Чтобы «вырастить» собственную blue team, нужны две вещи: теоретические знания и практика.
🤔 И если с первым компонентом все плюс-минус ясно (есть интернет, специальная литература и старшие коллеги), то где новичку-киберзащитнику практиковаться — понятно не всегда. Участвовать в киберучениях — хороший вариант, но и здесь с нулевым опытом будет сложно.
Чтобы решить эту задачу, мы создали Standoff Cyberbones — онлайн-симулятор для практической подготовки специалистов по ИБ.
Внутри — практические задания на основе реальных кейсов, собранных по итогам кибербитв Standoff. Можно расследовать отдельные инциденты или целые их цепочки, из которых состоят реализованные недопустимые события. Если не вышло с первого или даже с пятого раза — не страшно, количество попыток не ограничено.
В статье Positive Research Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, подробнее рассказывает о симуляторе и разбирает несколько заданий, рассказывая, как их можно решить при помощи наших продуктов(да, ими можно пользоваться прямо внутри симулятора!) .
😎 Читайте и приступайте к практике. Удачи!
@Positive_Technologies
#PositiveResearch
Чтобы решить эту задачу, мы создали Standoff Cyberbones — онлайн-симулятор для практической подготовки специалистов по ИБ.
Внутри — практические задания на основе реальных кейсов, собранных по итогам кибербитв Standoff. Можно расследовать отдельные инциденты или целые их цепочки, из которых состоят реализованные недопустимые события. Если не вышло с первого или даже с пятого раза — не страшно, количество попыток не ограничено.
В статье Positive Research Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, подробнее рассказывает о симуляторе и разбирает несколько заданий, рассказывая, как их можно решить при помощи наших продуктов
😎 Читайте и приступайте к практике. Удачи!
@Positive_Technologies
#PositiveResearch
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Злоумышленник опубликовал вредоносные пакеты deepseeek и deepseekai в Python Package Index 🐳
Команда Supply Chain Security департамента Threat Intelligence PT ESC обнаружила вредоносную кампанию на фоне популярной темы последних дней. Злоумышленник, создавший учетную запись
Найденные пакеты после установки крадут переменные окружения при вызове консольных команд deepseeek или deepseekai (скриншот 2). Переменные окружения обычно ценны тем, что в них могут содержаться чувствительные данные, используемые в рамках функционирования приложения, например данные доступа к объектному хранилищу S3 или другим ресурсам инфраструктуры.
Примечательно, что код создан с использованием ИИ-ассистента, на что указывают характерные комментарии (скриншот 3).
Мы оперативно уведомили администраторов репозитория, пакеты были отправлены в карантин и вскоре удалены. Несмотря на быструю реакцию, их успели скачать 36 раз пакетным менеджером pip и средством зеркалирования bandersnatch, еще 186 раз — при помощи браузера, requests и других средств.
Сохраняйте бдительность: злоумышленники постоянно ищут такие удачные названия для осуществления атак в опенсорсе🐱 .
IoCs:
#ti #pypi #pyanalysis #scs
@ptescalator
Команда Supply Chain Security департамента Threat Intelligence PT ESC обнаружила вредоносную кампанию на фоне популярной темы последних дней. Злоумышленник, создавший учетную запись
bvk в июне 2023 года и до этого не проявлявший активность, 29 января 2025 года зарегистрировал вредоносные пакеты deepseeek и deepseekai.Найденные пакеты после установки крадут переменные окружения при вызове консольных команд deepseeek или deepseekai (скриншот 2). Переменные окружения обычно ценны тем, что в них могут содержаться чувствительные данные, используемые в рамках функционирования приложения, например данные доступа к объектному хранилищу S3 или другим ресурсам инфраструктуры.
Примечательно, что код создан с использованием ИИ-ассистента, на что указывают характерные комментарии (скриншот 3).
Мы оперативно уведомили администраторов репозитория, пакеты были отправлены в карантин и вскоре удалены. Несмотря на быструю реакцию, их успели скачать 36 раз пакетным менеджером pip и средством зеркалирования bandersnatch, еще 186 раз — при помощи браузера, requests и других средств.
Сохраняйте бдительность: злоумышленники постоянно ищут такие удачные названия для осуществления атак в опенсорсе
IoCs:
пакет PyPI: deepseeek
пакет PyPI: deepseekai
c2: eoyyiyqubj7mquj.m.pipedream.net
#ti #pypi #pyanalysis #scs
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Уверены, что 99,9% ответов будут в духе «поиграю в GTA V». Наши коллеги из Positive Labs от поездок по Лос-Сантосу тоже не откажутся, но сначала
Казалось бы, все, можно садиться и играть, но сначала нужно написать статью на Хабр о том, как появился RGH3 — самый популярный метод модификации Xbox 360 в наши дни.
В тексте — понятное объяснение того, что такое Reset Glitch Hack (RGH), подробное пошаговое описание принципа работы и результаты тестирования.
Мы восхитились масштабами, но поняли не все. Пойдем зададим пару вопросам коллегам. Вы тоже можете — в комментариях к статье, где уже завязалось оживленное обсуждение.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Positive Technologies
⚡️Обнаружена новая хакерская схема Подробности — на нашем сайте. 😈 @Positive_Technologies
This media is not supported in your browser
VIEW IN TELEGRAM
Много лет эксперты Positive Technologies помогают компаниям проверять защищенность и находить слабые места в системах безопасности.
Мы решили объединить экспертизу PT Expert Security Center (PT ESC) и опыт пентестов, чтобы создать PT Dephaze — инструмент для автоматической проверки возможности захвата критичных систем.
Продукт заберет на себя рутину 😮💨 в пентестах и освободит руки специалистов на более креативные задачи
Регистрация на онлайн-запуск уже открыта на нашем сайте.
Обещаем обойтись без скучных обзоров продукта — мы расскажем о том, что вы действительно хотите знать.
А еще пригласим в прямой эфир белого хакера, который будет комментировать все действия PT Dephaze с точки зрения проникновения в инфраструктуру и расскажет, как бы на его месте действовал пентестер.
Ждем вас 27 февраля в 14:00!
#PTDephaze
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Хотим сказать большое спасибо за обратную связь, благодаря которой мы улучшили расширения и для локального применения, и для использования в режиме интеграции с сервером PT Application Inspector. Рады, что можем делать наш продукт лучше вместе с вами — его пользователями
На вебинаре 6 февраля в 14:00 поговорим:
Готовьте ваши вопросы, ждите инсайтов и не забудьте зарегистрироваться заранее.
#PTAI
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Можно было бы сказать так о выходе на багбаунти, но к счастью, нам есть кого обо всем расспросить.
Доверили эту почетную миссию Алексею Лукацкому, который узнал у представителей компаний — пионеров на Standoff Bug Bounty, как они приняли решение разместить программы, что при этом учитывали, с какими новыми задачами столкнулись и как смогли их решить.
В гостях в нашей импровизированной студии побывали:
Обсудили, почему программы багбаунти эффективнее аудитов и пентестов, поделились лайфхаками по работе с багхантерами (например, что делать с дублями и уязвимостями вне скоупа), подсчитали, какой бюджет нужен, и рассказали, из-за каких отчетов специалисты по кибербезопасности не спят по ночам.
Смотрите два получившихся интервью там, где вам удобно:
Ozon и Wildberries
Rambler&Co и hh․ru
#StandoffBugBounty
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from IT's positive investing
💼 Представляем предварительные результаты деятельности Positive Technologies за 2024 год
Традиционно мы подводим итоги в несколько этапов: в начале года делимся предварительным результатами, а в апреле — итоговыми, которые будут сформированы по результатам поступления оплат до 31 марта 2025 года за отгруженные в 2024 году лицензии.
➡️ Исходя из текущих управленческих данных, объем отгрузок составил около 26 млрд рублей. Итоговое значение фактически оплаченных отгрузок 2024 года, по ожиданиям менеджмента, составит около 25,5 млрд рублей.
Результаты деятельности — ниже первоначальных ожиданий менеджмента. На традиционно сильный для компании 4-й квартал пришелся период максимального ужесточения денежно-кредитной политики — повышение ключевой ставки и увеличение стоимости заемных средств, что существенно повлияло на возможности клиентов по использованию и расширению имеющихся бюджетов.
📊 Мы считаем стратегически важным возвращение к таргетируемым нормам рентабельности чистой прибыли и темпов роста бизнеса. С этой целью проведена внутренняя трансформация и пересмотрены подходы к управлению компанией. В настоящий момент мы актуализируем среднесрочную стратегию роста бизнеса и планируем представить ее весной.
⚙️ В 2024 году мы продолжили реализацию планов технологического развития, среди ключевых событий которого — запуск межсетевого экрана нового поколения PT NGFW. Мы ожидаем, что основной объем отгрузок клиентам PT NGFW придется на 2025-й и последующие годы. Также мы представили новые продукты PT Data Security и PT Dephaze, которые позволят нам выйти в новые сегменты рынка кибербезопасности.
💡 Итоговая аудированная консолидированная финансовая и управленческая отчетность будет опубликована в начале апреля — о точной дате мы заранее сообщим в наших каналах.
#POSI
Традиционно мы подводим итоги в несколько этапов: в начале года делимся предварительным результатами, а в апреле — итоговыми, которые будут сформированы по результатам поступления оплат до 31 марта 2025 года за отгруженные в 2024 году лицензии.
➡️ Исходя из текущих управленческих данных, объем отгрузок составил около 26 млрд рублей. Итоговое значение фактически оплаченных отгрузок 2024 года, по ожиданиям менеджмента, составит около 25,5 млрд рублей.
Результаты деятельности — ниже первоначальных ожиданий менеджмента. На традиционно сильный для компании 4-й квартал пришелся период максимального ужесточения денежно-кредитной политики — повышение ключевой ставки и увеличение стоимости заемных средств, что существенно повлияло на возможности клиентов по использованию и расширению имеющихся бюджетов.
📊 Мы считаем стратегически важным возвращение к таргетируемым нормам рентабельности чистой прибыли и темпов роста бизнеса. С этой целью проведена внутренняя трансформация и пересмотрены подходы к управлению компанией. В настоящий момент мы актуализируем среднесрочную стратегию роста бизнеса и планируем представить ее весной.
⚙️ В 2024 году мы продолжили реализацию планов технологического развития, среди ключевых событий которого — запуск межсетевого экрана нового поколения PT NGFW. Мы ожидаем, что основной объем отгрузок клиентам PT NGFW придется на 2025-й и последующие годы. Также мы представили новые продукты PT Data Security и PT Dephaze, которые позволят нам выйти в новые сегменты рынка кибербезопасности.
💡 Итоговая аудированная консолидированная финансовая и управленческая отчетность будет опубликована в начале апреля — о точной дате мы заранее сообщим в наших каналах.
#POSI
Тогда, прежде чем выкладывать код на открытую платформу, нужно полностью исключить из него всю корпоративную информацию: названия репозиториев и проектов, имена и почту сотрудников, внутренние идентификаторы тикетов и любые формулировки, отражающие задачи продукта. При этом важно сохранить авторство и историю создания проекта.
Задачка выглядит непростой, особенно для новичков. Но все решаемо, если есть
В ней он пошагово рассказывает, как переупаковать нужный вам пакет, отредактировав сообщения коммитов и другие корпоративные данные в коде, используя:
git grep, git filter-branch и git rebase --interactiveСледите за руками и повторяйте. Все подробности ищите в статье.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Какими утилитами пользуются красные команды, чтобы подобраться к инфраструктуре, которую должны атаковать?
В статьях на сайте Positive Research наши коллеги рассказывают сразу о двух таких инструментах:
Gobuster — помогает брутфорсить директории и файлы на веб-сайтах, DNS-субдомены, имена виртуальных хостов и много чего еще в зависимости от режима работы. Он компилируется на множестве платформ, действует быстрее интерпретируемых скриптов и не требует специальной среды выполнения.
Ligolo-ng — позволяет создавать туннели через обратные TCP- и TLS-соединения с помощью TUN-интерфейса. Он не использует SOCKS и TCP-, UDP-форвардеры, а создает пользовательский сетевой стек с помощью gVisor и позволяет запускать инструменты вроде Nmap проще и быстрее, без использования прокси-цепочек.
👽 Red team показываем стенд, на котором развернуты утилиты, рассказываем про особенности работы режимов Gobuster и моделируем атаки при помощи обоих инструментов.
👽 Blue team — все то же самое, плюс способы обнаружить и нейтрализовать воздействие на их инфраструктуру.
Читайте одну и вторую статью на сайте нашего медиа.
#PositiveResearch
@Positive_Technologies
В статьях на сайте Positive Research наши коллеги рассказывают сразу о двух таких инструментах:
Gobuster — помогает брутфорсить директории и файлы на веб-сайтах, DNS-субдомены, имена виртуальных хостов и много чего еще в зависимости от режима работы. Он компилируется на множестве платформ, действует быстрее интерпретируемых скриптов и не требует специальной среды выполнения.
Ligolo-ng — позволяет создавать туннели через обратные TCP- и TLS-соединения с помощью TUN-интерфейса. Он не использует SOCKS и TCP-, UDP-форвардеры, а создает пользовательский сетевой стек с помощью gVisor и позволяет запускать инструменты вроде Nmap проще и быстрее, без использования прокси-цепочек.
Читайте одну и вторую статью на сайте нашего медиа.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Лох не мамонт, APK не видео 🦣
В конце 2024 — начале 2025 года в сети активно обсуждалась информация о распространении в Telegram вируса Mamont. Этот банковский троян, представляющий собой вредоносный .apk-файл, встречался нам с именами
При установке на телефон — запрашивает разрешение на установку в качестве приложения для СМС по умолчанию. При закрытии скрывает от пользователя свое присутствие в системе, убирая значок из меню на главном экране. При этом в фоновом режиме собирает информацию об установленных приложениях, о сим-картах, СМС-сообщениях, вызовах, а также другие пользовательские данные и отправляет их на управляющий сервер.
🔑 Пути проникновения на ваш Android
Неизвестный отправляет вам в мессенджере файл с расширением .apk и спрашивает, не вы ли изображены на фото или видео. Иногда требует срочно открыть архив с документами, который представляет собой .apk-файл.
Вирус также может попасть на устройство:
• через фишинговые сайты;
• через QR-коды для вступления в закрытые группы, каналы и т. п.;
• под видом легитимных приложений (.apk-файлы не с официальных магазинов);
• при наличии физического доступа у злоумышленника.
🔐 Как не попасться
1️⃣ Будьте более внимательными:
• не переходите по ссылкам из сообщений, не посмотрев, куда они ведут;
• не вводите данные учетной записи на подозрительных ресурсах;
• избегайте сканирования QR-кодов в общественных местах (они могут вести на фишинговые сайты);
• не открывайте файлы из недоверенных источников.
2️⃣ Настройте конфиденциальность в мессенджере. Вы можете запретить приглашать вас в группы и отключить получение СМС-сообщений от незнакомых пользователей («Настройки» → «Конфиденциальность»).
3️⃣ При получении от знакомого голосовых, СМС- и видеосообщений с необычными просьбами свяжитесь с ним через альтернативные каналы (злоумышленники часто используют дипфейки).
4️⃣ Не храните пароли и банковские реквизиты в избранных сообщениях и чатах.
5️⃣ Устанавливайте приложения только из официальных магазинов и с сайтов разработчиков. Проверяйте запрашиваемые разрешения: если приложение требует доступ к данным, не соответствующим его функциональности, это может указывать на вредоносное ПО.
6️⃣ Регулярно проверяйте список установленных приложений — раздел «Приложения» («Установленные файлы» и т. п.) в параметрах устройства. Некоторое вредоносное ПО скрывает себя от пользователя. Можно также использовать средства для мониторинга активности, которые уведомят о подозрительных действиях.
7️⃣ Обращайте внимание на уведомления и поведение устройства. Если приходит много нетипичных уведомлений или устройство сильно нагревается в неактивном состоянии, это может быть признаком того, что оно заражено.
8️⃣ Регулярно обновляйте ОС и приложения. В обновлениях часто содержатся исправления безопасности.
9️⃣ Используйте проверенные антивирусы.
1️⃣ 0️⃣ Для защиты от физического доступа к устройству используйте надежный пароль.
1️⃣ 1️⃣ Регулярно создавайте резервные копии данных и храните их в безопасном месте.
1️⃣ 2️⃣ Для оценки ущерба при заражении мобильного устройства проведите его исследование.
1️⃣ 3️⃣ Постоянно обучайтесь и будьте в курсе новых угроз. Для общей осведомленности можете пройти бесплатные курсы Positive Technologies — «Личная кибербезопасность» и «Базовая кибербезопасность: первое погружение».
💡 Помните, что APK (Android Package Kit) — это формат, используемый в контексте приложений, но никак не для фото- и видеофайлов.
🎁 Бонус: опубликовали IoCs за 2025 год в Telegraph.
#news #tips #malware
@ptescalator
В конце 2024 — начале 2025 года в сети активно обсуждалась информация о распространении в Telegram вируса Mamont. Этот банковский троян, представляющий собой вредоносный .apk-файл, встречался нам с именами
CBO-Information.apk, Фoтoгpaф.apk, Google Video.apk, Video.apk, Видео.apk, Фото.apk, Photo.apk, Докyмент <Количество штук>.apk и т. п.При установке на телефон — запрашивает разрешение на установку в качестве приложения для СМС по умолчанию. При закрытии скрывает от пользователя свое присутствие в системе, убирая значок из меню на главном экране. При этом в фоновом режиме собирает информацию об установленных приложениях, о сим-картах, СМС-сообщениях, вызовах, а также другие пользовательские данные и отправляет их на управляющий сервер.
Неизвестный отправляет вам в мессенджере файл с расширением .apk и спрашивает, не вы ли изображены на фото или видео. Иногда требует срочно открыть архив с документами, который представляет собой .apk-файл.
Вирус также может попасть на устройство:
• через фишинговые сайты;
• через QR-коды для вступления в закрытые группы, каналы и т. п.;
• под видом легитимных приложений (.apk-файлы не с официальных магазинов);
• при наличии физического доступа у злоумышленника.
🔐 Как не попасться
• не переходите по ссылкам из сообщений, не посмотрев, куда они ведут;
• не вводите данные учетной записи на подозрительных ресурсах;
• избегайте сканирования QR-кодов в общественных местах (они могут вести на фишинговые сайты);
• не открывайте файлы из недоверенных источников.
💡 Помните, что APK (Android Package Kit) — это формат, используемый в контексте приложений, но никак не для фото- и видеофайлов.
🎁 Бонус: опубликовали IoCs за 2025 год в Telegraph.
#news #tips #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM