Positive Technologies раскрыла 10 успешных техник пентестеров

Positive Technologies раскрыла 10 успешных техник пентестеров

Positive Technologies раскрыла 10 успешных техник пентестеров

Компания Positive Technologies опубликовала топ-10 распространенных техник, которые успешно применяют пентестеры. В отчете приводятся превентивные меры, которые покрывают 30% требований ФСТЭК.

В рамках свежего исследования Positive Technologies представлены десять самых популярных и успешных методов атак. Эксперты компании использовали их в пентестах в 2022 году.

Первые три строчки рейтинга занимают тактики “первоначального доступа” (Initial Access), “выполнение” (Execution) и “закрепление в инфраструктуре” (Persistence).

 

Эксперты подобрали способы обнаружения этих техник и предложили перечень превентивных мер для предотвращения атак.

Основными источниками событий, анализ которых поможет выявить злоумышленника, эксперты назвали:

  • журнал событий ОС, в том числе связанных с аудитом безопасности и входом в систему;
  • сетевой трафик;
  • журнал событий приложений;
  • журнал событий на контроллере домена.

“Для примера рассмотрим технику, связанную с небезопасным хранением учетных данных (Unsecured Credentials). Она была использована при атаках в 79% исследованных организаций”, — комментирует отчет руководитель направления развития сообществ ИБ Positive Technologies Антон Кутепов.

Чтобы свести к минимуму шансы злоумышленника, рекомендуется регулярно проводить поиск файлов, содержащих пароли, и обучать пользователей грамотному хранению конфиденциальной информации.

Кроме того, необходимо разграничить доступ к общим ресурсам, так чтобы определенными папками могли воспользоваться только некоторые сотрудники. Помимо прочего, следует установить корпоративное правило, запрещающее хранить пароли в файлах, рекомендует Кутепов.

Список превентивных мер покрывает 29% требований о защите информации, изложенных в приказе ФСТЭК России от 11.02.2013 № 17 “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”, подчеркнули в Positive Technologies.

Если выполнять требования регулятора не только на бумаге, уровень защищенности в компании заметно вырастет, объясняют эксперты.

“Новый подход не только переведет ваши процессы ИБ на новый уровень зрелости, но и сделает систему безопасности вашей компании по-настоящему результативной”, — говорится в заключении исследования.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru