Ломать нельзя помиловать, или Что ждет хакеров на PHDays VII

Александр Панасенко 18 Апреля 2017 - 19:09

...

Ломать нельзя помиловать, или Что ждет хакеров на PHDays VII

Пожалуй, самая ожидаемая часть форума — это конкурсы. В этом году мы подготовили обширную программу: участников ждут конкурсы, ставшие классикой PHDays, и кое-что совершенно новое. Основное правило остается неизменным — только реальные цели, только хардкор.

Большинство соревнований PHDays VII пройдет в рамках Противостояния, центральным объектом будет умный город. Посетители форума смогут попробовать себя во взломе систем умного дома, камер видеонаблюдения, IoT-устройств, а также заглянуть под капот умного автомобиля и поломать систему автоматизации целого города.

Традиционный конкурс WAF Bypass снова на PHDays. Как и раньше, участникам нужно обойти PT Application Firewall — межсетевой экран прикладного уровня компании Positive Technologies. На этот раз задания будут направлены на обход нового компонента PT Application Firewall для защиты баз данных. Победа будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и интернет-пользователи.

Почувствовать себя шпионом можно будет на конкурсе MITM Mobile. На площадке PHDays будет работать наш собственный оператор мобильной связи. Участники попробуют перехватить SMS, USSD, прослушать телефонные разговоры, клонировать мобильные телефоны.

Деньги, деньги, рублики… Любители зеленых бумажек смогут побороться в «Большом куше», организованном при участии компаний ARinteg и Qiwi. Участникам будет где разгуляться, так как в этом году «Большой куш» — практически отдельная организация, включающая банки (и не только ДБО), банкоматы, киоски самообслуживания, интернет-магазины и карты. Цель — добраться до денег. Кстати, «белым шляпам» тоже кое-что перепадет, если они сумеют найти уязвимости нулевого дня и быстро и качественно написать advisory.

Один из новых конкурсов — HackBattle. В первый день форума на стенде HackBattle пройдет отборочный этап: участникам нужно будет выполнить несколько заданий. Во второй день лучшие хакерские умы соберутся на главной сцене, для того чтобы посоревноваться в скорости, ловкости и умении справляться с неожиданными задачами в режиме реального времени. Все происходящее будет комментировать команда профессиональных стримеров. Что из этого выйдет — узнаем на PHDays.

Подробная информация о старте конкурсов будет опубликована в ближайшее время. Следите за новостями и готовьтесь — будет весело!

Партнеры форума Positive Hack Days ─ компании Microsoft, IBM, «ИнфоТеКс» и R-Vision, Solar Security, Axoft; бизнес-партнер форума – MONT, в числе технологических партнеров − Cisco, CompTek, ARinteg, Qrator и Wallarm; партнеры Противостояния – PaloAlto, «ICL Системные технологии», Beyond Security; участники Противостояния ─ компании «Информзащита», «Перспективный мониторинг», «Инфосистемы Джет», «Крок»; генеральный информационный партнер Positive Hack Days – государственное информационное агентство ТАСС.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 19:08

MaxPatrol EDR Целевые атаки Таргетированные атаки Корпорации Positive Technologies

APT-группа 2 недели хозяйничала в сети компании, пока атаку не выявил PT X

В январе 2026 года в инфраструктуре одной из компаний была выявлена вредоносная активность, связанная с группировкой PhantomCore. Атаку заметили ещё на этапе внедрения облачного решения для мониторинга безопасности и реагирования на инциденты PT X. В итоге инцидент удалось локализовать, а сама компания, как утверждается, позже полностью восстановилась.

Судя по описанию кейса, всё началось с того, что во время установки продукта специалисты заметили нетипичную активность на хостах, защищённых с помощью MaxPatrol EDR.

Уже через 15 минут после обнаружения клиенту рекомендовали заблокировать доменную учётную запись подозрительного администратора. Примерно через полтора часа компания подтвердила, что речь действительно идёт об инциденте, после чего начались совместные действия по его сдерживанию.

К расследованию подключилась и команда PT ESC IR, которая занялась атрибуцией атаки. По её оценке, за инцидентом стояла группировка PhantomCore, впервые публично отмеченная в 2024 году. Эту группу связывают в первую очередь с кибершпионажем, а среди её типичных целей называют российские организации из сфер госуправления, судостроения, ИТ и промышленности.

Как выяснилось в ходе расследования, точкой входа стала платформа видео-конференц-связи, в которой обнаружили уязвимость. Именно через неё злоумышленники, по версии исследователей, получили первоначальный доступ. Дальше они воспользовались слабыми местами в самой инфраструктуре: запустили вредоносную программу с управляющего сервера, похитили пароль доменного администратора и начали двигаться по сети.

Дополнительную роль сыграли и внутренние проблемы с безопасностью. Недостаточно корректная сегментация сети и отсутствие разделения привилегий для административных учётных записей позволили атакующим развивать атаку дальше. В числе скомпрометированных активов в итоге оказались один из контроллеров домена и служба сертификации Active Directory. Для перемещения по инфраструктуре, как сообщается, использовалась утилита atexec.py.

По данным Positive Technologies, злоумышленники оставались незамеченными около двух недель — до тех пор, пока скомпрометированные хосты не попали под защиту внедряемого решения. При этом основные меры по локализации удалось принять довольно быстро: менее чем за сутки были заблокированы соединения с C2-сервером и сброшены пароли у скомпрометированных учётных записей.

Дальнейшие работы по расследованию и устранению последствий заняли несколько дней. Параллельно в компании исправляли ошибки конфигурации и усиливали базовые меры защиты — в том числе пересматривали парольную политику и общую устойчивость инфраструктуры.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!