Это удобно, потому что по нашей концепции MaxPatrol Endpoint Security оба продукта работают в тесной связке. В паре они полноценно защищают ваши конечные устройства (компьютеры, серверы, виртуальные рабочие места): MaxPatrol EPP предотвращает массовые угрозы, а MaxPatrol EDR — сложные атаки. Мы не стоим на месте и прокачиваем оба продукта, чтобы защита была эффективнее, а вам было комфортнее ими пользоваться.
В новой версии MaxPatrol EDR стал самостоятельнее. Если раньше его устанавливали в связке с MaxPatrol SIEM, где отображались и хранились события, то теперь в этом нет необходимости: все они накапливаются в собственной базе продукта. При этом он по-прежнему легко интегрируется и с нашими решениями, и со сторонними SIEM-, SOAR-системами и IRP.
Чтобы защищать как можно больше устройств, в каждом новом релизе мы расширяем возможности мониторинга и поддержки для разных ОС. И этот не стал исключением.
Теперь MaxPatrol EDR работает на устройствах под управлением одной из последних версий «Альт Рабочая станция» и «Альт Сервер» — 10.4 («Альт» занимает второе место в рейтинге российских операционных систем).
Для устройств на Windows в продукте появился новый модуль сбора данных. Он работает на нашем собственном инструменте PT Dumper, который в автоматическом или ручном режиме собирает более 40 категорий сведений. С их помощью вы сможете отследить присутствие злоумышленников в инфраструктуре компании и расследовать инцидент — самостоятельно или с поддержкой наших экспертов.
Еще одно важное направление развития MaxPatrol EDR — обеспечение полной видимости конечных устройств. Для этого важно не только собирать максимально широкий спектр событий, но и адаптироваться к особенностям организации.
Теперь компании могут проверять файлы, используя как собственные индикаторы компрометации (IoC), так и полученные, к примеру, из бюллетеней ФСТЭК, что обязательно для субъектов КИИ.
Защищать иногда приходится не только компьютер или сервер, но и продукт, который не дает киберпреступникам его атаковать. Об этом мы тоже позаботились. Теперь вместе с агентом EDR (приложением, которое обеспечивает киберзащиту) на устройство под управлением Windows устанавливается драйвер самозащиты. Пока он активирован, несанкционированно удалить агент или повлиять на его работу невозможно.
А еще — мы ввели систему тегов для устройств и сделали меню удобнее. Обновляйтесь, чтобы оценить новые фичи
#MaxPatrolEDR
#MaxPatrolEPP
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤8👍4🐳4💯4
Forwarded from ESCalator
🤑 Помогу задонатить
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
1️⃣ Ребенку в чате мобильной игры пишет неизвестный, общается и внедряется к нему в доверие.
2️⃣ Он сообщает ребенку о том, что можно бесплатно получить игровую валюту, если он установит на телефон мобильное приложение.
3️⃣ При открытии приложение запрашивает разрешение на установку в качестве основного приложения для NFC-платежей.
4️⃣ Злоумышленник сообщает ребенку о том, что транзакция не прошла и Центральный банк может заблокировать карту и доступ ко всем деньгам на счете.
5️⃣ Для того чтобы этого не произошло, ребенку нужно снять в банкомате все наличные и положить их на его банковскую карту, которую ребенку помогли открыть мошенники. При этом все «безопасно», ведь телефон находится в руках.
6️⃣ После того как ребенок подносит телефон к банкомату, ему сообщают новый пин-код от карты и требуют внести деньги на счет.
7️⃣ Происходит зачисление денег на карту мошенника, после чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги.
Технические особенности
Для работы приложение запрашивает 3 разрешения:
➖ NFC — для доступа к системе оплаты по NFC;
➖ ACCESS_NETWORK_STATE — для проверки сетевого доступа;
➖ INTERNET — для подключения через WebSocket.
В манифесте приложения 3 активности:
➖ MainActivity;
➖ CardActivity (имя активности —
➖ CardHostApduService.
Приложение функционирует по следующему алгоритму:
1️⃣ В
2️⃣ Приложение переходит к
3️⃣ Общение банкомата с сервером управления реализовано в
4️⃣ Ожидается ответ от сервера. Пользователю при этом выводится информация: «
5️⃣ Если сервер недоступен или ответ не поступает более 10 секунд, команды кэшируются и поступают в очередь.
6️⃣ После чего команды транслируются банкомату.
7️⃣ Банкомат воспринимает приложение как реальную банковскую карту и производит выполнение APDU-команд, поступивших от сервера управления.
Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
Технические особенности
Для работы приложение запрашивает 3 разрешения:
В манифесте приложения 3 активности:
PAYpunto 🤖);Приложение функционирует по следующему алгоритму:
MainActivity осуществляется проверка доступности интернета. Если доступа нет, выводится сообщение: «Ошибка: нет подключения к интернету».CardActivity, в которой осуществляется открытие index.html (скриншот 2). С помощью WebSocket устанавливается соединение с сервером управления, адрес которого прописан в connection.json (скриншот 3). Для защищенного соединения используется сертификат сервера из ресурсов приложения — server.pem. Если в процессе подключения к серверу произошла ошибка, подключение осуществляется по другому порту: wss://default-server-url:7000 (скриншот 4).CardHostApduService. При подключении телефона к банкомату он отправляет APDU-команды приложению. Далее осуществляется проверка доступности подключения к серверу управления. Если он доступен, формируется JSON и отправляется на сервер управления (скриншот 5).Пожалуйста, подождите, ваша карта находится в процессе активации».Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤16🔥10
Мы всегда говорили: багбаунти — это один из лучших способов убедиться, что в продукте или инфраструктуре нет дыр, которыми могут воспользоваться хакеры. А если есть — быстро их закрыть. Это работает для любого бизнеса.
А в еще одной программе — Positive bug hunting, где можно искать уязвимости в наших веб-сервисах, — меняем правила и расширяем скоуп. Теперь исследователям, которые решат в ней участвовать, доступны домены *.ptsecurity, *.phdays, *.maxpatrol. За успешно найденный баг можно получить до 400 000 рублей.
Эксперимент признан успешным, поэтому со своими программами на платформу Standoff Bug Bounty выходят еще 14 продуктов:
MaxPatrol EDR
MaxPatrol O2
MaxPatrol SIEM
MaxPatrol VM
MaxPatrol 360
PT Application Firewall
PT Application Inspector
PT Container Security
PT Data Security
PT Dephaze
PT ISIM
PT NAD
PT NGFW
PT Sandbox
Например, исследователи могут попытаться получить права администратора в PT NGFW, попробовать обойти аутентификации в интерфейсе управления PT Application Inspector или удалить следы атак в PT NAD.
В любом случае мы останемся в выигрыше: если удастся найти уязвимости, это поможет сделать продукты еще более защищенными, если нет — значит, и злоумышленникам до них не добраться.
#StandoffBugBounty
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤9🤩6
Это не футуристический роман и не «описываемое будущее», как у Стругацких, а логичное следствие всего, что сейчас происходит в техномире. Такой прогноз дает в интервью Positive Research наш генеральный директор Денис Баранов.
Сам он не фантаст и строит предположения на фактах, но писателей называет визионерами, которые многое предвидели в своих романах. В числе прочего они писали о полном доверии технологиям, которые мы не сможем контролировать, — об этом говорит и Денис. Он считает, что уже сейчас стоит заложить в эти технологии
Прочитали прогноз от Дениса буквально на одном дыхании и
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🤨34❤8🔥6😁5👏4🤯1
А если нет, то скоро будут. Ведь для многих компаний проверять свою киберустойчивость с помощью исследователей Standoff Bug Bounty — уже давно базовый минимум.
Доказательства — на карточках. Сами смотрите: количество отчетов исчисляется сотнями, а выплаченные вознаграждения — миллионами рублей.
Хотите так же? Подайте заявку до 31 января и разместите свою программу на Standoff Bug Bounty бесплатно на целых три месяца.
#StandoffBugBounty
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍8🔥8🐳1