Перейти к содержанию
AM_Bot

IBM анонсировала бюджетную систему хранения данных

Recommended Posts

AM_Bot

IBM.jpgIBM анонсировала новую систему хранения начального уровня Storwize V3700, стоимость которой стартует с 11 000 долларов. В IBM говорят, что из всех продаваемых компанией систем хранения, V3700 - является самой дешевой.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
IBM.jpgIBM анонсировала новую систему хранения начального уровня Storwize V3700, стоимость которой стартует с 11 000 долларов. В IBM говорят, что из всех продаваемых компанией систем хранения, V3700 - является самой дешевой.

подробнее

Я всегда строил системы хранения сам (по крайней мере для личного применения), так как никогда не мог понять принципы ценнообазования. У меня калькуляция получается такая:

1. Серверный корпус на 3U (он оптимальнее 2 U, так как у него корзинка на "морде" на 24 диска + охлаждение лучше и тише за счет того, что после корзинки можно поставить 4 штуки больших тихиходных вентилятора или сделанную на заказ "улитку", которая при шуме 45 дб будет тянуть воздух как пылесос). С блоком питания и всякими мелочами типа DVD-ROM и рельс для установки в стойку он будет стоить до 1 кб

2. Серверная материнка, память, процессор, хорошая сетевая карточка 2*1Гбит. В сумме не более 1 кб, реально дешевле (в моем домашнем файлсторадже наприме стоит Core i5 и 8 Гб ОЗУ - больше файлопомойке не нужно)

3. Хороший "железный" RAID контроллер. Минимум 1 кб ценой, но он того стоит (и будет поддерживать все мыслимые чудеса с массивами, типа гибридного RAID SSD+HDD, SSD кеширования ... у контроллера будет бортовой кеш)

4. Операционка. Можно утсановить Linux (бесплатно), Win Server 2008 (до 1 к) с ролью файлсерера

Итого 1+1+1+1 = 4 кб максимум !! (кб = килобакс, 1000$ в мирное время, 1024 - в военное :) ). Предложенное решение стоит в 3 раза дороже ... хотя позиционируется как бюджетное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust
Я всегда строил системы хранения сам (по крайней мере для личного применения), так как никогда не мог понять принципы ценнообазования. У меня калькуляция получается такая:

1. Серверный корпус на 3U (он оптимальнее 2 U, так как у него корзинка на "морде" на 24 диска + охлаждение лучше и тише за счет того, что после корзинки можно поставить 4 штуки больших тихиходных вентилятора или сделанную на заказ "улитку", которая при шуме 45 дб будет тянуть воздух как пылесос). С блоком питания и всякими мелочами типа DVD-ROM и рельс для установки в стойку он будет стоить до 1 кб

2. Серверная материнка, память, процессор, хорошая сетевая карточка 2*1Гбит. В сумме не более 1 кб, реально дешевле (в моем домашнем файлсторадже наприме стоит Core i5 и 8 Гб ОЗУ - больше файлопомойке не нужно)

3. Хороший "железный" RAID контроллер. Минимум 1 кб ценой, но он того стоит (и будет поддерживать все мыслимые чудеса с массивами, типа гибридного RAID SSD+HDD, SSD кеширования ... у контроллера будет бортовой кеш)

4. Операционка. Можно утсановить Linux (бесплатно), Win Server 2008 (до 1 к) с ролью файлсерера

Итого 1+1+1+1 = 4 кб максимум !! (кб = килобакс, 1000$ в мирное время, 1024 - в военное :) ). Предложенное решение стоит в 3 раза дороже ... хотя позиционируется как бюджетное

Ну Олег, то, что вы описываете будет всегда иметь, только один Рейд-контроллер, ограниченный набор протоколов доступа, плюс там нет специализированной ОС, предуматривающей, например, интеллектуальное кеширование, снепшоты и тому подобный функционал. Дома может и покатит, в продакшене как бе нет.

P.S. Хотя сам по себе Сторвайз с т.з. ценовой политики довольно странная система.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Ну Олег, то, что вы описываете будет всегда иметь, только один Рейд-контроллер, ограниченный набор протоколов доступа, плюс там нет специализированной ОС, предуматривающей, например, интеллектуальное кеширование, снепшоты и тому подобный функционал. Дома может и покатит, в продакшене как бе нет.

P.S. Хотя сам по себе Сторвайз с т.з. ценовой политики довольно странная система.

А зачем несколько контроллеров ? (в современную серверную материнку можно поставить как минимум 2 "взрослых" контроллера + задействовать ее бортовой. Я в домашнем решении применил Adaptec 52445 - его как раз хватает на все корзинки без экспандеров, причем более чем на 24 портов на сторадж не надо, там дисков столько не будет. Интеллектуальное кеширование Linux и Win2008 дает, плюс кеш самого контроллера, плюс всякие интеллектуальные кеши за счет переноса часто читаемых данных в SSD. Причем в итоге все операции "утыкаются" в пропускную способность гигабитного Ethernet и получается, что суперскорость не нужна... В плане развития выстроить масштабное решение из описанных мной "бытовых" хранилищ с помощью DFS - это тоже не проблема.

Меня собственно ценовая политика и удивила, так как такой ценник многоват для системы начального уровеня. И имхо это общая беда рынка серверов - берем как пример Depo, отдираем их этикетку - под ней Supermicro. Если отодрать супермикро - останется дешевый китайский серверный корпус, средние по надежности и цене компоненты и риторический вопрос "а почему так дорого" :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Олег давайте я напишу, что отличает СХД и одновременно попытаюсь ответить на ваши вопросы.

0. В современных СХД, всегда два независимых контроллера, две "головы" в которых идёт синхронизация кеша с обрабатываемыми данными. В физический сервер вы два контроллера в режиме active/active не получите никогда. Следовательно при отказе контроллера вы курите бамбук.

1. В современных СХД типа NetApp или EMC, каждый контроллер или storage processor у вас имеет возможность предоставлять LUN'ы серверам по различным протоколам, как фаловым CIFS, NFS так и блочным (чего ваше решение с Вин сервер никогда не сможет) типа FC или iSCSI.

2. Ресурсы системы хранения могут предоставляться множеству серверов одновременно, это фундаментальное отличие на самом деле. Сценарии применения, так сейчас распространённая виртуализация, вы не сможете предоставить блочный доступ более чем одному серверу. То что вы описываете является DAS, в соответсвующей терминологии.

3. Гигабит никаких "узким местом не является" так как на СХД как упомянутом Сторвайзе, так и на прямом конкуренте EMC VNXe3150, есть порты 10 Gb, плюс есть такая штука как агрегация линков.

4. Что касается кеширования, то ОС внутри СХД всегда будет более интеллектуально, как более низкоуровневое и специализированное ср-во, например, пытается перед записью выстроить полный Страйп, а только потом записывать его на диски, или производит запись исключительно в незанятые области дисков.

5. СХД включает в себя софт, который может например делать снепшоты с LUN'а целиком, дедуплицировать данные, или интегрироваться с системами резервного копирования или технологиями других вендоров, например VMware.

6. В СХД вы легко сможете нарастить объёмы с помощью докупки полки с дисками, а что вы будете делать когда у вас не хватит или объёма или дисковой производительности? Покупать ещё один такой же сервер?

Ну и в заключение, на DFS вы не построите ни DR-комплекс ни CHR, кроме сихронизации с негарантируемым временем вы не получите ничего. Именно поэтому DFS иначе как средство упрощённого доступа к файлам не используется в правильных средах.

P.S. Всё вышенаписанное это то с чего требует Заказчик, покупая системы за 10 000 - 15 000 у.е. никаких сверх-задач для топовых звездолётов там нет:)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Ну и в качестве ещё одного аргумента: C точки зрения безопасности, СХД лучше защищена, получить доступ к содержимому дисков или попытаться скомпрометировать управляющую ОС, когда СХД подключена скажем в отдельные сети хранения SAN, а управляющие интерфейсы выделены в отдельную подсеть, задача мягко говоря нетривиальная. Проще в ЦОД с топором прийти.

Corr: Скорректирую пункты 3 и 4 из предыдущего списка.

3. Гигабит никаким "узким местом" не является так как у систем хранения, (как например у Сторвайза, так и у прямого его конкурента EMC VNXe3150), есть порты 10 Gb, плюс есть такая штука как агрегация линков.

4. Что касается кеширования, ОС внутри СХД всегда будет более интеллектуальна, так как работает с блоками на более низком уровне и является специализированным средством. В качестве примера: пытается перед записью выстроить полный страйп с данными, а только потом записывать страйп на диски или в случае операций записи, производить запись исключительно в незанятые области дисков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

С интересом прочитал ваше посты выше. Пожалуй, вариант Олега подойдет вполне для личных целей или небольшего офиса. Но если речь уже идет о приобретении взрослой расширяемой системы хранения под работу с виртуалками и работу с различными протоколами, то стоит рассмотреть варианты типа Storwize V3700 или EMC VNXe3150.

3. Гигабит никаким "узким местом" не является так как у систем хранения, (как например у Сторвайза, так и у прямого его конкурента EMC VNXe3150), есть порты 10 Gb, плюс есть такая штука как агрегация линков.

Выглядит вкусно, хотя, не знаю, насколько это на практике будет актуально работать с данными на такой скорости в реалиях не столь крупной компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
С интересом прочитал ваше посты выше. Пожалуй, вариант Олега подойдет вполне для личных целей или небольшего офиса. Но если речь уже идет о приобретении взрослой расширяемой системы хранения под работу с виртуалками и работу с различными протоколами, то стоит рассмотреть варианты типа Storwize V3700 или EMC VNXe3150..

Так вот я о том и толкую ... причем даже не небольшой офис, если мы говорим "бюджетный", то у меняы в сознании возникает некая SMB фирма (сеть на сотню-другу ПК, несколько серверов), которая хочет заполучить надежный бюджетный сторадж, но не готова расстаться с миллионами. Там не будет неких мега-задач виртуализации, не понадобится супер-пупер отказоустойчавость (обычного хранилища с резервированным блоком питания хватит на 120%).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег давайте я напишу, что отличает СХД и одновременно попытаюсь ответить на ваши вопросы.

0. В современных СХД, всегда два независимых контроллера, две "головы" в которых идёт синхронизация кеша с обрабатываемыми данными. В физический сервер вы два контроллера в режиме active/active не получите никогда. Следовательно при отказе контроллера вы курите бамбук.

0. а у меня на полке запасной лежит - как раз на такой случай (а на время ремонта естю резервный сторадж) :)

В остальном я со всеми пунктами согласен - но имхо в типовом SMB для бюджетной системы большинство описанного не востребовано. Во многих небольших фирмах я вообще нередко вижу "стораджи" в виде простейшего сервера с дисками в зеркале, и они эту самую SMB фирму полностью устраивают. Если им предложить систему за 11 к + стоимость дисков, они просто не поймут. А там, где бюджет не ограничен и задачи серьезны, там и будут гоняться за бюджетгным решением ... Хотя может определенная ниша у таких устройств и есть, например и небольших хостинговых компаний (где вроде как и серьезное решение хочется, и много денег нет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Сергей Ильин

С интересом прочитал ваше посты выше. Пожалуй, вариант Олега подойдет вполне для личных целей или небольшего офиса. Но если речь уже идет о приобретении взрослой расширяемой системы хранения под работу с виртуалками и работу с различными протоколами, то стоит рассмотреть варианты типа Storwize V3700 или EMC VNXe3150.

Вариант который предложил Олег, к сожалению подходит исключительно под роль файл-сервера. Можно конечно рассматривать спец Линукс-аплайнсы или Windows Storage Server, но это уже другие деньги. Чисто теоретически можно рассмотреть вариант с мощным, достаточно дорогим, внутренним контроллером с внешними портами и возможностью подключения внешней полки с дисками и это до поры до времени снимет проблему нехватки пространства или дисковой производительности.

То есть классический DAS:

adobe-mac-topology.jpg

Выглядит вкусно, хотя, не знаю, насколько это на практике будет актуально работать с данными на такой скорости в реалиях не столь крупной компании.

Если доступ к данным осуществляется по iSCSI или NFS, то есть сетевые линки используются запущенными на серверах приложениями, для обращения к данным - то запросто.

Вот например тут показана утилизация сетевых линков, задача виртуализация.

6a00d8341c328153ef0133f2424d2c970b.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust
0. а у меня на полке запасной лежит - как раз на такой случай (а на время ремонта естю резервный сторадж) :)

В остальном я со всеми пунктами согласен - но имхо в типовом SMB для бюджетной системы большинство описанного не востребовано. Во многих небольших фирмах я вообще нередко вижу "стораджи" в виде простейшего сервера с дисками в зеркале, и они эту самую SMB фирму полностью устраивают. Если им предложить систему за 11 к + стоимость дисков, они просто не поймут. А там, где бюджет не ограничен и задачи серьезны, там и будут гоняться за бюджетгным решением ... Хотя может определенная ниша у таких устройств и есть, например и небольших хостинговых компаний (где вроде как и серьезное решение хочется, и много денег нет)

Олег, то что у вас на полке лежит запасной контроллер (т.е. ЗИП) это конечно хорошо, но мы помним о том, что случись чего, за пять минут вы доступность не восстановите, скорее всего не восстановите и за час, если рейд-контроллер накрылся во время работы с массивом. Плюс ко всему ваш ЗИП сам по себе стоит денег, но при этом лежит на полке мёртвым грузом и денег не приносит.

Что касается дороговизны СХД за 11 000 для SMB, понимаете вы говорите фактически о ПБОЮЛ (2.5 компа+принтер), или о компаниях где в силу организации производственных процессов требования к ИТ очень невысоки, это не хорошо и не плохо, это просто есть. И их действительно всё устраивает по каким-либо причинам и речь не про них. Но есть и совершенно другие пусть и небольшие, но уже достаточно зрелые компании где организация этих самых бизнес-процессов требует определённого уровня "эластичности", доступности и надёжности. Именно такие компании и являются основными потребителями систем начального и среднего уровня (от 10к примерно). С приходом в широкие массы виртуализации, когда появилась возможность серьёзно экономить на инфраструктуре причём, что очень важно экономить не на гипотетических операционных затратах, а на затратах капитальных, а это живые деньги, вот в этом случае стоимость одной СХД не так уж и важна по сравнению со стоимостью инфраструктуры. И ещё я может сейчас крамольную вещь скажу, но бизнес не способный потратить на себя 10к - 30к, когда ему это требуется, это очень странный бизнес.

Далее, про бюджеты, Олег, я не знаю как у вас, но я ни разу в жизни не видел Заказчика с неограниченным бюджетом, с большим - видел, с очень большим - тоже видел, а вот с не ограниченным нет, не видел. :) Поэтому если вы говорите о Сторвайзе или VNX'е как об Энтепрайз уровне, который себе только-лишь Газпром и может позволить, то вы ошибаетесь, всё что я написал относится как раз таки не к самым суперкрутым задачам, почта, файлопомойка, виртуализация начального уровня, вот что то такое. В действительно серьёзных и тяжёлых задачах используются совсем другие системы, типа Symmetrix-vMax например.

И последнее, так уж получилось, что я по роду своей деятельности связан с данной тематикой, поэтому примерно представляю сколько систем в том числе и начально-среднего уровня продаётся в год, по понятным причинам точные цифры привести здесь не могу, но в целом порядки исчисляются сотнями систем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Забыл добавить, Олег, всё, что написано мной выше не попытка спорить с вашим ИМХО, или "давить мнением", а попытка найти общие точки соприкосновения и поддержать дискуссию. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
    • AM_Bot
      Онлайн-симулятор Standoff Cyberbones позволяет специалистам по ИБ оттачивать навыки расследования инцидентов на примерах реальных атак, реализованных на кибербитвах Standoff. Симулятор содержит разные типы заданий и подходит даже для начинающих. Standoff Cyberbones призван помочь организациям создать сильные команды по защите ИТ-инфраструктур и подготовиться к отражению угроз.     ВведениеЧто такое Standoff Cyberbones2.1. Для кого предназначен Standoff CyberbonesТипы заданий Standoff Cyberbones3.1. Атомарный инцидент3.1.1. Вредоносный файл «wtf.exe»3.1.2. Расследование фишинговой атаки3.2. Критическое событие3.2.1. Реализация критического события3.2.2. Получение доступа через RDP-сессию3.2.3. Дамп LSASS и исследование процесса «rr2.exe»3.2.4. Обнаружение фишингаВыводыВведениеИсследование Positive Technologies показало, что количество кибератак на страны СНГ продолжает расти: во втором квартале 2024 года их было в 2,6 раза больше, чем за аналогичный период 2023 года. По данным компании, 73 % всех нападений пришлись на Россию.Основными причинами роста активности киберпреступников являются успешная цифровизация государств региона и геополитическая нестабильность. Целями хакеров чаще всего становятся государственные учреждения, промышленные предприятия и телекоммуникационные компании. Чтобы противостоять злоумышленникам, необходимо иметь не только передовые средства защиты, но и хорошо подготовленную команду специалистов по ИБ.Как показывает практика, для создания эффективной команды по выявлению угроз и реагированию на них необходимы три составляющие:Регулярная проверка базовых знаний в части ИТ и ИБ.Дополнительное обучение с акцентом на практике.Оттачивание навыков на киберполигонах с применением реальных данных о действиях хакеров. Проверка базовых знаний, как правило, не составляет проблемы, однако второй и третий пункты нередко создают сложности. С одной стороны, в открытом доступе не так просто найти данные о действиях хакеров, основанные на реальных атаках. С другой — тренировки на киберполигоне рассчитаны на опытных специалистов и слаженные команды, а не на новичков. Для того чтобы помочь компаниям в подготовке специалистов по ИБ, мы разработали Standoff Cyberbones.Что такое Standoff CyberbonesStandoff Cyberbones — это онлайн-симулятор для практической подготовки специалистов по ИБ. Задания опираются на данные мониторинга, собираемые во время кибербитв Standoff со средств защиты информации, таких как SIEM, NTA, WAF, Sandbox и др. Упражнения в симуляторе группируются в соответствии с матрицей MITRE ATT&CK и сопровождаются описанием объектов отраслевой инфраструктуры, которых касается та или иная угроза. Рисунок 1. Интерфейс Standoff Cyberbones Рисунок 2. Выбор заданий Для кого предназначен Standoff CyberbonesStandoff Cyberbones — онлайн-симулятор с реальными кейсами, собранными по итогам кибербитвы Standoff. Здесь любой специалист по ИБ может расследовать инциденты в удобное для него время, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.Типы заданий Standoff CyberbonesСимулятор Standoff Cyberbones включает в себя задания двух типов.Первая разновидность — атомарный инцидент. В рамках задач этого типа аналитику необходимо успешно выявить индикаторы компрометации. Например, это могут быть название и полностью определённое доменное имя (fully qualified domain name, FQDN) узла или же данные пользователя, который запустил вредоносный файл.Второй тип — критическое событие. В таком задании специалист сталкивается с несколькими атомарными инцидентами, которые были спровоцированы в инфраструктуре организации. Цель аналитика — восстановить цепочку атаки и сформировать отчёт по итогам расследования.Атомарный инцидентДля наглядности рассмотрим несколько примеров заданий по поиску атомарных инцидентов. Вредоносный файл «wtf.exe» Согласно условию задачи, в интервале между 10:00 22 ноября 2022 года и 18:00 24 ноября 2022 года по московскому времени атакующие доставили в инфраструктуру компании нагрузку в виде файла «wtf.exe». Защитникам необходимо определить FQDN узла с вредоносным объектом.Для решения задачи можно использовать систему класса SIEM и выставить в ней интервал времени, в течение которого по условию произошёл инцидент. Рисунок 3. Настройка интервала в интерфейсе MaxPatrol SIEM Далее необходимо определить поле нормализации, которое поможет обнаружить следы атаки. Поскольку нам известно имя файла, следует указать «wtf.exe» в поле «object.name» и выполнить поиск. Для удобства можно отсортировать результаты по времени — от старых событий к новым. Рисунок 4. Результаты поиска Результаты поиска в SIEM-системе показали, что первым файл «wtf.exe» обнаружила система PT Network Attack Discovery (PT NAD). Затем объект был выявлен на узле «comp-0660.city.stf» — это и есть искомый FQDN, который нужно указать в качестве ответа. Рисунок 5. Результат выполнения задания Успех, задание выполнено.Расследование фишинговой атакиЦелью этого задания является поиск FQDN конечного устройства, на котором пользователь «d_jensen» запустил вредоносный файл. Известно, что тот был прикреплён к электронному письму, открытому 23 ноября 2022 года.Согласно условию нам известно имя пользователя, чьи действия привели к инциденту. Его следует указать в поле нормализации «subject.account.name». Рисунок 6. Поиск событий по имени аккаунта Чтобы сузить охват поиска, можно узнать количество журналов этой учётной записи с помощью оператора группировки по столбцу «event_src.host». Рисунок 7. Добавление дополнительных фильтров Можно добиться ещё более точных результатов, если дополнить фильтр «subject.account.name = "d_jensen"» параметрами «action = "start"» и «object = "process"». Это позволит определить, на каком устройстве указанный пользователь запускал процессы от имени своей учётной записи. Рисунок 8. Запуск процессов от имени пользователя «d_jensen»  После этого в результатах поиска отображается только один узел, данные о котором и будут ответом к задаче.Критическое событиеРазберём теперь пример задачи по расследованию критического события. Чтобы выполнить это задание, необходимо проанализировать всю цепочку атаки (kill chain) и заполнить отчёт с указанием каждого шага атакующих. Для начала рассмотрим действия в обратном порядке.Реализация критического событияАтака злоумышленников привела к тому, что они получили доступ к конфиденциальному файлу с именем «resfin.docx». Известно, что документ находился на узле «esoto.uf.city.stf» и был открыт от имени пользователя «r_hewwit_admin». В первую очередь подозрение должно вызвать то, что точкой подключения стал именно «r_hewwit_admin», а не учётная запись с «esoto».Чтобы выяснить это, стоит начать с анализа процесса «winword.exe» программы Microsoft Word. Как видно, пользователь «r_hewwit_admin» открыл указанный файл «resfin.docx». Рисунок 9. Процесс «winword.exe» на узле «esoto.uf.city.stf»  Получение доступа через RDP-сессиюАтакующие получили доступ к узлу «esoto.uf.city.stf» с помощью сессии Remote Desktop Protocol (RDP) от имени пользователя «r_hewwit_admin». Именно во время активности этой сессии реализовано критическое событие. Необходимо выяснить, откуда «белые» хакеры узнали данные учётной записи «r_hewwit_admin» для подключения по протоколу RDP. Рисунок 10. Атакующие создали RDP-сессию Рисунок 11. Данные RDP-сессии Дамп LSASS и исследование процесса «rr2.exe»Далее аналитик может заметить событие связанное с дампом LSASS — выгрузкой рабочей памяти одноимённого процесса. Это — популярный среди хакеров способ кражи данных, с помощью которого и был получен доступ к учётной записи «r_hewitt_admin».Обычно для снятия дампа необходимо обладать системными правами, однако в этом случае дамп LSASS был получен при помощи подозрительной утилиты «rr2.exe». Рисунок 12. Изучение утилиты «rr2.exe»  Помимо дампа, от имени процесса «rr2.exe» злоумышленники запустили командную строку с системными правами. При этом файл «rr2.exe» был открыт от имени пользователя «l_mayo», который также не обладает повышенными привилегиями. Рисунок 13. Процесс «rr2.exe» Необходимо выяснить, откуда взялась эта утилита, позволившая развить атаку. В поле «object.process.cmdline» можно заметить команду на скачивание файла «rr2.exe» через Wget с подозрительного адреса. Рисунок 14. Загрузка «rr2.exe» с помощью команды PowerShell Осталось найти событие, которое подтверждает повышение привилегий для дампа. Подробный анализ «rr2.exe» показывает, что с его помощью атакующие создали файл «chisel.exe» для построения туннеля. Рисунок 15. Информация о создании файла «chisel.exe» Теперь можно увидеть все команды «белых» хакеров: отображение списка файлов и каталогов, а также управление запланированной задачей и запуск файла «rr.exe». Рисунок 16. Цепочка команд злоумышленников Рисунок 17. Просмотр файлов Рисунок 18. Управление запланированной задачей Как выясняется далее, злоумышленники воспользовались техникой Named Pipe Impersonation и локально повысили свои привилегии в системе. Рисунок 19. Применение техники Named Pipe Impersonation Подробнее узнать о технике Named Pipe Impersonation можно в любом поисковике. Результаты показывают, что аналогичный приём используют в нагрузке Meterpreter для повышения привилегий с помощью команды «getsystem». Рисунок 20. Применение техники Named Pipe Impersonation в Meterpreter Далее рассмотрим процесс, который привёл к созданию файла «rr2.exe». Рисунок 21. Процесс «powershell.exe» создал файл «rr2.exe» Рисунок 22. Команда запуска файла «rr2.exe» Как показывает анализ, файл «rr2.exe» был создан оболочкой PowerShell от имени пользователя «l_mayo». Это свидетельствует о том, что первоначальным вектором атаки, скорее всего, был фишинг.Обнаружение фишингаИзучение процесса «winword.exe» позволяет понять, что через Microsoft Word был открыт файл «cv_resume_1». Вероятно, в документе был размещён вредоносный макрос, который и позволил «белым» хакерам получить доступ к оболочке PowerShell. Рисунок 23. Открытие файла «cv_resume_1»  Источник фишингового письма можно обнаружить в песочнице. Поиск по названию документа показывает, что сообщение отправили с адреса «rudnic@city.stf». Рисунок 24. Скомпрометированная учётная запись Там же содержится и вредоносный документ, открытие которого положило начало атаке и позволило получить доступ к узлу «l_mayo.city.stf». Его обнаружение и является решением задачи. Рисунок 25. Исходный вредоносный файл ВыводыАктивность хакеров продолжает нарастать, а значит, бизнес и государственные организации должны задуматься о повышении своей киберустойчивости. Защита каждого конкретного предприятия требует от команды SOC специфических навыков, которые эффективнее всего развиваются на практике.Онлайн-симулятор позволяет обучить специалистов по ИБ с опорой на реальные примеры хакерских атак на различные ИТ-инфраструктуры. С помощью Standoff Cyberbones специалисты могут повышать квалификацию и получать опыт расследования реальных киберинцидентов. В течение месяца с момента запуска бесплатной версии исследователи успешно сдали более 600 заданий. Бесплатно «прокачать» свои навыки можно уже сейчас.Для тех, кто не хочет останавливаться на достигнутом, уже доступна расширенная платная версия: внутри — 70 заданий и 5 расследований, основанных на самых интересных атаках в истории кибербитв Standoff.Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 16+Читать далее
    • demkd
      Исправление ошибки будет включено в v4.99.3.
    • Ego Dekker
      Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет обновленные продукты для обеспечения еще более мощной защиты домашних устройств Windows, macOS, Android и iOS, а также конфиденциальных данных на них. Теперь пользователям доступны новые функции – многопотоковое сканирование и ESET Folder Guard для защиты папок, а также другие улучшения для защиты устройств домашней сети от программ-вымогателей, фишинга и онлайн-мошенничества. Обновленные решения с улучшенным функционалом помогут защитить устройства от новых сложных киберугроз, которые постоянно развиваются. Несмотря на применение новейших технологий, решения ESET остаются простыми в использовании благодаря платформе ESET HOME для управления безопасностью, доступной для всех основных операционных систем. «Как прогрессивный поставщик цифровых решений по безопасности, ESET стремится всегда быть на шаг впереди злоумышленников. Наши эксперты создали мощные цифровые решения, которые объединяют более чем 30-летний человеческий опыт с искусственным интеллектом, многоуровневыми технологиями по безопасности и облачной защитой. Следуя подходу, направленному на предотвращение угроз, решения ESET обеспечивают конфиденциальность и безопасность, оставаясь при этом удобными, мощными, легкими и быстрыми», — комментирует вице-президент ESET в сегментах продуктов для домашних пользователей и устройств Интернета вещей. Новые функции для более мощной защиты ESET Folder Guard обеспечивает защиту ценных данных пользователей Windows от вредоносных программ и угроз, таких как программы-вымогатели, черви и программы для уничтожения данных. Пользователи могут создать список защищенных папок, файлы которых не могут быть изменены или удалены ненадежными программами. Следует отметить, что новая функция доступна только в премиум-подписке ESET HOME Security Premium. Многопотоковое сканирование улучшает производительность сканирования для многоядерных процессоров, которые используют устройства Windows, путем распределения запросов на сканирование между доступными ядрами ЦП. Потоков сканирования может быть столько, сколько и ядер процессора устройства. Сканер ссылок, доступный в программе ESET Mobile Security, улучшает защиту пользователей мобильных устройств путем блокирования потенциальных атак фишинга с веб-сайтов или доменов из базы данных ESET. Кроме того, это дополнительный уровень защиты для владельцев смартфонов Android, который проверяет каждую ссылку при попытке открытия пользователем. Например, если пользователь получает и открывает фишинговую ссылку в игре, ссылка сначала перенаправляется в программу ESET для проверки, а затем в браузер. Если пользователь использует неподдерживаемый браузер, сканер заблокирует вредоносную ссылку. Важные улучшения существующих функций Обновленная функция «Игровой режим» позволяет пользователям создавать список приложений, после открытия которых запускается игровой режим. Для осторожных игроков также есть новая опция для отображения интерактивных уведомлений при работе игрового режима. Следует отметить, что эта функция предназначена для пользователей, нуждающихся в непрерывном использовании программного обеспечения без всплывающих окон и желают минимизировать использование ресурсов. Функция «Управление паролями» теперь содержит опцию удаленного выхода при входе на других устройствах. Пользователи могут проверить свой пароль со списком взломанных паролей и просмотреть отчет о безопасности, который информирует пользователей об использовании слабых или повторяющихся паролей для сохраненных учетных записей. Управление паролями позволяет использовать программы сторонних разработчиков, такие как дополнительная двухфакторная аутентификация (2FA). Благодаря улучшению защиты устройств Mac, у решений теперь есть новый унифицированный брандмауэр с базовыми и расширенными параметрами настройки в основном графическом интерфейсе в соответствии с различными потребностями пользователей без лишних настроек. Подписки ESET идеально подходят пользователям, которые требуют к базовым функциям безопасности также обеспечить защиту устройств домашней сети и умного дома, безопасность конфиденциальных и личных данных, а также оптимизацию производительности. Подробнее о подписках для домашних пользователей читайте по ссылке. Пресс-выпуск.
    • Ego Dekker
      ESET NOD32 Antivirus 18.0.12  (Windows 10, 32-разрядная)
              ESET NOD32 Antivirus 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Internet Security 18.0.12  (Windows 10, 32-разрядная)
              ESET Internet Security 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 18.0.12  (Windows 10, 32-разрядная)
              ESET Smart Security Premium 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 18.0.12  (Windows 10, 32-разрядная)
              ESET Security Ultimate 18.0.12  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 18  (PDF-файл)
              Руководство пользователя ESET Internet Security 18  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 18  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 18  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 18-й версии полностью (пользователям Windows)?
×