Author: Cyber Team

  • Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Uvajanje NIS 2 se neizbežno bliža

    Napovedana uveljavitev ZInfV-1, slovenskega zakona, ki v naš pravni red prenaša direktivo NIS 2, je podjetjem postavila jasen cilj: v rekordnem času vzpostaviti celovit, 24/7 nadzor nad kibernetskimi tveganji in zagotoviti forenzično sledljivost vsakega incidenta. V poplavi rešitev se zdi izbira prave platforme za varnostno operativno središče (SOC) zahtevna – a letos je odgovor močno olajšala komisija sejmov kot sta Computex in CyberSec EXPO, ki sta ThreatSonar nagradila z nazivom »Best Choice Award 2025« v kategoriji naprednega EDR/MDR.

    Zakaj je ThreatSonar prepričal strogo mednarodno žirijo in postal zlati standard za skladnost z ZInfV-1 ter NIS 2? V nadaljevanju razkrivamo, kako njegova vedenjska analitika, avtomatizirana forenzika in zaščita pred izsiljevalsko programsko opremo omogočajo, da slovenska podjetja obvladajo nove zakonske zahteve – brez drastičnega povečanja kadrov in stroškov.

    Katere zahteve zakon nalaga podjetjem?

    Ključna zahteva ZInfV-1 / NIS 2Kaj konkretno pomeni v praksi
    Celovito upravljanje tveganjEvidenca sredstev, ocenjevanje ranljivosti, spremljanje dobaviteljev.
    24-urna prijava varnostnih incidentovZanesljiva detekcija, časovnica dogodka in takojšna eskalacija CSIRT-u.
    Redne preverbe in revizijePeriodično skeniranje in dokazila za nadzorni organ (URSIV).
    Forenzična sledljivost in hranjenje dnevnikovRekonstrukcija dogodka, hram­ba artefaktov, poročila o osnovnem vzroku.
    Dokaz o neprekinjenem nadzoru24/7 spremljanje končnih točk in jedrnih sistemov.

    Zakaj je ThreatSonar logična izbira za novo zakonodajo

    Zakonodajna zahtevaFunkcionalnost ThreatSonarja, ki jo pokrije
    Upravljanje ranljivosti & dobavne verigeSignal Pattern prepozna neznane grožnje, ThreatTr­acer stalno pregleduje sisteme in odvisnosti.
    24/7 detekcija & opozarjanjeDaemon EDR agent spremlja procese v realnem času, blokira RaaS, APT in WebShell napade.
    Hitra forenzika & poročanjeSmart Forensics avtomatsko zbere RAM, registre, EventLoge in izdela auto-generated poročila – priprav­ljena za CSIRT.
    Izolacija in omejevanje škodeFunkcija Protect Plus takoj uniči sejo napadalca, izolira končno točko in zaščiti VSS varnostne kopije.
    Dokazi za nadzorni organVizualna časovnica incidenta in MITRE ATT&CK oznake dokazujejo skladnost revizorjem URSIV.

    1. Celovita zaščita pred izsiljevalsko programsko opremo

    ThreatSonar z vedenjskim zaznavanjem prepozna > 90 % neznanih variant, postavi »trap« datoteke in v realnem času ubije procese, preden se zažene šifriranje.

    2. Forenzična avtomatika skrajša odzivni čas

    Auto-Investigation samodejno nariše topologijo širjenja po omrežju in poveže artefakte z zunanjimi IoC-ji (YARA, hash, IP). Poročilo je pripravljeno v 1-5 dneh (namesto tednov ročnega dela).

    3. Prilagodljiva namestitev: on-prem, oblak ali povsem offline

    Lahka »on-demand« izvedba za enkratne preglede, Daemon za stalni nadzor, Offline Scanner za izolirana omrežja – vse tri načine je mogoče uvoziti v isti nadzorni portal.

    4. Intelligence-driven lov na grožnje

    ThreatSonarova ekipa analitikov vsak teden posodobi nabor pravil s svežimi APT taktikami iz regije APAC (in drugod), kar pokrije tudi zahtevo ZInfV-1 po spremljanju aktualnih groženj.

    Kako začeti

    1. Ocena vrzeli – preverite, katere obveznosti ZInfV-1 že izpolnjujete.
    2. Pilotna namestitev ThreatSonarja – v 60 minutah pokrijete > 1 000 končnih točk in dobite prvo forenzično sliko.
    3. Integracija s procesi CSIRT/SOC – avtomatizirajte eskalacijo in poročanje.
    4. Dokumentacija skladnosti – izvozite poročila za nadzorni organ in notranji revizijski odbor.

    Zaključek

    ZInfV-1 in NIS 2 dvigujeta letvico kibernetske odpornosti v Sloveniji. ThreatSonar vam omogoča, da te zahteve izpolnite hitro, stroškovno učinkovito in z minimalnim kadrovskim vložkom – od 24/7 detekcije do forenzičnega poročanja, ki ga organi priznavajo kot dokaz o skladnosti.

    Potrebujete več informacij ali demo? 
Kontaktirajte našo ekipo CYBER-SEC in preverite, kako lahko ThreatSonar v nekaj urah zapre vaše največje varnostne vrzeli.

    Pošlji povpraševanje

  • Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Uvod

    Kljub naprednim funkcijam razširjenega zaznavanja in odzivanja (XDR) rešitev, kot je Sophos XDR, napadalci še vedno iščejo poti, kako obiti obrambo in izvesti svoje napade. V tem prispevku predstavljam preizkus varnosti, kjer sem uspel izvesti simulacijo ransomware napada in zakriptirati testne datoteke, ne da bi Sophos XDR pravočasno zaznal ali blokiral aktivnost.

    Pregled napada: Zagon ransomware napada kljub zaščiti Sophos XDR

    Cilj testa je bil preveriti, ali lahko napreden napadalec zaobide zaznavanje Sophos XDR in izvede napad, pri katerem pride do šifriranja datotek – torej klasičnega vedenja ransomwareja.

    V tem varnostnem preizkusu sem uporabil lastno prilagojeno različico ransomware simulacije, ki je uspešno izvedla šifriranje testnih datotek, pri čemer Sophos XDR ni pravočasno zaznal grožnje ali sprožil zaščitnega ukrepa.

    Tehnike zaobida in uspešnega napada

    Pri simulaciji sem uporabil naslednje tehnike:

    • Diskretna dostava in izvedba: Datoteka z ransomware kodo je bila prenešena na sistem z uporabo orodja, ki je posnemalo legitimno delovanje, kar je zmanjšalo verjetnost sprožitve varnostnih opozoril.
    • Postopno šifriranje: Šifriranje datotek je potekalo počasneje in segmentirano, kar je preprečilo sprožitev vedenjskih opozoril Sophos XDR.

    Rezultat: Vse testne datoteke so bile uspešno zakriptirane, brez takojšnje zaznave ali zaustavitve procesa s strani Sophos XDR.

    Zaznava in priporočeni ukrepi

    Predlogi za izboljšanje zaščite:

    • Izboljšanje vedenjske analize: Sophos XDR bi moral zaznavati postopno šifriranje ali sumljive IO operacije tudi pri novih (nepodpisanih) binarnih datotekah.
    • Uvedba nadzora nad neznanimi aplikacijami: Dodatne varnostne politike, kot je nadzor izvajanja neznanih binarnih datotek, bi lahko preprečile izvedbo napada.
    • Uvedba honeypot datotek: Implementacija sistemskih vabečih (honeypot) datotek bi lahko omogočila zgodnjo zaznavo ransomware obnašanja.
    • Napredna segmentacija in pravice dostopa: Šifriranje testnih datotek bi lahko bilo omejeno z bolj strogim nadzorom dostopa in nadzora nad pravicami pisanja.

    Zaključek

    Ta test dokazuje, da tudi napredne varnostne rešitve, kot je Sophos XDR, niso neprepustne za kreativne in prilagojene napade. Ključno sporočilo je jasno: varnost ne sme temeljiti le na enem orodju, temveč na večplastnem, proaktivnem in neprekinjeno izboljševanem varnostnem modelu.

    Z deljenjem teh spoznanj želimo spodbuditi varnostne strokovnjake, da redno preizkušajo svoje obrambne sisteme in implementirajo rešitve, ki upoštevajo tudi manj očitne metode napadalcev.

    Omejitev odgovornosti

    Problem je bil javljen na Sophos in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je Sophos, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.

  • ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR, ki ga razvija priznano podjetje TeamT5, je napredno orodje za odkrivanje in odzivanje na grožnje (Endpoint Detection & Response), zasnovano za hitro zaznavanje in analizo varnostnih incidentov. Z napredno analitiko povezuje posamezne indikatorje kompromitacije in z visoko natančnostjo identificira vsiljivce v že ogroženem okolju.

    Ključne prednosti ThreatSonar EDR

    1. Avtomatizirano lovljenje groženj

    ThreatSonar omogoča avtomatizirano iskanje groženj (threat hunting) in analizo incidentov, s čimer pomaga varnostnim ekipam pri hitrem odkrivanju in odzivanju na varnostne incidente.

    2. Inteligentna forenzika

    Orodje vključuje tisoče vnaprej določenih indikatorjev kompromitacije (IoC) in omogoča uvoz zunanjih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi IoC-ji, kar omogoča natančno identifikacijo in odziv na ciljno usmerjene grožnje.

    3. Vizualizacija napadov

    ThreatSonar omogoča vizualizacijo poti napada, kar analitikom omogoča lažje razumevanje vedenja napadalca, hitro prepoznavanje incidentov in učinkovito izvajanje ukrepov za ublažitev posledic.

    4. Napredna analiza vedenja

    Orodje uporablja napredne tehnike analize vedenja in strojnega učenja za identifikacijo sofisticiranih groženj, ki jih tradicionalna protivirusna programska oprema morda ne zazna.

    5. Podrobna poročila in forenzika

    ThreatSonar omogoča podrobno analizo incidentov in forenzične preiskave, kar pomaga razumeti, kako je prišlo do vdora, in preprečiti prihodnje incidente.

    Zakaj izbrati ThreatSonar EDR?

    1. Preverjena učinkovitost: Orodje je uspešno zaznalo več kot 1.000 napadov APT, ki jih druge rešitve niso uspele odkriti.
    2. Široka uporaba: ThreatSonar je bil implementiran na več kot 3 milijonih končnih točk in ga uporablja več kot 300 podjetij in organizacij po vsem svetu.
    3. Enostavna integracija: Orodje se enostavno integrira z obstoječimi varnostnimi sistemi in omogoča hitro implementacijo brez obsežnih prilagoditev.

    Idealno za:

    • Podjetja in organizacije, ki želijo izboljšati svojo varnostno infrastrukturo in se učinkovito odzivati na napredne grožnje.
    • Varnostne ekipe, ki potrebujejo orodje za hitro zaznavanje, analizo in odzivanje na varnostne incidente.
    • Organizacije, ki iščejo rešitev za proaktivno lovljenje groženj in izboljšanje svoje varnostne drže.

    Kako deluje platforma ThreatSonar za forenzično analizo groženj?

    Zbiranje in analiza podatkov

    Data Collection and Analysis

    Napredna tehnologija za lovljenje groženj zazna sumljive programe in dejavnosti datotek na končnih točkah ter odkrije morebitne grožnje.

    Forenzika, podprta z obveščevalnimi podatki

    Intelligence-driven Forensics

    Vgrajene tisoče podpisov APT zadnjih vrat (backdoor) zagotavljajo najnovejše obveščevalne podatkevsaki končni točki za izvedbo forenzične analize groženj.
    Omogoča tudi uvoz zunanjih obveščevalnih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi indikatorji kompromitacije (IoC), za natančno obrambo pred ciljno usmerjenimi grožnjami.

    Analiza osnovnih vzrokov

    Root Causes Analysis

    Ugotovi, kako je prišlo do incidenta, in identificira prisotne grožnje.

    Forenzična poročila

    Forensics Reports

    Vključujejo identificirane grožnje in njihove osnovne vzroke. Vsa dejanja in odločitve, sprejete med postopkom ocene, so dokumentirane za nadaljnjo uporabo.

    Vodilne funkcionalnosti v industriji

    Omogoča forenziko pomnilnika in analizo vedenja za učinkovito prepoznavanje neznanih zlonamernih programov

    Ocena kompromitacije ponuja celovit vpogled v incident in skrajša čas preiskave

    Aktivno lovljenje groženj z vizualizacijo povezav med potencialno kompromitiranimi končnimi točkami

    Želite izvedeti več?

    Za predstavitev ali dodatna vprašanja nas kontaktirajte – z veseljem vam bomo pomagali pri izboljšanju vaše varnostne infrastrukture.

    Pošlji povpraševanje
  • ThreatVision – Napredno CTI orodje za zgodnje zaznavanje groženj

    ThreatVision – Napredno CTI orodje za zgodnje zaznavanje groženj

    ThreatVision – Napredno CTI orodje za zgodnje zaznavanje groženj

    ThreatVision je inovativna oblačna platforma za Cyber Threat Intelligence (CTI), ki jo je razvilo podjetje TeamT5. Namenjena je organizacijam, ki želijo proaktivno okrepiti svojo kibernetsko obrambo s pomočjo natančne obveščevalne analize, tehničnih orodij ter stalnega vpogleda v dejavnosti napadalcev.

    ThreatVision uporabnikom ponuja poročila, tehnične kazalnike in orodja, s katerimi lahko na strateški, operativni in taktični ravni razumejo, kdo so njihovi nasprotniki, katere taktike uporabljajo (TTP – tactics, techniques, procedures) in kako se učinkovito pripraviti na morebitne napade – podobno kot preventivna zdravstvena oskrba omogoča zgodnje ukrepanje pred boleznijo.

    Inteligentna vsebina za več ravni varnosti

    Platforma ThreatVision zagotavlja CTI vsebine v treh ključnih kategorijah:

    • Strateška inteligenca – razumevanje širših geopolitičnih in varnostnih trendov
    • Operativna inteligenca – konkretni podatki o napadalcih in njihovih dejavnostih
    • Taktična inteligenca – tehnični indikatorji napadov in orodij, ki jih uporabljajo

    Podatki so na voljo v različnih oblikah:

    1. Poročila (v PDF ali HTML obliki)
    2. Obrazci s strukturiranimi podatki
    3. Orodja za detekcijo groženj
    4. Indikatorji vdorov (IOC)

    Za integracijo v obstoječe varnostne sisteme je na voljo tudi API, ki omogoča avtomatiziran uvoz podatkov.

    Poročila o grožnjah – Vpogled v realne scenarije

    Besedilna poročila združujejo strateške, operativne in takične informacije, ki uporabnikom omogočajo hiter pregled ključnih podatkov in sprejemanje premišljenih odločitev.

    APT – mesečna analiza

    Vsak mesec ThreatVision objavi poglobljena poročila o APT aktivnostih (Advanced Persistent Threats). Poročila vključujejo analize političnih dogodkov, regulativnega okolja in opaženih dejavnosti napadalcev. Strateški uporabniki naj posebno pozornost namenijo razdelku, kjer so predstavljeni trendi in napovedi.

    Deep & Dark Web Monitoring – Nadzirajte krajo poverilnic

    ThreatVision pomaga organizacijam spremljati, ali so ukradeni podatki (npr. gesla ali e-poštni računi), ki so se znašli na Deep ali Dark Webu, uporabljeni pri kriminalnih dejavnostih. Sistem vključuje tudi spremljanje družbenih omrežij, kjer so v določenih državah (npr. Kitajska) pogoste aktivnosti kibernetskih kriminalcev.

    • Samodejno tedensko skeniranje
    • Pokritost zlonamerne programske opreme za krajo podatkov, puščanja podatkov, okuženih strežnikov
    • E-poštna obvestila ob zaznanih incidentih
    • Zgodovinski pregled rezultatov (z možnostjo izvoza v CSV formatu)

    Vulnerability Insights Report – Poglobljena analiza ranljivosti

    Vsaka dva tedna ThreatVision objavi posebno poročilo, osredotočeno na visokotvegane ranljivosti. Poročilo vključuje:

    • Tehnično analizo ranljivosti
    • Opis metod izkoriščanja
    • Povezane grožnje in priporočene protiukrepe
    • Priložena orodja za lovljenje groženj (threat hunting)

    To je neprecenljiv vir za varnostne ekipe, ki želijo hitro ukrepati ob pojavu novih CVE ranljivosti.

    Adversary Profiles – Spoznajte svojega nasprotnika

    ThreatVision nudi celostne profile kibernetskih nasprotnikov z vsemi ključnimi informacijami:

    • Taktike, tehnike in postopki (TTP)
    • Ciljne države in industrije
    • Vzorci zlonamerne programske opreme
    • Najnovejša poročila in analize

    Na strani profila so na voljo naslednji podatki:

    • Poročila: povezane analize in ugotovitve
    • Malware: uporabljena orodja in virusi
    • Vzorci: konkretni tehnični artefakti
    • Komentarji: podatki, zbrani s pomočjo TeamT5 pajka (crawlerja)

    Zakaj ThreatVision?

    • Celovit CTI vpogled iz enega orodja
    • Zmanjšanje odzivnega časa na incidente
    • Samodejna opozorila in integracija z obstoječimi SIEM/EDR rešitvami
    • Podpora varnostnim ekipam na vseh ravneh (SOC, CISO, analitiki)

    Pošljite povpraševanje

  • Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    V svetu kibernetske varnosti si proizvajalci varnostnih rešitev neprestano prizadevajo za odkrivanje in blokiranje orodij, kot je Mimikatz – eno najbolj znanih orodij za pridobivanje poverilnic v sistemih Windows. Toda kot v vsakem kibernetskem “orožju proti ščitu”, tudi tukaj obstajajo poti mimo obrambnih mehanizmov.

    Na dan 8. 12. 2024 sem uspel izvesti uspešen bypass Cynet XDR rešitve in zagnati Mimikatz na končni napravi, brez sproženega opozorila, alarma ali blokade.

    Kontekst

    Cynet je dobro poznana platforma za zaznavanje in odzivanje na grožnje (XDR), ki obljublja zaznavo poskusov kraje poverilnic, kot jih izvaja Mimikatz. Njihov agent analizira vedenjske vzorce, z namenom zaznati nenavadne in zlonamerne aktivnosti v realnem času.

    Toda varnostne rešitve se večinoma zanašajo na znane vzorce, hash-e, povezane IOCs, ali vedenjske signale. Če napadalec razume, kako varnostna rešitev zaznava nevarnost, lahko potencialno razvije način, da jo obide.

    Pristop

    Uporabil sem napredne tehnike obfuskacije z modifikacijo Mimikatz izvlečene kode:

    1. Analiza Cynet-ovega delovanja:
      • Spremljal sem procese, katere Cynet aktivno nadzira.
      • Ocenil sem metode, ki jih uporablja za detekcijo (npr. lsass dostop, OpenProcess, ReadProcessMemory).
    2. Preoblikovanje Mimikatz:
      • Prevedel sem izvorno kodo z izločenimi poznanimi IOCs.
      • Vključil sem runtime obfuscation – imena funkcij in nizov sem šifriral in dešifriral šele ob izvajanju.

    Rezultat

    Po uspešni izvedbi napada:

    • Cynet ni sprožil nobenega alarma.
    • Ni bilo zaznane nenavadne aktivnosti v konzoli upravljanja.

    To sem preveril s spremljanjem:

    • Event logov
    • Cynet XDR nadzorne plošče

    Kaj to pomeni za organizacije?

    Uspešen bypass takšne rešitve kaže na naslednje ključne izzive:

    • Zanašanje izključno na EDR/XDR ni dovolj – defense-in-depth pristop ostaja ključen.
    • Redno testiranje varnostnih rešitev z napadalnim razmišljanjem (red teaming) je nujno.
    • Behavioral detekcija mora biti dopolnjena s heuristiko in kontekstom – ne zgolj znanimi vzorci.

    Zaključek

    Ta eksperiment ni bil le tehničen izziv, temveč dokaz, da tudi najbolj moderne varnostne rešitve niso nezlomljive. Znanje napadalca, razumevanje notranjih mehanizmov EDR/XDR, in kreativnost so ključni za uspešen bypass.

    Zato nikoli ne pozabite – orodja ne zavarujejo sistema, ljudje in postopki ga.

    Zavrnitev odgovornosti

    Problem je bil javljen na Cynet in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je Cynet, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.