Без категорії

Метод LotL

Дано: Зловмисник отримав доступ до облікового запису адміністратора в рамках домену і намагається проникнути в головний DC. Реалізувати подібну атаку й залишитися непоміченим досить складно. Проте, DCSyns техніка дає можливість заволодіти критичною інформацію про облікові записи без прямого проникнення в DС. Як це працює? DCSync є модулем інструменту Mimikatz. Коли зловмисник отримує доступ до робочої станції з обліковим записом адміністратора з правами на реплікацію DC (Облікові записи, які мають привілеї реплікації: адміністратори домену, адміністратори груп та адміністратори контролерів домену) він встановлює Mimikatz на...

Posted By belokon.yPost Date: 16.11.2021

Безпечна віддалена робота під час карантину для вашої компанії

Під час карантину та епідемії, надаємо безкоштовну можливість організації безпечної віддаленої роботи для вас та ваших колег на 60 днів. Remote Access VPN - безпечний віддалений доступ корпоративного рівня, який дозволить вашим співробітникам здійснити безпечне підключення до корпоративних додатків, як електронна пошта, документообіг та ін. Mobile Security - захист особистих мобільних пристроїв від вірусів і інших типів шкідливого ПЗ. Endpoint Security - захист ноутбуків і ПК від вірусів, шпигунських програм. Для замовлення додатків заповніть, будь-ласка, форму нижче ...

Posted By Blue TeamPost Date: 12.03.2020

Атака PDFex може видалити дані із зашифрованих PDF

Щоб гарантувати конфіденційність PDF-файли потрібно зашифровувати. Це дозволяє безпечно передати і зберігати конфіденційні документи без додаткових механізмів захисту. Команда з шести вчених з Німеччини виявила проблеми з підтримкою стандарту PDF: «Наші атаки дозволяють відновити весь відкритий текст зашифрованих документів з використанням каналів витоку даних, які основані на стандартах PDF-властивостях», - з слів дослідників. Атака під назвою PDFex представлена у двох варіантах і була успішно протестована на 27 настільних і веб-додатках для перегляду PDF, включно перевірялись такі популярні програми, як Adobe Acrobat,...

Posted By Rubich AnastasiiaPost Date: 03.10.2019

GreyEnergy IOCs

Лише певні антивіруси можуть виявити віруси сімейства GreyEnergy. Red & Blue Team провели аналіз відомих нам зразків та ділимося з вами IOC-ми цього небезпечного сімейства. (більше…)

Posted By Semenyuk MaksymPost Date: 27.09.2019

Стан технічних політик в області безпеки. Опитування.

В рамках проекту aCampus Технічного комітету 185 «Промислова автоматизація» в Україні запускається 3-є опитування про стан технічних політик в області безпеки – функційна безпека та кібербезпека індустріальних систем. Відповідність нормативної бази міжнародним стандаратам, ризик-орієнтовані підходи є надзвичайно важливими для економіки країни в умовах війни та високої зношеності матеріальних активів, звідки слідує висока ступінь техногенних ризиків. Стандарти безпеки як МЕК 62443 (кібер-безпека в АСУТП) та МЕК 61508 (функційна безпека) – не впроваджені в Україні, але вже багато часу обговорюються фахівцями. Чимало підприємств просто...

Posted By Blue TeamPost Date: 26.09.2019

Що таке NetCAT та як захиститися від цієї атаки

NetCAT демонструє, що атаки на мережевий кеш сторонніми каналами є реальною загрозою. Атаки на кеш зазвичай використовуються для витоку конфіденційної інформації у локальних налаштуваннях (наприклад, від віртуальної машини, керованої зловмисником, до віртуальної машини жертви, які ділять кеш процесора на хмарній платформі). NetCAT доводить, що ця загроза поширюється на недовірених клієнтів через мережу, котрі можуть створити витік чутливої інформації, такої як натискання клавіш під час SSH-сесії з віддаленими серверами без локального доступу. Основною причиною цієї вразливості є функція процесорів Intel...

Posted By Semenyuk MaksymTags: vulnerabilityPost Date: 12.09.2019

Nemty Ransomware (шифрувальник-вимагач) набирає обертів.

Активність цього крипто-вимагача припала на другу половину серпня 2019 року. Хоч орієнтований на англомовних користувачів, це не заважає поширювати його по всьому світу. Цей крипто-вимагач шифрує дані користувачів за допомогою AES, а потім вимагає викуп в $1000 (~ 0.099 BTC), щоб повернути файли. До зашифрованих файлів додається розширення: .nemty. Написаний: на C ++ (версія 1.0). Розробка тих же авторів, які раніше поширювали JSWorm. Записка з вимогою викупу називається: NEMTY-DECRYPT.txt Початкове поширення проводиться через сайти кібер-підпілля.Може поширюватися шляхом злому через незахищену конфігурацію RDP,...

Posted By Rubich AnastasiiaPost Date: 09.09.2019

Правила «цифрової» гігієни в цифровому інформаційному просторі

В наш час ІТ технології дуже стрімко розвиваються, я б навіть сказав – з геометричною прогресією. Для багатьох розумні квартири або дома вже давно не є новиною, а засоби автоматизації використовують у всіх сферах та в повсякденному житті. Під час створювання нових засобів та технологій, розробники не завжди ставлять безпеку своїх винаходів на перше місце, або нехтують нею повністю. Такий підхід ставить під загрозу вас, ваших друзів та близьких вам людей. В деяких країнах, наприклад США, нові винаходи та технології...

Posted By Semenyuk MaksymPost Date: 06.09.2019

Огляд трояну update_2018_02.browser-components .js

Користувач, під виглядом оновлень для браузера, викачує архів з шкідливим файлом, витягує з архіву JavaScript файл update_2018_02.browser-components .js і запускає його подвійним натисканням. Процесси, що запускаються в ході атаки: explorer.exe (провідник Windows) запускає процес wscript.exe (вбудована утиліта ОС Windows) для виконання скрипта update_2018_02.browser-components .js. Згідно з інструкцією, скрипт виконує наступні дії: - створює файл C:\...\Users\...\AppData\Local\Microsoft\Windows\INetCache\counters.dat - встановлює з'єднання з сервером 103.7.41.169 по 80 порту і намагається завантажити картинку розташовану за адресою 103.7.41.169/administrator/backups/browser.jpg якщо цей сервер або картинка не доступна вона для завантаження скріпт з'єднується з іншим...

Posted By Semenyuk MaksymTags: malwarePost Date: 14.03.2019

Вразливість Windows SMB, пов’язана з віддаленим виконанням коду

У Microsoft Server Message Block 1.0 (SMBv1) існує безліч вразливостей для віддаленого виконання коду через неправильну обробку певних запитів. Неавторизований, віддалений зловмисник може використовувати ці вразливості через спеціально створений пакет для виконання довільного коду. (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148) ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE і ETERNALSYNERGY - це чотири з деякий експлоітів, розроблених групою Equation Group, але розкриті в 2017 році групою відомою як Shadow Brokers. WannaCrypt - це програма, яка використовує ETERNALBLUE, а Eternal Rocks - це черв'як, який використовує сім вразливостей...

Posted By Rubich AnastasiiaTags: vulnerabilityPost Date: 11.03.2019