Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — отказ от NT LAN Manager (NTLM), рост активности программ-вымогателей, обзор ВПО DarkGate, новые атаки группировки ExCobalt, обновленная версия Kali Linux. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Евгений Тюрин.

Microsoft прекращает поддержку NT LAN Manager Microsoft объявила о поэтапном отказе от всех версий протокола аутентификации удаленных пользователей NT LAN Manager (NTLM). Специалисты заявили, что все версии NTLM, включая LANMAN, NTLMv1 и NTLMv2, устарели и больше не находятся в стадии активной разработки. Компания рекомендует разработчикам заменить вызовы NTLM на вызовы Negotiate, которые по возможности проведут аутентификацию при помощи Kerberos. Специалистам ИБ и системным администраторам необходимо заблаговременно провести аудит по оценке применения NTLM в их инфраструктуре для своевременной замены современными методами аутентификации. Разработчики также сообщили, что последними версиями ОС, где NTLM будет активен, станут следующий релиз Windows и Windows Server.

Разбор активного роста числа программ-вымогателей в новом отчете от Mandiant

Исследователи Mandiant опубликовали статью о высоком росте активности программ-вымогателей. Специалисты отметили, что программы-вымогатели стали более изощренными и многие из них теперь используют легальные инструменты для повышения эффективности своих атак. Это делает их еще более трудными для обнаружения и блокировки. Также исследователи заявили, что большая часть программ-вымогателей была развернута в течение 48 часов с момента первоначального доступа злоумышленника, а 76% атак произошло в нерабочее время. Исследователи представили несколько рекомендаций по защите от таких атак, в которые вошли: обновление программного обеспечения, многофакторная аутентификация и регулярное резервное копирование данных.

Обзор нового механизма работы ВПО DarkGate

Специалисты Trellix проанализировали различные версии DarkGate и отметили, что для кампаний с использованием данного ВПО характерны быстрая адаптация и модификация различных компонентов программы. Ранее одним из этапов развертывания DarkGate являлось использование скрипта AutoIt, но разработчики внесли корректировки, и теперь полезную нагрузку запускает AutoHotkey. ВПО DarkGate известно с 2018 года и является полнофункциональным трояном удаленного доступа (RAT), оснащенным C2 и руткит-возможностями. Программа включает модули для кражи учетных данных, кейлоггинга, захвата экрана и удаленного рабочего стола. В отчете Trellix представлен широкий список найденных индикаторов компрометации.

Новые методы атак, используемые группировкой ExCobalt

Специалисты Positive Technologies обнаружили неизвестный бэкдор GoRed. В процессе анализа было замечено, что несколько версий программы уже встречались в ранее выявленных атаках. Дальнейший анализ позволил установить связь инструмента с группировкой ExCobalt. Новый бэкдор включает в себя множество функций. Например, возможность подключения оператора и выполнения команд, использование RPC-протокола для коммуникации GoRed с управляющим сервером, возможность получения учетных данных из скомпрометированных систем, сбор различной информации из скомпрометированных систем и отправку собранных данных на специальный сервер для хранения скомпрометированной информации. Специалисты Positive Technologies заявили, что злоумышленники продолжают демонстрировать высокий уровень активности и решительности в атаках, постоянно совершенствуя свои техники и инструментарий. Кроме того, был представлен список индикаторов компрометации, в который вошли как сетевые индикаторы, так и файловые.

Новая версия Kali Linux

Разработчики Kali Linux представили новую версию дистрибутива 2024.2. Kali Linux — известный проект Linux для профессионалов в области кибербезопасности и этичных хакеров. В обновление вошли 18 новых инструментов и обновление GNOME до 46-й версии. Специалисты исправили баг Y2038, который приводил к сбросу даты и времени при достижении 03:14:08 19 января 2038 г. Также в эту версию были добавлены новые визуальные элементы: обои, изменения в меню загрузки и на экране входа в систему. В перечень новых инструментов вошли:

autorecon — многопоточный инструмент для сетевой разведки;

coercer — утилита для автоматического принуждения Windows-сервера к аутентификации на произвольной машине;

netexec — инструмент для эксплуатации сетевых служб, который помогает автоматизировать оценку безопасности больших сетей;

vopono — утилита для запуска приложений через VPN-туннели с временными сетевыми пространствами имен (namespace).

Опробовать обновленную версию можно здесь.

Источник: habr.com

0 0 голоса
Рейтинг новости
17890
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии