💙 В нашем корпоративном блоге на Хабр вышла статья о том, как злоумышленники могут использовать технологию eBPF (extended Berkeley Packet Filter) при запуске вредоносных программ.

📖 В материале коллеги рассказали, какую опасность несут в себе нелегитимные eBPF программы, а также проанализировали основные способы мониторинга их загрузки, позволяющие обнаружить вредоносную активность. Помимо этого, представили возможные варианты ее детектирования.

🔗 Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

💙 Друзья, в нашем блоге на Хабр вышла статья, посвященная новой критичной уязвимости, обнаруженной в ядре Linux – CVE-2023-0386.

Уязвимость затрагивает файловую систему OverlayFS и опасна тем, что с ее помощью злоумышленники могут получить повышенные права пользователя (root-привилегии).

В материале коллеги описали принципы работы CVE-2023-0386, а также представили возможный вариант ее детектирования.

📖 Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

📖 В блоге R-Vision на Хабр вышла статья, посвященная принципам работы технологии Component Object Model (COM), на основе которой базируется один из популярных у злоумышленников методов закрепления в системе – COM Hijacking.

💙 В материале Диана Кожушок, аналитик-исследователь киберугроз R-Vision, рассмотрела основные понятия COM и проанализировала стратегии, которые может использовать атакующий для выбора подходящего COM-объекта с целью последующей атаки.

🔗 Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

📖 В нашем корпоративном блоге на Хабр вышло продолжение серии статей, посвященных Component Object Model (COM) и одному из популярных у злоумышленников методов закрепления в системе – COM Hijacking.

💙 В материале наша коллега Диана Кожушок, аналитик-исследователь киберугроз R-Vision, детально проанализировала различные способы проведения атаки COM Hijacking, чтобы в дальнейшем разобрать возможные варианты ее обнаружения.

🔗 Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

📖 В блоге R-Vision на Хабр вышла статья, посвященная детектированию распространенных среди злоумышленников инструментов горизонтального перемещения – SMBExec и AtExec.

💙 В материале наша коллега Валерия Мавлютова, аналитик-исследователь киберугроз R-Vision, рассмотрела принципы работы этих инструментов, провела анализ потенциальных источников событий и представила возможный вариант обнаружения SMBExec и AtExec.

🔗 Читайте статью по ссылке.

В одной из статей ранее мы разбирали инструмент PsExec, если пропустили, читайте здесь.

#RVisionTeam #RVision_Хабр

📖 Мы выпустили вторую статью, посвященную анализу уязвимости Zerologon (CVE-2020-1472), которая дает возможность злоумышленникам изменять пароль компьютерной учетной записи контроллера домена.

💙 В материале Валерия Мавлютова, аналитик-исследователь R-Vision, подробно рассмотрела инструменты для проведения атаки на основе Zerologon, а также проанализировала, какие источники логов будут наиболее полезны для построения потенциального детекта, а также предложила возможные варианты обнаружения эксплуатации данной уязвимости.

➡️Читайте статью в нашем блоге на Habr.

#RVisionTeam #RVision_Хабр

📊 SIEM. Маркетинг VS «Поля»: результаты опроса

Наш коллега, Григорий Ревенко, директор Центра экспертизы R•Vision, провел исследование среди специалистов, которые в своей работе сталкиваются c SIEM-системами и задал им вопросы, связанные с внедрением и эксплуатацией данного класса решений.

Результатами опроса он поделился в своей статье на Хабр.

📖 ЧИТАТЬ

#RVisionTeam #RVision_Хабр

👨‍💻 В блоге R-Vision на Хабр вышла третья часть из цикла статей, посвященных Component Object Model (COM).

В материале наша коллега, Диана Кожушок, аналитик-исследователь киберугроз R•Vision, рассказала про наиболее популярные способы запуска уже скомпрометированного COM-объекта, а после представила возможные варианты детектирования атаки COM-hijacking.

📖 ЧИТАТЬ

Читайте также первую и вторую части статьи.

#RVisionTeam #RVision_Хабр

🔎 Детектируем горизонтальное перемещение с WMIExec

В блоге R•Vision на Хабр вышла статья, посвященная детектированию распространенных среди злоумышленников инструментов горизонтального перемещения – WMIExec.

В материале коллеги рассмотрели принципы работы этого инструмента, провели анализ потенциальных источников событий и представили возможный вариант обнаружения WMIExec.

📖 ЧИТАТЬ СТАТЬЮ

#RVisionTeam #RVision_Хабр

🔎 В нашем блоге на Хабр вышла статья, посвященная детектированию атак на контейнеры с помощью инструмента eBPF.

В материале Илья Зимин, аналитик-исследователь угроз R•Vision, рассказал о возможностях обнаружения атак на контейнеризированные приложения с помощью eBPF. А также поделился примерами приемов, связанных с побегом из Docker-контейнеров на Linux-системах.

➡️ ЧИТАТЬ СТАТЬЮ

#RVisionTeam #RVision_Хабр

🔎 В блоге R•Vision на Хабр вышла статья, посвященная детектированию инструмента горизонтального перемещения DCOMExec

В материале коллеги рассказали, на чем строится работа данного инструмента, проанализировали потенциальные источники полезной информации для построения возможного способа детектирования, а также предложили свой вариант обнаружения его эксплуатации.

📖 Читайте статью ➡️ по ссылке

#RVisionTeam #RVision_Хабр

👨‍💻 Угрозы под контролем: применение ML для автоматического анализа отчётов

В нашем корпоративном блоге на Хабр вышла новая статья, в которой коллеги рассказали про сервис для распознавания отчетов о киберугрозах, созданный командой экспертов в области машинного обучения R•Vision.

С его помощью можно сэкономить время на изучение статей вручную, благодаря автоматической обработке информации.

🖥 Подробности ➡️ читайте в статье по ссылке.

#RVisionTeam #RVision_Хабр

⚙️ Совсем недавно мы выпустили собственный плагин R•Object для работы с R•Vision SIEM

Наш плагин – это полноценная среда разработки с преднастроенными шаблонами объектов, подсветкой синтаксиса, подсказками и валидацией VRL-кода.

Он позволяет выполнять автоматическое тестирование правил, проводить полнофункциональную пошаговую отладку, а также запускать тесты на производительность.

👨‍💻 Мы подготовили статью, в которой подробно разбираем функциональные возможности плагина R•Object.

➡️ Читайте материал на Хабре по ссылке.

#RVisionTeam #RVision_Хабр

👨‍💻 FreeIPA под прицелом: изучение атак и стратегий защиты

В блоге R•Vision на Хабр вышла статья, посвященная системе FreeIPA, которая является одной из немногих альтернатив такого «комбайна», как Microsoft Active Directory (AD).

В материале Всеволод Саломадин, ведущий аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел некоторые примеры атак на инфраструктуру FreeIPA и предложил варианты их детекта с помощью SIEM-системы.

➡️ Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

Уязвимость VSCode и «объективный» взгляд на Git

👨‍💻 В блоге R•Vision на Хабр вышла статья, посвященная одному из самых популярных редакторов кода – VSCode, и тому, как злоумышленники могут использовать его в своих целях.

В материале Владислав Кормишкин, аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел архитектурные особенности VSCode, связанные с безопасностью исполнения кода.

Помимо этого, Владислав проанализировал уязвимость CVE-2023-46944, рассказал, как именно она была пропатчена, и предложил правило для её обнаружения с использованием языка VRL и плагина R•Object.

Читайте статью ➡️ по ссылке.

#RVisionTeam #RVision_Хабр

Pupy Rat — возможности Open Source трояна

👨‍💻 В блоге R•Vision на Хабр вышла статья, в которой эксперты рассказали о трояне Pupy Rat, и его модификациях Decoy Dog. По меньшей мере 48 российских организаций в разных отраслях экономики пострадали от действий этого трояна.

В материале Борис Нестеров, аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел инструмент Pupy и его наиболее интересные функции, а также рассказал про способы его обнаружения.

Помимо этого, Борис отметил, что использование инструмента можно детектировать, отслеживая его воздействие на систему в журналах событий, например, при помощи R•Vision SIEM, который поставляется с пакетом экспертизы.

Читайте статью ➡️ по ссылке.

#rvision_хабр