fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Що нового в Labyrinth Deception Platform: реліз 2.0.32

Новина

Компанія Labyrinth випустила нову версію свого високоефективнішого рішення для виявлення та припинення хакерської діяльності всередині корпоративних мереж. Це оновлення пропонує низку покращених функцій, які ми детально розглянемо в цій статті.


New + Improved

Частковий процесс Generate/Terminate для Honeynet

На противагу класичному процессу Generate/Terminate, коли створюються Point’s глобально для всіх Honeynet, частковий процесс Generate/Terminate дає змогу генерувати або видаляти Point’s для кожного Honeynet окремо. Це дозволяє значно швидше вносити зміни у конфігурацію Лабіринту, тому що не потрібно чекати, коли створяться Point’s для всіх Honeynet при внесенні незначних змін у конкретний Honeynet.



Web інтерфейс з Worker Node

Починаючи з цього релізу, Web інтерфейс лабіринту доступний не тільки з аплаянсу Admin Console, але й з кожної Worker Node. Тобто достатньо у адресній стрічці браузера вбити IP-адресу Worker Node і відкриється головний Web інтерфейс лабіринту.

Ця функція буде корисною, коли є розподілені інсталяції Лабіринту (тобто одна або більше Worker Node знаходяться у різних локаціях), а доступ до локації, де встановлений Admin Console, обмежений.

ВАЖЛИВО! Web інтерфейс на Worker Node увімкнений за замовчанням і наразі немає можливості його вимкнути. У наступних релізах розглядається можливість функції вимкнення даного інтерфейсу.


Опціональне сканування мереж Honeynet

Перед кожним процесом Generate запускається процес сканування мереж, які відносяться до Лабіринту, тобто мережі, що прописані у конфігурації всіх Honeynet. Сканування мереж необхідно для того, щоб знайти автоматично сервіси (IP-адреси та порти) для таких типів Point, як Universal Web Point (HTTP/HTTPS сервіси), Windows 10 Host (RDP сервіси) та ін. Це дозволяє у автоматичному або напів автоматичному режимі запустити роботу Лабіринту.

З іншого боку процес сканування значно сповільнює час генерування Лабіринту (в залежності від кількості мереж та їх розмірів), але у певних конфігураціях Honeynet не є обов’язковим. Наприклад, якщо прописати веб сервіси для Universal Web Point у конфігурації Honeynet в полі Allowed IP Addresses (CSV), немає необхідності сканувати мережі, щоби знайти веб сервіси.

Починаючи з даного релізу є можливість в конфігурації кожного Honeynet включити або виключити сканування мереж, що відносяться до конкретного Honeynet. Цим самим значно пришвидшити процесс Generate.

Разом з частковим Generate час внесення змін у конфігурацію Лабіринту значно скорочується.


Вдосконалений Universal WEB Point

Тип Point Universal Web Point був значно перероблений. Із основних функцій можна виділити наступне:

  1. Автоматичне клонування TLS/SSL сертифікату. Тобто при старті даного типу поінта, він намагається створити самопідписний сертифікат, який по параметрам максимально схожий на оригінальний.
  2. Можливість “слухати” більше, ніж на одному TCP порту. Раніше Point даного типу міг “слухати” на одному TCP порту. Тобто, якщо оригінальний застосунок, скажімо, “слухає” на порту 80 з редіректом на HTTPS, то Universal Web Point слухав би тільки HTTPS.
  3. Додано детект та імітацію вразливості Log4Shell


Settings Integrations migration

Значно перероблені та вдосконалені налаштування Settings -> Integrations. Ці зміни стосуються зовнішнього вигляду (більш компактний список інтеграцій) та фіксу мінорних багів.

ВАЖЛИВО! Рекомендуємо перевірити налаштування інтеграцій після оновлення.

Wordlists forms and Honeynet refactoring

Також значно перероблені Wordlist’s (списки hostnames, usernames, passwords). Напротивагу глобальним спискам, які використовуються під час генерації Лабіринту, зараз ці списки налаштовуються для кожного Honeynet окремо. Тобто у вас є можливість для кожного сегменту мережі задавати різні списки, наприклад, для hostnames.


Список доступних (тобто завантажених Wordlist):


Налаштування Honeynet:


Новий тип Point: VMWare vCenter Virtual Appliance

Доданий новий тип Point - VMWare vCenter Virtual Appliance. Це імітація логін форми VMWare vCenter 6.8 Virtual Appliance, що містить в собі вразливість Log4Shell.

Fixes

Seeder Tasks: empty seeder tasks after generation

Виправлено. При певних обставинах Seeder Tasks не генерувались для Seeder Agent’ів, які підключались після Generate. Очікувана поведінка: після Generate для нових агентів, які підключились після Generate, повинні створитися Seeder Tasks.


Seeder Tasks: empty related point_id

Виправлено. При певних налаштуваннях Лабіринту могла виникнути така ситуація:


TLS Certificate and Key Content-Type issue

Виправлено. Якщо сертифікат або ключ, що завантажуються, правильного формату, але - з неправильним розширенням файлу, їх завантажити було неможливо. Зараз неважливо, з яким розширенням файли, головне, щоб був вірний формат вмісту файлів: PEM-encoded x509 сертифікат, та PEM-encoded RSA ключ.


Дізнатися більше про інноваційне кіберрішення від Labyrinth.


iIT Distribution є офіційним дистриб'ютором рішення Labyrinth, який не тільки забезпечує постачання ПЗ, але й надає повний комплекс послуг із супроводу та консультації. Наша компанія пропонує початкову експертизу та оцінку стану ІБ вашого підприємства від кваліфікованих фахівців, підбір обладнання та ПЗ, а також впровадження комплексних рішень кібербезпеки в наявну інфраструктуру. У сьогоднішніх реаліях дуже важливо зберігати пильність, не відкладаючи питання забезпечення захисту своїх систем на потім.

Назад

Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR

Новина

Palo Alto Networks проінформувала клієнтів про вразливості, які можуть дозволити зловмиснику відключити її продукти, а саме Cortex XDR – свою топову платформу з виявлення та реагування на комп’ютерні загрози з великим покриттям – від захисту кінцевих точок до мережевого та хмарного захисту!


Про проблеми стало відомо від ентузіаста з ніком mr.d0x, який повідомив, що агент Cortex XDR може обійти зловмисник з підвищеними привілеями. Дослідник виявив, що агент може бути відключений локальним зловмисником із правами адміністратора шляхом простої зміни ключа реєстру, що залишить кінцеву точку вразливою до атак. Причому функція захисту від несанкціонованого доступу не запобігає використанню цього метода.


Крім того, mr.d0x виявив, що за замовчуванням існує "пароль для видалення", який (якщо він не був змінений адміністратором) також може використовуватися для відключення агента XDR. А якщо пароль за замовчуванням все ж таки був змінений, хеш нового пароля можна отримати з файлу, що дає можливість зловмиснику спробувати зламати пароль.

Щобільше, зловмисник, який не має прав адміністратора, також може отримати цей хеш. Фахівець розповів, що виявив ці вразливості ще влітку 2021 року, але лише зараз опублікував повідомлення у блозі з докладним описом результатів, щоб дати постачальнику достатньо часу для ухвалення відповідних заходів. Однак Palo Alto Networks все ще працює над виправленнями та засобами захисту від цих проблем.


Незважаючи на це все, кіберкомпанія проінформувала клієнтів про вразливість відмови в обслуговуванні (DoS), що стосується функції DNS-проксі в її програмному забезпеченні PAN-OS. Під час реалізації сценарію MitM-атаки (людина посередині) зловмисник може використовувати спеціально створений трафік для порушення роботи вразливих брандмауерів. Патчі оновлень доступні для всіх підтримуваних версій PAN-OS.

Також під час реалізації MitM зловмисник може запустити DoS-атаку на PAN-OS, додатку GlobalProtect та агенті Cortex XDR, використовуючи нещодавно виправлену вразливість OpenSSL, відстежувану як CVE-2022-0778.


У Palo Alto Networks заявили, що для компанії не є відомими атаки з використанням цих вразливостей у дикій природі і, на її думку, ці помилки мають рейтинг серйозності «середній», «низький»» або «інформаційний».

Назад

Передові anti-DDoS рішення від A10 Networks доступні для інсталяції!

Новина

Бажаємо ми цього чи ні, але в умовах сьогодення наші системи тією чи іншою мірою перебувають у зоні справжнісіньких кібербойових дій. Слід бути готовим до найгіршого, адже нині загрози підстерігають своїх потенційних жертв на кожному кроці, і саме тому команда iIT Distribution розуміє, наскільки важливо зберігати відданість безперервному процесу забезпечення захисту своїх клієнтів.


Зважаючи на тимчасове обмеження в поставці «залізного» обладнання від лідера в розробці рішень для балансування трафіку, захисту периметру мереж і оптимізації IP-адресації A10 Networks, ми хочемо звернути вашу увагу на високоефективні anti-DDoS рішення A10 Thunder TPS, доступні для безперешкодного та швидкого розгортання у віртуальному середовищі.

Висока масштабованість, продуктивність і гнучкість розгортання робить vThunder TPS лідером серед інших кіберпродуктів для виявлення/запобігання DDoS атакам. Це рішення, залежно від типу ліцензії та апаратних можливостей віртуального середовища, може працювати з продуктивністю до 100 Гбіт/с, підтримуючи детекцію потоку до 1,5 млн кадрів у секунду. Широкий спектр реалізації на будь-яких віртуальних платформах (ESXi, KVM, Hyper-V) робить vThunder TPS легко адаптованим під усі можливі варіанти розгортання.

Дізнайтеся більше про рішення від A10 Networks.


Ми готові надати нашим замовникам тріальні ліцензії продукту A10 Thunder TPS з повним функціоналом на необхідний термін (враховуючи пілотний період, періоди налаштування та запуску). Зверніть увагу, що після підписання договору про придбання рішення, час заміни ліцензії займатиме лічені хвилини, не спричиняючи зупинки системи замовника. Це стосується й інших продуктів від A10 (A10 Thunder ADC та A10 Thunder CGN).

iIT Distribution офіційний дистриб’ютор компанії A10 Networks, що забезпечує дистрибуцію та просування рішень вендора на територіях України, Казахстану, Узбекистану та Грузії, а також професійну підтримку в їх проєктуванні та впровадженні.

Назад

Inspur другий рік поспіль стає зразковим постачальником Cloud-Optimized обладнання за версією Gartner Hype Cycle

Новина

Inspur, провідний виробник та постачальник серверного обладнання, систем зберігання даних та послуг у сфері хмарних обчислень, вчергове був обраний компанією Gartner як зразковий постачальник Cloud-Optimized обладнання, згідно з нещодавнім звітом "Hype Cycle for Cloud Computing".


Gartner згадує Inspur у своїх звітах вже другий рік поспіль, підкреслюючи переваги ключових хмарних технологій компанії, що активно використовуються сьогодні, а також інноваційні рішення, здатні задовольнити вимоги майбутнього.

За даними Gartner, провідної світової дослідницької IT-компанії, у найближчі 2-5 років варто очікувати на впровадження масштабних і високофункціональних сучасних застосунків. Ця тенденція безпосередньо пов'язана зі збільшенням числа інноваційних Cloud-Optimized апаратних розробок для великих хмарних центрів обробки даних.


Хмарні обчислення розширили межі гіпермасштабованих хмарних послуг з погляду маневровості та еластичності. Gartner доводить, що у сфері інфраструктури постачальникам гіпермасштабованих хмарних послуг потрібні більш гнучкі та інноваційні продукти, які допоможуть знизити енергоспоживання та експлуатаційні витрати центрів обробки даних, а також оптимізувати конкретні робочі навантаження. Сьогодні все більше ІТ-команд у своїх великих центрах обробки даних використовують саме Cloud-Optimized обладнання.

Це обладнання переважно включає сервери, мережі, системи зберігання даних та спеціалізовані мікросхеми. Компанія Gartner відзначила, що оптимізовані для хмарних обчислень конструкції серверів і стійки дозволяють зменшити енергоспоживання, спростити установку та прискорити доставку обладнання. Наприклад, проєкт Open Compute Project (OCP), в якому компанія Inspur бере активну участь, визначає стандарти для стійкових серверів "all-in-one" у центрах обробки даних. Завдяки використанню Cloud-optimized відкритих стійкових серверів "all-in-one", масштабний ЦОД, що є клієнтом Inspur, знизив споживання електроенергії на 30%, скоротив частоту відмов системи на 90%, збільшив окупність інвестицій на 33% та втричі підвищив ефективність OPS. Inspur щоденно постачала замовнику 10 000 серверів.


Сьогодні технології відкритих хмарних обчислень широко застосовуються в інтернет-компаніях, які експлуатують найсучасніші центри обробки даних. Провідні компанії у таких ключових галузях, як комунікації, фінанси та енергетика, по всьому світу також приєдналися до організацій, які використовують відкриті хмарні обчислення, повною мірою застосовуючи їх під час створення власних центрів обробки даних.

Як єдиний у світі постачальник серверів, який приєднався до всіх Open Computing організацій (OCP, ODCC, Open19), Inspur активно розробляє специфікації продуктів, бере участь у розробці стандартів і керує реалізацією проєктів. Використовуючи відкриті хмарні обчислення та інноваційний підхід до забезпечення глобального співробітництва, Inspur працює з підприємствами галузі над пошуком стійких та високоефективних рішень для інфраструктури великих ЦОД, таких як сервери з рідинним охолодженням, високошвидкісні мережеві комунікації та інтелектуальні системи OPS.

Нещодавно Gartner опублікувала дані про світовий ринок серверів за третій квартал 2021 року. Inspur зайняла друге місце у світі з часткою ринку 11,3%. Стрімко розширюючи глобальну присутність, компанія також збільшує свою присутність у багатьох галузях, пояснюючи це своїм внеском у діяльність організацій, що спеціалізуються на відкритих хмарних обчисленнях.


iIT Distribution є офіційним дистриб’ютором надійних і конкурентних продуктів від Inspur на територіях України, Грузії, Казахстану та Узбекистану, що пропонує свою підтримку у впровадженні інтелектуальних рішень компанії у багатьох виробничих напрямках. iITD прагне забезпечувати своїх замовників лише високотехнологічним й ефективним обладнанням для побудови надійної IT-інфраструктури підприємств.

Познайомтеся ближче з продуктами від Inspur! Продуктова лінійка буде доповнюватися новими продуктами, тож слідкуйте за оновленнями.

Назад

Швидка доставка рішень від INFINIDAT і Inspur доступна вже зараз!

Новина

iIT Distribution оголошує, що, попри всі зовнішні обставини, логістика компанії працює в інтенсивному режимі!

Просто зараз ви можете скористатися швидкою доставкою мультипетабайтних СЗД-рішень корпоративного класу від INFINIDAT, а також висококласного серверного обладнання від Inspur під замовлення. Ми готові доставити обрані вами продукти МАКСИМУМ за 45 днів після подання заявки.

Щоб зробити замовлення, звертайтеся за адресами infinidat@iitd.com.ua та inspur@iitd.com.ua відповідно.


Нагадаємо, що INFINIDAT є лідером ринку систем зберігання даних за оцінками магічного квадранту Gartner 2021 року для основних систем зберігання даних! Компанія розробила власні інноваційні технології зберігання (як основного - рішення InfiniBox, так і дискового резервного копіювання - рішення InfiniGuard) і надійного захисту тисяч терабайт даних за мінімальною можливою ціною.

Дізнайтеся більше про рішення від INFINIDAT.


З великим захопленням пропонуємо вам познайомитися з продуктами Inspur — компанії, що є абсолютним лідером китайського ринку AI-серверів та постачальником серверів №3 у світі (згідно з оцінками IDC та Gartner). Високотехнологічні рішення для зберігання даних від Inspur встановили понад 80 рекордів у різноманітних тестах, таких як TPC-E, TPC-H, SPECAppServer та SPECPower!

Розгляньте продукти від Inspur на будь-який смак!


Якщо ви зволікали з цим раніше, зараз саме час спрямувати свої сили на підбір і придбання по-справжньому якісного обладнання для надійного зберігання даних від світових лідерів галузі.

Компанія iIT Distribution безперестанку турбується про захищеність і ефективну, безперебійну роботу IT-інфраструктур наших клієнтів. У воєнний час ми відчуваємо особливу відповідальність за безпеку та цифровий комфорт кожного нашого замовника. Саме тому iITD як офіційний дистриб'ютор компаній INFINIDAT та Inspur і надалі пропонуватиме свою підтримку в підборі, проєктуванні та впровадженні найефективнішіх кіберрішень цих вендорів.

Назад

Кібератака на українські державні сайти: що нам відомо сьогодні

Новина

У ході атаки, що сталася в ніч з 13 на 14 січня, хакерами був здійснений злам низки українських урядових сайтів – Міністерства закордонних справ, Міністерства освіти та науки, Міністерства оборони, Державної служби з надзвичайних ситуацій, Кабінету Міністрів та інших. Усього було атаковано близько 70 сайтів, офіційний контент на яких було змінено на текст-звернення до українця як збірного образу, опублікований російською, українською та польською мовами (звернення містить нагадування про «етнічну чистку» польського народу на Волині та Галичині).



Українська команда CERT повідомила, що зловмисники використали вразливість у жовтневій CMS (CVE-2021-32648 – патч, що знаходиться у відкритому доступі із серпня 2021 року). Служба безпеки України (СБУ) своєю чергою заявила, що хакери отримали доступ до інфраструктури компанії, яка надає керовані послуги (Managed Services) деяким зі зламаних сайтів.

Відповідно до більшості офіційних джерел, головною метою атаки була не крадіжка даних, не зупинка роботи урядових систем, а сіяння хаосу, паніки та недовіри.


Але чи було це лише псування державних сайтів, яке спровокувало звинувачення польських хакерів у скоєному (хоча хто може повірити в це безглуздя)?

Сьогодні існують додаткові факти, які вказують на те, що ця подія є значно серйознішою, ніж може здатися:

  • Згідно з інформацією від Моторного (транспортного) страхового бюро України (МТСБУ), їх бази даних тимчасово недоступні. Вірогідна причина – зовнішня атака. Ходять стійкі чутки, що бази даних МТСБУ були знищені хакерами, і характер зазначеного збою викликає серйозні побоювання в тому, що ці чутки можуть бути обґрунтованими;
  • Як стверджують інформаційні джерела компанії Labyrinth, питання журналістів на пресконференції Державної служби спеціального зв'язку та захисту інформації України (ДССЗЗІ) про те, чи отримали зловмисники доступ до Єдиного державного реєстру судових рішень, було не випадковим. Наразі українська CERT з'ясовує, чи міг зловмисник піти далі щодо інформаційних судових систем. Ці підозри можуть бути цілком раціональними;
  • Є перевірена інформація від ще однієї державної установи (NDA) про те, що вони втратили доступ до своєї платформи віртуалізації VMware і, відповідно, до всіх баз даних. Швидше за все, платформа була зашифрована.


З огляду на це, можна зробити такі висновки:

  • Це була добре спланована та організована supply chain атака. Реальні її цілі та наслідки поки не зрозумілі;
  • Вторгнення не розпочалося в ніч з 13 на 14 січня, тоді ми спостерігали скоріше останній етап цієї атаки. Навіть для добре підготовленої групи хакерів було б неможливо всього за кілька годин провести розвідку, знайти вразливості, обрати та реалізувати експлойти у різноманітних ІТ-інфраструктурах одночасно. Вірогідно, зловмисники отримали бекдори до інфраструктури жертв кілька місяців тому і мали достатньо часу на підготовку;
  • Деякі урядові бази даних та реєстри можуть бути викрадені без подальшого знищення або шифрування. У подібних випадках "тихої крадіжки" дуже складно оцінити масштаби втрат;
  • Варто очікувати, що вкрадені дані найближчим часом будуть використані для подальших атак на український уряд та приватні підприємства.


Спираючись на вищезгадані прогнози, команда Labirynth рекомендує всім українським юридичним особам переоформити свій цифровий підпис (ЄЦП) або хоча б змінити пароль до нього, а також відстежувати зміни у державних реєстрах.


У сьогоднішніх реаліях дуже важливо зберігати пильність, не нехтуючи питаннями забезпечення захисту своїх систем. iIT Distribution допомагає компаніям уникнути ризиків, пропонуючи передові та ефективні рішення безпеки. Ми не тільки забезпечуємо постачання ПЗ та технічного обладнання, але й надаємо повний комплекс послуг із супроводу та консультації. Наша компанія пропонує початкову експертизу та оцінку стану ІБ вашого підприємства від кваліфікованих фахівців, підбір обладнання та ПЗ, а також впровадження комплексних рішень кібербезпеки в наявну інфраструктуру.

Звертайтесь до нас через форму зворотного зв'язку на сайті та отримайте консультацію від професіоналів!

Назад

Головна

Реліз

15 січня стало відомо, що проти низки українських організацій було розгорнуто набір шкідливих програм, що отримав назву WhisperGate. За численними даними, інцидент був викликаний трьома окремими компонентами, розгорнутими одним і тим самим зловмисником: шкідливий завантажувач, що пошкоджує виявлені локальні диски, Discord-завантажувач і File Wiper.

Назад

Технічний аналіз шкідливого завантажувача WhisperGate, націленого на українські організації

Новина

15 січня стало відомо, що проти низки українських організацій було розгорнуто набір шкідливих програм, що отримав назву WhisperGate. За численними даними, інцидент був викликаний трьома окремими компонентами, розгорнутими одним і тим самим зловмисником: шкідливий завантажувач, що пошкоджує виявлені локальні диски, Discord-завантажувач і File Wiper.

Активність відбулася приблизно в той же час, коли кілька веб-сайтів, що належать уряду України, були атаковані.

Розглянемо цей шкідливий завантажувач детальніше.


Деталі


Компонент інсталятора для завантажувача має наступний хеш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

і містить часову мітку 2022-01-10 10:37:18 UTC. Він був зібраний за допомогою MinGW, аналогічного компоненту file-wiper. Цей компонент перезаписує головний завантажувальний запис (MBR) зараженого хоста шкідливим 16-бітним завантажувачем з хешем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

який при завантаженні хоста відображає повідомлення про викуп (Рис. 1) та одночасно виконує деструктивні операції на жорстких дисках зараженого хоста.


Рис. 1: Підроблене повідомлення про викуп


Операція деструктивного видалення даних має такий псевдокод:


Періодично завантажувач перезаписує сектори всього жорсткого диска зараженого хоста з повідомленням, схожим на записку про викуп, з додатковими байтами (Рисунок 2).


Рис. 2: Шістнадцятковий дамп шаблону, записаного на диски зараженого хоста


Дані складаються з рядка AAAAA, індексу зараженого диска, повідомлення про викуп і магічного значення 55 AA в колонтитулі MBR, за яким слідують два нульові байти.

Завантажувач отримує доступ до диска через переривання BIOS 13h в режимі логічної адресації блоків (LBA) і перезаписує кожен 199 сектор, поки не буде досягнутий кінець диска. Після його пошкодження, шкідлива програма перезаписує наступний диск зі списку виявлених.

Цей процес не відрізняється складністю, але нагадує більш сучасну реалізацію шкідливого MBR вірусу NotPetya, який маскувався під легітимну утиліту відновлення диска chkdsk, а насправді пошкоджував файлову систему зараженого вузла.

Програма встановлення завантажувача не ініціює перезавантаження зараженої системи, як це спостерігалося у минулих вторгненнях, таких як BadRabbit та NotPetya. Відсутність примусового перезавантаження дозволяє припустити, що нападник зробив інші кроки для його ініціювання (наприклад, за допомогою іншого Implant) або вирішив дозволити користувачам виконати перезавантаження самостійно. Відкладене перезавантаження може дозволити запустити інші компоненти вторгнення WhisperGate (наприклад, File Wiper).


Оцінка


Шкідлива програма-завантажувач WhisperGate доповнює свого "напарника" File Wiper. Обидві програми спрямовані на безповоротне пошкодження даних заражених вузлів і намагаються маскуватися під сучасні операції з вимагання. Однак завантажувач WhisperGate не має в собі механізму розшифровки або відновлення даних, а також відрізняється від шкідливих програм, які зазвичай використовуються під час ransomware.

Хоча повідомлення про викуп передбачає, що жертви можуть розраховувати на відновлення своїх даних, це технічно неможливо. Ці невідповідності з великою ймовірністю вказують на те, що діяльність WhisperGate спрямована на знищення даних на уражених ресурсах. Хоча ця оцінка зроблена з часткою припущення, оскільки технічний аналіз WhisperGate все ще продовжується.

Ця активність нагадує руйнівну шкідливу програму NotPetya від VOODOO BEAR, яка включала компонент, що видавав себе за легітимну утиліту chkdsk і ушкоджував Master File Table (MFT) зараженого вузла – критично важливий компонент файлової системи NTFS від Microsoft. Однак завантажувач WhisperGate менш складний, і на сьогодні в ньому не вдалося виявити технічних збігів з операціями VOODOO BEAR.


Актуальні розвіддані про WhisperGate, представлені командою CrowdStrike, є інформацією, що базується на високоякісних даних з кількох джерел. І хоча високий ступінь якості вихідної інформації не означає, що ця оцінка є незаперечним судженням, кіберрозвідка CrowdStrike здатна дати розуміння мотивів, цілей та планів зловмисника. Саме це дозволяє приймати більш швидкі та обґрунтовані рішення у сфері безпеки та змінювати свою реактивну поведінку на проактивну.

Дізнатися більше про рішення від CrowdStrike.


iIT Distribution – офіційний дистриб'ютор рішень компанії CrowdStrike. Наші партнери, клієнти та організації будь-якого масштабу можуть отримати доступ до високоефективних продуктів CrowdStrike, зробивши запит пробної версії на нашому сайті.

Назад

Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди

Новина

Що сталося?

Нещодавно компанія Microsoft оприлюднила два критичні CVE, пов'язані з Active Directory (CVE-2021-42278 і CVE-2021-42287), які при їх комбінованому використанні зловмисником можуть призвести до підвищення привілеїв і, як наслідок, — до компрометації домену.

У середині грудня 2021 року був виявлений експлойт, що поєднує ці два дефекти в Microsoft Active Directory (його також називають "noPac"). Він дозволяв зловмисникам підвищувати привілеї звичайного користувача домену до адміністратора, що давало можливість здійснити безліч атак, таких як заволодіння доменом або ransomware.

Це викликає серйозне занепокоєння, оскільки цей експлойт був підтверджений багатьма дослідниками як експлойт, який не потребує значних зусиль для його експлуатації і несе в собі дійсно критичний вплив на безпеку інфраструктури. Дослідники з Secureworks продемонстрували, як можна використовувати ці вразливості Active Directory для отримання привілейованих прав доступу до домену лише за 16 секунд. Так, ви все правильно зрозуміли – зламаний домен за чверть хвилини!


Наслідки та реакція Microsoft

До цих уразливостей не можна ставитися несерйозно, оскільки тепер існує загальнодоступний експлойт, що дозволяє захопити домен без особливих зусиль (з використанням стандартного налаштування). Захоплення привілеїв домену дозволяє суб'єктам загроз отримати контроль над ним і використовувати його як відправну точку для розгортання шкідливого ПЗ, включаючи ransomware. Це один із найсерйозніших експлойтів, виявлених за останні 12 місяців, але він був менш обговорюваним, частково через підвищену увагу до вразливості Log4j. Microsoft схарактеризувала останню CVE як "менш ймовірну" загрозу безпеці, хоча експлойти на той момент вже були оприлюднені.

Проте, у зв'язку з критичністю виявлених помилок Microsoft опублікувала посібник для користувачів, який містить інструкції про те, що необхідно зробити, щоб знизити ймовірність компрометації за допомогою цього публічного експлойту.


Серед рекомендацій:

  • Переконатись, що всі контролери домену (DCs) "пропатчені". Якщо хоча б один з них залишиться невиправленим, це означатиме, що весь домен, як і раніше, вразливий. Виправлення контролера домену не є тривіальним завданням з огляду на його критично важливі властивості.
  • Виконати ручний пошук підозрілих подій, а потім використовувати ці події як відправну точку для подальшого ручного розслідування. Щобільше, потрібно буде не лише виконати ручний пошук, а й вручну вказати всі назви контролера домену. Знову ж таки, будь-яка допущена помилка може призвести до упущення зачіпок у пошуку.


Що це означає для користувачів Falcon?

Користувачі CrowdStrike Falcon Identity Protection можуть автоматично виявляти спроби використання цих вразливостей — навіть якщо вони не мали можливості застосувати виправлення до контролера домену Active Directory. Це стало можливим завдяки нещодавно випущеному розширенню від CrowdStrike, яке дозволяє автоматично детектувати використання CVE-2021-42278 та CVE-2021-42287 (також відомих як "noPac"), сповіщаючи про будь-які спроби їх використання. CrowdStrike розуміє, що командам безпеки і без цього доводиться нелегко, тому виробники подбали про те, щоб процес виявлення не вимагав додаткового ручного налаштування з боку клієнтів.

На додаток до вищезгаданої функції виявлення, Falcon Identity Protection може блокувати noPac за допомогою простої політики, що забезпечує багатофакторну автентифікацію (MFA) для користувачів, незалежно від факту виявлення. Таким чином, юзери, захищені політиками Falcon Identity Protection знаходяться в безпеці.


Це не перший випадок, коли користувачі Falcon Identity Protection отримують надійний захист від виявлених вразливостей Microsoft Active Directory.

У січні 2021 року було виявлено вразливість MSRPC Printer Spooler Relay (CVE-2021-1678), що вимагає від користувачів негайного внесення виправлень. І в цьому випадку недостатньо було просто "пропатчити" свою інфраструктуру — потребувалося додаткове налаштування. Falcon Identity Protection також покрив цю вразливість, виявивши аномалії NTLM і атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) – ще один приклад уразливості, яку помітили понад рік тому. Розв'язання цієї проблеми з боку Microsoft полягало в тому, щоб попросити користувачів негайно "пропатчити" контролери домену. І в той час, як користувачі Falcon Identity Protection вже мали всі необхідні засоби для виявлення, Microsoft досі зволікають із запланованим випуском інструментів виявлення CVE-2020-17049.

Існують інші вразливості, такі як Zerologon (CVE-2020-1472), які щорічно знаходять у Microsoft Active Directory, а також постійні проблеми з компрометацією supply chain Microsoft AD.


Ймовірно, у майбутньому ми не перестанемо спостерігати нові вразливості. Питання лише в тому, наскільки добре захищена ваша організація, перш ніж ви зможете створити патч у своєму середовищі і переконатися, що при цьому більше нічого не порушено. Як видно з наведених вище прикладів, користувачі Falcon Identity Protection захищені не лише спеціальними засобами виявлення, але й можливістю застосування політики Zero Trust для запобігання крадіжці облікових даних та експлуатації в домені.


Висновок

Ця вразливість ще раз демонструє прямий взаємозв'язок між ідентифікацією (identity) та програмами-вимагачами. Встановлення патчів та зміна конфігурації може забрати багато часу, особливо за наявності декількох вразливостей одночасно (наприклад, Log4j). CrowdStrike на постійній основі забезпечує безперебійну безпеку та захист своїх клієнтів для того, щоб вони мали змогу вільно пріоритизувати свою роботу відповідно до бізнес-плану.

Дізнайтеся більше про рішення від CrowdStrike.


iIT Distribution пропонує компаніям найкращі рішення для захисту та підвищення ефективності своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.

Назад

Витік секретних IP-адрес Pfizer не є рідкістю. Захистіть свої хмарні дані за допомогою проактивного шифрування

Новина

Нещодавно фармацевтична компанія Pfizer підтвердила факт витоку тисяч внутрішніх документів, включно з комерційними секретними даними, пов'язаними з вакциною від COVID-19. У судовому позові Pfizer заявили, що їхній колишній співробітник, ще працюючи в компанії, переніс конфіденційні дані на свої особисті хмарні облікові записи та пристрої.


Ми часто асоціюємо кіберпорушення з корпоративним шпигунством або діяльністю просунутих угруповань. Але чи маємо ми рацію? Цей інцидент є прикладом досить типового порушення, що важко виявляється завдяки хмарним технологіям. Йтиметься про витік даних. Це може бути випадковий "fat fingering" (безглузда помилка, спровокована людським фактором), навмисна крадіжка даних — як у випадку з Pfizer — або злом облікового запису, сьогодні дані переміщуються швидше, ніж будь-коли, через наростальну потребу компаній у хмарних додатках для підтримки продуктивності.


Інцидент із Pfizer не є чимось надприродним. Тому для боротьби з подібними проблемами організаціям необхідно виходити з того, що їхні конфіденційні дані в кінцевому підсумку можуть бути передані неавторизованим сторонам. Це означає одне: ніщо і ніхто не заслуговує на довіру, поки не буде проведена перевірка в рамках системи Zero Trust.


Для того, щоб скористатися перевагами хмарної продуктивності й при цьому захистити конфіденційні дані, необхідно мати продукт безпеки, здатний приймати інтелектуальні рішення про доступ на основі поведінки користувачів, ступеня ризику кінцевих точок, додатків, що використовуються, і рівня чутливості даних, до яких здійснюється доступ.


Як саме стався витік секретних IP-адрес компанії Pfizer?

Імовірно, обвинувачений мав привілейований доступ до конфіденційних та захищених від сторонніх очей даних завдяки своїй посаді у глобальній команді з розробки продуктів компанії. Перед тим як залишити Pfizer, він продублював дані на кілька особистих пристроїв та хмарних сховищ. Внутрішні системи Pfizer, як з'ясувалося, зафіксували ці аномальні дії, але після того, як файли вже були скопійовані. Згідно з заявою Pfizer, 12 000 вкрадених внутрішніх документів включають інформацію про розробку препарату COVID-19 та нові ліки для лікування меланоми.

Це типовий приклад інсайдерської загрози – шкідливої для організації діяльності, що походить від людей усередині неї, таких як співробітники, колишні співробітники, підрядники або ділові партнери, які мають внутрішню інформацію про методи забезпечення безпеки організації, її дані та комп'ютерні системи.


Три функції, необхідні вашому рішенню для захисту хмарних даних

Раніше була зазначена одна деталь: Pfizer мала можливість виявити аномальну поведінку. Але чого компанії насправді не вистачало — це функції проактивного шифрування даних.

І хоча підключення до хмари посилює прогалини в безпеці, інтегровані cloud-based рішення здатні допомогти організаціям не відставати від загроз, що розвиваються.


Існує три функції, які необхідні вашому інтегрованому рішенню безпеки для захисту організації від витоків:

1) Забезпечення видимості поведінки користувачів

Аналітика поведінки користувачів та суб'єктів (UEBA) має вирішальне значення в розумінні того, як саме користувачі взаємодіють з вашими додатками та даними. Найчастіше загрози безпеці не пов'язані зі шкідливим ПЗ. Натомість для заподіяння шкоди може використовуватися привілейований обліковий запис, який має доступ до конфіденційних даних.


2) Розуміння того, якими програмами користуються ваші співробітники

Крім поведінки користувачів, ваше рішення для кібербезпеки має розуміти, які програми використовують ваші співробітники, незалежно від того, санкціоновані вони ІТ-відділом чи ні. Тіньові ІТ стали великою проблемою зараз, коли хмарні програми такі легкі в розгортанні, і багато співробітників мають версії корпоративних додатків (таких, як Google Workspace і Microsoft Office 365).

За даними Bloomberg Law, у жовтні 2021 року компанія Pfizer впровадила інструмент, що дозволяє виявити завантаження файлів співробітниками у хмарні програми. Але знову ж таки, лише виявлення не змогло запобігти витоку інформації.


3) Автоматизоване шифрування

Автоматизовані дії, спрямовані на захист даних – це ключовий аспект забезпечення безпеки. У вас можуть бути інструменти для виявлення аномальної поведінки користувачів, але без інтелектуального механізму впровадження політик ви, на жаль, нічого не зможете зробити, щоб зупинити витік даних.


Таким чином, ваше передове рішення для захисту даних повинно включати дві технології: перша — запобігання втраті даних (DLP), здатна класифікувати і визначати ступінь конфіденційності інформації, а також застосовувати різні обмеження, такі як маркування слів або редагування ключових слів; друга — управління цифровими правами підприємства (E-DRM), яке може шифрувати секретні дані під час їх завантаження.


Четвертий елемент пазлу: телеметрія кінцевих точок та інтегрована платформа

Цей інцидент доводить, що навіть за наявності найкращих у світі систем класифікації даних та виявлення аномалій просто необхідно забезпечити можливість вживання активних захисних заходів. Щоб убезпечити свої хмарні дані, компанії переходять на модель Zero Trust, за якої ніхто не вважається надійним і не отримує доступу, поки не буде перевірений рівень потенційних загроз. Але для прийняття ефективних рішень щодо політики доступу, які не знижують продуктивність, потрібні саме інтегровані відомості.


Lookout Security Platform пропонує не тільки телеметрію про користувачів, додатки та дані, але й захист кінцевих точок. Оскільки співробітники тепер використовують для роботи будь-які пристрої, які є в їхньому розпорядженні, організації постійно наражаються на ризики та загрози, що знаходяться на цих кінцевих точках. Аналізуючи рівень чутливості ваших даних, а також коливання рівня ризику для користувачів, додатків і кінцевих точок, Lookout дозволяє організаціям приймати розумні рішення в питаннях доступу.


Щоб дізнатися докладніше про те, як можна захистити дані організації в «хмарному» середовищі, читайте більше про платформу безпеки Lookout.


iIT Distribution є офіційним дистриб'ютором продуктів компанії Lookout, що забезпечує дистрибуцію та просування рішень на територіях України, Казахстану, Узбекистану та Грузії, а також професійну підтримку для їх проєктування та впровадження.

Назад

Mobile Marketing
+