Основатель и технический директор Luntry — ключевой спикер OFFZONE 2022

Основатель и технический директор Luntry — ключевой спикер OFFZONE 2022

Основатель и технический директор Luntry — ключевой спикер OFFZONE 2022

25 и 26 августа в Москве состоится конференция по практической кибербезопасности OFFZONE 2022. Keynote-спикером этого года станет Дмитрий Евдокимов, основатель и технический директор компании Luntry.

Дмитрий Евдокимов — эксперт в вопросах обеспечения безопасности в контейнерезированных средах. Основанная им компания Luntry создает решение для облачной безопасности, а также безопасности и прозрачности происходящего в контейнерах и Kubernetes. Сам Дмитрий читает курсы по этой теме, регулярно выступает на отраслевых конференциях — от Black Hat и HITB до DevOpsConf и HighLoad++.

Посвятив более 10 лет сфере кибербезопасности (КБ), Дмитрий Евдокимов абсолютно уверен: систему невозможно сделать надежной и безопасной, не понимая ее. В выступлении на OFFZONE 2022 спикер расскажет, как меняется ландшафт информационных систем и как это сказывается на обеспечении их безопасности.

«На данный момент большинство крупных и средних компаний, вне зависимости от отрасли, перешагнуло в понимании IT за рамки наличия только внутренней инфраструктуры, — говорит Дмитрий Евдокимов. — Собственная разработка программных продуктов уже является скорее стандартом, чем исключением, а разработка — это новые риски и угрозы безопасности».

Keynote-спикер поделится историями, наблюдениями и идеями, появившимися за годы работы над проектами в IT и КБ. Он расскажет, о чем важно помнить при внедрении DevSecOps, о сигнатурных методах детектирования, реактивной и проактивной безопасности, компромиссах между безопасностью и удобством. А еще речь пойдет о вещах, которые на первый взгляд незначительны и неизменны, однако влияют на подход к обеспечению КБ.

На OFFZONE 2022 Дмитрий Евдокимов выступит еще с одним докладом — он будет посвящен фазе deception в организации безопасности информационных систем. Эта фаза часто остается без внимания, и напрасно. Она позволяет спровоцировать злоумышленника, который проник в вашу систему или пытается это сделать, заставить его выдать себя. Спикер расскажет, можно ли такое провернуть в Kubernetes и с помощью каких механизмов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru