В этом году док­лады были раз­делены и про­ходи­ли в двух сто­ящих рядом шат­рах. Один называл­ся «Зал боевых искусств» (ата­ка), дру­гой — «Шко­ла само­обо­роны» (защита). Бур­ные апло­дис­менты слы­шались то тут, то там, но наиболь­ший ажи­отаж все же царил в шат­ре защиты. Там было не про­тол­кнуть­ся! В «Зале боевых искусств», начиная с середи­ны пер­вого дня, тол­кучка была замет­но мень­ше, хотя док­лады тут тоже шли весь­ма инте­рес­ные.

www

За­писи док­ладов ты можешь най­ти как на сай­те PHDays, так и на YouTube.

1. Геопространственная разведка на вашем рабочем столе

• 
  
• 
  Сек­ция: #OFFENSE
• 
  
• 
  Спи­кер: Schwarz Osint, автор каналов @geoint и @schwarz_osint
• 
  
• 
  За­пись док­лада
• 
  

Со­ветую пой­ти и немед­ленно ска­чать вот отсю­да пре­зен­тацию это­го загадоч­ного джентль­мена в мас­ке и очках. Зачем? Во‑пер­вых, это инте­рес­ный док­лад с необыч­ной подачей. Во‑вто­рых, в фай­ле есть куча ссы­лок и QR-коды, так что жаж­дущим зна­ний будет чем занять­ся.

«На вещи надо смот­реть шире», — Schwarz Osint

Что осо­бен­но пон­равилось в его выс­тупле­нии, так это дос­тупность матери­ала даже для сов­сем нес­ведущих. Да и пос­ледова­тель­ность подачи не поз­волила во всем этом хоть мало‑маль­ски запутать­ся. Всё на сво­их мес­тах, бери да вни­кай: и что такое вооб­ще GEOINT, и на какой глав­ный воп­рос отве­чает эта дис­ципли­на (спой­лер: OSINT — «что?», GEOINT — «где?»), и какая методо­логия есть в арсе­нале спе­циалис­тов и энту­зиас­тов. Пос­тигнув эту дис­ципли­ну, ты, нап­ример, смо­жешь понять, что про­исхо­дит в точ­ке на кар­те, где было сде­лано фото.

Спи­кер щед­ро отсы­пал зна­ний про область при­мене­ния GEOINT, показы­вал реаль­ные кей­сы и даже перечис­лил популяр­ные рабочие инс­тру­мен­ты, попут­но упо­миная их осо­бен­ности и область при­мене­ния.

«Ана­литик дол­жен быть ленивым», — Schwarz Osint

Тон­кости работы с изоб­ражени­ями (да, метадан­ные в 2023 году живее всех живых, не поверишь), с виде­оза­пися­ми (панора­миро­вание), со спе­цифи­чес­кими объ­екта­ми (горы, тени и про­чее) и вагон иной инте­рес­ной информа­ции — все это спи­кер умес­тил в трид­цать минут. Затем пос­ледова­ла не менее инте­рес­ная часть отве­тов на воп­росы. Они гар­монич­но допол­нили сам док­лад, поэто­му не про­ходи мимо.

Ес­ли прос­мотр записи при­ведет тебя в вос­торг, рекомен­дую про­дол­жить веселье и пос­мотреть оба выс­тупле­ния Андрея Масало­вича, номера 8 и 9 в этом спис­ке.

2. APT-магия в зоне российско-украинского конфликта

• 
  
• 
  Сек­ция: #DEFENSE
• 
  
• 
  Спи­керы: Геор­гий Кучерин и Леонид Без­вершен­ко, «Лабора­тория Кас­пер­ско­го»
• 
  
• 
  За­пись док­лада
• 
  

«Обык­новен­ная магия», «облачный чародей», «корм для рыб», «все переп­летено»... Это не гла­вы из новой кни­ги о зна­мени­том вол­шебни­ке, а слай­ды к пла­мен­ному выс­тупле­нию двух спе­циалис­тов «Лабора­тории Кас­пер­ско­го». Они рас­ска­зали детек­тивную ИБ‑исто­рию с зак­ручен­ным сюжетом и неожи­дан­ным финалом (да и финалом ли?).

Как это час­то быва­ет, все началось с целево­го фишин­га, при котором про­исхо­дила рас­сылка на пер­вый взгляд легитим­ного PDF-фай­ла. Пер­вая при­ман­ка датиро­вана аж 2021 годом, а основная вол­на зараже­ний началась уже в сле­дующем году. Геор­гий и Леонид рас­кры­ли детали ата­ки, разоб­рали на сос­тавля­ющие инстал­лятор и обра­тили вни­мание слу­шате­лей на инте­рес­ные нюан­сы. Спой­лерить не буду, но отме­чу забав­ный момент про наз­вание Powermagic (непос­редс­твен­но вре­донос) — его при­дума­ли зло­умыш­ленни­ки, наз­вав так дирек­торию, из которой работал злов­ред.

Сле­дующий этап док­лада был пос­вящен более слож­ному имплан­ту — фрей­мвор­ку под наз­вани­ем Commonmagic.

Ана­лиз Powermagic и Commonmagic не про­яснил один доволь­но важ­ный воп­рос: какая имен­но APT-груп­пиров­ка сто­яла за ата­ками? На помощь приш­ли кол­леги из‑за рубежа, помог­ли поэтап­но вос­полнить про­белы в информа­ции. Экспер­ты Malwarebytes — одной из ком­паний, поделив­шихся сво­им иссле­дова­нием, — умуд­рились даже некото­рое вре­мя сле­дить за ата­кующи­ми.

«In this case, attributing the attack to a specific country is not an easy task», — Malwarebytes

Даль­ше выс­тупа­ющие рас­ска­зали про новые угро­зы и их новые име­на, при­вели тех­ничес­кие раз­боры нюан­сов и объ­ясни­ли детали допущен­ных зло­умыш­ленни­ками оши­бок.

Под конец док­лада перед зри­теля­ми вырисо­вал­ся совер­шенно новый тай­млайн ата­ки. Ока­залось, что сто­ящая за ней груп­пиров­ка сох­раняла активность боль­ше пят­надца­ти лет и, воз­можно, еще покажет себя.

Ре­комен­дую пос­мотреть док­лад, а так­же можешь гля­нуть на пер­вую часть иссле­дова­ния, опуб­ликован­ную в бло­ге Securelist.

3. Праздник к нам приходит: атаки на новогодние сайты и страницы промоакций

• 
  
• 
  Сек­ция: #OFFENSE
• 
  
• 
  Спи­кер: Алек­сандр Кол­чанов, незави­симый иссле­дова­тель
• 
  
• 
  За­пись док­лада
• 
  

Этот док­лад будет полезен в пер­вую оче­редь руково­дите­лям ком­паний и менед­жерам, которые орга­низу­ют рек­ламные акции и кон­курсы. Алек­сандр Кол­чанов — опыт­ный баг­хантер и на про­тяже­нии все­го повес­тво­вания давал при­меры пло­хих прак­тик из лич­ного опы­та.

Сай­ты про­моак­ций ата­куют чаще, чем мож­но себе пред­ста­вить. Неред­ко для про­веде­ния акций исполь­зуют­ся сто­рон­ние сер­висы, и чем их боль­ше, тем выше веро­ятность стол­кнуть­ся с уяз­вимос­тями и утеч­ками дан­ных. Так­же нель­зя забывать про репута­цион­ные рис­ки при боль­ших финан­совых вло­жени­ях ком­паний. Плюс к это­му — боль­шая зат­рата ресур­сов ИБ‑отде­ла. На стар­те акции при­ходит­ся под­нимать мно­жес­тво сер­висов, а по завер­шении все их гра­мот­но гасить (акка­унты, сер­веры, домены, под­домены и про­чее).

Опи­раясь на свой опыт, Алек­сандр перечис­лил наибо­лее акту­аль­ные методы атак, явный лидер сре­ди которых — перех­ват домена. Немало проб­лем вызыва­ют и попыт­ки ком­паний сэконо­мить. Все сай­ты зачас­тую заводят на одном акка­унте, даже без допол­нитель­ных нас­тро­ек прав дос­тупа.

Воз­можны и финан­совые ата­ки. В качес­тве при­мера был упо­мянут СМС‑флуд, спо­соб­ный высушить бюд­жет акции пол­ностью. Иног­да винова­та быва­ет аутен­тифика­ция: удобс­тво вхо­да на про­мосайт час­то ста­вят выше безопас­ности и здра­вого смыс­ла.

Еще из инте­рес­ного: под­дель­ные утеч­ки дан­ных (лихой замес из OSINT и жгу­чего желания нанес­ти репута­цион­ный риск ком­пании), нак­рутки в игро­вых акци­ях и мошен­ничес­тво, наруше­ния со сто­роны под­рядчи­ков, утеч­ки дан­ных сот­рудни­ков и мно­гое дру­гое.

Кста­ти, о под­рядчи­ках. С их сто­роны воз­можно мно­жес­тво сюр­при­зов: закуп­ка сом­нитель­ной рек­ламы, исполь­зование чужих акка­унтов, нак­рутки и про­чее в таком духе.

А еще Алек­сандр упо­мянул очень неп­рият­ную для всех баг­ханте­ров вещь — пери­оди­чес­ки воз­ника­ющее парази­тиро­вание ком­паний на самой идее баг­баун­ти. С обма­нами, хот­фикса­ми уяз­вимос­тей и даже угро­зами. Увы, такое тоже встре­чает­ся.

4. g/vrp

• 
  
• 
  Сек­ция: #FAST TRACK
• 
  
• 
  Спи­кер: lalka, незави­симый иссле­дова­тель, автор канала @ScriptKiddieNotes
• 
  
• 
  За­пись док­лада
• 
  

На­чина­ющим хан­терам или тем, кто не зна­ет, как вка­тывать­ся в охо­ту за баун­ти, рекомен­дую обра­тить­ся к муд­рости Лал­ки. Не пугай­ся, что речь в док­ладе идет о Google. Основная мысль в том, что баги есть вез­де.

Теги: CSS