«Не только реверс, но и воплощение знаний в коде, инструментах и плагинах»: как работается вирусным аналитиком в PT ESC
И снова привет, Хабр! Это Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Сегодня вас ждет нетипичный контент от нашего подразделения: без технических деталей о вредоносах и скриншотов из...
Разбираем мощный «движок» Managed XDR
Управлять кибербезопасностью, анализировать события в сети, молниеносно останавливать атаки — что умеет новое комплексное решение Group-IB О необходимости использовать так называемую эшелонированную защиту от кибератак на рынке информационной безопасности говорят уже не один десяток лет. Суть этой...
Payment Village на PHDays 11: как хакеры ломают банкоматы
Форум Positive Hack Days 11, проходивший 18–19 мая 2022 года, был по-настоящему грандиозным. В конкурсе по взлому банкоматов в зоне Payment Village борьба развернулась не на шутку — 49 участников, это очень круто! Призовой фонд в этом году составлял 50 000 рублей, и его забрал человек с ником Igor,...
Погружаемся в Open Source бережно и безопасно
На сегодняшний день нет практически ни одной программы, где не задействовали бы бы Open Source — программное обеспечение с открытым исходным кодом. Неумелое использование компонентов и недостаточная степень проверки могут испортить любой продукт, а вместе с ним и лишить лояльностей пользователей....
Подборка самых просматриваемых докладов на PHDays 11. Трек «Технический доклад»
Месяцы подготовки, десятки топовых спикеров, более 100 докладов и круглых столов по самым острым вопросам бизнес-повестки, а также из области настоящего технологического хардкора: завершился крупнейший в Европе форум по практической безопасности Positive Hack Days. Он стал самым посещаемым за...
OpenSource NTA для безопасника
Привет, хабр! Уже многое было рассказано об анализе сетевого трафика, например с помощью suricata или snort, но что делать, если контекста алертов IDSIPS все еще не хватает для полноценного анализа? Под катом - обзор opensource NTA – Arkime (в прошлом Moloch) и разбор нескольких кейсов. Читать...
[Пятничное] Про Горыныча, Васю и мужиков с ломом
О том, что обеспечение безопасности не ограничивается защитой периметра Случалось ли вам объяснять, скажем, бухгалтерии, что такое сервер? Мне – да. И что такое СХД – тоже. «Представьте, - говорю, - что вы готовите борщ. Овощи – ваши данные. Вы их порезали и отправили в кастрюльку с бульоном. Вот....
Смотрим на технологическую сеть глазами злоумышленников
Могут ли злоумышленники проникнуть в АСУ ТП[1]? Как они это делают и какие инструменты используют? А главное, обязательно ли атакующие должны что-то понимать в АСУ ТП и технологических системах, чтобы нанести ущерб промышленным предприятиям? Дмитрий Федосов, специалист отдела экспертных сервисов и...
Что может система анализа трафика в руках охотника за киберугрозами
Кибератакам подвержена компания из любой сферы экономики. Попытки злоумышленников закрепиться внутри инфраструктуры оставляют следы — сетевые артефакты. Обнаружить их и снизить вероятность атаки позволяют системы анализа трафика (NTA-решения). Главное — правильно их использовать. В этом посте мы...
Разбор конкурса IDS Bypass на Positive Hack Days 11
Конкурс IDS Bypass проходил на конференции Positive Hack Days уже в четвертый раз (разбор одного из прошлых конкурсов). В этом году мы сделали шесть игровых узлов с флагом на каждом. Для получения флага участнику предлагалось либо проэксплуатировать уязвимость на сервере, либо выполнить другое...
PHDays 11 завершен: взрыв интереса к ИБ, расследование атаки на Rutube, демонстрация остановки нефтепровода
Информационная безопасность напрямую связана с безопасностью граждан и всего государства. Об этом не раз говорилось на международном форуме по практической безопасности Positive Hack Days 11. Живая демонстрация происходила одновременно — в ходе самой масштабной открытой кибербитвы в мире The...
The Standoff 365: на PHDays 11 презентовали платформу bug bounty
На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. За первые два дня на платформе зарегистрировались 366 белых хакеров. Первыми на ней разместили свои программы...
Профилируем события Sysmon при внедрении в инфраструктуру
Если Вы опытный инженер SOC и настраивали уже несколько раз мониторинг инфраструктуры с нуля, то врядли найдете для себя что-то новенькое. Всех остальных приветствую в своей первой статье). Одним прекрасным утром прилетела задача внедрить Sysmon вчера срочно. Естественно, первым, что я сделал зашел...
Техники ML, взлом банкоматов и обход IDS — какие конкурсы будут на PHDays 2022
Вслед за пандемией пришла настоящая эпидемия кибератак, и форум PHDays в новых реалиях как никогда актуален. Как обычно, скучать не придется. Помимо серьезных докладов по информационной безопасности вас ждет кибербитва The Standoff, а захватывающие конкурсы помогут не только развлечься, но и...
Подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ. Часть 3
Продолжаем сдавать все явки и пароли и представляем третью подборку полезных материалов, рекомендуемых экспертами Positive Technologies. Наша команда аналитиков собрала русские и зарубежные базы знаний и блоги, курсы и лабы, исследовательские отчеты и Telegram-каналы, которые будут интересны всем,...
Выход на оперативный простор: чем криминалистам поможет книга Practical Memory Forensics
В британском издательстве Packt Publishing вышла новая книга криминалистов Group-IB — Светланы Островской и Олега Скулкина: “Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory”. Если у Олега это уже четвертое издание (интервью с ним читайте здесь), то Светлану...
Masscan с поддержкой HTTPS
Masscan — быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов. Мы немного доработали его, адаптировав под свои нужды. Больше всего неудобств оригинала было связано с невозможностью собирать баннеры с HTTPS-серверов. А что такое современный веб без...
Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?
Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые запросы. Кроме того, с хост-машины утекают данные. Как же так? Читать дальше →...