Объявлены даты проведения форума PHDays VII

Объявлены даты проведения форума PHDays VII

Объявлены даты проведения форума PHDays VII

Объявлен старт подготовки седьмого международного форума по практической безопасности Positive Hack Days. Уже известны дата и место проведения — 23 и 24 мая 2017 года, московский Центр международной торговли.

По сложившейся традиции на мероприятии соберутся хакеры, разработчики и ведущие ИБ-эксперты, представители бизнеса и госструктур, специалисты банков, телекоммуникационных, нефте- и газодобывающих, промышленных и IT-компаний и молодые ученые. Как и всегда, гостей и участников ждет множество сюрпризов, но обо всем по порядку.

PHDays давно вышел за рамки обычного научно-практического форума: это не просто площадка для обсуждения актуальных проблем безопасности, а огромный исследовательский полигон для самых смелых экспериментов. Организаторы следуют неизменному правилу: минимум рекламы и максимум практики, интересных докладов и захватывающих конкурсов.

Лейтмотив седьмого PHDays — противостояние: враг внутри. В стане врага прибавление: пока футурологи пугали нас Большим Братом и боевыми Терминаторами, нашими противниками неожиданно стали множество цифровых устройств, обитающих в наших домах и карманах, на улицах и в офисах. Автомобили и детские игрушки, платежные терминалы и сенсоры «умного» дома, и даже камеры наблюдения, обещавшие улучшить нашу безопасность, — теперь это оружие хакеров. Мы в прямом смысле окружены… Как бороться с врагом, когда линия фронта размыта и атаковать нас может даже кофеварка? Попробуем разобраться на PHDays.

В прошлом году мы предложили участникам PHDays новый формат хакерских соревнований — настоящую кибербитву между атакующими и защитниками. Абстрактные конкурсные задания уступили место реальным целям. В этом году мы решили подойти еще ближе к суровой реальности: битва выходит в город, где мишенью для пентестеров могут стать городская инфраструктура и «умные вещи», а жертвами социальной инженерии окажутся не только участники команд, но и обычные посетители PHDays VII. Хакеры, уступившие защитникам в прошлогоднем Противостоянии, постараются взять реванш — но не исключено, что в сражении окажется больше сторон, чем заявлено.

В планах развитие игрового сюжета: увеличится количество объектов для взлома, будет больше экшена, появятся сценарии день/ночь и социнженерия. По словам руководителя отдела безопасности банковских систем Positive Technologies, члена оргкомитета PHDays Тимура Юнусова, основные роли останутся теми же — будут команды хакеров, защитников и SOC. Однако список участников Противостояния расширится профессиональными пентестерами. Что касается остальной части конкурсной программы, то она будет основана на инфраструктуре города. Участники смогут попробовать себя во взломе АСУ ТП, телеком-оператора, банка, интернета вещей и сетевого оборудования. К подготовке будут активно привлечены партнеры мероприятия. Каким в итоге получится главный конкурс форума — пока не знает никто, но организаторы уверяют — будет жарко.

Игровая битва не помешает участникам конференции посетить множество интересных докладов, мастер-классов, а также обсудить самые актуальные вопросы информационной безопасности с ведущими специалистами отрасли. Однако на этот раз разговор пойдет в совсем другом русле: мы постараемся уйти от модели «как надо» и сделаем упор на конкретные решения.

 

«В этом году мы планируем большое внимание уделить инновациям в области взломов и методов практической безопасности. Наша цель в том, чтобы представители государства, бизнеса, индустрии предложили свой ответ на актуальные угрозы. Ключевые темы: интернет вещей, комбинация IoT и SCADA, разработка ИБ-продуктов, принципы безопасной разработки SSDL. Программная часть конференции в первую очередь будет направлена на сближение различных миров: мы хотим привлечь к обсуждению ИБ- и IТ-руководителей, разработчиков, специалистов SOC и многих других. Как и всегда, мы работаем над тем, чтобы программа форума сочетала техническую и деловую составляющие, а специалисты и руководители могли услышать друг друга и выявить новые возможности для построения более безопасных и надежных IТ-систем», — рассказал Алексей Качалин, заместитель директора по развитию бизнеса компании Positive Technologies в России, член оргкомитета PHDays.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru