Второй год команда центра исследования киберугроз Solar 4RAYS выступает на SOC Forum, чтобы поделиться с комьюнити важными знаниями и получить обратную связь. Если вы пропустили, выкладываем некоторые доклады в записи:
«Расширение возможностей хостового аудита: адаптация Falco для Linux-систем»
Вадим Грачёв, аналитик группы хостового обнаружения
Многие средства аудита не могут предоставить нужный уровень детализации событий, поэтому иногда стоит пробовать нестандартные подходы. На докладе рассказали про Falco — инструмент для аудита linux, который может обогатить даже самое просто событие запуска процесса тонной полезной информации включая: информацию по всем родителями, переменные окружения, информацию о контейнерах и многое другое.
«Неуловимый GoblinRAT: история самого скрытного и загадочного бэкдора для Linux, обнаруженного в государственных инфраструктурах»
Константин Жигалов, инженер группы расследований, и Владимир Нестор, руководитель группы анализа ВПО
GoblinRAT использовался в одной из самых скрытных атак, которые нам довелось расследовать. Она длилась не менее двух лет. Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT, однако до сих пор нам не удалось обнаружить следов присутствия вредоноса где-либо, кроме определенных связанных организаций, где мы его нашли. В нашем выступлении мы описали GoblinRAT в деталях и, возможно, это поможет коллегам из других организаций продолжить исследование истории семейства.
«Не Best Practice: учимся реагировать на инциденты на чужих ошибках»
Геннадий Сазонов, инженер группы расследований
Реагируя на инциденты, наша команда часто сталкивается с разными ошибками, которые совершают специалисты атакованных организаций на местах. Во многих случаях отсутствие этих ошибок позволило бы существенно снизить ущерб от атаки или вовсе купировать ее на более ранней стадии. В докладе подсветили основные ошибки на примере нескольких инцидентов, поделились практическими рекомендациями и рассказали, насколько полезным мог оказаться правильный вектор поведения в каждом случае.
«eBPF: E for Evil»
Владислав Лашкин, руководитель отдела противодействия угрозам, и Евгений Масьянов, аналитик группы хостового обнаружения
eBPF — мощный механизм, который открывает широкие возможности для ИБ- и ИТ-команд в качестве средства мониторинга производительности, фильтрации трафика, а также для отслеживания различных событий. Как и многие технологии, работающие в пространстве ядра, eBPF может быть использован и злоумышленниками. Мы рассказали о том, как злоумышленники могут использовать возможности eBPF в своих целях, а также об обнаружении и предотвращении загрузки вредоносных eBPF-программ в пространство ядра.