fbpx

Наши представительства: 

Заказать обратный звонок
btn

Что нового в Labyrinth Deception Platform: релиз 2.0.32

Новость

Компания Labyrinth выпустила новую версию своего более эффективного решения для выявления и прекращения хакерской деятельности внутри корпоративных сетей. Это обновление предлагает ряд улучшенных функций, которые мы подробно рассмотрим в данной статье.


New + Improved

Частичный процесс Generate/Terminate для Honeynet

В противоположность классическому процессу Generate/Terminate, коли створюються Point’s глобально для всіх Honeynet, частковий процесс Generate/Terminate дає змогу генерувати або видаляти Point’s для кожного Honeynet окремо. Це дозволяє значно швидше вносити зміни у конфігурацію Лабіринту, тому що не потрібно чекати, коли створяться Point’s для всіх Honeynet при внесении незначительных изменений в конкретный Honeynet.



Web интерфейс с Worker Node

Начиная с этого релиза, Web интерфейс лабиринта доступен не только с аплаянса Admin Console, но и с каждой Worker Node. Тобто достатньо у адресній стрічці браузера вбити IP-адресу Worker Node і відкриється головний Web інтерфейс лабіринту.

Эта функция будет полезна, когда есть распределенные установки Лабиринта (т.е. одна или более Worker Node находятся в разных локациях), а доступ к локации, где установлен Admin Console, ограничен.

ВАЖЛИВО! Web интерфейс на Worker Node включен по умолчанию и пока нет возможности его отключить. В последующих релизах рассматривается возможность функции отключения данного интерфейса.


Опціональне сканування мереж Honeynet

Перед каждым процессом Generate запускається процес сканування мереж, які відносяться до Лабіринту, тобто мережі, що прописані у конфігурації всіх Honeynet. Сканування мереж необхідно для того, щоб знайти автоматично сервіси (IP-адреси та порти) для таких типів Point, як Universal Web Point (HTTP/HTTPS сервіси), Windows 10 Host (RDP сервіси) та ін. Це дозволяє у автоматичному або напів автоматичному режимі запустити роботу Лабіринту.

З іншого боку процес сканування значно сповільнює час генерування Лабіринту (в залежності від кількості мереж та їх розмірів), але у певних конфігураціях Honeynet не є обов’язковим. Наприклад, якщо прописати веб сервіси для Universal Web Point у конфігурації Honeynet в полі Allowed IP Addresses (CSV), нет необходимости сканировать сети, чтобы найти веб-сервисы.

Начиная с данного релиза есть возможность в конфигурации каждого Honeynet включить или исключить сканирование сетей, относящихся к конкретному Honeynet. Тем самым значительно ускорить процесс Generate.

Вместе с частичным Generate время внесения изменений в конфигурацию Лабиринта значительно сокращается.


Усовершенствованный Universal WEB Point

Тип Point Universal Web Point был значительно переработан. Из основных функций можно выделить следующее:

  1. Автоматичне клонування TLS/SSL сертифікату. Тобто при старті даного типу поінта, він намагається створити самопідписний сертифікат, який по параметрам максимально схожий на оригінальний.
  2. Можливість “слухати” більше, ніж на одному TCP порту. Раніше Point даного типу міг “слухати” на одному TCP порту. Тобто, якщо оригінальний застосунок, скажімо, “слухає” на порту 80 з редіректом на HTTPS, то Universal Web Point слухав би тільки HTTPS.
  3. Добавлен детект и имитацию уязвимости Log4Shell


Settings Integrations migration

Значно перероблені та вдосконалені налаштування Settings -> Integrations. Ці зміни стосуються зовнішнього вигляду (більш компактний список інтеграцій) та фіксу мінорних багів.

ВАЖЛИВО! Рекомендуется проверить настройки интеграции после обновления.

Формы Wordlist и рефакторинг Honeynet

Також значно перероблені Wordlist’s (списки hostnames, usernames, passwords). Напротивагу глобальним спискам, які використовуються під час генерації Лабіринту, зараз ці списки налаштовуються для кожного Honeynet окремо. Тобто у вас є можливість для кожного сегменту мережі задавати різні списки, наприклад, для hostnames.


Список доступных (т.е. загруженных Wordlist):


Настройка Honeynet:


Новый тип Point: VMWare vCenter Virtual Appliance

Добавлен новый тип Point – VMWare vCenter Virtual Appliance. Это имитация логина формы VMWare vCenter 6.8 Virtual Appliance, содержащая в себе уязвимость Log4Shell.

Fixes

Seeder Tasks: empty seeder tasks after generation

Исправлено. При определенных обстоятельствах Seeder Tasks не генерировались для Seeder Agent'ов, подключаемых после Generate. Ожидаемое поведение: после Generate для новых агентов, подключившихся после Generate, должны создать Seeder Tasks.


Seeder Tasks: empty related point_id

Исправлено. При определенных настройках Лабиринта могла возникнуть следующая ситуация:


TLS Certificate and Key Content-Type issue

Исправлено. Если сертификат или загружаемый ключ правильного формата, но - с неправильным расширением файла, их скачать было невозможно. Сейчас неважно, с каким расширением файлы, главное, чтобы был правильный формат содержимого файлов: PEM-encoded x509 сертификат, и PEM-encoded RSA ключ.


Узнать больше об инновационном киберрешении от Labyrinth.


iIT Distribution является официальным дистрибьютором решения Labyrinth, который не только обеспечивает поставки ПО, но и предоставляет полный комплекс услуг по сопровождению и консультации. Наша компания предлагает начальную экспертизу и оценку состояния ИБ вашего предприятия от квалифицированных специалистов, подбор оборудования и ПО, а также внедрение комплексных решений кибербезопасности в существующую инфраструктуру. В сегодняшних реалиях очень важно сохранять бдительность, не откладывая вопрос обеспечения защиты своих систем на потом.

Назад

Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR

Новость

Palo Alto Networks проінформувала клієнтів про вразливості, які можуть дозволити зловмиснику відключити її продукти, а саме Cortex XDR – свою топову платформу з виявлення та реагування на комп’ютерні загрози з великим покриттям – від захисту кінцевих точок до мережевого та хмарного захисту!


Про проблеми стало відомо від ентузіаста з ніком mr.d0x, який повідомив, що агент Cortex XDR може обійти зловмисник з підвищеними привілеями. Дослідник виявив, що агент може бути відключений локальним зловмисником із правами адміністратора шляхом простої зміни ключа реєстру, що залишить кінцеву точку вразливою до атак. Причому функція захисту від несанкціонованого доступу не запобігає використанню цього метода.


Крім того, mr.d0x виявив, що за замовчуванням існує "пароль для видалення", який (якщо він не був змінений адміністратором) також може використовуватися для відключення агента XDR. А якщо пароль за замовчуванням все ж таки був змінений, хеш нового пароля можна отримати з файлу, що дає можливість зловмиснику спробувати зламати пароль.

Щобільше, зловмисник, який не має прав адміністратора, також може отримати цей хеш. Фахівець розповів, що виявив ці вразливості ще влітку 2021 року, але лише зараз опублікував повідомлення у блозі з докладним описом результатів, щоб дати постачальнику достатньо часу для ухвалення відповідних заходів. Однак Palo Alto Networks все ще працює над виправленнями та засобами захисту від цих проблем.


Незважаючи на це все, кіберкомпанія проінформувала клієнтів про вразливість відмови в обслуговуванні (DoS), що стосується функції DNS-проксі в її програмному забезпеченні PAN-OS. Під час реалізації сценарію MitM-атаки (людина посередині) зловмисник може використовувати спеціально створений трафік для порушення роботи вразливих брандмауерів. Патчі оновлень доступні для всіх підтримуваних версій PAN-OS.

Також під час реалізації MitM зловмисник може запустити DoS-атаку на PAN-OS, додатку GlobalProtect та агенті Cortex XDR, використовуючи нещодавно виправлену вразливість OpenSSL, відстежувану як CVE-2022-0778.


У Palo Alto Networks заявили, що для компанії не є відомими атаки з використанням цих вразливостей у дикій природі і, на її думку, ці помилки мають рейтинг серйозності «середній», «низький»» або «інформаційний».

Назад

Передовые anti-DDoS решения от A10 Networks доступны для инсталляции!

Новость

Хотим мы этого или нет, но в сегодняшних условиях наши системы в той или иной степени находятся в зоне самых настоящих кибербоевых действий. Следует быть готовым к худшему, ведь сейчас угрозы подстерегают своих потенциальных жертв на каждом шагу, и именно поэтому команда iIT Distribution понимает, насколько важно быть преданным непрерывному процессу обеспечения защиты своих клиентов.


Учитывая временное ограничение в поставке «железного» оборудования от лидера в разработке решений для балансировки трафика, защиты периметра сетей и оптимизации IP-адресации A10 Networks, мы хотим обратить ваше внимание на высокоэффективные anti-DDoS решения A10 Thunder TPS, доступные для беспрепятственного и быстрого развертывание в виртуальной среде.

Высокая масштабируемость, производительность и гибкость развертывания делает vThunder TPS лидером среди других киберпродуктов для обнаружения/предотвращения DDoS атак. Это решение, в зависимости от типа лицензии и аппаратных возможностей виртуальной среды может работать с производительностью до 100 Гбит/с, поддерживая детекцию потока до 1,5 млн кадров в секунду.Широкий спектр реализации на любых виртуальных платформах (ESXi, KVM, Hyper-V) делает vThunder TPS легко адаптированным под все возможные варианты развертывания.

Узнайте больше о решениях от A10 Networks.


Мы готовы предоставить нашим заказчикам триальные лицензии A10 Thunder TPS с полным функционалом на необходимый срок (учитывая пилотный период, периоды настройки и запуска). Обратите внимание, что после подписания договора о приобретении решения время замены лицензии будет занимать считанные минуты, не вызывая остановки системы заказчика. Это относится и к другим продуктам от A10 (A10 Thunder ADC и A10 Thunder CGN).

iIT Distribution официальный дистрибьютор компании A10 Networks, обеспечивающий дистрибуцию и продвижение решений вендора на территориях Украины, Казахстана, Узбекистана и Грузии, а также профессиональную поддержку в их проектировании и внедрении.

Назад

Inspur второй год подряд становится образцовым поставщиком Cloud-Optimized оборудования по версии Gartner Hype Cycle.

Новость

Inspur, ведущий производитель и поставщик серверного оборудования, систем хранения данных и услуг в области облачных вычислений, в очередной раз был выбран компанией Gartner в качестве образцового поставщика Cloud-Optimized оборудования, согласно недавнему отчетету "Hype Cycle for Cloud Computing".


Gartner уже второй год подряд упоминает Inspur в своих отчетах, подчеркивая преимущества ключевых облачных технологии компании, активно используемых сегодня, а также инновации, способные удовлетворить требования завтрашнего дня.

По данным Gartner, ведущей мировой исследовательской IT-компании, в ближайшие 2-5 лет стоит ожидать внедения крупномасштабных высокофункциональных современных приложений. Эта тенденция напрямую связана с увеличением числа инновационных Cloud-Optimized аппаратных разработок для крупных облачных центров обработки данных.


Облачные вычисления расширили границы гипермасштабных облачных услуг с точки зрения маневренности и эластичности. Gartner доказывает, что в сфере инфраструктуры поставщикам гипермасштабных облачных услуг требуются более гибкие и инновационные продукты, которые помогут снизить энергопотребление и эксплуатационные расходы центров обработки данных, а также оптимизировать конкретные рабочие нагрузки. Сегодня все больше ИТ-команд в своих крупных центрах обработки данных используют именно Cloud-Optimized оборудование.

Это оборудование преимущественно включает в себя серверы, сети, системы хранения данных и специализированные микросхемы. Компания Gartner отметила, что оптимизированные для облачных вычислений стойки и конструкции серверов позволяют снизить энергопотребление, упростить физическую установку и ускорить доставку. Например, проект Open Compute Project (OCP), в котором компания Inspur принимает активное участие, определяет стандарты для стоечных серверов «all-in-one» в центрах обработки данных. Данные показывают, что благодаря использованию Cloud-optimized открытых стоечных серверов «all-in-one», крупный ЦОД, являющийся клиентом Inspur Information, снизил потребление электроэнергии на 30%, сократил частоту отказов системы на 90%, увеличил окупаемость инвестиций на 33% и повысил эффективность OPS более чем в три раза. Inspur Information смогла поставлять заказчику 10 000 серверов каждый день.


На сегодняшний день технологии открытых облачных вычислений широко применяются в интернет-компаниях, которые эксплуатируют наиболее современные центры обработки данных. Ведущие компании в таких ключевых отраслях, как коммуникации, финансы и энергетика, по всему миру также присоединились к организациям, использующим открытые облачные вычисления, в полной мере применяя их при создании собственных центров обработки данных.

Являясь единственным в мире поставщиком серверов, который присоединился ко всем Open Computing организациям (OCP, ODCC, Open19), Inspur активно разрабатывает спецификации продуктов, участвует в разработке стандартов и руководит реализацией проектов. Используя открытые облачные вычисления и инновационный способ обеспечения глобального сотрудничества, Inspur работает с предприятиями отрасли над поиском устойчивых и высокоэффективных решений для инфраструктуры крупных ЦОД, таких как серверы с жидкостным охлаждением, высокоскоростные сетевые коммуникации и интеллектуальные системы OPS.

Недавно Gartner опубликовала данные о мировом рынке серверов за третий квартал 2021 года. Inspur заняла второе место в мире с долей рынка 11,3%. Стремительно расширяя свое глобальное присутствие, компания расширяет свое присутствие во многих отраслях, объясняя это своим вкладом в деятельность организаций, специализирующихся на открытых облачных вычислениях.


iIT Distribution является официальным дистрибьютором надежных и конкурентных продуктов Inspur на территориях Украины, Грузии, Казахстана и Узбекистана, предлагающим свою поддержку во внедрении интеллектуальных решений компании во многих производственных направлениях. iITD стремится снабжать своих заказчиков только высокотехнологичным и эффективным оборудованием для построения надежной IT-инфраструктуры предприятий.

Познакомьтесь поближе с продуктами от Inspur! Продуктовая линейка будет дополняться новыми продуктами и следите за обновлениями.

Назад

Быстрая доставка решений от INFINIDAT и Inspur доступна уже сейчас!

Новость

iIT Distribution объявляет, что, несмотря на все внешние обстоятельства, логистика компании работает в интенсивном режиме!

Прямо сейчас вы можете воспользоваться быстрой доставкой мультипетабайтных СХД-решений корпоративного класса от INFINIDAT, а также высококлассного серверного оборудования от Inspur под заказ. Мы готовы доставить выбранные вами продукты МАКСИМУМ через 45 дней после подачи заявки.

Чтобы сделать заказ, обращайтесь по адресам infinidat@iitd.com.ua и inspur@iitd.com.ua соответственно.


Напомним, что INFINIDAT является лидером рынка систем хранения данных по оценкам магического квадранта Gartner 2021 для основных систем хранения данных! Компания разработала собственные инновационные технологии хранения (как основного – решение InfiniBox, так и дискового резервного копирования – решение InfiniGuard) и надежной защиты тысяч терабайт данных по минимальной возможной цене.

Узнайте больше о решениях от INFINIDAT.


Предлагаем вам познакомиться с продуктами Inspur — компании, являющейся абсолютным лидером китайского рынка AI-серверов и поставщиком серверов №3 в мире (согласно оценкам IDC и Gartner). Высокотехнологичные решения для хранения данных от Inspur установили более 80 рекордов в различных тестах, таких как TPC-E, TPC-H, SPECAppServer и SPECPower!

Рассмотрите продукты от Inspur на любой вкус!


Если вы затягивали с этим раньше, сейчас самое время направить свои силы на выбор и приобретение по-настоящему качественного оборудования для надежного хранения данных от мировых лидеров отрасли.

Компания iIT Distribution беспрестанно беспокоится о защищенности и эффективной, бесперебойной работе IT-инфраструктур наших клиентов. В военное время мы чувствуем особую ответственность за безопасность и цифровой комфорт каждого нашего клиента. Именно поэтому iITD как официальный дистрибьютор компаний INFINIDAT и Inspur и дальше будет предлагать свою поддержку в подборе, проектировании и внедрении наиболее эффективных киберрешений этих вендоров.

Назад

Кибератака на украинские государственные сайты: что нам известно сегодня

Новость

В ходе атаки, которая произошла в ночь с 13 на 14 января, хакеры взломали ряд украинских правительственных сайтов - Министерства иностранных дел, Министерства образования и науки, Министерства обороны, Государственной службы по чрезвычайным ситуациям, Кабинета министров и другие. Всего было атаковано около 70 сайтов, официальный контент на которых был изменен на текст-обращение к украинцу как собирательному образу, опубликованный на русском, украинском и польском языках (обращение содержит напоминание об этнической чистке польского народа на Волыни и Галичине). «етнічну чистку» польського народу на Волині та Галичині).



Украинская команда CERT сообщила, что злоумышленники использовали уязвимость в октябрьской CMS (CVE-2021-32648 – патч, находящийся в открытом доступе с августа 2021 года). Служба безопасности Украины (СБУ) в свою очередь заявила, что хакеры получили доступ к инфраструктуре компании, предоставляемой управляемые услуги (Managed Services) некоторым взломанным сайтам.

Согласно большинству официальных источников, главной целью атаки была не кража данных, не остановка работы правительственных систем, а сеяние хаоса, паники и недоверия.


Но была ли это лишь порча государственных сайтов, спровоцировавшая обвинение польских хакеров в содеянном (хотя кто может поверить в эту бессмыслицу)?

На данный момент существуют дополнительные факты, которые указывают на то, что данное происшествие является куда более серьезным, чем может показаться:

  • Согласно информации от Моторного (транспортного) страхового бюро Украины (МТСБУ), их базы данных временно недоступны. Предполагаемая причина — внешняя атака. Ходят устойчивые слухи, что базы данных МТСБУ были уничтожены хакерами, и характер произошедшего сбоя вызывает серьезные опасения в том, что эти слухи могут быть обоснованными;
  • Как утверждают информационные источники компании Labyrinth, вопрос журналистов на пресс-конференции Государственной службы специальной связи и защиты информации Украины (ГССЗИ) о том, получили ли злоумышленники доступ к Единому государственному реестру судебных решений, был не случайным. В данный момент украинская CERT выясняет, мог ли злоумышленник пойти дальше в отношении информационных судебных систем. Эти подозрения могут быть вполне рациональными;
  • Есть достоверная информация от еще одного государственного учреждения (NDA) о том, что они утратили доступ к своей платформе виртуализации VMware и, соответственно, ко всем своим базам данных. Скорее всего, платформа была зашифрована.


Исходя из этого, можно сделать следующие предварительные выводы:

  • Это была хорошо спланированная и организованная supply chain атака. Реальные ее цели и последствия пока не ясны;
  • Вторжение не началось в ночь с 13 на 14 января, в это время мы скорее наблюдали последний этап атаки. Даже для хорошо подготовленной группы хакеров было бы невозможно за несколько часов провести разведку, найти уязвимости, выбрать и реализовать эксплойты во множестве различных ИТ-инфраструктур одновременно. Скорее всего, злоумышленники получили бэкдоры к инфраструктуре жертв несколько месяцев назад и имели предостаточно времени на подготовку;
  • Некоторые правительственные базы данных и реестры могут быть похищены без дальнейшего уничтожения или шифрования. В подобных случаях "тихой кражи" очень сложно оценить масштабы потерь;
  • Стоит ожидать, что украденные данные в ближайшем будущем будут использованы для дальнейших атак на украинское правительство и частные предприятия.


Опираясь на вышеупомянутые прогнозы, команда Labirynth рекомендует всем украинским юридическим лицам переоформить свою цифровую подпись (ЕЦП) или хотя бы сменить пароль к ней, а также отслеживать изменения в государственных реестрах.


В сегодняшних реалиях крайне важно сохранять бдительность, не откладывая вопросы обеспечения защиты своих систем в долгий ящик. iIT Distribution помогает компаниям избежать рисков, предлагая передовые и эффективные решения безопасности. Мы не только обеспечиваем поставку ПО и технического оборудования, но и предоставляем полный комплекс услуг по сопровождению и консультации. Наша компания предлагает первоначальную экспертизу и оценку состояния ИБ вашего предприятия от квалифицированных специалистов, подбор оборудования и ПО, а также внедрение комплексных решений кибербезопасности в имеющуюся инфраструктуру.

Звертайтесь до нас через форму зворотного зв'язку на сайті та отримайте консультацію від професіоналів!

Назад

Головна

Релиз

15 января стало известно, что против ряда украинских организаций был развернут набор вредоносных программ, получивший название WhisperGate. По многочисленным данным, инцидент вызван тремя отдельными компонентами, развернутыми одним и тем же злоумышленником, включая вредоносный загрузчик, повреждающий обнаруженные локальные диски, Discord-загрузчик и File Wiper.

Назад

Технический анализ вредоносного загрузчика WhisperGate, нацеленного на украинские организации

Новость

15 января стало известно, что против ряда украинских организаций был развернут набор вредоносных программ, получивший название WhisperGate. По многочисленным данным, инцидент вызван тремя отдельными компонентами, развернутыми одним и тем же злоумышленником, включая вредоносный загрузчик, повреждающий обнаруженные локальные диски, Discord-загрузчик и и File Wiper.

Активность произошла примерно в то же время, когда несколько веб-сайтов, принадлежащих правительству Украины, были атакованы.

Рассмотрим этот вредоносный загрузчик более детально.


Детали


Компонент установщика для загрузчика имеет следующий хэш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

и содержит временную метку сборки 2022-01-10 10:37:18 UTC. Он был собран с помощью MinGW, аналогичного компоненту file-wiper. Этот компонент перезаписывает главную загрузочную запись (MBR) зараженного хоста вредоносным 16-битным загрузчиком с хэшем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

который при загрузке хоста отображает уведомление о выкупе (рис. 1) и одновременно выполняет деструктивные операции на жестких дисках зараженного хоста.


Рис. 1: Поддельное сообщение о выкупе


Операция деструктивного удаление данных имеет следующий псевдокод:


Периодически загрузчик перезаписывает сектора всего жесткого диска зараженного хоста с сообщением, похожим на записку о выкупе, снабженную дополнительными байтами (Рисунок 2).


Рис. 2: Шестнадцатеричный дамп шаблона, записанного на диски зараженного хоста


Данные состоят из строки AAAAA, индекса зараженного диска, записки о выкупе и магического значения 55 AA в колонтитуле MBR, за которым следуют два нулевых байта.

Загрузчик получает доступ к диску через прерывание BIOS 13h в режиме логической адресации блоков (LBA) и перезаписывает каждый 199-й сектор, пока не будет достигнут конец диска. После его повреждения вредоносная программа перезаписывает следующий диск из списка обнаруженных.

Этот процесс не отличается сложностью, но напоминает более продвинутую реализацию вредоносного MBR вируса NotPetya, который маскировался под легитимную утилиту восстановления диска chkdsk, а на самом деле повреждал файловую систему зараженного узла.

Программа установки загрузчика не инициирует перезагрузку зараженной системы, как это наблюдалось в прошлых вторжениях, таких как BadRabbit и NotPetya. Отсутствие принудительной перезагрузки позволяет предположить, что атакующий предпринял другие шаги для ее инициирования (например, с помощью другого implant-a) или решил позволить пользователям выполнить перезагрузку самостоятельно. Отложенная перезагрузка может позволить запустить другие компоненты вторжения WhisperGate (например, File Wiper).


Оценка


Вредоносная программа-загрузчик WhisperGate дополняет своего "напарника" File Wiper. Обе программы направлены на безвозвратное повреждение данных зараженных узлов, и пытаются маскироваться под современные операции вымогателей. Однако загрузчик WhisperGate не имеет в себе механизма расшифровки или восстановления данных, а также отличается от вредоносных ПО, обычно используемым в действиях ransomware.

Отображаемое сообщение предполагает, что жертвы могут рассчитывать на восстановление своих данных, но это технически невозможно. Эти несоответствия с большой вероятностью указывают на то, что деятельность WhisperGate направлена на уничтожение данных на пораженных ресурсах. Хотя эта оценка сделана с долей предположения, поскольку технический анализ WhisperGate все еще продолжается.

Эта активность напоминает разрушительную вредоносную программу NotPetya от VOODOO BEAR, которая включала компонент, выдававший себя за легитимную утилиту chkdsk и повреждавший Master File Table (MFT) зараженного узла — критически важный компонент файловой системы NTFS от Microsoft. Однако загрузчик WhisperGate менее сложен, и в настоящее время в нем не удалось выявить технического совпадения с операциями VOODOO BEAR.


Актуальные разведанные о WhisperGate, представленные командой CrowdStrike, являются информацией, основанной на высококачественных данных из нескольких источников. И хотя высокая степень уверенности в качестве исходной информации не означает, что эта оценка является неоспоримым суждением, киберразведка CrowdStrike способна дать понимание мотивов, целей и планов злоумышленника. Именно это позволяет принимать более быстрые и обоснованные решения в сфере безопасности и менять свое реактивное поведение на проактивное.

Узнать больше о решениях от CrowdStrike.


iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам от CrowdStrike, запросив пробную версию на нашем сайте.

Назад

Эксплойт noPac: Новая уязвимость Microsoft AD может привести к полной компрометации домена за считанные секунды

Новость

Что случилось?

Недавно компания Microsoft обнародовала два критических CVE, связанных с Active Directory (CVE-2021-42278 и CVE-2021-42287), которые при их комбинированном использовании атакующим могут привести к повышению привилегий и, как следствие, — к компрометации домена.

В середине декабря 2021 был обнаружен эксплойт, объединяющий эти два дефекта в Microsoft Active Directory (называемый также "noPac"). Он позволял злоумышленнику повысить привилегии обычного пользователя домена до администратора, что давало возможность осуществить множество атак, таких как овладение доменом или ransomware.

Это вызывает серьезную обеспокоенность, поскольку данный эксплойт был подтвержден многими исследователями как эксплойт, не требующий значительных усилий для его эксплуатации и оказывающий поистине критическое воздействие. Исследователи из Secureworks продемонстрировали, как можно использовать эти уязвимости Active Directory для получения привилегированных прав доступа к домену всего за 16 секунд. Да, вы все правильно поняли — взломанный домен за четверть минуты!


Последствия и реакция Microsoft

К этим уязвимостям нельзя относиться несерьезно, поскольку теперь существует общедоступный эксплойт, позволяющий захватить домен без особых усилий (с использованием лишь стандартной конфигурации). Захват привилегий домена позволяет субъектам угроз получить контроль над ним и использовать его в качестве отправной точки для развертывания вредоносного ПО, включая ransomware. Это один из самых серьезных эксплойтов, обнаруженных за последние 12 месяцев, но он был менее обсуждаем, частично из-за повышенного внимания к уязвимости Log4j. Microsoft охарактеризовала последнюю CVE как "менее вероятную" угрозу безопасности, хотя эксплойты на тот момент уже были обнародованы.

Тем не менее в связи с критичностью обнаруженных ошибок Microsoft опубликовала руководство для пользователей, содержащее инструкции о том, что им необходимо сделать, чтобы снизить вероятность компрометации с помощью этого публичного эксплойта.


Среди рекомендаций:

  • Убедиться, что все контроллеры домена (DCs) "пропатчены". Если хотя бы один из них останется неисправленным, это будет означать, что весь домен по-прежнему уязвим. Исправление контроллера домена не является тривиальной задачей, учитывая его критически важные свойства.
  • Выполнить ручной поиск подозрительных событий, а затем использовать эти события в качестве отправной точки для дальнейшего ручного расследования. Мало того, что нужно будет выполнить ручной поиск, так еще и необходимо будет вручную указать все названия контроллера домена. Опять же, любая ошибка, допущенная вручную, может привести к упущению зацепок в поиске.


Что это значит для пользователей Falcon?

Пользователи CrowdStrike Falcon Identity Protection могут автоматически обнаруживать попытки использования этих уязвимостей - даже если у них не было возможности применить исправления к контроллеру домена Active Directory. Это стало возможным благодаря недавно выпущенному расширению от CrowdStrike, которое позволяет автоматически детектировать использование CVE-2021-42278 и CVE-2021-42287 (также известных как "noPac"), оповещая о любых попытках их использования. CrowdStrike понимает, что командам безопасности и без того приходится весьма нелегко, поэтому производители позаботились о том, чтобы процесс обнаружения не требовал дополнительной ручной настройки со стороны клиентов.

В дополнение к вышеупомянутой функции выявления, Falcon Identity Protection может блокировать noPac с помощью простой политики, обеспечивающей многофакторную аутентификацию (MFA) для пользователей, вне зависимости от факта обнаружения. Таким образом, юзеры, которые защищены политикамиFalcon Identity Protection находятся в безопасности.


Это не первый случай, когда пользователи Falcon Identity Protection получают надежную защиту от обнаруженных уязвимостей в Microsoft Active Directory.

В январе 2021 года была обнаружена уязвимость MSRPC Printer Spooler Relay (CVE-2021-1678), потребовавшая от пользователей немедленного внесения исправлений. И в этом случае недостаточно было просто "пропатчить" свою инфраструктуру - требовалась дополнительная настройка Falcon Identity Protection также покрыл эту уязвимость, обнаружив аномалии NTLM и и атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) — еще один пример уязвимости, которую заметили более года назад. Решение данной проблемы со стороны Microsoft заключалось в том, чтобы попросить пользователей немедленно "пропатчить" контроллеры домена. И в то время, как пользователи Falcon Identity Protection уже имели все необходимые средства для выявления, Microsoft до сих пор медлят с запланированным выпуском инструментов обнаружения CVE-2020-17049.

Существуют и другие уязвимости, такие как Zerologon (CVE-2020-1472), которые ежегодно находят в Microsoft Active Directory, а также постоянные проблемы с компрометацией supply chain Microsoft AD.


Вероятно, в будущем мы не перестанем наблюдать новые уязвимости. Вопрос заключается лишь в том, насколько хорошо защищена ваша организация, прежде чем вы сможете создать патч в своей среде и убедиться, что при этом больше ничего не нарушено. Как видно из приведенных выше примеров, пользователи Falcon Identity Protection защищены не только специальными средствами обнаружения, но и возможностью применения политики Zero Trust для предотвращения кражи учетных данных и эксплуатации в домене.


Вывод

Эта уязвимость еще раз демонстрирует прямую взаимосвязь между идентификацией (identity) и программами-вымогателями. Установка патчей и изменение конфигурации может занять большое количество времени, особенно при наличии нескольких уязвимостей одновременно (например, Log4j). CrowdStrike на постоянной основе обеспечивает бесперебойную безопасность и защиту своих клиентов для того, чтобы они имели возможность свободно приоритизировать свою работу в соответствии с бизнес-планом.

Узнайте больше о решениях от CrowdStrike.


iIT Distribution предлагает компаниям наилучшие решения для защиты и повышения эффективности своих ИТ-инфраструктур. Мы практикуем комплексный подход, при котором клиент получает необходимое ПО, техническое оборудование, а также услуги по внедрению и продвижению.

Назад

Утечка секретных IP-адресов Pfizer не является редкостью. Защитите свои данные с помощью проактивного шифрования

Новость

Совсем недавно фармацевтическая компания Pfizer подтвердила факт утечки тысяч внутренних документов, включая коммерческие секретные данные, связанные с вакциной от COVID-19. В судовом иске Pfizer заявили, что их бывший сотрудник, еще работая в компании, перенес конфиденциальные данные на свои личные облачные учетные записи и устройства.


Мы часто ассоциируем кибернарушения с корпоративным шпионажем или деятельностью продвинутых группировок. Но правы ли мы? Данный инцидент является примером довольно типичного и трудно выявляемого нарушения, распространившегося благодаря облачным технологиям. Речь пойдет об утечке данных. Будь то случайный "fat fingering" (нелепая ошибка, спровоцированная человеческим фактором), умышленная кража данных - как в случае с Pfizer - или взлом учетной записи, сегодня данные перемещаются быстрее, чем когда-либо, из-за растущей потребности компаний в облачных приложениях для поддержания продуктивности.


Инцидент с Pfizer не является чем-то сверхъестественным. Поэтому для борьбы с подобного рода проблемами организациям необходимо исходить из того, что их конфиденциальные данные в конечном итоге могут быть переданы неавторизованным сторонам, а значит ничто и никто не заслуживает доверия, пока не будет проведена проверка в рамках системы Zero Trust.


Для того чтобы воспользоваться преимуществами облачной производительности и при этом защитить конфиденциальные данные, необходим продукт безопасности, способный принимать интеллектуальные решения о доступе на основе поведения пользователей, степени риска конечных точек, используемых приложений и уровня чувствительности данных, к которым осуществляется доступ.


Как именно произошла утечка секретных IP-адресов компании Pfizer?

Предположительно, обвиняемый имел привилегированный доступ к конфиденциальным и защищенным от посторонних глаз данным благодаря своей должности в глобальной команде по разработке продуктов компании. Перед тем как покинуть Pfizer, он продублировал данные на несколько личных устройств и облачных хранилищ. Внутренние системы Pfizer, как выяснилось, зафиксировали эти аномальные действия, но только после того, как файлы уже были скопированы. Согласно заявлению Pfizer, 12 000 украденных внутренних документов включают информацию о разработке препарата COVID-19 и нового лекарства для лечения меланомы.

Это типичный пример инсайдерской угрозы – вредоносной для организации деятельности, исходящей от людей внутри нее, таких как сотрудники, бывшие сотрудники, подрядчики или деловые партнеры, обладающие внутренней информацией о методах обеспечения безопасности организации, ее данных и компьютерных системах.


Три функции, необходимые вашему решению для защиты облачных данных

Ранее была отмечена одна деталь: Pfizer обладала возможностью обнаружить аномальное поведение. Но чего компании в действительности не хватало, так это функции проактивного шифрования данных.

И хотя подключение к облаку усиливает пробелы в безопасности, интегрированные cloud-based решения способны помочь организациям не отставать от развивающихся угроз.


Существует три функции, необходимые вашему интегрированному решению безопасности для защиты организации от утечек:

1) Обеспечение видимости поведения пользователей

Аналитика поведения пользователей и субъектов (UEBA) имеет решающее значение в понимании того, как именно юзеры взаимодействуют с вашими приложениями и данными. Чаще всего угрозы безопасности не связаны с вредоносным ПО. Вместо этого для нанесения ущерба может использоваться привилегированная учетная запись, имеющая доступ к конфиденциальным данным.


2) Понимание того, какими приложениями пользуются ваши сотрудники

Помимо поведения пользователей, ваше решение по кибербезопасности должно понимать, какие приложения используют ваши сотрудники, независимо от того, санкционированы они IТ-отделом или нет. Теневые IТ стали большой проблемой сейчас, когда облачные приложения так легки в развертывании, и многие сотрудники имеют пользовательские версии корпоративных приложений (таких, как Google Workspace и Microsoft Office 365).

По данным Bloomberg Law, в октябре 2021 года компания Pfizer внедрила инструмент, позволяющий обнаружить загрузку файлов сотрудниками в облачные приложения. Но опять же, одно лишь обнаружение не смогло предотвратить утечку информации.


3) Автоматизированное шифрование

Автоматизированные действия, направленные на защиту данных — это ключевой аспект обеспечения безопасности. У вас могут быть инструменты для обнаружения аномального поведения пользователей, но без интеллектуального механизма внедрения политик вы, увы, ничего не сможете сделать, чтобы остановить утечку данных.


Таким образом, ваше передовое решение для защиты данных должно включать в себя две технологии: первая - предотвращение потери данных (DLP), способная классифицировать и определять степень конфиденциальности информации, а также применять различные ограничения, такие как маркировка слов или редактирование ключевых слов; вторая - управление цифровыми правами предприятия (E-DRM), которое может шифровать секретные данные во время их загрузки.


Четвертый элемент пазла:телеметрия конечных точек и интегрированная платформа

Этот инцидент доказывает, что даже при наличии лучших в мире систем классификации данных и обнаружения аномалий, просто необходимо обеспечить возможность принятия активных защитных мер. Чтобы обезопасить свои облачные данные, компании переходят на модель Zero Trust, при которой никто не считается надежным и не получает доступ, пока не будет проверен уровень потенциальных угроз. Но для принятия эффективных решений относительно политики доступа, не снижающих производительность, необходимы именно интегрированные сведения.


Lookout Security Platform предлагает не только телеметрию о пользователях, приложениях и данных, но и защиту конечных точек. Так как сотрудники теперь используют для работы любые устройства, имеющиеся в их распоряжении, организации постоянно подвергаются рискам и угрозам, находящимся на этих конечных точках. Анализируя уровень чувствительности ваших данных, а также колебания степени риска для пользователей, приложений и конечных точек, Lookout позволяет организациям принимать разумные решения в вопросах доступа.


Чтобы узнать детальнее о том, как можно защитить данные организации в «облачной» среде, читайте больше о платформе безопасности Lookout.


iIT Distribution является официальным дистрибьютором продуктов компании Lookout, обеспечивая дистрибуцию и продвижение решений на территориях Украины, Казахстана, Узбекистана и Грузии, а также профессиональную поддержку для их проектирования и внедрения.

Назад

Mobile Marketing
+