ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности

Машинное обучение и поведенческий анализ меняют подходы к кибербезопасности, помогая выявлять сложные угрозы за пределами традиционных методов защиты. Эти технологии анализируют необычные паттерны поведения, что позволяет лучше справляться с новыми угрозами.

⏺ Автор статьи описывает, как модуль Behavioral Anomaly Detection (BAD) использует машинное обучение для оценки риска событий и анализа поведения в системе. Это позволяет более эффективно выявлять угрозы и облегчать работу аналитиков за счет детального анализа активности и снижения нагрузки на систему.

ZeroDay | #Статья

RS/6000 SP: суперкомпьютер IBM, обыгравший Каспарова. Что это была за система?

👋 Приветствую в мире цифровой безопасности!

Сегодня вспомним суперкомпьютер IBM RS/6000 SP — тот самый, что обыграл Гарри Каспарова в 1997 году.

⏺Система включала 30 узлов с 480 шахматными процессорами и работала под ОС AIX 4.2. Она обеспечивала мощные расчёты, необходимые для победы над чемпионом.

⏺Deep Blue II на базе RS/6000 SP мог просчитывать миллионы ходов за секунды, что позволило ему победить Каспарова со счётом 3½:2½.

⏺Однако RS/6000 SP применялся не только в шахматах, но и в науке, инженерии, анализе данных.

⏺Он даже был главным веб-сервером на Олимпийских играх 1996 и 1998 годов.

ZeroDay | #разное

Типы атак на большие языковые модели (LLM)

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим ключевые атаки на большие языковые модели (LLM).

⏺ Атаки на конфиденциальность направлены на извлечение данных, использованных при обучении. Даже если данные анонимны, можно восстановить личную информацию, что приводит к утечкам паролей и финансовых данных.

⏺ Атаки с отравлением данных происходят, когда вводят искаженные данные в обучение. Это приводит к ошибочным или предвзятым ответам модели, что опасно для критичных приложений.

⏺ Атаки через побочные каналы используют отклик модели или её ресурсоёмкость, чтобы извлечь информацию о внутреннем устройстве или обучающих данных.

⏺ Атаки скрытыми командами встраивают скрытые инструкции в запросы, заставляя модель выполнять вредоносные действия или обходить фильтры.

ZeroDay | #атака

RustScan: сверхбыстрый сканер портов на Rust

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Молниеносное сканирование: RustScan разработан для сканирования всех портов за считанные секунды. Это делает его одним из самых быстрых инструментов для поиска открытых портов в сети.

⏺Интеграция с Nmap: RustScan не только быстро сканирует порты, но и передаёт результаты в Nmap для более детальной проверки. Это позволяет получить точную информацию о сервисах и версиях ПО за минимальное время.

⏺Оптимизация производительности: За счёт использования языка Rust, RustScan может обрабатывать огромные объёмы данных с низкими затратами ресурсов.

ZeroDay | #Инструмент

Интеграция EDR для защиты сети на практике

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как интегрировать решение Endpoint Detection and Response (EDR) с другими системами защиты

⏺Установка и настройка EDR-агентов: Начните с установки EDR-агентов на все конечные точки. Рассмотрим CrowdStrike Falcon:

# Скачайте агент для Linux
wget https://falcon.crowdstrike.com/falcon-agent-linux.deb
sudo dpkg -i falcon-agent-linux.deb

# Регистрация агента с использованием CID
sudo /opt/CrowdStrike/falconctl -s --cid=<Your-CID>

Для Windows:

# Скачайте и установите агент
Invoke-WebRequest -Uri https://falcon.crowdstrike.com/falcon-agent-win.exe -OutFile FalconAgent.exe
Start-Process -FilePath .\FalconAgent.exe -ArgumentList '/install', '/quiet'

⏺Интеграция с SIEM-системами: Подключите EDR к вашей SIEM-системе для централизованного сбора и анализа данных. Пример для Splunk:

# Установка Splunk Add-on для CrowdStrike
wget https://download.splunk.com/products/splunk/addons/Splunk_TA_Falcon_6.2.0.tgz
tar -xvf Splunk_TA_Falcon_6.2.0.tgz

После установки выполните настройку:

# Настройка интеграции в Splunk
Splunk Console -> Data Inputs -> Add Data -> Select Falcon Data

⏺Настройка алертов и автоматических действий: Настройте алерты и автоматизированные реакции на инциденты. В Splunk вы можете создать алерты, используя:

# Пример создания алерта
Splunk Console -> Settings -> Searches, reports, and alerts -> New Alert

Настройте условия триггера и действия, такие как отправка уведомлений или запуск скриптов.

ZeroDay | #безопасность

Использование Chkrootkit для сканирования на руткиты

👋 Приветствую в мире цифровой безопасности!

Расскажу и покажу, как настроить и использовать инструмент Chrootkit

⏺Установка Chkrootkit: Для систем на базе Debian достаточно следующей команды:

sudo apt install chkrootkit

Для CentOS потребуется установка из исходников:

yum update
yum install wget gcc-c++ glibc-static
wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar –xzf chkrootkit.tar.gz
mkdir /usr/local/chkrootkit
mv chkrootkit-0.52/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense

⏺Основные команды для сканирования:
Chkrootkit проверяет несколько ключевых системных компонентов, поэтому можно использовать дополнительные флаги для получения более детальной информации.

Базовое сканирование на руткиты:

sudo chkrootkit

Проверка сетевых интерфейсов и обнаружение возможных атак через интерфейсы:

sudo chkrootkit -p eth0

Проверка логов и подозрительных изменений в системных двоичных файлах:

sudo chkrootkit -q

⏺Также нужные команды: Игнорирование тестов для ускорения процесса сканирования (например, игнорирование проверки sniffer):

sudo chkrootkit -r /path/to/root --skip sniffer

Сканирование на наличие вредоносных программ в пользовательских каталогах:

sudo chkrootkit -r /home/youruser

⏺Автоматизация через cron: Чтобы автоматизировать сканирование и получать отчеты на электронную почту, добавьте запись в crontab. Например, ежедневное сканирование в 3 часа ночи с отправкой отчета:

0 3 * * * /usr/sbin/chkrootkit -x 2>&1 | mail -s "Chkrootkit Reports" [email protected]

Для выполнения только отдельных тестов (например, только на наличие руткитов):

0 3 * * * /usr/sbin/chkrootkit -r /path/to/root --quiet 2>&1 | mail -s "Chkrootkit Rootkits Scan" [email protected]

ZeroDay | #безопасность

Схема шифрования HTTPS

В нем используются асимметричные и симметричные методы шифрования.

1️⃣Клиент запрашивает HTTPS-соединение, и браузер инициирует процесс.
2️⃣Сервер отправляет свой публичный ключ в ответ на запрос.
3️⃣Браузер генерирует сеансовый ключ для дальнейшего шифрования данных.
4️⃣Сеансовый ключ шифруется публичным ключом сервера и отправляется обратно на сервер.
5️⃣Сервер расшифровывает сеансовый ключ с помощью своего приватного ключа.
6️⃣После этого асимметричное шифрование завершается, и передача данных продолжается с помощью симметричного сеансового ключа, который быстрее и эффективнее.

ZeroDay | #шифрование

Учим английский в привычной форме 😁

ZeroDay | #мем

Потенциальные атаки на HTTPS и как от них защититься

HTTPS снижает риск перехвата трафика, но не устраняет все угрозы. Атаки, такие как POODLE, BEAST и DROWN, продолжают использовать уязвимости в протоколах безопасности, что позволяет злоумышленникам перехватывать данные.

⏺Автор статьи рассказывает о различных атаках на HTTPS-протокол, подробно объясняя, как они работают и как от них защититься. Особое внимание уделяется проблемам устаревших версий протоколов, таких как SSL 3.0 и TLS 1.0, а также способам их безопасной настройки и обновления для минимизации рисков.

ZeroDay | #Статья

Разница между Honeypot и Deception

👋 Приветствую в мире цифровой безопасности!

Сегодня разберемся в различиях между Honeypot и Deception — двумя подходами к обману злоумышленников.

⏺Honeypot — это "ловушка", симулирующая уязвимую систему для привлечения хакеров. Он имитирует ценную инфраструктуру, чтобы злоумышленники взаимодействовали с ложными данными и службами. Honeypot работает пассивно, предоставляя ИБ-специалистам данные для анализа атак.

⏺Deception — более комплексный подход, создающий фальшивую инфраструктуру, включая базы данных и устройства. Эта технология активно вмешивается в атаки, создавая реалистичную сеть ложных целей и интегрируясь с системами безопасности для блокировки угроз.

⏺Основные различия:

• Масштаб: Honeypot — одиночная система, тогда как Deception охватывает всю сеть.
• Реакция: Honeypot наблюдает за атаками, Deception активно противодействует им.
• Интерактивность: Deception направляет действия хакеров и задерживает их, тогда как Honeypot лишь собирает данные.

ZeroDay | #безопасность

Подборка deception инструментов

👋 Приветствую в мире цифровой безопасности!

Поговорим о deception инструментах.

⏺ Attivo ThreatDefend — платформа от SentinelOne для развертывания поддельных активов, активации песочницы для анализа вредоносного ПО и автоматического выполнения действий, таких как карантин системы и отзыв учетных данных.

⏺ Illusive Shadow — безагентная платформа, создающая сложные обманные конечные точки и автоматически масштабирующая и обновляющая приманки в соответствии с изменениями в сети.

⏺ CounterCraft Cyber Deception — платформа, использующая ActiveLures для привлечения злоумышленников к обманным активам и собирающая данные о их действиях в реальном времени. Интегрируется с системами безопасности, такими как SIEM.

⏺ Fidelis Deception — автоматизирует развертывание обманных активов, адаптируется к изменениям сети и поддерживает IoT и OT устройства. Включает фальшивых пользователей для повышения убедительности приманок.

⏺ TrapX DeceptionGrid — платформа от CommVault, развертывающая тысячи обманных активов, включая ловушки FullOS и токены. Обеспечивает защиту контейнерных сред и собирает данные для улучшения реагирования на инциденты.

ZeroDay | #Инструмент

Червь Samy: хакер, который изменил интернет навсегда

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о том, как червь Samy изменил Интернет и стал одной из самых известных атак в истории.

⏺В октябре 2005 года 19-летний хакер Сэми Камка выпустил червя на MySpace, который мгновенно захватил миллионы профилей за считаные часы.

⏺Камка хотел впечатлить друзей-технарей. Он создал скрипт, который заставлял всех, кто посещал его страницу, автоматически добавлять его в друзья, и показывал надпись: «Мой герой — Сэми».

⏺ Червь начал самокопироваться, заражая все больше пользователей. В результате за короткий промежуток времени у Сэми оказалось больше миллиона запросов в друзья, а MySpace пришлось отключить сайт для ликвидации вируса.

⏺Хотя червь не нанёс материального ущерба, он выявил уязвимости соцсетей и показал, как быстро распространяется вредоносный код.

ZeroDay | #разное

Защита Linux-систем с помощью Auditd

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как настроить и использовать Auditd для мониторинга активности на Linux-системах.

⏺Установка Auditd: На Debian-подобных системах:

sudo apt install auditd

Для CentOS:

sudo yum install audit

⏺Основная настройка: После установки откройте основной конфигурационный файл /etc/audit/auditd.conf и настройте параметры журнала:

• log_file: указывает путь к файлу журнала.
• log_format: задает формат записи (обычно ENRICHED).

⏺Создание правил: Правила задаются в файле /etc/audit/rules.d/audit.rules. Примеры:

Для мониторинга изменений в каталоге /etc:

-w /etc -p wa -k etc_changes

Для отслеживания успешных и неудачных попыток входа:

-w /var/log/secure -p r -k auth_logs

⏺Просмотр и анализ логов: Для просмотра логов используйте команду:

sudo ausearch -k etc_changes

Анализируйте события с помощью auditreport:

sudo aureport -x

⏺Автоматизация мониторинга: Установите cron-задание для регулярного анализа логов или отчётов:

0 1 * * * /usr/sbin/aureport -x > /var/log/audit/daily_report.log

ZeroDay | #безопасность

Анализ безопасности приложений, использующих GraphQL API

GraphQL API стал популярным благодаря своей гибкости и эффективности в работе с данными. Однако его использование также несет риски для безопасности приложений, что требует особого внимания со стороны специалистов по ИБ. Понимание уязвимостей и методов их предотвращения важно для защиты данных при работе с GraphQL.

⏺В статье автор рассказывает о том, как анализировать безопасность приложений на GraphQL. Описаны встроенные функции, инструменты тестирования, такие как Burp Scanner и graphw00f, и методы разведки конечных точек для выявления уязвимостей и обхода защитных механизмов.

ZeroDay | #Статья

ILSpy: декомпилятор .NET с открытым исходным кодом

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Декомпиляция .NET-сборок: ILSpy позволяет восстанавливать исходный код из сборок .NET, что делает его идеальным инструментом для анализа чужих приложений или поиска уязвимостей в собственных программах. Это особенно полезно при работе с закрытым исходным кодом

⏺Открытый исходный код: ILSpy — проект с открытым исходным кодом, что дает возможность не только пользоваться инструментом бесплатно, но и модифицировать его под свои нужды

⏺Поддержка плагинов: Возможности ILSpy можно расширить с помощью плагинов. Это позволяет интегрировать новые функции, такие как экспорт проектов или поддержка дополнительных языков программирования.

ZeroDay | #Инструмент

Метаморфный вирус

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим метаморфный вирус и его уникальные особенности, которые делают его опасным для систем

⏺Метаморфный вирус — это вредоносное ПО, которое при каждой активации полностью изменяет свой код, а не просто шифрует его, как делают полиморфные вирусы. Эти изменения включают переписывание структуры кода, что затрудняет его идентификацию антивирусами, которые ищут фиксированные сигнатуры.

⏺Один из известных метаморфных вирусов — ZMist, который использует сложные техники мутации, чтобы создавать уникальные копии на низком уровне. Это усложняет их удаление и требует от специалистов по кибербезопасности более сложных подходов к защите, таких как поведенческий анализ и мониторинг аномалий.

ZeroDay | #атака

Полиморфный vs. Метаморфный вирус: в чем разница?

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о разнице между полиморфными и метаморфными вирусами, многие просили объяснить разницу после недавнего опроса.

⏺Коротко о каждом:

— Полиморфный вирус: Меняет внешний вид кода при каждом запуске, шифруя его, но функциональность остаётся неизменной. Цель — обход антивирусов, основанных на сигнатурах.

— Метаморфный вирус: Полностью переписывает свой код, сохраняя прежнюю функциональность. Каждая его копия уникальна, что затрудняет его обнаружение.

⏺Главное отличие: Полиморфные вирусы изменяют лишь свою маскировку (шифровка кода), что позволяет им избегать сигнатурного анализа. Метаморфные вирусы же изменяют свою структуру на более глубоком уровне, что делает их ещё более неуловимыми, так как стандартные антивирусы не могут опираться на статические признаки для их обнаружения.

⏺Что опаснее? Хотя оба типа вирусов являются продвинутыми, метаморфные вирусы представляют более серьёзную угрозу. Их способность к полному изменению кода делает их практически невидимыми для антивирусного ПО, в то время как полиморфные вирусы можно обнаружить с помощью продвинутых методов анализа поведения.

ZeroDay | #вирус