"TELEGRAM – How a Messenger Turned Into a Cybercrime Ecosystem by 2023" - внушительное исследование от компании KELA о том, как Telegram стал неотъемлемой частью экосистемы киберпреступности.
В работе рассматривается вопрос популярности мессенджера у киберкриминала, а также его основные векторы использования с конкретными примерами (в т.ч. ссылками на каналы, группы и небольшой статистикой по ним).
В заключении приведены несколько рекомендаций для исследователей и несколько подробных кейсов про конкретные telegram-каналы.
В работе рассматривается вопрос популярности мессенджера у киберкриминала, а также его основные векторы использования с конкретными примерами (в т.ч. ссылками на каналы, группы и небольшой статистикой по ним).
В заключении приведены несколько рекомендаций для исследователей и несколько подробных кейсов про конкретные telegram-каналы.
🔥5👍2⚡1
2022 Data Breach Report от ITRC про утечки в США получился красивый и информативный.
Много статистики по громким утечкам, количеству утекших записей, типам персональных данных и векторам атак.
p.s. Отдельно подсветили, что две трети отчетов об утечках не содержат конкретики касаемо их масштабов, а также деталей атак, из-за которых эти утечки произошли.
Много статистики по громким утечкам, количеству утекших записей, типам персональных данных и векторам атак.
p.s. Отдельно подсветили, что две трети отчетов об утечках не содержат конкретики касаемо их масштабов, а также деталей атак, из-за которых эти утечки произошли.
🔥4😍1
Open Source Security Index - рейтинг (индекс) 100 самых популярных опенсорсных проектов в сфере кибербезопасности.
Индекс проекта рассчитывается на основе нескольких критериев с различными весовыми коэффициентами:
☑️ Кол-во звезд (добавление в избранное) [30%]
☑️ Количество участников проекта [25%]
☑️ Кол-во коммитов проекта за последние 12 месяцев. [25%]
☑️ Количество наблюдателей [10%]
☑️ Изменение кол-ва наблюдателей за последний месяц [5%]
☑️ Количество форков [5%]
Индекс проекта рассчитывается на основе нескольких критериев с различными весовыми коэффициентами:
☑️ Кол-во звезд (добавление в избранное) [30%]
☑️ Количество участников проекта [25%]
☑️ Кол-во коммитов проекта за последние 12 месяцев. [25%]
☑️ Количество наблюдателей [10%]
☑️ Изменение кол-ва наблюдателей за последний месяц [5%]
☑️ Количество форков [5%]
👍7🔥5⚡1
PRIOn Knowledge Base - очередная база знаний о CVE, обогащенная следующей информацией:
🔹Информация об эксплоитах (Ссылки на Github, например).
🔹Информация об активной эксплуатации (каталог CISA KEV).
🔹Ссылки на медиа-источники, где упоминается уязвимость (twitter, reddit, новостные порталы).
🔹Данные об эксплуатации из песочниц и публичных TI-отчетов.
🔹Данные из различных баз знаний о типе уязвимости (CAPEC, OWASP Top-10, CWE Top-25, DISA STIG, и т.п.).
Также у PRIOn есть:
🔹Своя система оценки, определяющая приоритетность исправления для каждой уязвимости.
🔹Возможность загрузки отчетов из нескольких VM-сканеров для приоритезации исправления уязвимостей.
🔹И API - правда, в бесплатной версии всего 100 запросов в день, но всё равно неплохо.
Итого: интересный ресурс с учетом доступного функционала в бесплатной версии и большого количества статистики. У них еще, кстати, есть статья про Топ-100 уязвимостей 2022 года, с большим количеством аналитики и статистики.
🔹Информация об эксплоитах (Ссылки на Github, например).
🔹Информация об активной эксплуатации (каталог CISA KEV).
🔹Ссылки на медиа-источники, где упоминается уязвимость (twitter, reddit, новостные порталы).
🔹Данные об эксплуатации из песочниц и публичных TI-отчетов.
🔹Данные из различных баз знаний о типе уязвимости (CAPEC, OWASP Top-10, CWE Top-25, DISA STIG, и т.п.).
Также у PRIOn есть:
🔹Своя система оценки, определяющая приоритетность исправления для каждой уязвимости.
🔹Возможность загрузки отчетов из нескольких VM-сканеров для приоритезации исправления уязвимостей.
🔹И API - правда, в бесплатной версии всего 100 запросов в день, но всё равно неплохо.
Итого: интересный ресурс с учетом доступного функционала в бесплатной версии и большого количества статистики. У них еще, кстати, есть статья про Топ-100 уязвимостей 2022 года, с большим количеством аналитики и статистики.
👍6🔥2
Интересную аналитику в виде корреляции между ролью сотрудника в организации и его реакцией на фишинговые письма нашел в отчете “Read” Alert:Data Shows 28% of BEC Attacks Opened by Employees".
Как показывает статистика, обмануть финансового директора и директора школы, видимо, не просто😆
p.s. Аналогичную аналитику с корреляцией ролей и реакции ранее выпускала компания F-Secure.
Как показывает статистика, обмануть финансового директора и директора школы, видимо, не просто
p.s. Аналогичную аналитику с корреляцией ролей и реакции ранее выпускала компания F-Secure.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
ТОП-10 техник из MITRE ATT&CK, которые чаще всего использовались злоумышленниками в 2022 году.
Такую картину нам показывает Picus Labs в своем исследовании "The Red Report 2023" по результатам анализа более 500к экземпляров malware.
В отчете почти 150 страниц разбора техник с примерами👍
Такую картину нам показывает Picus Labs в своем исследовании "The Red Report 2023" по результатам анализа более 500к экземпляров malware.
В отчете почти 150 страниц разбора техник с примерами
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5🤔1🌚1
Агентство CISA в 2022 году провело red teaming одной крупной организации критической инфраструктуры (по её запросу) и вот на днях поделилось подробностями того как это было.
Несмотря на то, что красная команда CISA не смогла получить доступ к критичным бизнес-системам (спасибо MFA), им прекрасно удалось закрепиться в корпоративной сети, не дав обнаружить себя до конца своей деятельности длиною в 64 дня🥲
В выпущенном бюллетене CISA подробно описывает технические детали оценки защищенности методом red teaming - всё в разбивке на TTPs по MITRE ATT&CK, с указанием недостатков безопасности и мер, позволяющих их устранить.
Из недостатков отмечены следующие моменты:
🔹 Недостаточный мониторинг хостов и сети - фишинг, аномальное поведение учеток, аномальный исходящий трафик никто не обнаружил.
🔹 Отсутствие мониторинга в MDM-системах - привилегированный доступ к хостам был получен через MDM.
🔹 Отсутствие политик смены паролей у специализированных учетных записей - пароль от учетки Kerberos Ticket Granting Ticket не менялся 10 лет...
🔹 Избыточные права доступа у обычных пользователей - у стандартных учеток были права локального администратора.
🔹 Наличие хостов с включенной функцией неограниченного делегирования - позволило провести атаку "Golden Ticket".
🔹Использование конфигураций по умолчанию - позволило получить права локального администратора на серверах.
🔹 Отсутствие мониторинга исходящего трафика в сеть Интернет - контролеры домена неограниченно отправляли данные во вне.
🔹 Присутствие на хостах потенциально нежелательного ПО - без комментариев.
🔹 Обязательная периодическая смена паролей учетных записей - да, уже давно все рекомендуют уходить от этой практики, НО есть нюансы, конечно😅 (желательно сначала MFA внедрить).
🔹 Неповсеместное использование смарт-карт.
Несмотря на то, что красная команда CISA не смогла получить доступ к критичным бизнес-системам (спасибо MFA), им прекрасно удалось закрепиться в корпоративной сети, не дав обнаружить себя до конца своей деятельности длиною в 64 дня
В выпущенном бюллетене CISA подробно описывает технические детали оценки защищенности методом red teaming - всё в разбивке на TTPs по MITRE ATT&CK, с указанием недостатков безопасности и мер, позволяющих их устранить.
Из недостатков отмечены следующие моменты:
🔹 Недостаточный мониторинг хостов и сети - фишинг, аномальное поведение учеток, аномальный исходящий трафик никто не обнаружил.
🔹 Отсутствие мониторинга в MDM-системах - привилегированный доступ к хостам был получен через MDM.
🔹 Отсутствие политик смены паролей у специализированных учетных записей - пароль от учетки Kerberos Ticket Granting Ticket не менялся 10 лет...
🔹 Избыточные права доступа у обычных пользователей - у стандартных учеток были права локального администратора.
🔹 Наличие хостов с включенной функцией неограниченного делегирования - позволило провести атаку "Golden Ticket".
🔹Использование конфигураций по умолчанию - позволило получить права локального администратора на серверах.
🔹 Отсутствие мониторинга исходящего трафика в сеть Интернет - контролеры домена неограниченно отправляли данные во вне.
🔹 Присутствие на хостах потенциально нежелательного ПО - без комментариев.
🔹 Обязательная периодическая смена паролей учетных записей - да, уже давно все рекомендуют уходить от этой практики, НО есть нюансы, конечно😅 (желательно сначала MFA внедрить).
🔹 Неповсеместное использование смарт-карт.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥1
ТОП-10 рисков программного обеспечения с открытым исходным кодом по версии исследовательской группы Station 9 и CISO/CTO известных крупных ИТ и ИБ-компаний.
Подробнее про каждый риск, меры снижения уровня риска и примеры можно почитать в отчете.
Подробнее про каждый риск, меры снижения уровня риска и примеры можно почитать в отчете.
🔥6👍3
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых ransomware.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
👍5🔥2🤔1🐳1🌚1