КиберСек

Новости Кибербезопасности

Автор: kibersec

  • Техники обхода EDR через аппаратные точки останова

    Техники обхода EDR через аппаратные точки останова

    Современные решения для обнаружения и реагирования на угрозы (EDR) часто используют технологию Event Tracing for Windows (ETW), чтобы выявлять вредоносную деятельность без негативного влияния на работоспособность системы. Однако злоумышленники по-прежнему находят способы обойти эти системы и оставаться незамеченными. Они могут использовать аппаратные точки останова на уровне процессора, чтобы перехватывать функции и изменять телеметрию в пользовательском режиме, избегая прямого вмешательства в ядро. Это создает проблемы для традиционных методов защиты.

    Защита Kernel Patch Protection (PatchGuard) мешает EDR-решениям перехватывать таблицу дескрипторов системных служб (SSDT) для проверки вызовов функций. Поэтому поставщик ETW Threat Intelligence становится важным ресурсом, предоставляя данные о действиях, таких как выделение памяти, управление потоками, асинхронные вызовы процедур (APC) и другие, с точки зрения ядра.

    Злоумышленники могут использовать аппаратные точки останова для изменения работы Windows и скрытия своей деятельности от обнаружения AMSI и ETW. EDR-решения в свою очередь используют поставщиков Threat Intelligence для создания методов обнаружения злоупотреблений аппаратными точками останова.

    В этой статье мы рассмотрим, какие действия вызывают события ETW, используя отладчик ядра, и как можно настроить аппаратные точки останова для перехвата функций без создания событий ETW TI.

    Поставщик ETW Threat Intelligence регистрирует события, связанные с безопасностью в ядре. Мы можем определить, какие функции ядра вызывают эти события, изучив символы, начинающиеся с EtwTiLog, в отладчике ядра WinDbg. Мы сосредоточимся на интересующих нас событиях и не будем рассматривать другие.

    Аппаратные точки останова работают на уровне процессора и требуют привилегий на уровне ядра. Для установки их значения требуется уровень привилегий 0. Обычные приложения пользовательского режима не могут напрямую манипулировать регистрами отладки и должны использовать интерфейс Native API для выполнения привилегированных операций.

    Мы рассмотрели, как можно установить аппаратные точки останова, избегая создания событий ETW, которые могут быть использованы для обнаружения таких действий. Например, функция NtContinue позволяет обновлять контекст потока, включая регистры отладки, без вызова EtwTiLogSetContextThread в ядре. Это позволяет скрыто устанавливать аппаратные точки останова и избегать обнаружения EDR, которые полагаются на события SetThreadContext.

    Этот метод позволяет злоумышленникам уклоняться от обнаружения и продолжать свою деятельность в обход защитных механизмов. Разработчики EDR должны быть внимательны к таким методам и находить способы защиты от таких угроз.

  • Бизнес игнорирует угрозы кибербезопасности из-за экономии

    Бизнес игнорирует угрозы кибербезопасности из-за экономии

    Бизнес сокращает расходы на кибербезопасность из-за дорогого заемного финансирования. Это связано с ростом кибератак. Компании и госструктуры все чаще обращаются к аутсорсингу. Высокая ставка Банка России делает заемные средства дорогими. Рынок кибербезопасности замедляется, но продолжит расти. Цены на кибербезопасность высоки, а эффект от них проявляется долго. Бизнес выбирает быстрые проекты, но уровень защиты остается низким. Многие компании не выполнили требования законодательства по импортозамещению. Фокус смещается с реальных задач на выполнение требований. Импортозамещение снижает зависимость от зарубежных решений, но не решает проблему киберугроз. В ближайшем будущем бизнес снова начнет обращать внимание на кибербезопасность.

  • StarkRDP превратился в LakeVPS: рост подпольных рынков

    StarkRDP превратился в LakeVPS: рост подпольных рынков

    Операция «Талант», проведенная недавно Европолом совместно с правоохранительными органами нескольких стран, стала ударом по киберпреступному сообществу. Она привела к закрытию многих подпольных сайтов, где продавали доступ к зараженным компьютерам.

    Но закрытие одного сайта, например, StarkRDP, не остановило преступников. Они быстро запустили новый сайт под названием LakeVPS[.]io с теми же людьми, серверами и даже дизайном. Это показывает, что киберпреступники очень быстро приспосабливаются к действиям полиции и не теряют времени на восстановление своих незаконных дел.

    Такая скорость запуска нового сайта подчеркивает важность не только остановки деятельности преступников, но и выявления их главных членов и привлечения их к ответственности. Пока полиция борется с новыми угрозами, хакеры находят новые способы обхода блокировок и запускают клонированные сайты.

  • Apple должна создать бэкдор для Лондона

    Apple должна создать бэкдор для Лондона

    По данным некоторых СМИ, британские власти попросили компанию Apple создать специальную дверь для доступа к данным пользователей iCloud по всему миру. Это требование было передано компании в прошлом месяце.

    Представители британских спецслужб запросили у Apple возможность получать информацию из облачного хранилища всех пользователей. Это отличается от обычных запросов на доступ к конкретным аккаунтам, так как здесь речь идет о доступе ко всей зашифрованной информации.

    Apple скорее всего не согласится на такое требование из-за своей политики конфиденциальности данных. Это может привести к судебному разбирательству, подобному случаю с ФБР в 2016 году.

    Согласно информации издания 9to5Mac, требование британского правительства не только вызывает вопросы по поводу конфиденциальности, но и технически сложно выполнимо. Большая часть данных в iCloud защищена таким образом, что Apple не может их расшифровать. Даже для данных, к которым у Apple есть доступ, уже существуют законные способы получить их через судебные решения. Apple обычно сотрудничает в разумных пределах, учитывая интересы следствия и права на конфиденциальность.

  • Microsoft решила критическую проблему в Windows 11

    Microsoft решила критическую проблему в Windows 11

    Компания Microsoft исправила ошибку в Windows 11 24H2, которая мешала пользователям без прав администратора менять часовой пояс. Ошибка была обнаружена в ноябре 2024 года, но исправление вышло только сейчас в виде необязательного обновления KB5050094, выпущенного 28 января. Пользователи с администраторскими правами могли менять дату и время без проблем через настройки системы.

    Для тех, кто не хочет устанавливать KB5050094, есть альтернативный способ. Можно использовать классическую Панель управления для смены часового пояса вместо приложения Параметры. Также можно нажать Win + R, ввести команду timedate.cpl и нажать Enter, чтобы открыть то же окно.

    Хотя исправление уже доступно в необязательном обновлении, окончательная версия будет выпущена 11 февраля в рамках традиционного обновления Patch Tuesday. После этого проблема исчезнет для всех пользователей Windows 11 24H2.

  • Раскрыты секретные документы о шифраторе Тьюринга

    Раскрыты секретные документы о шифраторе Тьюринга

    8 мая 1945 года в Британии был День Победы в Европе. Алан Тьюринг и его помощник Дональд Бейли гуляли по деревне после работы в секретной лаборатории. Бейли мало знал о работе Тьюринга, который ездил на велосипеде в другое секретное место – Блетчли-парк, где занимался взломом военных кодов.

    Тьюринг считается основоположником компьютерных наук и пионером в области искусственного интеллекта. Его работа над взломом шифров была известна, но его достижения в электротехнике долго оставались в тени. В 2023 году была продана коллекция бумаги Бейли, где хранились записи об их совместной работе.

    Тьюринг и Бейли работали над проектом Делайла – первой портативной системой шифрования голоса. Тьюринг использовал опыт с текстовыми шифрами для создания этой системы. Их работа привела к успешному прототипу, который стал одной из первых систем на криптографических принципах.

    Тьюринг использовал мультивибраторы в генераторе ключа для Делайлы. Они обеспечивали случайность при создании шифровального ключа. В записях Тьюринга описаны эксперименты с различными частями системы, показывая его технический гений.

    Тьюринг и Бейли продолжали работу над системой до конца войны, после чего интерес к проекту угас. Однако опыт, полученный ими при разработке Делайлы, пригодился Тьюрингу в дальнейшей работе над электронными вычислительными машинами. Все это показывает другую сторону великого математика – его талант и креативность в области электротехники.

  • Google и Yahoo улучшили стандарты DMARC для почты

    Google и Yahoo улучшили стандарты DMARC для почты

    Прошло почти год с тех пор, как Google и Yahoo стали более строгими по отношению к отправителям электронной почты. Новые данные от Red Sift показывают, что за это время 2,3 миллиона организаций внедрили политику DMARC, что сделало их электронную почту более защищенной от мошенничества и подделок.

    В феврале 2024 года 91,38% доменов по всему миру не использовали DMARC, что делало их уязвимыми для атак. Но к декабрю 2024 года уровень внедрения DMARC значительно вырос, удвоившись по сравнению с предыдущим годом. Всего 2,32 миллиона новых доменов из 72,85 миллиона были защищены DMARC.

    Особенно заметен рост среди публичных компаний. В течение года Германия, Япония и Испания увеличили готовность к требованиям Google и Yahoo на 35%. Лидерами стали Австрия, где внедрение DMARC выросло на 28,31%, Япония на 19,44% и Испания на 16,5%.

    Помимо DMARC, компании все чаще используют BIMI — стандарт, позволяющий отображать логотипы брендов в электронных письмах. Крупнейшие публичные компании увеличили готовность к BIMI: в Австрии на 17,1%, в Испании на 15,5%, а в Германии на 15,15%. Это означает переход от базового DMARC-отчета (p=none) к строгой политике защиты (p=reject), что необходимо для использования BIMI.

    Несмотря на прогресс, 86,62% доменов все еще уязвимы, что увеличивает риски кибератак. Внедрение DMARC, DKIM и SPF остается важной задачей для бизнеса, особенно в условиях строгих требований почтовых провайдеров.

    Red Sift продолжает помогать компаниям повышать защиту электронной почты. Настройка DMARC, DKIM, SPF и FcrDNS помогает минимизировать риски атак и проблем с доставкой писем.

  • Атаки хакеров на городскую инфраструктуру: уязвимости Cityworks

    Атаки хакеров на городскую инфраструктуру: уязвимости Cityworks

    В программе Trimble Cityworks нашли уязвимость, которая позволяет злоумышленнику получить доступ к серверу Microsoft IIS и выполнить удаленный код. По данным CISA, эта уязвимость уже используется для атак.
    Cityworks используется для управления инфраструктурой муниципалитетов, аэропортов и других организаций по всему миру. Из-за этого она стала целью для киберпреступников.
    Злоумышленник сможет получить полный контроль над сервером с помощью уязвимости CVE-2025-0994, которая затрагивает все версии Cityworks до 15.8.9. CISA предупреждает об эксплуатации уязвимости в промышленном секторе.
    Уязвимость использовали для доставки вредоносных программ, таких как Cobalt Strike. Пока неизвестно, кто стоит за атаками, но Trimble получили сообщения о попытках несанкционированного доступа к Cityworks.
    Trimble выпустила обновления для Cityworks и рекомендует пользователям обновить программу. CISA советует принимать меры по увеличению киберзащиты и следить за подозрительной активностью.
    ИБ-специалисты рекомендуют пользователям Cityworks как можно скорее обновить систему и сообщать о подозрительных действиях CISA.

  • Оксфорд создал кластер из двух квантовых процессоров

    Оксфорд создал кластер из двух квантовых процессоров

    Группа ученых из Оксфордского университета под руководством Дугласа Мейна объединила два квантовых процессора в одну систему с помощью фотонного интерфейса. Они опубликовали результаты своего исследования в журнале Nature. Ученые считают, что им удалось решить проблему масштабирования для квантовых вычислений.

    Увеличение количества квантовых битов (кубитов) сложная задача, которая становится трудной из-за физических ограничений. Рост числа ошибок при увеличении кубитов также был проблемой, но исследователям из Google удалось ее частично решить. Объединение нескольких квантовых процессоров в одну систему помогло преодолеть эту проблему.

    Используя квантовую телепортацию фотонов, ученые соединили модули и продемонстрировали эффективность метода при поиске элемента в неструктурированном массиве с использованием алгоритма Гровера. Это позволило улучшить производительность и вероятность успешного расчета.

    Главный исследователь проекта, профессор Дэвид Лукас, подчеркнул, что сетевая обработка квантовой информации возможна с использованием современных технологий, но масштабирование квантовых компьютеров остается сложной задачей, требующей новых открытий и инженерных усилий.

  • Американская помощь не спасла жертв работорговли в Азии

    Американская помощь не спасла жертв работорговли в Азии

    Сокращение финансирования USAID и пауза в выплатах иностранной помощи США нанесли удар по борьбе с работорговлей, особенно в Юго-Восточной Азии. Множество мошеннических центров появилось в Мьянме, Лаосе и Камбодже за последние 5 лет. Жертвы попадают туда под предлогом работы, но оказываются в условиях принудительного труда и сталкиваются с насилием. Организации, помогающие пострадавшим, столкнулись с трудностями из-за сокращения финансирования. Гуманитарные организации уже сократили программы помощи и персонал. Это привело к хаосу среди спасательных команд, которые помогают жертвам мошеннических схем.

    Сокращение финансирования может привести к росту мошеннических атак на граждан США. США ранее выделяли деньги на борьбу с торговлей людьми, но многие программы приостановлены. Последствия будут долгосрочными, даже если финансирование возобновится. Экономия средств может стать для США еще дороже, так как мошеннические схемы продолжают выкачивать деньги из американцев. Китай требовал от Мьянмы принять меры против кибермошенников. Активность преступных анклавов в Мьянме перешла в онлайн-мошенничество из-за пандемии COVID-19.

  • Трансформация геолокации пользователей: от молитв до поездов

    Трансформация геолокации пользователей: от молитв до поездов

    Компания Gravy Analytics снова попала в неприятную ситуацию из-за утечки личных данных пользователей. В федеральном суде Северной Калифорнии появился новый иск против компании, обвиняющий ее в плохом хранении информации. Из-за этого злоумышленники получили доступ к конфиденциальным данным, включая местоположение миллионов смартфонов.

    Все началось в январе 2025 года, когда на форуме XSS появились скриншоты, подтверждающие взлом хранилища данных компании. Хакер утверждал, что украл 17 терабайт информации. Позже Gravy Analytics подтвердила инцидент в отчете для Норвежского управления по защите данных.

    Среди приложений, через которые собиралась информация, оказались такие популярные приложения, как Tinder, Grindr, Subway Surfers, MyFitnessPal, Moovit, а также приложения для молитв, календарей менструации и VPN-сервисы. Даже те, кто устанавливал приложения для защиты конфиденциальности, оказались под угрозой.

    Против компании уже поданы иски в Нью-Джерси и Вирджинии. Ее обвиняют в нарушении закона о недобросовестной конкуренции, халатности, нарушении договора и незаконном обогащении.

    В США до сих пор нет единого федерального закона, который бы регулировал защиту личных данных. Из-за этого крупные компании, включая Gravy Analytics и Venntel, продолжают собирать и использовать личные данные пользователей без их согласия.

    Компании Gravy Analytics и Venntel уже попали под санкции Федеральной торговой комиссии США (FTC) в декабре 2024 года за продажу данных о местоположении пользователей. Они использовали эту информацию для составления списков людей, посещавших медицинские учреждения и религиозные места.

    Gravy Analytics утверждает, что они сами не собирают геоданные, а только лицензируют их у других провайдеров. Однако утечка показала, что информация все равно оказывается незащищенной, несмотря на заявления компании.

    FTC ранее принимала меры против других компаний, включая Kochava, X-Mode, InMarket и Mobilewalla. Gravy Analytics пока не комментировала новый иск.

  • DeepSeek запрещен в Австралии: устройства правительства защищены

    DeepSeek запрещен в Австралии: устройства правительства защищены

    Австралия решила запретить использование китайского приложения с искусственным интеллектом DeepSeek на государственных устройствах из-за опасностей для безопасности данных. Государственные учреждения должны удалить приложение и предотвратить его использование. Это решение принято после Тайваня. Америка также рассматривает похожий законопроект. Австралийское правительство опасается, что приложение может получить доступ к конфиденциальной информации и нарушить законы. Облачное взаимодействие с приложением запрещено, но его локальные модели могут использоваться. Это действие Австралии — часть мировой тенденции контроля над китайскими технологиями из-за опасений в кибербезопасности. Китай может расценить запрет как политическое давление. Австралийские власти рекомендуют частным компаниям также быть осторожными с использованием DeepSeek.