Хорошая подборка базовых сценариев атак на контейнеры. Да и вообще, ресурс неплохой

#mdr

Когда-то мы говорили об Vulnerability Management, но для реализации атаки не всегда требуется наличие уязвимости, поэтому стали оперировать более широким понятием - Attack Surface Management (ASM), которое, лично мне нравится больше, так как лучше отражает все эти сценарии с легитимным доступом с помощью легитимных инструментов с нелегитимными намерениями. Но вот мне на глаза попался док с новым для меня словосочетанием - Exposure Management, что похоже на ASM, но немного другими словами. Говоря об ASM мы обычно имеем в виду про атаки с периметра (хотя, я не видел явно такого ограничения этого понятия), Exposure management рассматривает и сценарии развития по локальной сети, например, в AD, что более чем популярно, тем более в парадигме Assume breach, и с учетом того, что T1078 уже который год в топе по статистикам MDR и DFIR.

В доке много маркетинга и рекламы продукта, собственно, автора доки, однако, есть и ряд интересных цифр.

#vCISO

M-Trends Executive Edition 2024

Коротко, на 4 страницах, для тех у кого нет возможности читать огромные отчеты

- основные числа: dwell time - 10, а для шифровальщиков dwell time - 5 дней; в 70% случаях шифровальщиков не заметили сами; основные вектора: эксплоиты - 38%, фишинг - 17%, не дочистили старые взломы - 15%, ворованные креды - 10%; 52% - финансовая мотивация, 10% - шпионаж

- что надо делать: проактивный threat hunting, red teaming, TTX и традиционная кибергигиена

- бояться: китайцев, зеродеев, фишинга, облаков, ИИ

#vCISO

Прямо сейчас проходит конференция Бекон. Если я ничего не путаю, ребята из Luntry обещали, что видео будет, но слайды уже сейчас публикуются в канале. Я планирую отсмотреть их все, а по интересным\не понятным позже посмотреть запись (если действительно будет)

#mdr

Карьера в ИБ

Обширное описание карьерного пути в безопасности с перечнем релевантных знаний, взятое мною отсюда. Может быть крайне полезно для ознакомления молодежи, как минимум, перед походом ко всяким карьерным консультантам и коучам. Там много Positive Technologies, так как автор там работает, и отсутствуют программы, например, от ЛК, но, как начало погружения - отличный документ, за что стоит сказать спасибо Дмитрию Федорову, тем более, если ребятам хватит мотивации продолжить обновлять свой ресурс.

За 20+ лет в отрасли я не помню, чтобы кто-то сказал, что на рынке хватает специалистов, и единственный выход из этой ситуации - выращивать, инвестировать в образовательные программы, работа с молодежью. Дока - хороший старт для формирования понимания направлений, хотя бы базовых

Spray passwords, avoid lockouts

В статье рассказывается как грамотно перебирать пароль в AD, чтобы не блокировать учетные записи. В конце приводится ссылочка на инструмент.
Практически всегда на пентестах наблюдаем password spraying , поэтому полезно Синим знать как это делать правильно с т.з. Красных и соответствующим образом подстроить свой Detection Engineering

#mdr

Много шума наделала уязвимость фича Recall , не могу и я обойти тему стороной.
С одной стороны ребята из MS не выглядят столь непрофессионалами, чтобы реализовывать функции stalkerware в своих самых популярных продуктах, с другой стороны, подобные "новшества" от MS не впервые. В этой заметке я ссылался на статью Шнайера про умышленное ослабление безопасности, в целом, вполне можно сослаться и здесь. Думайте сами, решайте сами, а пока поделюсь интересными ссылками по теме:

Stealing everything you’ve ever typed or viewed on your own Windows PC is now possible with two lines of code — inside the Copilot+ Recall disaster - почитать

TotalRecall - a 'privacy nightmare'? - тул

DisableAIDataAnalysis - отключение, ну так, по крайней мере, утверждает разработчик

Жаль что сегодня не #пятница

Мой коллега, Артем Баранов, подготовил хрестоматию Windows руткитов. Обязательно для ознакомления

#mdr

Интересный отчет выпустили ребята из РТ о вредоносном ПО. Он быстро читается, содержит интересные числа, и, вроде как, все выглядит логично, но несколько моментов меня стриггерили, и так как сегодня #пятница попробую о них рассказать.

Во-первых, в моем понимании malware - это инструмент проведения атаки. Работая в какой-либо области, нам нужны инструменты: чтобы подметать улицу нам нужна метла, чтобы воспроизводить слова на бумаге нам нужен карандаш, а чтобы компрометировать информационные системы (ИС) нам также нужны инструменты и ими является вредоносное ПО (malware). Т.е. если мы имеем дело с компрометацией ИС практически всегда мы сталкиваемся с malware, так как это - инструмент. За редким исключением, вроде социальной инженерии, когда креды не надо было воровать, а пользователь сам их куда-то вбил, или DOS (или удаленная эксплуатация уязвимостей), когда, безусловно, тоже используются инструменты, тоже malware, но их вряд ли удастся найти и обезвредить в сети жертвы, поэтому с позиции сети жертвы можно их классифицировать как не связанные с malware, но это не значит, что инструментов (malware) не было вообще. Заметил, что у меня нет заметки про классификацию инцидентов по источнику, только по критичности, исправлюсь в ближайших статьях.

Во-вторых, в разделе "ЧТО ПОМОЖЕТ ЗАЩИТИТЬСЯ ОТ ВПО" удивительно не увидеть anti-malware engine. По-моему, очевидно, что в борьбе с malware поможет ani-malware engine (AM). Очень важный момент, что Песочница и AM по отдельности имеют противоположные проблемы, и только их комбинация более-менее эффективна. В частности, Песочница - искусственная среда, и продвинутое ВПО может вполне себе эффективно это определять и пытаться обходить (правда, частенько ровно за такого рода проверки ее и детектят), тогда как AM работает на реальной системе, и ВПО там проявит себя "во всей красе", что значительно повысит шансы успешного обнаружения. С другой стороны, AM имеет ресурсные ограничения, но их не имеет Песочница. Об этом я рассказывал здесь (кстати, можно и весь доклад посмотреть, я старался, чтобы было интересно, правда, было это 6 лет назад, что-то уже подустарело).

В-третьих, мне немного резануло расписывание действий ВПО на техники MITRE. Боюсь, что я не смогу быстро объяснить в чем здесь проблема, и, если это требуется пояснять, то это будет отдельная статья, но попробую кратенько. Проблема в том, что я не смог понять практическую выгоду из информации что данная malware использует вот такой список техник. У нас есть ТТР, причем malware - это конкретная реализация техники, P- Procedure. Допустим, я занимаюсь Detection engineering-ом, как я могу использовать информацию, что какая-то malware/Procedure (которых современный AM-вендор детектит новых 400+к ежедневно) реализует определенный список техник? Если я антивирусный вендор, и мой продукт успешно, автоматически, обезвреживает эту malware, это означает, что мой продукт покрывает эти техники MITRE? (а если я детекчу миллионы разных образцов ВПО и эти миллионы ВПО покрывают вообще все техники MITRE, это означает, что я антивирусом полностью покрываю ATT&CK??). Более того, основные техники, реализуемые в malware, уже указаны в классификации: стилеры будут использовать T1555, T1556 и т.п., вымогатели и вайперы - T1490, T1486, T1561 и т.п. Расписывать техники важно когда мы имеем дело с человекоуправляемой атакой, но натягивать на техники на атоматическое ВПО ... - не знаю. В общем, я не придумал что с этим делать, напишите ваши идеи, пожалуйста, в комментариях, - век живи, век учись!

Мы строили, строили и наконец-то построили :) Книга «Охота на электроовец: большая книга искусственного интеллекта» вышла из печати и доступна к заказу. Полные электронные версии книги (epub, docx, pdf) можно скачать с сайта бесплатно: https://markoff.science#book

«Мифы и заблуждения об искусственном интеллекте, страхи, насущные проблемы, перспективные направления исследований — обо всём этом вы узнаете из «Большой книги искусственного интеллекта»

TI, популярность и задачи для машобуча

Обнаруживать угрозы, а возьмем шире, управлять угрозами, невозможно без данных Threat intelligence (TI). TI для MDR можно сравнить с опытом и мудростью для человека, - в обоих случаях требуется время на его сбор, а точнее, кропотливая работа в течение долгого времени: анализ ВПО и новых техник атак, обнаружение и расследование инцидентов.

Популярность - маленькая частичка TI, но с ее помощью можно творить великие дела. Если вы обладаете огромной базой данных о популярности файлов в Мире, то из этого можно находить, как минимум, следующее:
- непопулярные файлы. Несмотря на то, что ВПО очень много, легитимных файлов радикально больше. Непопулярность файла в комбинации с неизвестной репутацией, источника появления файла на системе, подозрительности пути расположения и т.п. факторами - вполне инструмент для поиска супер-целевых APT
- переименованные файлы. Миллионы легитимных файлов, как правило, имеют постоянные имена и здесь можно триггериться на множество разных сценариев: непопулярное имя, у файла слишком много разных имен и т.п.
- перенесенные файлы или файлы по нестандартным путям - подмножество предыдущего случая, и сценарии схожие - сравниваем фактический путь файла с наиболее популярным
- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке
- Process Injection - опять же надо рассматривать непопулярные IPC, концептуально похоже на DLL Hijacking
- Похожие файлы - немного другая задача, здесь мы ищем не изгоев, а кластеры, разделяющие те или иные атрибуты (поиск атрибутов автоматизируется ML), соответственно, если мы обнаруживаем объект с похожими атрибутами, скорее всего, он повторяет назначение соответствующего кластера

В MDR также имеет смысл "частная популярность", и, если компания имеет много ПО собственной разработки, это позволит аккуратно пофильтровать сценарии непопулярности ПО в Мире с одновременной популярностью в данной конкретной инфраструктуре.

Имея огромную базу TI можно вполне эффективно обучать различные ML-модели, которые будут с низким FPR находить аномалии, релевантные реальным атакам, поднимать алерты, а ребята из SOC далее уже примут решение. Причем, эти технологии, так или иначе основанные на популярности, а также Похожесть и Threat Attribution Engine, уже давно используются в боевых условиях, для MDR любая технология, способная расширить возможности по обнаружению, только приветствуется.

Буду признателен, если в комментариях к этой заметке вы поделитесь своими идеями задач для ML/DL на данных TI.

#mdr

Если у нас с вами есть высота объекта, длина его тени и время измерения, то этого достаточно для определения метоположения объекта в мире. В целом, как будто, ничего нового, но инструмент я решил прикопать.

тул: https://github.com/bellingcat/ShadowFinder
видео руководство: https://youtu.be/pQIjDPFgdJA?si=y6bTYtvvVubibFdw

Хорошая статья про логгирование в Кубере
A Guide To Kubernetes Logs That Isn't A Vendor Pitch
Всегда, когда работаем с разными уровнями абстракции, помогает декомпозиция по слоям, что и предлагает автор:
- логи приложения
- логи контейнера
- логи кластера Кубера
- логи облачного провайдера

#mdr

На просторах Интернета набрел на документ
A Practical Model for Conducting Cyber Threat Hunting
Док не новый, 2021 года, однако, академически-методологически он вполне актуален. Может, кому-то пригодиться

А вообще, у SANS много неплохих WP, вот ссылка: https://www.sans.org/white-papers/

#mdr

Сунь-цзы писал:

...кто знает себя и знает противника, тот в ста победах не потерпит ни одного поражения; кто знает противника, но не знает себя, тот будет чередовать победу и поражение; кто не знает ни себя, ни противника, тот в любом сражении может получить сокрушительный удар

- это было актуально в V веке до н.э., актуально и сейчас.

Но почему-то мы часто слышим об отдельных запчастях - Threat Intelligence Platform (TIP), SIEM/SOAR/IRP, Vulnerability Management (VM), Attack Surface Management (ASM), но реже о Security Analytics Platform, автоматизирующей в себе управление данными об угроза - TIP (== знать противника), управление поверхностью атаки - ASM (== знать себя) и процессы операционной безопасности - SOAR.

Эксклюзивно для нас, читателей этого канала, поделюсь "санкционкой" - неплохой докой от Gartner про программу непрерывного управления поверхностью атаки (Continuous Threat Exposure Management). На нее можно опираться при построении собственного понимания о процессах ASM, но их автоматизацию следует рассматривать в рамках единой платформы Security Analytics, так как выход из ASM следует коррелировать как с данными о TI, так и с событиями телеметрии, летящей в SIEM/SOAR.

#vCISO

Вчера был День России, выходной, и я нашел время посмотреть интервью Такера Карлсона с Джефри Саксом (ссылка на TCN)
Про мировые конфликты, миссию ЦРУ и геополитику после окончания Холодной войны - для меня ничего нового, раньше все это уже знал из разных источников, однако, здесь все в одном интервью - удобно для интересующихся\сомневающихся.

Что конкретно меня задело:
1. Новые детали Карибского кризиса и история парня по фамилии Архипов, спасшего мир. Я добавил в список на почитать книжку "Gambling with Armageddon"
2. История происхождения COVID-19, как продукта биолабораторий. Ранее об этом уже проскакивала информация, однако, я ее интерпретировал как слухи, но здесь источник, по-моему, заслуживает доверия. В очередной раз посокрушался о том, что даже научные публикации имеют цель не донести информацию, а сформировать общественное мнение и поддержать требуемые нарративы. В общем, нам нужно многому учиться, чтобы море информации иметь возможность самостоятельно понимать где правда.

Отличный понятный американский английский, слушал на скорости 1.25-1.5, проблем с пониманием практически не было. К тому же в Интернете несложно найти траскрипт (первое, что мне выдал поисковик), можно почитать. В общем, рекомендую.

#история

Недавно появился довольно любопытный способ бокового перемещения, основанный на злоупотреблении механизмом, именуемым .NET Profilers.

Оригинальный ресерч можно почитать тут

Для неискушенных отмечу, что это специальная библиотека DLL, которая может использоваться в качестве отладчика, либо утилиты для диагностики процесса, работающего на платформе CLR. Сам механизм достаточно простой: библиотека подписывается на определенные события и CLR-платформа вызывает определенные функции в этой библиотеке при срабатывании этих самых событий (функции, которые дергаются, называются коллбеками).

Злоупотребление механизмом заключалось в том, что для загрузки этой DLL в процесс требуется установка определенных переменных среды :
- COR_ENABLE_PROFILING - в 1. То есть, включить механизм.
- COR_PROFILER - опциональный параметр, можно устанавливать левые данные. Передается в загружаемую DLL и содержит ClSID COM-класса. По задумке разработчиков, загружаемая DLL-библиотека может использовать это значение для проверки, нужную либу подгружает ли CLR. Так как эта библиотека может быть не той библиотекой без нужного функционала СОМ-сервера.
- COR_PROFILER_PATH - путь к подгружаемой DLL

Исследователями было обнаружено, что в качестве COR_PROFILER_PATH можно указывать путь в том числе и на WebDAV-шару, как следствие, в целевой процесс будет подгружена библиотека с удаленного сервера, что и позволит осуществить боковое перемещение.


Однако, в ходе тестов я обнаружил, что метод почему-то работает с одними .NETовскими процессами, а с другими нет. Казалось бы, почему?

Ответ прост — эти переменные среды характерны именно для .NET Framework. В случае, если атакуемый процесс сделан под .NET Core, то следует использовать иные переменные среды, а именно:
- CORECLR_ENABLE_PROFILING – устанавливаем в единичку
- CORECLR_PROFILER – ставим произвольное значение. GUID какой-нибудь левый засунуть можно.
- CORECLR_PROFILER_PATH – путь до Profiler DLL.

Подробнее можно почитать по ссылке на оригинальный ресерч и ресурсам ниже:
- https://docs.newrelic.com/docs/apm/agents/net-agent/other-installation/understanding-net-agent-environment-variables/
- https://learn.microsoft.com/en-us/dotnet/core/runtime-config/debugging-profiling
- https://learn.microsoft.com/en-us/dotnet/framework/unmanaged-api/profiling/setting-up-a-profiling-environment

Ребята из Luntry, профессионально занимающиеся безопасностью Кубера, рекомендовали ещё хороший материал по теме аудита. Информации много не бывает, тем более качественной, тем более от профессионалов

#mdr

Некоторое время назад мы обсуждали ограниченность и слабую практическую пригодность BAS, и говорили о том, что техники и их реализации надо брать не какие-то, а из реальной практики, хвалили подход, используемый в MITRE ATT&CK Evaluation и, в очередной раз, предлагали что-то подобное сделать в РФ.

Но вот, в канале коллеги обнаружил ссылку на замечательный репозиторий с реальными тестами. По-моему, отличный способ потестировать свой Detection Engineering

#mdr #vCISO

Вчерашний вечер провел под интервью Такера Карлсона с Павлом Дуровым. Интервью было очень интересным и многогранным, но в этой заметке я остановлюсь на том, что меня задело (психология так устроена, что в нас резонируют те идеи и мысли, которые совпадают с нашими) в плане ИТ, ИБ, инноваций и продуктового менеджмента, однако всем ИТшникам, безопасникам, разработчикам я настоятельно рекомендую с ним ознакомиться.

1. Действительно хорошие продукты нет необходимости маркетировать и продвигать. Ответ Павла на вопрос сколько тратится на маркетниг:

Zero dollars. We've never spent anything on acquiring users for marketing purposes. We never promoted Telegram on other social platforms in any way. This is very different from other apps. You could see them being promoted here or there. Telegram is different. All of our growth is purely organic, and We got to almost 900 million users without having to spend anything on ads to promote Telegram

... people love our product. What we realized pretty early on is that people are smart. People like to use good things, and they don't don't like to use inferior things

2. Надо очень аккуратно использовать open source библиотеки, с высокой вероятностью в них есть закладки

We got too much attention from the FBI, other security agencies, wherever we came to the US. To give you an example, last time I was in the US, I brought an engineer that is working for Telegram, and there was an attempt to secretly hire my engineer behind my back by cyber security officers or agents... They were curious to learn which open-source libraries are integrated to the Telegram's app on the client side, and they were trying to persuade him to use certain open-source tools that he would then integrate into the Telegram's code that, in my understanding, would serve as backdoors.

3. Google и Apple по части цензуры значительно обгоняют государственные институты

... the largest pressure towards Telegram is not coming from governments. It's coming from Apple and Google. When it comes to freedom of speech, those two platforms, they could basically sensor whatever you can read, access on your smartphone

4. Telegram - платформа, которая стремится сохранить независимость и непредвзятость, предоставляя равные возможности всем сторонам

... we think it's important to have this platform that is neutral to all voices because we believe that the competition of different ideas can result in progress and a better world for everyone... We believe that humanity does need a neutral platform like Telegram that would be respectful to people's privacy and freedoms.

5. Публичная компания, открытая для инвестиций теряет независимость, что очень важно для ИТ-компании, тем более ИБ

The reason I tried to stay away from venture capital money, at least the early stages of our development, is because we wanted to be independent..

6. Мы теряем свободу, чем больше зависим от собственности, примерно об этом я писал здесь

No land, no real estate, nothing. Because for me, my number one priority in life is my freedom

7. Если ты владеешь огромной социальной сетью, очень сложно сохранить независимость и непредвзятость. Слова Такера:

Because at some point, if you run something like this, you're a player in world politics. Whether you want to be or not, don't you think?

Ответ Павла:

We definitely don't want to be a player. We want to be a neutral platform that is impartial and doesn't take any side. But you're probably right. There's some role we have to play.

8. Про-правительственные закладки и доверие

It would sound funny, but I assume by default that the devices I use are compromised because you will still use an iPhone or an Android phone. Now, after experiencing what I experienced in the US, I have very limited faith in platforms developed in the US from a security standpoint

9. Изобретать и внедрять инновации - то, что характеризует лидера рынка.

We love the fact that Elon bought Twitter. We thought it was a great development for a number of reasons. First reason is just innovation. You could see X trying a lot of things. Some of them will turn out to be mistakes, some of them will work, but at least they're trying to innovate. That's something we didn't have outside of Telegram and a few other companies in this industry for the last 10 years. What you saw from the big players, they would rather copy the proven models the features that apps like Telegram launch and just scale them on a larger audience. These features will be pale reflections of what we built. But this was the the way those companies operate, still operate

#управление