📖 В нашем корпоративном блоге на Хабр вышло продолжение серии статей, посвященных Component Object Model (COM) и одному из популярных у злоумышленников методов закрепления в системе – COM Hijacking.

💙 В материале наша коллега Диана Кожушок, аналитик-исследователь киберугроз R-Vision, детально проанализировала различные способы проведения атаки COM Hijacking, чтобы в дальнейшем разобрать возможные варианты ее обнаружения.

🔗 Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

📖 В блоге R-Vision на Хабр вышла статья, посвященная детектированию распространенных среди злоумышленников инструментов горизонтального перемещения – SMBExec и AtExec.

💙 В материале наша коллега Валерия Мавлютова, аналитик-исследователь киберугроз R-Vision, рассмотрела принципы работы этих инструментов, провела анализ потенциальных источников событий и представила возможный вариант обнаружения SMBExec и AtExec.

🔗 Читайте статью по ссылке.

В одной из статей ранее мы разбирали инструмент PsExec, если пропустили, читайте здесь.

#RVisionTeam #RVision_Хабр

📖 Мы выпустили вторую статью, посвященную анализу уязвимости Zerologon (CVE-2020-1472), которая дает возможность злоумышленникам изменять пароль компьютерной учетной записи контроллера домена.

💙 В материале Валерия Мавлютова, аналитик-исследователь R-Vision, подробно рассмотрела инструменты для проведения атаки на основе Zerologon, а также проанализировала, какие источники логов будут наиболее полезны для построения потенциального детекта, а также предложила возможные варианты обнаружения эксплуатации данной уязвимости.

➡️Читайте статью в нашем блоге на Habr.

#RVisionTeam #RVision_Хабр

📊 SIEM. Маркетинг VS «Поля»: результаты опроса

Наш коллега, Григорий Ревенко, директор Центра экспертизы R•Vision, провел исследование среди специалистов, которые в своей работе сталкиваются c SIEM-системами и задал им вопросы, связанные с внедрением и эксплуатацией данного класса решений.

Результатами опроса он поделился в своей статье на Хабр.

📖 ЧИТАТЬ

#RVisionTeam #RVision_Хабр

👨‍💻 В блоге R-Vision на Хабр вышла третья часть из цикла статей, посвященных Component Object Model (COM).

В материале наша коллега, Диана Кожушок, аналитик-исследователь киберугроз R•Vision, рассказала про наиболее популярные способы запуска уже скомпрометированного COM-объекта, а после представила возможные варианты детектирования атаки COM-hijacking.

📖 ЧИТАТЬ

Читайте также первую и вторую части статьи.

#RVisionTeam #RVision_Хабр

🔎 Детектируем горизонтальное перемещение с WMIExec

В блоге R•Vision на Хабр вышла статья, посвященная детектированию распространенных среди злоумышленников инструментов горизонтального перемещения – WMIExec.

В материале коллеги рассмотрели принципы работы этого инструмента, провели анализ потенциальных источников событий и представили возможный вариант обнаружения WMIExec.

📖 ЧИТАТЬ СТАТЬЮ

#RVisionTeam #RVision_Хабр

🔎 В нашем блоге на Хабр вышла статья, посвященная детектированию атак на контейнеры с помощью инструмента eBPF.

В материале Илья Зимин, аналитик-исследователь угроз R•Vision, рассказал о возможностях обнаружения атак на контейнеризированные приложения с помощью eBPF. А также поделился примерами приемов, связанных с побегом из Docker-контейнеров на Linux-системах.

➡️ ЧИТАТЬ СТАТЬЮ

#RVisionTeam #RVision_Хабр

🔎 В блоге R•Vision на Хабр вышла статья, посвященная детектированию инструмента горизонтального перемещения DCOMExec

В материале коллеги рассказали, на чем строится работа данного инструмента, проанализировали потенциальные источники полезной информации для построения возможного способа детектирования, а также предложили свой вариант обнаружения его эксплуатации.

📖 Читайте статью ➡️ по ссылке

#RVisionTeam #RVision_Хабр

👨‍💻 Угрозы под контролем: применение ML для автоматического анализа отчётов

В нашем корпоративном блоге на Хабр вышла новая статья, в которой коллеги рассказали про сервис для распознавания отчетов о киберугрозах, созданный командой экспертов в области машинного обучения R•Vision.

С его помощью можно сэкономить время на изучение статей вручную, благодаря автоматической обработке информации.

🖥 Подробности ➡️ читайте в статье по ссылке.

#RVisionTeam #RVision_Хабр

⚙️ Совсем недавно мы выпустили собственный плагин R•Object для работы с R•Vision SIEM

Наш плагин – это полноценная среда разработки с преднастроенными шаблонами объектов, подсветкой синтаксиса, подсказками и валидацией VRL-кода.

Он позволяет выполнять автоматическое тестирование правил, проводить полнофункциональную пошаговую отладку, а также запускать тесты на производительность.

👨‍💻 Мы подготовили статью, в которой подробно разбираем функциональные возможности плагина R•Object.

➡️ Читайте материал на Хабре по ссылке.

#RVisionTeam #RVision_Хабр

👨‍💻 FreeIPA под прицелом: изучение атак и стратегий защиты

В блоге R•Vision на Хабр вышла статья, посвященная системе FreeIPA, которая является одной из немногих альтернатив такого «комбайна», как Microsoft Active Directory (AD).

В материале Всеволод Саломадин, ведущий аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел некоторые примеры атак на инфраструктуру FreeIPA и предложил варианты их детекта с помощью SIEM-системы.

➡️ Читайте статью по ссылке.

#RVisionTeam #RVision_Хабр

Уязвимость VSCode и «объективный» взгляд на Git

👨‍💻 В блоге R•Vision на Хабр вышла статья, посвященная одному из самых популярных редакторов кода – VSCode, и тому, как злоумышленники могут использовать его в своих целях.

В материале Владислав Кормишкин, аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел архитектурные особенности VSCode, связанные с безопасностью исполнения кода.

Помимо этого, Владислав проанализировал уязвимость CVE-2023-46944, рассказал, как именно она была пропатчена, и предложил правило для её обнаружения с использованием языка VRL и плагина R•Object.

Читайте статью ➡️ по ссылке.

#RVisionTeam #RVision_Хабр

Pupy Rat — возможности Open Source трояна

👨‍💻 В блоге R•Vision на Хабр вышла статья, в которой эксперты рассказали о трояне Pupy Rat, и его модификациях Decoy Dog. По меньшей мере 48 российских организаций в разных отраслях экономики пострадали от действий этого трояна.

В материале Борис Нестеров, аналитик-исследователь угроз кибербезопасности R•Vision, рассмотрел инструмент Pupy и его наиболее интересные функции, а также рассказал про способы его обнаружения.

Помимо этого, Борис отметил, что использование инструмента можно детектировать, отслеживая его воздействие на систему в журналах событий, например, при помощи R•Vision SIEM, который поставляется с пакетом экспертизы.

Читайте статью ➡️ по ссылке.

#rvision_хабр

Удобная навигация по нашему каналу

⭐️ Мы уже накопили такое количество экспертного контента (а впереди ещё больше😎), что решили собрать его по хэштегам. Так вам будет удобнее ориентироваться по темам. А еще мы всегда очень рады вашим комментариям и реакциям на посты! 😉

⚙️ Общие темы:
#RVision_Новости — Наши новости: о продуктах, важных событиях, возможностях для бизнеса и не только.
#RVision_ДайджестИБ — Наши дайджесты: мы анализируем около 400 источников и собираем актуальный контент по теме кибербеза.
#RVision_Хабр — Блог на Хабр, в котором наши эксперты делятся мнением и опытом по вопросам кибербеза.
#RVision_Технологии — Здесь мы более подробно рассказываем о наших продуктах и решениях.
#RVision_СМИ — Комментарии и статьи наших экспертов в ведущих медиа.
#RVision_Киберрекомендации — Делимся советами, как обезопасить бизнес, себя и своих близких от киберугроз.
#RVision_Мероприятия — Анонсы наших мероприятий: конференции, вебинары и другие события.
#RVision_Вакансии — Здесь мы делимся возможностямиv стать частью нашей суперкоманды! Следите за новостями!
#RVision_Подкасты — Выпуски подкастов, в которых мы освещаем актуальные вопросы кибербезопасности и технологий.


👨‍💻 Быстрый доступ к постам про наши продукты:
#RVisionSIEM
#RVisionVM
#RVisionSOAR
#RVisionEndpoint
#RVisionUEBA
#RVisionTIP
#RVisionTDP
#RVisionSGRC
#RVisionVC
#RVisionБезопашка

Пост будет регулярно обновляться. Оставайтесь на связи!

Волк в овечьей шкуре — как атакующие эксплуатируют уязвимость в WinRAR

👨‍💻 В блоге R•Vision на Хабр вышла статья, посвящённая одной из самых активно эксплуатируемых уязвимостей в 2024 году — CVE-2023-38831. Эта уязвимость в архиваторе WinRAR используется для атак на компании в России и странах СНГ.

В материале Илья Ефимов, аналитик-исследователь угроз кибербезопасности R•Vision, рассказал, как работает эта уязвимость, продемонстрировал примеры её эксплуатации и объяснил, как детектировать такие атаки с помощью R•Vision SIEM.

Читайте статью ➡️ по ссылке.

#RVision_Хабр #RVision_SIEM

Как не пропустить использование портативного клиента Telegram в корпоративной сети?

👨‍💻 В блоге R•Vision на Хабр вышла статья, посвящённая проблемам обнаружения портативного клиента Telegram. Мессенджеры — важный инструмент, но их использование несет риски для корпоративной безопасности. Telegram, а особенно его портативная версия, может обходить DLP-системы и контроль.

В материале Борис Нестеров, аналитик-исследователь угроз кибербезопасности R•Vision, разобрал ключевые методы обнаружения этой угрозы: от процесса запуска до сетевой активности и изменений в файловой системе.

⚙️ В статье Борис рассмотрел, как можно отслеживать портативного клиента Telegram с помощью R•Vision SIEM.

Читайте статью ➡️ по ссылке.

#RVision_Хабр #RVision_Технологии

VSCode — идеальный инструмент для хакера

👨‍💻 В блоге R•Vision на Хабр вышла вторая статья, посвящённая уязвимостям в VSCode. В ней мы рассмотрели угрозу, которая может позволить злоумышленникам выполнять команды на удаленной машине. Использование подобных уязвимостей может привести к утечкам данных и незаметным атакам через легитимный трафик.

В материале Владислав Кормишкин, аналитик-исследователь угроз кибербезопасности R•Vision, рассказывает о последовательности действий при эксплуатации уязвимости, а также предлагает правила для обнаружения подозрительной активности.

⚙️ В статье Владислав рассмотрел, как R•Vision SIEM помогает отслеживать такие угрозы и реагировать на попытки скрытого соединения с удаленными серверами.

Читайте статью ➡️ по ссылке.

#RVision_Хабр #RVision_Технологии

🧑‍💻 Возвращаемся к рабочему ритму с новой статьёй в блоге R•Vision на Хабр!

Волки надели кольца: разбор способа доставки бэкдора RingSpy и варианты его детектирования

👨‍💻 В материале Илья Ефимов, аналитик-исследователь угроз кибербезопасности R•Vision, подробно рассмотрел вредоносное ПО RingSpy, используемое группировкой Mysterious Werewolf, и разобрал один из способов его установки на компьютер жертвы.

⚙️ Кроме того, в статье Илья рассмотрел, как R•Vision SIEM может эффективно выявлять такие активности, а также дал несколько рекомендаций, которые помогут защитить систему от таких угроз.

Читайте статью ➡️ по ссылке.

#RVision_Хабр #RVision_Технологии

Автоматизация взаимодействия с регулятором: как мы интегрировали R•Vision SOAR и АСОИ ФинЦЕРТ

👨‍💻 В блоге R•Vision на Хабр вышла статья, посвящённая автоматизации взаимодействия с ФинЦЕРТ.

В материале Елена Петренко, бизнес-аналитик по ИБ в R•Vision, рассказывает, как интеграция R•Vision SOAR и ФинЦЕРТ помогает банкам и финорганизациям оперативно передавать данные об инцидентах, снижая нагрузку на сотрудников и минимизируя ошибки.

⚙️ Также в статье разбор ключевых этапов проекта, включающих: оптимизацию процессов, поддержку версионирования и использование R•Vision SOAR для автоматизированного мониторинга угроз.

Читайте статью ➡️ по ссылке.

#RVision_Хабр #RVisionSOAR #RVision_Технологии