КиберСек

Метка: BI.ZONE EDR

  • Linux io_uring обходит EDR для руткита

    Linux io_uring обходит EDR для руткита

    Специалисты ARMO создали программу Curing, которая может скрыться в системе, используя новый способ работы с данными в Linux. Этот метод позволяет программе обходить средства безопасности, которые обычно отслеживают действия программ.

    Curing может тайно соединяться с удаленным сервером и выполнять различные действия, такие как чтение и запись файлов, создание ссылок и запуск процессов. Все эти операции выполняются через новый метод работы с данными.

    Метод io_uring был добавлен в Linux 5.1 для улучшения связи между программами и ядром. Он позволяет выполнять множество операций без замедления процессов.

    Многие программы безопасности для Linux не могут обнаружить Curing из-за его способности обходить стандартные методы защиты. Некоторые компании уже работают над исправлением этой проблемы, чтобы защитить свои продукты от таких программ.

    Программа Tetragon в своей стандартной настройке не может обнаружить вредоносную активность, но разработчики уверены, что ее можно настроить для обнаружения программ подобных Curing.

    Microsoft Defender for Endpoint обнаружил только изменение файлов, но компания пока не отреагировала на проблему.

    Код программы Curing доступен на GitHub для ознакомления и тестирования.

  • Уязвимости в веб-камере помогли обойти EDR

    Уязвимости в веб-камере помогли обойти EDR

    Эксперты компании S-RM Intelligence and Risk Consulting обнаружили, что злоумышленникам удалось проникнуть в сеть клиента через непатченную веб-камеру без защиты. Они использовали уязвимость, чтобы установить шифровальщика и получить доступ к данным клиента.

    Злоумышленники сначала взломали решение удаленного доступа, вероятно, украдя учетные данные или используя метод брутфорса. Затем они использовали программу AnyDesk для закрепления доступа и начали кражу данных с целью шантажировать жертву.

    Для передвижения по сети злоумышленники использовали RDP. Однако, при попытке развернуть шифровальщика для Windows, их попытки были заблокированы системой EDR, используемой клиентом.

    Затем злоумышленники обратили внимание на несколько устройств IoT в сети, которые не были защищены системой EDR. Они выбрали веб-камеру, у которой были известные уязвимости, но которая не была обновлена. Эта веб-камера работала на Linux, что позволило злоумышленникам установить шифровальщика Akira.

    Получив доступ к устройству, злоумышленники подключились к сетевым ресурсам Windows через SMB и начали шифрование данных. Из-за отсутствия мониторинга веб-камеры ИБ-служба клиента не смогла заметить необычный трафик и предотвратить атаку.

  • BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    В новой версии BI.ZONE EDR появились улучшенные возможности для настройки и автоматизации задач, а также инструменты для мониторинга и реагирования на угрозы. Теперь пользователи могут устанавливать расписание выполнения задач, включая регулярное сканирование операционной системы с использованием YARA-правил.

    Windows-агент теперь позволяет выявлять вредоносную активность, присваивать объектам пользовательские атрибуты и сохранять данные для анализа. Для Linux добавлен мониторинг операций над объектами инвентаризации, что позволяет отслеживать изменения в критически важных элементах системы.

    Также улучшены возможности автоматического реагирования и анализа событий в контейнерных средах. Добавлена поддержка Podman, что позволяет инвентаризировать запущенные контейнеры и связывать события с данными о них.

    Другие улучшения включают новый графический интерфейс агента для Windows, оптимизированный сбор телеметрии в Linux с использованием eBPF и механизмы кеширования для увеличения производительности на Linux-платформах.