Вернуться   Sat-madi.com.ua > Компьютеры,Программное обеспечение > Защита компьютера > Антивирусы

Рекламные ссылки:

Ответ
 
Опции темы
Старый 11.10.2020, 15:02   #1101
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Как остановить хакеров: боремся с устаревшим ПО и небезопасными протоколами


Согласно нашему исследованию, 47% уязвимостей, выявленных на сетевом периметре компаний, могут быть устранены установкой актуальных версий ПО.


Эксплуатация уязвимости CVE-2018-15473

Согласно нашему исследованию, 47% уязвимостей, выявленных на сетевом периметре компаний, могут быть устранены установкой актуальных версий ПО. В этой статье мы расскажем о том, насколько опасно отсутствие обновлений, к каким последствиям оно приводит и как можно помешать злоумышленникам атаковать вашу инфраструктуру.

Насколько проблема серьезна

Мы провели анализ защищенности сетевых периметров корпоративных информационных систем с помощью автоматизированной системы контроля защищенности и соответствия стандартам MaxPatrol 8. Наше исследование выявило проблемы с наличием обновлений во всех протестированных компаниях. При этом в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% организаций есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года.

Для 10% выявленных уязвимостей в свободном доступе есть эксплойты — то есть успешную атаку может провести даже хакер без серьезных технических навыков и опыта.

Последствия использования устаревших версий ПО можно представить на примере утечки данных из американского кредитного бюро Equifax. Злоумышленники получили доступ к 143 млн записей его клиентов через уязвимость в веб-сервере Apache Struts. Интересно то, что эта ошибка безопасности уже была хорошо известна и для нее существовал патч, который не был установлен. Компания выплатит в общей сложности порядка 700 млн $ для урегулирования претензий регуляторов и клиентов.

Устаревший софт и небезопасные протоколы: какие атаки они позволяют проводить

В ходе анализа мы обнаружили такие типы уязвимостей, как выполнение произвольного кода, отказ в обслуживании, повышение привилегий, разглашение информации (рис. 1). В основном проблемы связаны с устаревшим софтом и небезопасными протоколами.


Рисунок 1. Распространенные категории уязвимостей (доля организаций)

Вот лишь несколько примеров:

Уязвимость CVE-2017-12617 в Apache Tomcat выявлена в 37% компаний. С помощью нее злоумышленник может загрузить на уязвимый сервер JSP-файл и выполнить код, содержащийся в этом файле.

В 58% компаний была обнаружена уязвимость CVE-2018-15473 в пакете OpenSSH (версии 7.7 и ниже). Она позволяет определять идентификаторы существующих в системе пользователей и успешно эксплуатировалась в ходе тестов на проникновение.

В 53% организаций обнаружены узлы, уязвимые для атаки DROWN (рис. 2). Атака возможна из-за уязвимости CVE-2016-0800 в реализации протокола SSL версии 2. В результате атаки при определенных условиях злоумышленник может завладеть сеансовыми ключами, которые передаются в SSL-сессиях, а значит — получить доступ ко всей информации, передаваемой по зашифрованному каналу. С использованием небезопасных версий протокола SSL/TLS и устаревших версий криптографической библиотеки OpenSSL связаны 16% всех выявленных уязвимостей. Для 27% из них существуют общедоступные эксплойты.


Рисунок 2. Известные уязвимости в SSL/TLS и OpenSSL (доля организаций)

Наиболее часто встречающиеся в ходе инструментального анализа уязвимости датируются 2013—2017 годами. По состоянию на 2020 год до сих пор остаются организации, уязвимые для Heartbleed и WannaCry.

[IMG]Подробнее: https://www.securitylab.ru/analytics/512760.php[/IMG]
Рисунок 3. Уязвимое ПО (доля уязвимостей, связанных с использованием устаревших версий)

Как защититься

На периметре всех организаций доступны для подключения разнообразные сетевые сервисы, это дает возможность любому интернет-пользователю проводить подбор учетных данных к этим сервисам и эксплуатировать уязвимости в ПО.

Для минимизации рисков успешных кибератак следует ограничить количество сервисов на сетевом периметре и убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны из интернета. Если это так, необходимо обеспечить безопасную их конфигурацию и наличие обновлений, закрывающих известные уязвимости. Как мы говорили выше, почти половина (47%) выявленных уязвимостей может быть устранена установкой актуальных версий ПО.

Но важно понимать, что управление уязвимостями — сложный процесс, и эта сложность увеличивается с ростом инфраструктуры. Если инфраструктура большая, то поиск устаревших версий ПО и небезопасных протоколов может оказаться нетривиальной задачей, решить которую без специализированных инструментов невозможно.

Современные средства анализа защищенности позволяют не только автоматизировать инвентаризацию ресурсов и поиск уязвимостей, но и оценить соответствие инфраструктуры политикам безопасности. При этом найти уязвимость недостаточно, ее еще нужно верифицировать, не забывая о том, что любая подтвержденная брешь представляет угрозу: невозможно предугадать, какой именно вектор атаки из множества возможных выберет злоумышленник.

Для контроля защищенности и соответствия стандартам в системе MaxPatrol 8 предусмотрено три режима сканирования — PenTest, Audit и Compliance.

В режиме PenTest проводятся инвентаризационные, баннерные проверки[1], фаззинг[2], подбор учетных записей. Данный режим предполагает минимальные знания об исследуемой системе (метод черного ящика).

В режиме Audit возможны инвентаризация аппаратного и программного обеспечения, сбор конфигурационных параметров ОС, служб, СУБД, прикладных систем и средств защиты информации, выявление уязвимостей, ошибок конфигурации и контроль обновлений. Этот режим предполагает доступ к сканируемым узлам.

Режим Compliance – контроль соответствия стандартам ИБ, позволяет проводить как проверки, реализованные в режиме Audit, включающие идентификацию программного обеспечения узла, так и дополнительные проверки, необходимые для принятия решения о соответствии сканируемого объекта тем или иным требованиям.

Мы рассмотрели возможности инструментального сканирования сетевых ресурсов. Но учитывайте, что это только первый шаг на пути к приемлемому уровню защищенности вашей организации. За ним обязательно должны следовать верификация, приоритизация, устранение рисков и причин их возникновения. Эта работа должна быть цикличной, а ее регулярность позволит минимизировать риск успешных атак на корпоративную инфраструктуру.

[1] Анализ служебных сообщений, которые передают приложения.

[2] Методика тестирования ПО путем отправки заведомо неверных или случайных данных.

Яна Авезова, аналитик информационной безопасности, Positive Technologies
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (12.10.2020)
Рекламные ссылки:
Старый 11.10.2020, 15:09   #1102
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

От имени МВД России зловред блокирует смартфоны и угрожает задержанием пользователей
09:14 / 11 Октября, 2020

Вредонос скрывается внутри взломанных игр и приложений, скаченных не из официального магазина Play Маркет. AndroidOS/MalLocker не шифрует пользовательские данные, как и большинство подобных Android программ, а просто блокирует доступ к телефону.



Программа ведет себя, как и подобные ей вымогатели, шифрует информацию на устройстве, а затем требует за расшифровку деньги. На экране зараженного смартфона появится надпись якобы от МВД России с сообщением, что владельца устройства заподозрили в неоднократном просмотре детской порнографии и он должен выплатить штраф. В противном случае вымогатель угрожает жертве уголовной ответственностью.

Как сообщает Microsoft, справиться с таким вымогательством очень легко. Достаточно удалить ее в безопасном режиме через ADB (Android Debug Bridge). Однако не многие пользователи знакомы с таким способом.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (12.10.2020)
Старый 12.10.2020, 19:52   #1103
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Российские хакеры вооружились уязвимостью Zerologon
07:00 / 12 Октября, 2020

Компания Microsoft предупредила пользователей о том, что российская киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость Zerologon.

В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления способны обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon.

Группировка TA505, также известная как Evil Corp, активна уже почти десять лет и известна в основном своими атаками с использованием банковских троянов и вымогательского ПО. Недавно ИБ-эксперты представили свидетельства сотрудничества TA505 с северокорейской киберпреступной группировкой Lazarus.

Zerologon ( CVE-2020-1472 ) представляет собой уязвимость повышения привилегий в Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификации на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена.

Недавно Microsoft настоятельно рекомендовала пользователям установить выпущенные ею августовские обновления безопасности, частично исправляющие уязвимость, так как Zerologon уже активно эксплуатируется хакерами, в том числе иранскими . Августовский патч является лишь первым этапом исправления уязвимости – второго следует ожидать в феврале 2021 года.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (18.10.2020)
Старый 17.10.2020, 20:23   #1104
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Россиянам рассказали о самом опасном источнике киберугроз

Речь об электронной почте

Издание РИА Новости пообщалось с заместителем руководителя Центра быстрого реагирования на инциденты кибербезопасности международной компании Group-IB Ярославом Каргалевым. В ходе беседы эксперт рассказал россиянам о самом опасном источнике киберугроз.

По словам специалиста, самым опасным источником киберугроз по прежнему является электронная почта, поскольку именно благодаря ей пользователи зачастую получают письма с вредоносным ПО. Каргалев поделился, что часто посредством почтовых рассылок распространяются программы шпионы.

Что касается вредоносных почтовых рассылок, то за 9 месяцев перехваченные сообщения чаще всего "несли на борту" вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые используются для установки другого вредного ПО, в том числе вирусов-шифровальщиков или банковских троянов.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (18.10.2020)
Старый 18.10.2020, 19:16   #1105
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Из репозитория NPM удалены четыре пакета с бэкдорами
17.10.2020 11:02

В репозитории NPM выявлены четыре пакета с вредоносным кодом. Проблема присутствует в пакетах plutov-slack-client, nodetest1010, nodetest199 и npmpubman, имеющих более тысячи установок. Пользователям, использовавшим первые три пакета, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене.

Пакеты plutov-slack-client, nodetest1010 и nodetest199 включали полностью идентичный вредоносный код, но в файле с манифестом package.json содержали различные данные об авторах и ссылались на разные профили на GitHub. Вероятно за всеми этими пакетами стоит один злоумышленник, который использовал для их распространения фиктивные учётные записи или взломанные учётные записи существующих разработчиков. В процессе установки указанные пакеты оставляли бэкдор, позволяющий управлять системой с внешнего сервера (вредоносный код создавал соединение с сервером злоумышленников и запускал reverse shell). Бэкдор поддерживал работу как в Windows, так и в Unix-подобных системах.

Пакет npmpubman включал код, который собирал данные из переменных окружения (файловые пути, API-ключи, данные о сервере СУБД и т.п.) и отправлял их на внешний хост. Вредоносный код присутствовал в файле index.js и запускался в процессе его выполнения.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (19.10.2020)
Старый 18.10.2020, 19:29   #1106
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Власти Ирана сообщили о кибератаке на один из портов страны
10:16 / 17 Октября, 2020

Иранские официальные лица заявили, что администрация порта страны подверглась кибератаке. Атака была нацелена на электронную инфраструктуру портов страны с целью нарушить поток товаров, однако не увенчалась успехом. Об этом сообщило информагентство Tasnim.

По словам властей, кибератака была совершена «заклятыми врагами» Ирана, которые «не смогли достигнуть своих целей» — нанести удар по экономике Ирана. Кибератака была отражена, однако официальные лица не сообщили, был ли причинен ущерб инфраструктуре.

Управление кибербезопасности Ирана признало, что два департамента подверглись нападениям, и в настоящее время проводится расследование. Несколько департаментов временно отключили свои online-сервисы в качестве меры предосторожности против дальнейших потенциальных атак.

Напомним, в мае нынешнего года власти Ирана также сообщили о попытке кибератаки на крупнейший в стране порт Бендер-Аббас. В результате инцидента было повреждено несколько компьютеров, но сама атака провалилась. Как сообщили власти, атака была предпринята израильскими оперативниками, предположительно, в отместку за более раннюю попытку проникнуть в компьютерные системы объектов водоснабжения.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (19.10.2020)
Старый 18.10.2020, 19:30   #1107
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Пираты смогли обойти DRM защиту Denuvo в Death Stranding и Mafia


Стало известно, что хакерам удалось взломать четыре самые известные игры. Среди них Death Stranding и ремейк Mafia, которые используют DRM защиту Devuno.

Больше остальных смог продержаться нашумевший в июле проект Death Stranding, где в главной роли выступает американский актер Норман Ридус.

Ранее разработчики Denuvo рассказали об улучшении своей защиты. Они были уверены, что хакерам потребуется как минимум три месяца для обхода их последней защиты.

В августе пираты смогли обойти DRM защиту пяти новых игр . Однако стоит отметить, что ни в одной их данных игр не была задействована защита Denuvo. Разработчики использовали встроенную защиту от Steam и Arxan.
vladimir59 вне форума   Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Mogol (19.10.2020), vova-64 (19.10.2020)
Старый 19.10.2020, 18:56   #1108
Супер Модератор
 
Аватар для Mogol
 
Регистрация: 08.01.2015
Сообщений: 10,305
Сказал(а) спасибо: 12,187
Поблагодарили 11,655 раз(а) в 7,845 сообщениях
Репутация: 34975
По умолчанию

СБУ: В 2020 году было нейтрализовано 20 хакерских группировок и 460 кибератак на критически важные объекты

Служба безопасности Украины сообщила, что с начала 2020 года специалисты ведомства нейтрализовали 460 киберинцидентов и кибератак на органы государственной власти и критически важные объекты инфраструктуры. Также за этот период было заблокировано 2,5 тысячи вебресурсов, которые использовались в преступных целях, а также прекращена деятельность 20 хакерских группировок.

Среди самых масштабных спецопераций, связанных с цифровыми сервисами, в СБУ отметили разоблачение несанкционированного вмешательства в работу информационно-телекоммуникационных систем Государственной налоговой службы. Сначала была разоблачена незаконная схема формирования сумм налоговых кредитов по НДС, которая ежемесячно наносила 2 млрд грн ущерба государству, а потом разоблачен конвертцентр с оборотом до 15 млрд грн, через который отдельные предприятия уклонялись от уплаты налогов.

Всего за 9 месяцев 2020 года по материалам киберподразделения СБУ начато 408 уголовных производств, из них — 106 дел за несанкционированное вмешательство в работу компьютеров и автоматизированных сетей (ст. 361, 362, 363 Уголовного кодекса Украины). За этот период также было привлечено к уголовной ответственности 20 граждан и осуждены 3 человека.

Другое направление кибербезопасности — противодействие ботофермам, которые распространяют деструктивный контент, в том числе из РФ. С января усилиями СБУ было нейтрализовано 16 таких сетей мощностью более чем 60 тыс. ботов. Одну из таких ботоферм, которая работала по заказу РФ и террористической «ДНР», оперативники СБУ разоблачили в конце сентября. Всего в 2020 году по материалам Службы начато 42 дела за преступления против основ национальной безопасности, 24 человека осуждены.

Напомним, что СБУ принимает меры по блокированию запрещенных российских приложений на электронных площадках Google и Apple, соответствующие обращения уже направлены в эти компании. Ранее глава СБУ внес расширенные предложения о запрете российских вебресурсов и программ.
Mogol вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vladimir59 (19.10.2020)
Старый 20.10.2020, 13:13   #1109
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Великобритания обвинила Россию в подготовке хакерских атак на Олимпиаду-2020 в Токио

Напомнив о похожей атаке, случившейся во время зимней Олимпиады в 2018 году

В сети появилась информация о том, что Национальный центр кибербезопасности Великобритании и спецслужбы США провели расследование, на основание которого Россию обвинили в подготовке хакерских атак на Олимпиаду-2020 в Токио.

Вместе с Олимпиадой, планировалось сорвать и Паралимпийские игры, говорится в официальном пресс-релизе британского центра кибербезопасности. Также сообщается, что планирование саботажа началось задолго до принятия решения о переносе игр с 2020 на 2021 год.

По мнению экспертов, изучавших вопрос, российские хакеры планировали провести атаку, схожую с той, что была совершена в период проведения Зимних Олимпийских игр 2018 года в Южной Корее. Как и тогда, в 2020 году основными жертвами должны были стать организаторы мероприятия, логистические сервисы, спонсоры и т.д.
vladimir59 вне форума   Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Mogol (20.10.2020), vova-64 (20.10.2020)
Старый 21.10.2020, 20:13   #1110
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,389 раз(а) в 31,177 сообщениях
Репутация: 151177
По умолчанию

Операторы Ryuk осуществили весь цикл атаки всего за 5 часов
09:57 / 21 Октября, 2020

Высокая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon.

Операторы вымогательского ПО Ryuk совершили очередную кибератаку, однако в этот раз преступники перешли от отправки фишинговых электронных писем до полной компрометации среды и шифрования систем жертвы всего за 5 часов. Такая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon ( CVE-2020-1472 ) менее чем через два часа после первого этапа.

Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификаци на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

По словам специалистов проекта DFIR, атака началась с фишингового письма, содержащего версию загрузчика Bazar. Злоумышленники выполнили стандартное сопоставление домена с помощью встроенных утилит Windows, таких как Nltest. Однако им нужно было повысить свои привилегии на системе с целью нанести реальный ущерб, поэтому они использовали недавно обнаруженную уязвимость Zerologon.

Получив повышенные права администратора, киберпреступники смогли сбросить пароль основного контроллера домена. Затем они перешли на дополнительный контроллер домена, выполняя больше операций через сеть и модуль PowerShell Active Directory.

Как отметили специалисты, перемещение по сети осуществлялось посредством передачи файлов по протоколу Server Message Block (SMB) и использование маяков Cobalt Strike с помощью Windows Management Instrumentation (WMI). Cobalt Strike принадлежит к группе инструментов двойного назначения, которые обычно используются для выполнения задач как во время эксплуатации уязвимости, так после.

По результатам анализа атаки, примерно через 4 часа 10 минут группировка перешла с основного контроллера домена, используя RDP для подключения к резервным серверам. Затем с помощью AdFind была проведена дополнительная проверка домена.

На заключительном этапе атаки операторы Ryuk сначала развернули исполняемый файл программы-вымогателя на серверах резервного копирования. После этого вредоносная программа была загружена на другие серверы среды, а затем и на рабочие станции.

Как писал ранее SecurityLab, атака с использованием вымогательского ПО Ryuk прежде занимала 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем. Однако использование Zerologon значительно упростило действия киберпреступников, поскольку атака не была нацелена на пользователя с высокими привилегиями.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
vova-64 (22.10.2020)
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Рекламные ссылки:


Текущее время: 02:40. Часовой пояс GMT +2.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Администрация форума не несёт ответственности за содержание сообщений, оставляемых пользователями форума.
При копировании и/или использовании материалов форума прямая гиперссылка на форум обязательна!