Попасть внутрь — это только половина дела. Настоящая атака начинается тогда, когда злоумышленник закрепляется. Без этого весь доступ слишком хрупкий: один перезапуск сервера, смена пароля или внимательный администратор — и всё обнуляется. Поэтому первые шаги внутри сети почти всегда тихие, незаметные и максимально похожие на рутину.

Самый очевидный вариант — создать нового пользователя. Иногда это локальная учётка с правами администратора, иногда — «технический» аккаунт в домене. Имя выбирается так, чтобы не бросалось в глаза: вроде backup_admin или svc_update. В списке из сотни похожих записей такие детали легко теряются.

Другой способ — оставить бэкдор в системе.… Читать далее…

Malware (от «malicious software» — вредоносное ПО) — это любая программа, созданная для нанесения вреда: кражи данных, вымогательства, скрытого майнинга, внедрения бэкдоров или просто нарушения работы систем. Классические «вирусы», трояны, сетевые черви, шифровальщики-ransomware, шпионские модули и ботнет-клиенты — всё это виды одного явления, отличающиеся лишь задачей и техникой распространения. Попадает malware туда же, куда и обычный софт: через вложения почты и мессенджеров, USB-носители, уязвимости веб-браузеров, заражённые обновления, рекламные баннеры, взломанные сайты и даже фальшивые расширения. Логика проста: чем менее заметен путь доставки, тем выше шанс заражения.

После проникновения вредонос обычно проходит одни и те же этапы: закрепляется (изменяет реестр, ставит службу, добавляет планировщик), маскируется (ключи автозапуска, процессы-дубликаты), устанавливает связь с управляющим сервером (C2), выполняет основную полезную нагрузку и по возможности распространяется дальше, ищет пароли, шифрует файлы или разворачивает прокси.… Читать далее…

Интересный кейс, с которым может столкнуться любая организация, особенно та, где используются внутренние информационные системы.

Речь о системе, доступ к которой осуществляется через браузер. Всё просто, но с одним важным условием — работать она безопасно может только через современную версию браузера. А современные браузеры, как известно, уже давно не поддерживают устаревшие операционные системы вроде Windows 7 и тем более XP. При этом в реальности таких машин ещё достаточно много — они стоят, крутятся, вроде бы работают, и про них “забыли”.

В какой-то момент было принято технически правильное и обоснованное решение — разрешить доступ к системе только с последних версий браузеров.… Читать далее…

Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.

Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы.… Читать далее…

Это головная боль для любого отдела информационной безопасности. Представьте: обычный сотрудник, без злого умысла, просто решил скинуть служебный документ себе на Google Диск, чтобы дома на диване, в халате, под чаёк с сушками дочитать и доделать. Удобно? Конечно. Безопасно? Ни разу.

Теневое IT — это когда люди берут и в обход всех корпоративных правил и процедур используют сторонние сервисы: облака, мессенджеры, личные почты, флешки с AliExpress за 150 рублей. Они не злодеи — просто им так проще, быстрее, роднее. Они не хотят вспоминать пароль от корпоративного VPN, особенно если он меняется каждые 3 или 6 месяцев и состоит из тринадцати символов, включая ё, доллар и древнегреческий омегу.… Читать далее…