным дистрибьютором надежных и конкурентных продуктов Inspur на территориях Украины, Грузии, Казахстана и Узбекистана, предлагающим свою поддержку во внедрении интеллектуальных решений компании во многих производственных направлениях. iITD стремится снабжать своих заказчиков только высокотехнологичным и эффективным оборудованием для построения надежной IT-инфраструктуры предприятий.

Познакомьтесь поближе с продуктами от Inspur! Продуктовая линейка будет дополняться новыми продуктами и следите за обновлениями.

Назад

Быстрая доставка решений от INFINIDAT и Inspur доступна уже сейчас!

Новость

iIT Distribution объявляет, что, несмотря на все внешние обстоятельства, логистика компании работает в интенсивном режиме!

Прямо сейчас вы можете воспользоваться быстрой доставкой мультипетабайтных СХД-решений корпоративного класса от INFINIDAT, а также высококлассного серверного оборудования от Inspur под заказ. Мы готовы доставить выбранные вами продукты МАКСИМУМ через 45 дней после подачи заявки.

Чтобы сделать заказ, обращайтесь по адресам infinidat@iitd.com.ua и inspur@iitd.com.ua соответственно.


Напомним, что INFINIDAT является лидером рынка систем хранения данных по оценкам магического квадранта Gartner 2021 для основных систем хранения данных! Компания разработала собственные инновационные технологии хранения (как основного – решение InfiniBox, так и дискового резервного копирования – решение InfiniGuard) и надежной защиты тысяч терабайт данных по минимальной возможной цене.

Узнайте больше о решениях от INFINIDAT.


Предлагаем вам познакомиться с продуктами Inspur — компании, являющейся абсолютным лидером китайского рынка AI-серверов и поставщиком серверов №3 в мире (согласно оценкам IDC и Gartner). Высокотехнологичные решения для хранения данных от Inspur установили более 80 рекордов в различных тестах, таких как TPC-E, TPC-H, SPECAppServer и SPECPower!

Рассмотрите продукты от Inspur на любой вкус!


Если вы затягивали с этим раньше, сейчас самое время направить свои силы на выбор и приобретение по-настоящему качественного оборудования для надежного хранения данных от мировых лидеров отрасли.

Компания iIT Distribution беспрестанно беспокоится о защищенности и эффективной, бесперебойной работе IT-инфраструктур наших клиентов. В военное время мы чувствуем особую ответственность за безопасность и цифровой комфорт каждого нашего клиента. Именно поэтому iITD как официальный дистрибьютор компаний INFINIDAT и Inspur и дальше будет предлагать свою поддержку в подборе, проектировании и внедрении наиболее эффективных киберрешений этих вендоров.

Назад

Команда CrowdStrike провела исследование программы-вымогателя PartyTicket, нацеленной на украинские компании

Релиз

23 февраля 2022 был проведен ряд разрушительных кибератак, направленных на украинские организации. Согласно отраслевым отчетам, в нескольких организациях, непосредственно пострадавших от атаки, была обнаружена Go-based программа-вымогатель под названием PartyTicket (или HermeticRansom). Вместе с ней были идентифицированы и другие семейства вредоносных программ, включая программу типа Wiper, которую разведка CrowdStrike отслеживает как DriveSlayer (HermeticWiper).

Анализ программы-вымогателя PartyTicket показал, что она реализует достаточно поверхностное шифрование файлов, неправильно инициализируя ключ шифрования, что позволяет дешифровать зашифрованный файл с соответствующим расширением. .encryptedJB.


Технический анализ

Экземпляр программы-вымогателя PartyTicket имеет хэш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Было отмечено, что он связан с именами файлов cdir.exe, cname.exe, connh.exe и intpub.exe.

Экземпляр программы-вымогателя, написанный с помощью Go версии 1.10.1, содержит много символов, которые ссылаются на политическую систему США, включая voteFor403, C:/projects/403forBiden/wHiteHousE и primaryElectionProcess.

Программа-вымогатель перебирает буквы всех дисков и рекурсивно перечисляет файлы на каждом диске и его подпапках, за исключением путей к файлам, содержащим строки Windows и Program Files, а также пути к папке C:\Documents and Settings (последняя папка была заменена в версиях Windows, Windows XP, C:\Users). Для шифрования выбираются файлы со следующими расширениями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для каждого пути к файлу, проходящему ранее описанные проверки, ransomware копирует собственный экземпляр в тот же каталог, из которого он был запущен, и запускает его через командную строку, передавая путь к файлу в качестве аргумента. Родительский процесс ransomware присваивает имена своим клонам с помощью случайного UUID, созданного общедоступной библиотекой, использующей текущую метку времени и MAC-адреса сетевых адаптеров зараженного хоста.

Разработчик вредоносной программы пытался использовать типы WaitGroup языка Go для реализации многопоточности, но из-за вероятной ошибки в кодировании программа создает большое количество потоков (по одному на перечисленный путь к файлу) и копирует собственный двоичный файл в текущий каталог столько раз, сколько было выбрано файлов. После завершения всех потоков шифрования исходный двоичный файл удаляет себя через командную строку.

Когда экземпляр получает путь к файлу в качестве аргумента, он шифрует его с помощью AES в режиме Galois/Counter (GCM). Ключ AES генерируется с помощью функции Intn пакета Go rand для выбора смещения в массиве символов 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генерируя 32-байтовый ключ Из-за вероятной ошибки в кодировании затравка для функции Intn обновилась после генерации ключа, то есть при каждом запуске бинарного файла и его клонов генерируется один и тот же ключ AES. Все файлы, зашифрованные на хосте, шифруются тем же ключом, и знание ключа соответствующего экземпляра PartyTicket позволяет расшифровать их. Сценарий, использующий этот недостаток для восстановления зашифрованных файлов, доступен в Git-репозитории CrowdStrike.

Для каждого файла ключ шифрования AES сам шифруется с помощью RSA-OAEP, используя открытый ключ RSA, который имеет следующие параметры:

Modulus (N): 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
Exponent (E): 0x10001


Перед шифрованием программа-вимогатель переименовывает файл в формате <original file name>.[[email protected][.]com].encryptedJB ("JB", вероятно, означает инициалы президента США Джозефа Байдена, учитывая политическое содержание бинарного файла). Затем приложение-вымогатель перезаписывает содержимое зашифрованными данными. PartyTicket шифрует только первые 9437184 б (9,44 МБ) файла. Если размер файла, переданного в качестве аргумента больше лимита, все данные, превышающие ограничения, остаются незашифрованными. После шифрования содержимого файла PartyTicket добавляет к концу файла ключ AES, зашифрованный с помощью RSA.

Перед началом шифрования программа пишет выкупную HTML-заметку в каталог рабочего стола пользователя с названием read_me.html (рисунок 1). Если это не намеренные ошибки, грамматические конструкции в заметке свидетельствуют о том, что она, вероятно, не была написана или вычитана человеком, свободно владеющим английским.

Рисунок 1. Выкупная записка


Анализ

Сначала аналитическая служба CrowdStrike не приписывала деятельность программы PartyTicket конкретному злоумышленнику.

Программа-вымогатель содержит ошибки в реализации, что делает ее шифрование медленным и легко взламываемым. Этот недостаток говорит о том, что автор вредоносной программы либо не имел опыта написания на языке Go, либо приложил мало усилий для ее тестирования, возможно из-за ограниченного времени разработки. В частности, PartyTicket не так совершенен, как DriveSlayer, реализующий низкоуровневую схему анализа NTFS Относительная незрелость и политическая направленность этой программы-вымогателя, время ее развертывания и ориентация на украинские организации позволяют предположить, что она используется как дополнительная полезная нагрузка к DriveSlayer, а не как стандартная программа-вымогатель.


Сигнатуры YARA

Для обнаружения PartyTicket можно использовать следующее правило YARA:


Сценарий для расшифровки файлов

Из-за выше описанных ошибок в генерации ключа AES, используемого PartyTicket в процессе шифрования, его можно расшифровать. Следующий скрипт Go расшифровывает файлы, зашифрованные экземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт принимает файл для расшифровки в качестве аргумента через flag "-p" и сохраняет расшифрованный результат в "decrypted.bin" в том же каталоге. Сценарий может быть создан посредством файла, запущенного с помощью пакета Go run; он был протестирован с помощью Go версии 1.16.6.


Узнайте, как защитить свою организацию от современных кибератак с помощью продуктов CrowdStrike.


iIT Distribution – официальный дистрибьютор решений от CrowdStrike, которые позволяют компаниям использовать передовые технологии в области построения бесперебойной защиты своих IT-инфраструктур. Мы тесно сотрудничаем с нашими клиентами, предоставляя полный комплекс услуг по сопровождению проектов.


Назад

КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ (PART 3)

Новость

Примите активные меры защиты своей организации, чтобы не оказаться марионеткой в руках русских киберзлоумышленников


Какую пользу приносит информации в двух предыдущих статьях нашей серии? Она наглядно демонстрирует: множество организаций по всему миру имеют сервисы, способствующие атакам на украинскую цифровую инфраструктуру. И хотя эти атаки не являются преднамеренными, поскольку речь идет о вполне законных системах, которые были превращены в DDoS-оружие, ИТ-специалистам уже сейчас следует пересмотреть свои службы и принять должные меры обеспечения безопасности, используя все свои инструменты защиты, а не только системы защиты от DDoS.


Шаги по решению этой проблемы могут включать в себя:

  • Отключение любых второстепенных служб, которые могут генерировать потенциальные атаки.
  • Изучение подозрительных потоков трафика, исходящих из организации вокруг протоколов, которые могут быть использованы в атаках усиления и отражения, в частности, UDP-сервисов (например, традиционных протоколов, таких как DNS, NTP и т.д., и менее распространенных протоколов, таких как ARD, CLDAP и т.д.)
  • Активизация имеющихся средств контроля доступа на брандмауэрах и сетевом оборудовании для предотвращенія использования систем в качестве оружия.
  • Проверка того, все ли системы исправлены и обновлены для борьбы с известными CVE.
  • Изучение рекомендаций из различных источников: CISA, информация от производителей и другие ресурсы, которые способны помочь в вопросах безопасности. Будьте в курсе развития ситуации, а затем предпринимайте соответствующие шаги по обеспечению защиты своих систем.
  • Проверка работоспособности соответствующих процедур защиты на случай кибератаки. Это особенно важно в тех ситуациях, когда DDoS-атаки используются в качестве «дымовой завесы» для отвлечения внимания от других атак.


Специализированные системы защиты от DDoS-атак также обеспечивают повышенный уровень безопасности, позволяя использовать такие методы борьбы, как составление действенных крупноформатных списков угроз, опираясь на различные базы данных об угрозах; проверка аномалий трафика; поиск нарушений базовой линии трафика; использование искусственного интеллекта (AI) и машинного обучения (ML) и многое другое.

Важно отметить, что организациям следует использовать все доступные средства наблюдения и отчетности, чтобы получить полную картину состояния сети для предотвращения вышеупомянутых аномальных действий.


Распространение более масштабных и интенсивных DDoS-атак свидетельствуют о том, что защитные меры должны быть приняты уже сейчас

DDoS-атаки усиления и отражения по-прежнему являются быстрыми, дешевыми и простыми в исполнении. Данные, приведенные в отчете A10 DDoS Attack Mitigation: A Threat Intelligence Report, указывают на новую, крупнейшую из всех зарегистрированных атаку, которая побила все прошлогодние рекорды (3,47 Тбит/с и 340 миллионов пакетов в секунду) и о которой компания Microsoft сообщила в январе 2022 года. Это подчеркивает внушительный размах, который могут иметь эти скоординированные атаки. И также указывает на то, что будущие атаки могут быть гораздо более масштабными. Компания Microsoft уже защитила себя от них, имея в своем арсенале все средства как для обнаружения, так и для смягчения их последствий.

Неподготовленные к атакам организации в свою очередь чаще попадают в заголовки газет или способствуют распространению угрозы по множеству систем. Увеличение количества официальных публичных сообщений и широкого освещения проблемы приводит к повышению осведомленности о киберугрозах и помогает сообществам ИТ-специалистов улучшить процесс планирования шагов по смягчению угроз и ограничению сбоев. В качестве примера можно привести DDoS-атаки Mirai в 2016 году, которые хорошенько встряхнули ряд организаций, заставив их усилить свою защиту. Это привело к появлению некоторых новых успешных механизмов смягчения последствий атак, которые мы наблюдаем сегодня.


Вывод: будьте в числе компаний, всесторонне подготовленных к потенциальным атакам

Выполняя вышеуказанные шаги по обеспечению защиты систем, организации могут быть уверенными в том, что они не станут разрушительной марионеткой в руках русских преступных субъектов, стремящихся нарушить работу интернет-сервисов и другой критически важной инфраструктуры в Украине. Согласно исследованиям A10 Networks, определенные типы организаций и регионы стали реальной мишенью для российских атак. В связи с изменчивым ландшафтом угроз, организациям в чувствительных секторах по всему миру, будь то правительственные, военные или критически важные коммерческие инфраструктуры, рекомендуется пересмотреть свои службы, чтобы не стать посредником злоумышленной деятельности.


iIT Distribution - официальный дистрибьютор передовых решений от A10 Networks на территориях Украины, Грузии, Казахстана и Узбекистана. Мы благодарны компании А10 за трансляцию антизахватнической позиции путем внедрения мер по подавлению российских атак на украинские системы!

Со своей стороны iITD и в дальнейшем будет помогать своим клиентам в подборе и внедрении продуктов защиты этого вендора.

Назад

CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины

Новость

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 февраля 2022 года стало известно о появлении новой вредоносной wiper-программы, поразившей украинские системы. После серии атак типа "denial-of-service" и взлома ряда украинских веб-сайтов новая вредоносная программа нарушила работу главной загрузочной записи (MBR), а также разделов и файловой системы всех доступных физических дисков на машинах Windows.

Разведка CrowdStrike дала название этому новому разрушительному ПО — DriveSlayer, и это уже вторая программа типа Wiper, поразившая Украину в свете недавних атак с использованием вредоносной программы WhisperGate. DriveSlayer имеет цифровую подпись с использованием действующего сертификата. Это ПО злоупотребляет легитимным драйвером EaseUS Partition Master для получения доступа к диску и управления им с целью привести систему в неработоспособное состояние.


Платформа CrowdStrike Falcon способна обеспечить надежную и непрерывную защиту от DriveSlayer и угроз типа wiper, предоставляя возможность отслеживать рабочие нагрузки в реальном времени для защиты клиентов.

Проверьте эффективность решения от CrowdStrike лично, отправив нам запрос на тестирование высокоэффективной платформы Falcon.


Технический анализ

В отличие от WhisperGate, который использует высокоуровневые вызовы API, DriveSlayer использует прямой доступ к диску с целью уничтожения данных.

При инициализации, два дополнительных параметра командной строки могут быть использованы для указания времени сна вредоносной программы перед началом процесса уничтожения и перезагрузкой системы. Если они не указаны, то по умолчанию будет задано значение 20 и 35 минут.

Далее вредоносная программа убеждается в том, что у нее есть соответствующие привилегии для выполнения своих разрушительных действий. Она использует API AdjustTokenPrivileges для присвоения себе следующих привилегий: SeShutdownPrivilege, SeBackupPrivilege и SeLoadDriverPrivilege.

Название привилегии Описание
SeShutdownPrivilege Обеспечивает возможность выключения локальной системы
SeBackupPrivilege Обеспечивает возможность выполнения операций резервного копирования системы
SeLoadDriverPrivilege Обеспечивает возможность загрузки или выгрузки драйвера устройства


Разнообразные драйверы будут загружаться в зависимости от версии системы. Вредоносная программа использует IsWow64Process для определения версии загружаемого драйвера. Эти драйверы хранятся в секции ресурсов двоичного файла и сжимаются с помощью алгоритма Lempel-Ziv. Файл драйвера записывается в system32\drivers с 4-символьным, псевдослучайно сгенерированным именем. Затем этот файл распаковывается с помощью LZCopy в новый файл с расширением ".sys".

Пример названия файла Описание
C:\Windows\System32\drivers\bpdr Драйвер, сжатый с помощью алгоритма Лемпеля-Зива
C:\Windows\System32\drivers\bpdr.sys Декомпрессированный драйвер


Перед загрузкой драйвера вредоносная программа отключает аварийный дамп, устанавливая следующий ключ реестра:

Реестр Значение Описание
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Отключает аварийный дамп

Для загрузки драйвера создается новая служба с помощью API CreateServiceW. Именем и отображаемым именем для этой службы является 4-символьное значение, используемое для имени файла. Затем StartServiceW запускается в цикле пять раз, чтобы убедиться, что драйвер загружен. Сразу после загрузки драйвера служба уничтожается путем удаления всего ключа реестра.

После завершения процесса загрузки драйвера служба VSS отключается с помощью диспетчера служб управления. Затем создается несколько дополнительных потоков. Один из потоков создается с целью обработки перезагрузки системы. Он будет находиться в режиме сна в течение времени, указанного параметром командной строки, равного 35 минутам, после чего система будет перезагружена вызовом API InitializeSystemShutdownExW.

Другой поток отключает функции пользовательского интерфейса, которые могут предупредить пользователя о подозрительной активности, происходящей в системе, перед итерацией подключенных дисков.

Реестр Значение Описание
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Отключение цветов для сжатых и зашифрованных файлов NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Отключение всплывающей информации о папках и элементах рабочего стола


Наконец, вредоносная программа начинает свою разрушительную работу, порождая множество дополнительных потоков, которые перезаписывают файлы на диске и уничтожают таблицы разделов. После перезагрузки системы пользователь увидит пустой экран с надписью "Операционная система отсутствует".


Непрерывный мониторинг и видимость, предоставляемые платформой Falcon останавливают разрушительное влияние DriveSlayer

Платформа Falcon использует многоуровневый подход для защиты рабочих нагрузок. Используя on-sensor и cloud-based машинное обучение, behavior-based обнаружение с использованием индикаторов атак (IOA) и разведданные о тактиках, методах и процедурах (TTP), применяемых субъектами угроз, платформа Falcon обеспечивает видимость, обнаружение и непрерывный мониторинг для любой среды, сокращая время на поиск и устранение угроз.

Как показано на рисунке 1, платформа Falcon использует облачное машинное обучение для обнаружения DriveSlayer и предотвращения выполнения вредоносной программой зловредных действий, таких как загрузка дополнительных компонентов.


Рисунок 1. Облачное машинное обучение платформы Falcon обнаруживает DriveSlayer wiper


IOA платформы Falcon, основанные на поведенческих факторах, могут выявлять и предотвращать выполнение подозрительных процессов или загрузку дополнительных компонентов, а также другие виды вредоносного поведения. Например, Falcon способен определить такое поведение DriveSlayer, как вмешательство в определенные ключи реестра. Behavior-based выявление дополнительно накладывается на традиционное обнаружение хэшей на основе индикаторов компрометации (IOC) (см. Рисунок 2).


Рисунок 2. CrowdStrike Falcon выявляет и предотвращает деструктивную деятельность DriveSlayer


DriveSlayer не имеет встроенных технологий распространения по инфраструктурам, а сведения о его использовании в атаках на украинские системы пока ограничены. Компания CrowdStrike и дальше будет следить за ситуацией и сообщать о происходящем по мере ее развития.

Клиенты CrowdStrike Falcon могут осуществлять проактивный мониторинг своих сред с помощью hunting-запросов для выявления индикаторов присутствия DriveSlayer. Ознакомьтесь с кратким описанием DriveSlayer и способами его поиска на портале поддержки CrowdStrike.

iIT Distribution как официальный дистрибьютор решений компании CrowdStrike настоятельно рекомендуем организациям, сталкивающимися с рисками киберинцидентов, принять меры по повышению своей операционной устойчивости. Решения безопасности от CrowdStrike способны защитить от вредоносного ПО и угрозы уничтожения данных, обеспечивая полную видимость среды и интеллектуальный мониторинг облачных ресурсов с целью обнаружения и реагирования на потенциальные угрозы - в том числе разрушительные - и ограничения возможного ущерба.

Назад

Как не стать «непроизвольным сообщником» российских кибератак на украинские системы (часть 2)

Новость

Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы


В предыдущей статье этой серии мы рассмотрели разведданные от компании А10, позволяющие понять характер финансируемых российским правительством свежих киберпреступлений, направленных на украинские цели. Массовый всплеск атак на украинские государственные системы пришелся на первый же день российско-украинской войны.


Напомним две основные цели, на которые была направлена российская скоординированная DDoS-атакаотражения/усиления (DDoS Amplification and Reflection Attacks):

  • ПП "Инфосервис-Линк" с более чем двумя миллионами запросов на Apple Remote Desktop (ARD). Эта цель входит в блок IP-адресов 194.79.8.0, подвязанных своей геолокацией к одному из крупнейших городов Украины – Харькову. В то же время, информация whois идентифицирует ее как Северодонецк, Луганская область, Украина, Луганск.
  • Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).


Изучая эти атаки, мы видим, что они были схожими, но не идентичными. Например, вторая цель была направлена на запрос протокола сетевого времени (NTP) для DDoS-атаки усиления и отражения на UDP-порту 123, что является довольно распространенным явлением, в то время как первая цель имела запросы к менее распространенному протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.


Рисунок 1: Протоколы, направленные на украинские зарегистрированные ASN по протоколу UDP 24 февраля 2022 года на единственный honeypot. Соответсвенно, ARD, NTP и CLDAP являются самыми запрашиваемыми. В течение следующих шести дней NTP стал самым крупным протоколом, наблюдаемым на этом же honeypot после всплеска активности во время первого дня войны


Поскольку речь идет о портах UDP, они не имеют соединения (в отличие от TCP, ориентированного на соединение), что позволяет подменить адрес источника, маскируя запрашивающего и, в то же время, отражая ответ назначенной жертве, получающей большую, усиленную полезную нагрузку. Именно поэтому злоумышленники предпочитают техники усиления и отражения.


ARD, например, может иметь коэффициент усиления, более чем в 34 раза превышающий исходный запрос. Для атаки ARD на первую цель, по оценкам A10 Networks, большинство запрашиваемых пакетов составляли 370 байт (70%). Однако, учитывая большое количество пакетов размером 1 014 байт (23%), мы можем вычислить среднее значение в ~500 байт. Если умножить 500 байт на 2 099 092 запроса, то получится 1049546000 байтили чуть больше 1 гигабайта, и все они были запрошены с одной машины.


В отчете «A10 DDoS Attack Mitigation: A Threat Intelligence Report», ни один из этих протоколов не входит в пятерку лидеров. Согласно исследованиям, существует 30 622 единиц потенциального DDoS-оружия для ARD, которые отслеживает A10. Использование только 10 процентов из них теоретически может сгенерировать 3,2 терабайта трафика, а использование 50 процентов - 16 терабайт трафика.

Рисунок 2: Топ-10 локализаций ARD UDP потенциального DDoS-оружия, которое отслеживает A10, по странам и в целом


Сравнивая протокол ARD, идентифицированный против первой цели кибератаки, мы видим, что существует 30 622 единиц оружия, отслеживаемых A10, но 18 290 (59%) находятся в США. Хотя такого оружия много, это наглядно иллюстрирует, что ИТ-подразделения за пределами воюющих стран могут быть активно вовлечены в киберконфликты. Если принять меры, эти организации могут напрямую помочь минимизировать ущерб, нанесенный Украине. Анализируемый нами honeypot базировался в США.


Как указано выше, два примера, освещенные 24 февраля, были чрезвычайно масштабными. Однако мы наблюдаем постоянный рост числа более мелких атак на цели в Украине с использованием различных протоколов UDP. Сочетание этих протоколов менялось с течением времени. В первый день доминировал ARD, а в последующие шесть дней - NTP. Таким образом, владельцам необходимо следить за тем, чтобы их системы не использовались для осуществления русских кибератак и незаконной деятельности, направленой на украинские цели.


Узнайте больше о компании А10 Networks и его высокоэффективные решения.

Продолжение следует. Следите за обновлениями, чтобы не пропустить третью часть серии статей от iIT Distribution и A10 Networks!

Назад

ИССЛЕДОВАНИЕ SECURITY-ГРУППЫ A10 NETWORKS: КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ

Новость

Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы

Компания A10 Networks – один из тех вендоров, который деятельно поддерживает Украину в это особо нелегкое для нее время, всеми путями осуждая преступления россии против украинской нации. В связи с российско-украинской войной, которая шокирует масштабами своего кровопролития, российские террористы уделяют особое внимание не только территориальным наступлениям, но и дистабилизирующим кибератакам на украинские системы, спонсируемые российским государством. Требуются незамедлительные меры по пресечению этой разрушительной деятельности, а также потенциальных вредоносных последствий для других стран. Необходимо действовать уже сейчас. В этой серии статей мы подробно расскажем об особенностях и деталях новых кибератак, замеченных исследовательской security-группой компании A10 Networks. Узнайте о том, какие действия стоит предпринять ради смягчения последствий русских кибератак и как именно убедиться, что вы не являетесь "невольными сообщниками" агрессора.


Отчеты и рекомендации по векторам угроз

Атаки, спонсируемые государством, не новы. Мир видел случаи, в которых ряд крупных предприятий из таких сфер, как банковское дело, здравоохранение и государственные структуры, подвергались масшабным DDoS-атакам, попадая в заголовки газет. Но что касается нынешнего киберконфликта, он ведется сразу по нескольким фронтам: недавние отчеты содержали информацию о вредоносных ПО, DDoS-атаках и повреждении украинских веб-сайтов.Руководство Агентства по кибербезопасности и защите инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности США, предупреждает о новой угрозе:

"Вероятны дальнейшие подрывные кибератаки против украинских организаций, которые могут непреднамеренно затронуть организациии в других странах. Компаниям следует повысить свою бдительность и переоценить свои функциональные возможности, включающие планирование, подготовку, обнаружение и реагирование на подобные угрозы".


Сегодня мы можем наблюдать результаты подготовки к нынешнему киберконфликту. Например, в 2020 году стало известно, что российская ФСБ стремится создать массивный ботнет IoT. Мы также видели сообщения о вредоносных программах с многочисленными вариациями, таких как Wiper, наносящих ущерб путем удаления конфиденциальных данных из целевых компьютерных систем. Кроме того, DDoS-атаки, спонсируемые государством, направлены на правительственные, банковские и образовательные услуги, то есть на организации, которые обслуживают обычных людей. Мы также видим сообщения об ответных атаках со стороны хактивистов. Например, группой Anonymous были взломаны известные российские сайты для размещения антивоенных сообщений группы. Это наглядно демонстрирует то, что как наступательные, так и оборонительныемеры и контрмеры активно принимаются.


DDoS-атаки отражения/усиления (DDoS Amplification and Reflection Attacks) как были, так и остаются нацеленными на Украину

Системы исследовательской security-группы A10 фиксировали мощные и продолжительные атаки на украинские государственные сети и, как следствие, на коммерческие интернет-ресурсы. Массовый всплеск атак пришелся на первый день военного конфликта.

Изучая один из наших исследовательских honeypots и сосредоточившись на всплеске нарушений первого дня, мы видим, что хакеры пытаются вовлечь легитимные системы в скоординированную DDoS-атаку отражения/усиления. Впервые попытка захвата узла honeypot была предпринята через несколько часов после начала первых территориальных нападений на Украину 24 февраля. По ответам на запросы систем, нацеленных на Украину, можно выделить две главные цели:


1) ПП "Инфосервис-Линк" – с более чем двумя миллионами запрошенных ответов на AppleRemoteDesktop (ARD).

2) Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).


Первая цель по началу несколько неясна из-за своего названия, которое удалось узнать в результате автоматического поиска. При получении углубленной информациио ПП "Инфосервис-Линк" мы видим, что оно относится к блоку IP-адресов 194.79.8.0. Проверяя, куда он был привязан, мы видим, что в одном источнике он указан как геолокация к одному из крупнейших городов Украины - Харькову, в то время как информация whois показывает его как Северодонецк, Луганская область, Украина, Луганск.Флуд на блок, хотя и не на конкретный хост, все же создает DDoS-атаку, с которой сетевое оборудование в принципе должно справиться, если оно не ослаблено. Таким образом, можно сделать вывод, что цель атаки - нанести ущерб множеству приложений, серверов и основной инфраструктуре, обслуживаемой этим блоком и оборудованием.


Вторая цель, - правительственный департамент - выглядит как очевидный источник возможностей для злоумышленников:

"Основной задачей Секретариата является организационное, экспертно-аналитическое, правовое, информационное, материально-техническое обеспечение деятельности Кабинета Министров Украины, правительственных комитетов, Премьер-министра Украины, первого вице-премьер-министра, вице-премьер-министров, министра Кабинета Министров Украины", - Wikipedia.


Рисунок 1: Информация о местоположении из поиска ipinfo.io


Рисунок 2: 645 248 попыток amplification-запроса к одному honeypot за 15 минут


Продолжение следует. Следите за обновлениями!

Компания iIT Distribution является официальным дистрибьютором продуктов от A10 Networks на территории Украины, Казахстана, Грузии и Узбекистана. Мы искренне благодарны А10 за активную трансляцию антизахватнической позиции путем внедрения мер по подавлению российских атак на украинские системы! Со своей стороны iITD и дальше будет помогать своим клиентам в подборе и внедрении самых эффективных киберрешений этого вендора.

Назад

Mobile Marketing
+