Какими утилитами пользуются красные команды, чтобы подобраться к инфраструктуре, которую должны атаковать?

В статьях на сайте Positive Research наши коллеги рассказывают сразу о двух таких инструментах:

Gobuster — помогает брутфорсить директории и файлы на веб-сайтах, DNS-субдомены, имена виртуальных хостов и много чего еще в зависимости от режима работы. Он компилируется на множестве платформ, действует быстрее интерпретируемых скриптов и не требует специальной среды выполнения.

Ligolo-ng — позволяет создавать туннели через обратные TCP- и TLS-соединения с помощью TUN-интерфейса. Он не использует SOCKS и TCP-, UDP-форвардеры, а создает пользовательский сетевой стек с помощью gVisor и позволяет запускать инструменты вроде Nmap проще и быстрее, без использования прокси-цепочек.

👽 Red team показываем стенд, на котором развернуты утилиты, рассказываем про особенности работы режимов Gobuster и моделируем атаки при помощи обоих инструментов.

👽 Blue team — все то же самое, плюс способы обнаружить и нейтрализовать воздействие на их инфраструктуру.

Читайте одну и вторую статью на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🙂 Что такое триаж и почему он может вам пригодиться

Первоначальное значение слова «триаж» — сортировка пациентов в больницах, которая помогает определить, кому из них помощь нужна в первую очередь.

А в кибербезопасности команды триажа отвечают за верификацию уязвимостей и часто выступают в роли связующего звена между компаниями и исследователями на платформах багбаунти.

Представьте, что вы занимаетесь вопросами кибербезопасности в компании «Молния» — крупном производителе велосипедов, — которая только что вышла на багбаунти. С одной стороны, это здорово: вы узнаете об уязвимостях в ваших системах, багхантеры получат вознаграждение, все счастливы. Но прежде нужно проделать большую работу — разобрать отчеты (отсеять нерелевантные и дубли), пообщаться с исследователями (например, запросить у них дополнительную информацию), определить уровень опасности найденных уязвимостей и эффективно распределить ресурсы для их устранения.

Если в «Молнии» вы единственный специалист по ИБ, то вы утонете в репортах и на то, чтобы пропатчить уязвимости, уйдет очень много времени.

🦸‍♀️ Тут-то и стоит позвать на помощь команду супергероев триажа: они проделают всю эту работу быстрее и эффективнее.

Например, именно так на Standoff Bug Bounty поступает Минцифры: им удобнее передать задачу проверенным специалистам, чтобы снизить нагрузку на своих сотрудников.

Больше о триаже и о тех, кто им занимается, читайте в статье Дарьи Афанасовой, руководителя отдела триажа Standoff Bug Bounty, написанной для Positive Research.

#PositiveResearch
@Positive_Technologies

😮 Все еще решаете, что выбрать — багбаунти или пентесты? Тогда мы идем к вам!

«Консалтинг в ИБ в виде пентестов и анализа защищенности умер, будущее — за багбаунти!», — дерзко заявляет в начале своей статьи в Positive Research Анатолий Иванов, CPO Standoff Bug Bounty.

А дальше — разворачивает свой тезис подробнее, проводит эксперимент, в котором наглядно показывает различия между пентестом и багбаунти (да, прямо в тексте) и предлагает компаниям делать выводы самостоятельно.

Дочитавшим до конца — бонус: история о том, как багхантеры Standoff 365 за пару часов сломали новую фичу, появившуюся на платформе, и получили за это 450 000 рублей 🪙.

👀 Подробности — в статье на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

👽 Как потенциально возможно нарушить работу автоматизированной системы управления предприятием, если все, что у вас есть, — айпишник сети и несколько имейлов сотрудников?

Про реальное производство ничего сказать не можем, но в компании Metal&Tech в виртуальном Государстве F на кибербитве Standoff 13 реализовать недопустимое событие удалось пятью способами.

Как именно — рассказал в своей статье в Positive Research один из атакующих. Читайте, чтобы узнать, чем рискуют HR-менеджеры, открывая резюме от незнакомцев, почему операторам АСУ ТП нужны пароли посложнее и можно ли проникнуть в SCADA-систему через командную строку.

👽 👽 Пригодится и «красным», и «синим» для пополнения базы знаний и прокачивания навыков.

👀 Ищите материал на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🤑 Говорят, что они могут за пару дней заработать на восемь айфонов, первичный взнос по ипотеке или 14 666 пачек «Доширака».

👾 Рассказывают, что стоит им только взглянуть на скоуп — и уязвимости в нем не просто находятся, но и сами пишут о себе отчеты, прикладывая к ним пруфы.

🙂 Болтают, что компании выстраиваются в очередь, лишь бы они выбрали конкретную багбаунти-программу.

Они — топ-3 рейтинга багхантеров платформы Standoff Bug Bounty: Олег Уланов aka brain, Рамазан Рамазанов aka r0hack и Сергей Бобров aka BlackFan.

Не знаем, как насчет ипотеки и сканирующего взгляда, но интервью у ребят точно берут — одно из них можно прочитать в Positive Research. Там исследователи безопасности делятся подробностями не всегда простой, но интересной багхантерской жизни, рассказывают, как выбирают программы, в которых интересно участвовать, с какими сложностями сталкиваются, и рассуждают о будущем багбаунти.

Интересно? Еще как! Читать всем.

#PositiveResearch #StandoffBugBounty
@Positive_Technologies

🤖 Репозиторий обновился, а вы не в курсе? Созданный нашими коллегами GitHub-бот решит эту проблему.

В статье для Positive Research Александр Дупленко, специалист направления развития инициатив ИБ-сообществ, рассказывает, что уже умеет наш бот и как он показал себя на Open Security Week.

Ищите в ней подробности об архитектуре решения, тонкостях настройки, успешном «пилоте» и о том, как легко этот волшебный помощник становится незаменимым для разработчиков.

На достигнутом мы останавливаться не собираемся, перспективы у GitHub-бота — о-го-го. Например, хотим, чтобы он мог интегрироваться с другими сервисами и фильтровать уведомления.

Кстати, правки от сообщества принимаются. Уже знаете, что хотели бы добавить? 😉

#PositiveResearch
@Positive_Technologies

👽👽 Я б в пентестеры пошел, пусть меня научат

Все, что вы хотели бы знать об этой профессии, но почему-то пока не спросили, рассказал в своем интервью Positive Research наш коллега Александр Морозов, руководитель отдела тестирования на проникновение.

Вы узнаете, почему Саша не выбрал темную сторону несмотря на печеньки, всегда ли заказчики рады отчетам, проверяют ли позитивные пентестеры собственную ИТ-инфраструктуру, часто ли они придерживаются первоначального «плана по взлому» и, наконец, как попасть в его команду.

🔥 Полный текст статьи — на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

📝 Определение недопустимых событий — первый шаг к построению системы результативной кибербезопасности в любой компании

А еще это важный повод для диалога между бизнесом и теми, кто отвечает за ИБ. Задача первых — рассказать, какие сценарии действительно недопустимы, а вторых — определить, могут ли они быть реализованы при атаке злоумышленников на ИТ-инфраструктуру.

❌ Например, если недопустимое событие — последствие затопления складов с готовой продукцией, то отвечать за ливни, наводнения или плохое состояние сантехники специалисты по кибербезопасности не могут.

✅ А вот позаботиться о том, чтобы не было несанкционированного срабатывания системы автоматического пожаротушения или чтобы хакеры не взяли под контроль датчики отопления и подачи воды, — вполне.

Для каждого бизнеса недопустимые события свои, но в качестве отправной точки обсуждения можно использовать универсальные сценарии (такие, например, как потеря денег или нарушение ключевых процессов).

🗺 Кроме того, мы создали отраслевую карту недопустимых событий, на которую могут ориентироваться компании из разных сфер. Поделились ей в статье для Positive Research — ее написал наш коллега Кирилл Босов, руководитель отдела риск-ориентированного консалтинга.

Полезная в материале — не только карта! Читайте, чтобы разобраться, с какой стороны подойти к определению недопустимых событий и как выстроить этот процесс вместе с топ-менеджментом.

#PositiveЭксперты
#PositiveResearch
@Positive_Technologies

Вот и он — новый долгожданный выпуск Positive Research 📚

В этот раз вас ждет номер-перевертыш 🙃

В нем два блока и, соответственно, две обложки. Основной блок — это статьи наших экспертов. Второй блок посвящен детской кибербезопасности — реальные истории об инцидентах и советы, как противостоять (не)детским киберугрозам.

Нам повезло, можем взять в руки и полистать, ощущая свежий запах типографской краски, а вы увидите его на наших мероприятиях или в PDF-версии. Кроме того, мы уже начали выкладывать новые статьи на сайт.

Что внутри?

🐍 Рассказ Алексея Лукацкого с советами о том, как ИБ-специалистам показать свою ценность для бизнеса в 2025 году. Минутки финансовой грамотности, живые примеры и великолепный стиль автора — в наличии.

🎙 Инструкция, полезная каждому интровертному айтишнику: как подготовиться к публичному выступлению технически и внутренне.

🪄 Магия вне Хогвартса Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО PT ESC, рассказывает, как исследовать macOS и находить фантастических тварей вредоносы, где бы они ни обитали (а для любителей мира Гарри Поттера станет приятным сюрпризом дизайн статьи).

🥘 Внутренняя кухня Positive Technologies: интервью с AppSec-специалистами о том, без каких скилов им сегодня не обойтись, почему в нашем случае практики DevSecOps не всегда применимы и как им удается «поженить» задачи ИБ, разработки и интересы бизнеса.

👧👦 Презентация детской рубрики с занимательными ребусами о кибербезопасности (часть из которых уже разгадали в этом канале) и советами о том, как защитить юных пользователей от опасностей, подстерегающих в сети.

И это, конечно, не все! Качайте номер и читайте его целиком.

#PositiveResearch
@Positive_Technologies

👹 Раньше детей пугали выдуманными бабайкой, Бармалеем и Бабой-ягой, а сейчас — вполне реальными кибермошенниками

Они подбивают юных геймеров покупать якобы игровые предметы и валюту и тратить астрономические суммы с родительских счетов, «подселяют» на детские смартфоны ВПО, вовлекают школьников в схемы отмывания денег и другие незаконные действия.

✍️ Хорошо, когда родители знают об угрозах, подстерегающих детей в сети, как наша коллега Ирина Зиновкина, руководитель направления аналитических исследований и молодая мама. Чтобы и вы были в курсе, она написала статью о (не)детских проблемах для Positive Research.

Вы узнаете, как предотвратить беду, и что делать, если неприятность уже случилась (но надеемся, второе вам не понадобится).

👨‍👩‍👧‍👦 Читайте внимательно, рассказывайте детям и обязательно делитесь с другими родителями!

#PositiveResearch
#PositiveЭксперты
@Positive_Research

📱 Это бейдж? Это журнал? Лучше! Бейдж на обложке нового выпуска Positive Research, подготовленного специально к PHDays Fest 📕

Кстати, заглавная статья выпуска как раз о Positive Labs. Да, тех самых ребятах, сделавших бейдж к фестивалю, основная тема которого — реверс-инжиниринг. Глава всех позитивных реверсеров Алексей Усанов рассказал, зачем они кладут устройства в рентген-аппарат, для чего проводить исследования по обратной разработке, какие инструменты для этого нужны (от паяльника до декомпилятора) и почему не стоит пытаться ломать солонки.

🧅 Продолжая тему реверс-инжиниринга, Юрий Васин, руководитель группы Tau Positive Labs, подготовил для вас материал о Chip’olino — ноу-хау Positive Labs, инструменте, который не только проводит исследования, но и пишет для них своеобразную «книгу рецептов».

Кроме того:

🔴 Андрей Тюленев, старший специалист отдела обнаружения
атак в сети PT ESC, поделился, каких покемонов какие инструменты хакеров задетектили наши эксперты при помощи PT NAD в 2024 году;

🔴 как ребята из PT SWARM ломали финансовые компании методами социальной инженерии и что из этого вышло, рассказал Константин Полишин, руководитель группы Red Team SE отдела тестирования на проникновение Positive Technologies;

🔴 о чем мечтают ночами аналитики SOC, по какому пути идет трансформация таких команд и что их ждет в будущем, написал Алексей Лукацкий;

🔴 как хакеры атакуют ИИ, чем это грозит Южному Централу людям и есть ли способы противостоять угрозе, ищите в статье сразу от трех наших коллег.

Это, конечно, не все! Журнал, как всегда, объемный, в нем еще много про ML, Standoff, фишки наших продуктов, образовательные проекты.

👉 Всего в одном посте не расскажешь — качайте и читайте сами.

#PositiveResearch
@Positive_Technologies

🪄Хотите научиться волшебству анализу вредоносов на MacOS?

Тогда поступайте в Хогвартс читайте статью, которую написал для Positive Research Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО в PT ESC, и борец с темной хакерской магией.

🚂 Встречаемся на платформе 9 и ¾, настраиваем окружение для исследования ОС и анализа ВПО и отправляемся в увлекательное путешествие. В пути вам встретятся разные фантастические твари файлы, но они не причинят вреда, если пользоваться нужными утилитами и скриптами (расскажем, какими).

👽 В конце пути вы встретитесь с дементорами непривычными языковыми конструкциями, возникшими при обратной разработке бинарного файла с семлпами, скомпилированными на Objective-C и Swift. Но уверены, вы сможете разобраться, что с ними делать.

Волшебство не ждет, открывайте учебник по магии наш материал и в путь!

P. S. Фанатам вселенной Гарри Поттера, даже если вы не разбираетесь во вредоносах, статью тоже советуем, просто посмотрите на нее — и сами все поймете.

#PositiveResearch
@Positive_Technologies

👽 Взлом крупных финансовых компаний — это не только цель хакеров, но и челлендж для редтимеров из PT SWARM

Как ребята готовились и проводили атаки при помощи социальной инженерии, что из этого вышло и чем помогло клиентам, подробно рассказал в своей статье для Positive Research Константин Полишин, руководитель группы Red Team SE отдела тестирования на проникновение Positive Technologies.

Вы удивитесь, как много можно узнать о компании, применяя лишь методы пассивной разведки. Например, используемый стек технологий легко находится в вакансиях для айтишников и резюме сотрудников. А корпоративные адреса — в публичных утечках данных и логах инфостилеров. А уж если искать информацию активно — можно собрать из разных источников целые досье на предполагаемых жертв.

🎣 Дальше остается тщательно подобрать фокус-группу, разработать фишинговый сценарий и раз за разом забрасывать удочку, пока не сработает. Для этого редтимеры (как и предполагаемые злоумышленники) тщательно изучают содержимое почтовых ящиков, ключевые слова в письмах, корпоративный стиль общения, внутреннюю жизнь и процессы в компании.

👽👽 Хотите посмотреть на атаку изнутри в мельчайших деталях? Читайте крутое журналистское расследование новый материал в нашем медиа.

#PositiveResearch
@Positive_Technologies

🍳 Хотите узнать, как устроена внутренняя кухня AppSec в Positive Technologies?

Попросили рассказать об этом подробнее наших коллег-экспертов Владимира Кочеткова, Георгия Александрию, Валерия Пушкаря и Дмитрия Рассадина.

В итоге получилось очень классное и интересное интервью для Positive Research, в котором ребята говорят о своей непростой работе, скилах, без которых в ней не обойтись, процессах и инструментах.

Вы узнаете:

✅ почему в нашем случае не всегда подходят практики DevSecOps;
✅ готовы ли мы контрибьютить в AppSec;
✅ как нашим экспертам удается успешно «поженить» задачи ИБ, разработки и интересы бизнеса;
✅ приходилось ли им сталкиваться с серьезными проблемами безопасности, и что из этого вышло.

Обо всем этом и многом другом читайте на сайте нашего медиа.

P. S. Кстати, если вы ищете в статье лайфхаки, чтобы попасть в нашу AppSec-команду, вы их найдете.

#PositiveЭксперты #PositiveResearch
@Positive_Technologies

🤖 Что там внутри Positive Labs?

Нам повезло: мы можем просто прийти к коллегам в гости и посмотреть, как живут и работают ресерчеры. А чтобы вы не расстраивались, написали обо всем подробно в Positive Research.

Командир всех реверсеров Алексей Усанов, руководитель направления исследований безопасности аппаратных решений, рассказал, где учат этой профессии (спойлер: нигде), для чего нужно просвечивать технику рентгеновским аппаратом и как осциллограф помогает в исследовании «железа».

🧂 Читайте, если хотите узнать, как вас могут подставить умные девайсы для дома, почему не стоит подозревать в этом каждую солонку, что ребята делают с обнаруженными уязвимостями, и чем Positive Labs займется в ближайшее время.

👍 Отличное интервью, рекомендуем.

#PositiveResearch
@Positive_Technologies

UPD: десять победителей найдены, в ближайшее время мы свяжемся с вами, чтобы уточнить, куда отправить журналы. Спасибо всем за участие 💜

Сегодня день тех, кто любит искать и находить, — день обнаруженных заначек 💵

Мы, кстати, не шутим. Не верите — погуглите. Подходящий праздник для того, чтобы объявить новый конкурс от Positive Research.

В новом номере журнала опубликован плакат, на котором мы спрятали некоторое количество прямых и косвенных упоминаний Positive Technologies.

Десять счастливчиков, которые смогут первыми найти максимальное количество позитивных примет на картинке, получат бумажный номер Positive Research (тот самый, экземпляры которого расходились на киберфестивале PHDays как горячие пирожки 🥧).

✉️ Внимание: ответы присылайте на почту [email protected]. Как только определятся все победители, мы остановим конкурс в этом же посте.

Кажется, с условиями все — наступает время искать заначки, связанные с Positive Technologies, на картинке. Удачи вам! 😉

#PositiveResearch
@Positive_Technologies

📕 Поваренная книга атак — это вам не шутка какая-то, а ноу-хау наших коллег из Positive Labs

🧅 Chip'olino — новый инструмент для проведения glitch-атак по питанию, который уточняет, сколько соли и паприки добавлять объединяет все известные техники и подходы.

Создатель инструмента — Юрий Васин, руководитель группы Tau в Positive Labs — рассказал, как тот работает, и поделился несколькими рецептами в статье для Positive Research.

Вы узнаете:

🔴 в чем особенности «приготовления» разных микроконтроллеров
🔴 как мы писали поваренную книгу собирали Chip'olino
🔴 как не только найти рецепт атаки, но и перейти от теории к практике
🔴 как помочь развивать Chip'olino (да, там ссылка на GitHub, присоединяйтесь).

P. S. Ставьте ❤️, если оценили название инструмента. Ну гениально же?

#PositiveЭксперты #PositiveResearch
@Positive_Technologies

🔊 Аудиодипфейки ни для кого уже не новость. Но какая нейронка генерирует их лучше всего?

Этим вопросом задались наши коллеги и протестировали семь моделей клонирования голоса: одну платную, четыре открытых и еще две для улучшения качества звука.

Понятно, что оценивать их на слух было бы странно. Поэтому Александр Мигуцкий, специалист по data science и ML в Positive Technologies, и его команда придумали методику тестирования и бенчмарки, составили типичный диалог «сотрудника банка» и его жертвы и сделали пробные записи. Что получилось — рассказали в статье для Positive Research.

🤖 Спойлер: некоторые open-source-решения в чем-то оказались даже лучше платных. А значит, нужно учитывать, что ими могут воспользоваться мошенники, и быть настороже.

#PositiveResearch
@Positive_Research