Шапито украденных личностей имени Касперского

29167384286_d0caaec3c0_z-minЗаскочил по дороге на мероприятие Касперсокого “Шапито украденных личностей”.

Все было ярко, здОрово, но что по делу.

Оказывается антивирусным вендорам, еще есть чем заняться.

Вот какие фичи презентовали:

  • Обновление программ – Рекомендует обновлять программы. Примитивная штука, но для большинства вполне себе.
  • Помощник по установке – ограничивает параллельную установку дополнительных программ (расширений браузеров, панелей инструментов, рекламного ПО и др.). Полезно
  • Удаление программ – тоже примитивная вещь, подсказывает программы, которые пользователь не использует и предлагает удалить.
  • Безопасное соединение – пробрасывает зашифрованный канал при подключении к непроверенным публичным сетям. Вот это штука интересная и актуальная. Бывают ситуации, когда есть только открытая точка доступа и к ней нужно подключаться, но внутренний безопасник требует отказаться от затеи. Ограничение трафика 200МБ, подходит только для редких подключений, когда более безопасного источника Интернета нет.

Еще мне кажется очень перспективной фича Анти-Баннер для блокирования рекламных объявлений на сайтах и всплывающих баннеров.

Находят антивирусные вендоры чем заниматься и куда вкладываться. Это хорошо.

Анатомия атаки в социальных сетях от Майка Рагго

setiПростая и понятная заметка от Майка Рагго про атаки на корпоративные аккаунты в соцсетях

Угроза атак в социальных сетях всегда находится на рекордно высоком уровне и включает в себя как банальный взлом аккаунта, так и мошенничество, а также различные способы распространения вредоносных программ и фишинг атаки. Самые серьезные атаки всегда нацелены на организации, независимо от размеров предприятия. Например, компания Microsoft стала жертвой серии взломов в социальных сетях. Атака была интенсивной, затронула несколько учетных записей Twitter и также Skype, рассекретила корпоративные пароли и электронную переписку десятков сотрудников Microsoft.

Поскольку социальные сети существует за пределами корпоративной сети, угроза атаки в соц.сетях может проявиться задолго до того, как вредоносное поведение будет выявлено внутри сети. Распознание и устранение подобных угроз требует глубокого понимания их природы. Если мы сравним тактику, методы и процедуру атак в соц.сетях с традиционными сетевыми атаками, то сможем сделать некоторые важные выводы.

Злоумышленники обычно осуществляют атаку на корпоративную сеть в два этапа: разведка и реализация. Разведка включает в себя футпринтинг (например, сбор информации об IP-адресе и доменах организации), сканирование (определение систем, использующих данные IP-адреса) и составление перечня (с указанием сервисов и доступных портов в целевых системах). Когда злоумышленники используют социальные сети, то их стратегия аналогична, но применяются совершенно иные методы. В социальных сетях атака на организации и корпоративные сети включает в себя футпринтинг, мониторинг и составление характеристики, взлом аккаунта и, наконец, непосредственно саму атаку.

В контексте социальных сетей футпринтинг включает в себя сбор информации для выявления сотрудников, как правило, руководителей, а также брендовых аккаунтов, принадлежащих компании. Имена, адреса электронной почты и номера телефонов можно получить на сайте компании, а также из публикаций, новостей и других источников.

Далее, злоумышленники стремятся создать аккаунт-фейк для мониторинга, составления характеристики деятельности и поведения всех социальных аккаунтов, принадлежащих организации. Ключевые слова, хэштеги и упоминание об авторском праве также анализируются и используются для установления доверительных отношений при обмене сообщениями. Используя соответствующий жаргон, злоумышленники располагают к доверительному общению, что делает сотрудников, не догадывающихся о том, что они общаются не с представителем компании, а с мошенником, более уязвимыми.

После проведения футпринтинга, мониторинга и составления характеристики, злоумышленники могут создать дополнительные аккаунты под чужим именем. Выдача себя за кого-то другого является одним из наиболее распространенных методов, используемых злоумышленниками в социальных сетях, в частности, при атаках на компании и предприятия. Выдав себя за одного из управляющих компании, мошенник может быстро установить доверительные отношения с другими сотрудниками. При этом они могут использовать фото и данные, заимствованные из настоящего аккаунта.

Взломать аккаунт гораздо сложнее, чем выдать себя за кого-то другого, но в случае успеха это приносит более быстрые результаты. Наиболее эффективные атаки в соц.сетях – те, во время которых злоумышленник смог взломать учетную запись и использовать ее для дальнейшего проникновения в сеть. Многочисленные дампы базы данных социальной сети значительно упрощают для мошенников задачу по взлому аккаунтов.

Независимо от того, устанавливается ли доверительное отношение с помощью «фальшивого» или взломанного аккаунта, мошенник начинает атаку, отправив сообщение с вредоносной программой или фишинг-ссылкой для сбора данных или заражения одного из компьютеров внутри сети. Обнаружить это бывает непросто, потому что многие социальные сети используют сокращенные URL, что мешает установить фактический URL. Кроме того, ссылка может содержать в себе несколько переадресаций.

Поскольку угрозы в соц.сетях продолжают развиваться и набирать обороты, предприятиям и организациям стоит укрепить защиту за счет применения дополнительных контрмер.

Ниже приведен список действий, которые организациям рекомендется предпринять для укрепления аккаунтов в соц.сетях:

1. Оцените фунтпринтинг вашей организации в соц.сетях (кампании, аккаунты, ответственные лица).
2. Разработайте соответствующую документацию для лиц, ответственных за ведение корпоративных аккаунтов в соц.сетях. Все учетные записи должны иметь надежные пароли и использовать двухфакторную аутентификацию.
3. Используйте идентифицированные аккаунты. Социальные сети, такие как Twitter и Facebook предлагают опцию идентификации аккаунтов для установления их подлинности.
4. Отслеживайте фальшивые аккаунты. Когда найдете таковые, то стоит осуществить проверку и предпринять другие соответствующие действия.
5. Повышайте уровень безопасности сети посредством использования методов проверки контекста, например для выявления вредоносных URL-адресов. Применяйте межсетевые экраны, службы для обнаружения вторжений, системы защиты от вредоносного ПО, прокси серверы и системы управления событиями.
6. Расширьте ваш план действий по реагированию на инциденты, чтобы он охватывал и аккаунты в социальных сетях.
Anatomy Of A Social Media Attack

Как осуществить кибератаку? [Инфографика]

Интересно

Для составления отчета «Кибероружие 2016» стартап LightCyber использовал сетевой анализ, чтобы понять, какие утилиты применяли хакеры для «расширения своего присутствия», т.е. что именно они использовали для связи с командным и контрольным серверами, для получения привилегированного доступа и доступа к новым аккаунтам.

Среди наиболее используемых хакерами утилит были обнаружены и некоторые знакомые имена, включая утилиты для администрирования, такие как: VMware vSphere Client, Putty и Secure CRT, а также приложения для осуществления удаленного контроля — LogMeIn и TeamViewer (которые стали особенно популярными после того, как исследователями были обнаружены бэкдоры).

Компания AIM Corporate Solutions, осуществляющая консультирование по вопросам безопасности, а также являющаяся поставщиком услуг в этой сфере, создала нижеприведенную инфографику, демонстрирующую последовательность шагов при кибератаке и выявляющую утилиты, используемые хакерами на каждом шаге.

How cyber attacks work [Infographic]

statia-min

Последовательность действий при целевой кибератаке

Киберпреступники используют вредоносное ПО для проникновения в сеть, а потом используют стандартные утилиты для управления сетью и для похищения данных.

Последовательность действий при кибератаке:
— Выявление уязвимостей и проникновение в организацию при помощи вредоносного программного обеспечения;
— Использование стандартных приложений для коммуникации с командным и контрольным серверами;
— Составление карты сети, зондирование клиентов и мониторинг деятельности при помощи сетевых и хакерских утилит;
— Получение контроля над компьютером / аккаунтом администратора сети, а также получение привилегированного доступа к соответствующим данным;
— Вход в чужие аккаунты, осуществление действий внутри сети или на зараженных устройствах при помощи утилит удаленного управления компьютером;
— Скачивание данных с зараженных компьютеров;

TOP 5 сетевых и хакерских утилит:

Angry IP Scanner
— сканер портов и IP адресов локальной сети;

PingInfoView — утилита, с помощью которой можно пинговать большое количество доменных имен и IP адресов;

Nmap — утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов;

Ping — утилита для проверки целостности и качества соединений в сетях на основе TCP/IP;

Mimikatz – утилита для получения пароля пользователя в открытом виде;

TOP 5 административных утилит:

SecureCRT — один из Telnet-клиентов, позволяющий создавать соединения к серверам под управлением Unix и Windows;

Putty — клиент для Telnet и SSH;

BeyondExec Remote Service – утилита, запускающая процессы удаленно;

VMware vSphere Client – административная утилита для виртуализации сервера VMware vSphere;

MobaXterm — набор утилит, позволяющий управлять сразу несколькими компьютерами, подключенными к одной сети и администрировать их;

TOP 5 программ для удаленного управления компьютером:

TeamViewer — программа, для удаленного управления компьютером, а также смартфоном или планшетом, с помощью которой можно выполнять администрирование и осуществлять передачу файлов простым перетаскиванием.

WinVNC – программное обеспечение для удаленного управления, использующее Virtual Network Computing (VNC);

Radmin — программа удаленного администрирования ПК для платформы Windows, которая позволяет полноценно работать сразу на нескольких удаленных компьютерах с помощью обычного графического интерфейса;

AnyDesk — приложение для удаленного администрирования рабочего стола;

LogMein — программа, которая позволяет получить удаленный доступ к домашнему или офисному компьютеру с любого веб-устройства, в том числе, с ноутбука или карманного компьютера.

TOP 5 вариантов вредоносного ПО:

Trojan/Gen:Variant.Graftor – вредоносное программное обеспечение для увеличения дохода от рекламы путем повышения PageRank сайта в поисковой выдаче;

Win32/ShopAtHome.A – вредоносное программное обеспечение, которое осуществляет мониторинг деятельности и делает перенаправление на другие сайты;

W32/Urlbot.NAO!tr – вредоносное программное обеспечение, осуществляющее мониторинг деятельности, включая доступ к набираемым на клавиатуре паролям, электронной переписке и просматриваемым сайтам;

BrowserModifier:Win32/Elopesmut – семейство вредоносных ПО, меняющих настройки браузера;

Win.Trojan.7400921-1 – вредоносное программное обеспечение, стремящееся внести изменение в память запущенных процессов для получения контроля над приложениями;

TOP потенциально опасного окружения:

— Браузеры (Internet Explorer, Chrome, Firefox);

— Электронные письма, содержащие веб-ссылки;

— Социальные сети;

В 99% случаев источником угрозы является легитимное программное обеспечение или потенциально опасное окружение;

В 1% случаев источником угрозы является непосредственно компьютерный вирус;