Tag: EDR

  • Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kibernetsko-obveščevalne grožnje

    Naslednji blog zapis temelji na poročilu ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.

    V poznem marcu je bilo zaznano, da je kitajsko-povezana APT skupina izkoristila kritično ranljivost v napravah Ivanti Connect Secure VPN za vdor v več organizacij po vsem svetu. Med žrtvami je skoraj dvajset različnih industrij v dvanajstih državah. Menimo, da je napadalec v času analize še vedno ohranjal nadzor nad omrežji žrtev.

    Žrtve

    Med prizadetimi državami so Avstrija, Hrvaška, Avstralija, Francija, Španija, Japonska, Južna Koreja, Nizozemska, Singapur, Tajvan, Združeni arabski emirati, Združeno kraljestvo in Združene države Amerike. Targetirane industrije vključujejo avtomobilsko industrijo, kemijsko industrijo, skupine podjetij, gradbeništvo, informacijsko varnost, izobraževanje, elektroniko, finančne institucije, igralništvo, vlado, medvladne organizacije (IGO), informacijsko tehnologijo, odvetniške pisarne, proizvodnjo, materiale, medije, nevladne organizacije (NVO), raziskovalne inštitute ter telekomunikacije.

    Podrobnosti grožnje

    Analiza z visoko stopnjo zaupanja ocenjuje, da je napadalec izkoriščal ranljivosti v napravah Ivanti Connect Secure VPN za izvajanje napadov po vsem svetu. Verjetno je izkoristil ranljivosti CVE-2025-0282 ali CVE-2025-22457 za pridobitev začetnega dostopa.

    Tako CVE-2025-0282 kot CVE-2025-22457 sta ranljivosti tipa “stack buffer overflow” v Ivanti Connect Secure VPN z oceno CVSS 9,0. Uspešno izkoriščanje omogoča napadalcu oddaljeno izvajanje kode, kar vodi v vdor v notranje omrežje in namestitev zlonamerne programske opreme.

    V napadu je napadalec uporabil skupno orožje, ki ga uporabljajo kitajske grožbene skupine, imenovano SPAWNCHIMERA. SPAWNCHIMERA je razvit posebej za Ivanti Connect Secure VPN in vsebuje vse funkcionalnosti razvpite družine SPAWN, vključno z:

    • SPAWNANT (namestitveni program),
    • SPAWNMOLE (SOCKS5 tuneler),
    • SPAWNSNAIL (SSH stranska vrata),
    • SPAWNSLOTH (brisalec dnevnikov).

    Poleg tega še nakazuje, da bi lahko tudi drugi napadalci pridobili informacije o ranljivosti in začeli lastne kampanje proti napravam Ivanti VPN. Od aprila opažamo množične poskuse izkoriščanja naprav Ivanti VPN. Čeprav je večina poskusov spodletela, je veliko naprav Ivanti VPN postalo neodzivnih in nestabilnih.

    Močno priporočamo, da prizadete organizacije izvedejo temeljito preiskavo incidenta. Glede na raznolike TTP-je napadalca, kot so večplastna C2 infrastruktura, izogibanje mehanizmom nadzora in uporaba brisalcev dnevnikov, bo brez dodatne tehnične podpore izziv zaznati zlonamerne sledi napadalca v omrežju.

  • Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Uvajanje NIS 2 se neizbežno bliža

    Napovedana uveljavitev ZInfV-1, slovenskega zakona, ki v naš pravni red prenaša direktivo NIS 2, je podjetjem postavila jasen cilj: v rekordnem času vzpostaviti celovit, 24/7 nadzor nad kibernetskimi tveganji in zagotoviti forenzično sledljivost vsakega incidenta. V poplavi rešitev se zdi izbira prave platforme za varnostno operativno središče (SOC) zahtevna – a letos je odgovor močno olajšala komisija sejmov kot sta Computex in CyberSec EXPO, ki sta ThreatSonar nagradila z nazivom »Best Choice Award 2025« v kategoriji naprednega EDR/MDR.

    Zakaj je ThreatSonar prepričal strogo mednarodno žirijo in postal zlati standard za skladnost z ZInfV-1 ter NIS 2? V nadaljevanju razkrivamo, kako njegova vedenjska analitika, avtomatizirana forenzika in zaščita pred izsiljevalsko programsko opremo omogočajo, da slovenska podjetja obvladajo nove zakonske zahteve – brez drastičnega povečanja kadrov in stroškov.

    Katere zahteve zakon nalaga podjetjem?

    Ključna zahteva ZInfV-1 / NIS 2Kaj konkretno pomeni v praksi
    Celovito upravljanje tveganjEvidenca sredstev, ocenjevanje ranljivosti, spremljanje dobaviteljev.
    24-urna prijava varnostnih incidentovZanesljiva detekcija, časovnica dogodka in takojšna eskalacija CSIRT-u.
    Redne preverbe in revizijePeriodično skeniranje in dokazila za nadzorni organ (URSIV).
    Forenzična sledljivost in hranjenje dnevnikovRekonstrukcija dogodka, hram­ba artefaktov, poročila o osnovnem vzroku.
    Dokaz o neprekinjenem nadzoru24/7 spremljanje končnih točk in jedrnih sistemov.

    Zakaj je ThreatSonar logična izbira za novo zakonodajo

    Zakonodajna zahtevaFunkcionalnost ThreatSonarja, ki jo pokrije
    Upravljanje ranljivosti & dobavne verigeSignal Pattern prepozna neznane grožnje, ThreatTr­acer stalno pregleduje sisteme in odvisnosti.
    24/7 detekcija & opozarjanjeDaemon EDR agent spremlja procese v realnem času, blokira RaaS, APT in WebShell napade.
    Hitra forenzika & poročanjeSmart Forensics avtomatsko zbere RAM, registre, EventLoge in izdela auto-generated poročila – priprav­ljena za CSIRT.
    Izolacija in omejevanje škodeFunkcija Protect Plus takoj uniči sejo napadalca, izolira končno točko in zaščiti VSS varnostne kopije.
    Dokazi za nadzorni organVizualna časovnica incidenta in MITRE ATT&CK oznake dokazujejo skladnost revizorjem URSIV.

    1. Celovita zaščita pred izsiljevalsko programsko opremo

    ThreatSonar z vedenjskim zaznavanjem prepozna > 90 % neznanih variant, postavi »trap« datoteke in v realnem času ubije procese, preden se zažene šifriranje.

    2. Forenzična avtomatika skrajša odzivni čas

    Auto-Investigation samodejno nariše topologijo širjenja po omrežju in poveže artefakte z zunanjimi IoC-ji (YARA, hash, IP). Poročilo je pripravljeno v 1-5 dneh (namesto tednov ročnega dela).

    3. Prilagodljiva namestitev: on-prem, oblak ali povsem offline

    Lahka »on-demand« izvedba za enkratne preglede, Daemon za stalni nadzor, Offline Scanner za izolirana omrežja – vse tri načine je mogoče uvoziti v isti nadzorni portal.

    4. Intelligence-driven lov na grožnje

    ThreatSonarova ekipa analitikov vsak teden posodobi nabor pravil s svežimi APT taktikami iz regije APAC (in drugod), kar pokrije tudi zahtevo ZInfV-1 po spremljanju aktualnih groženj.

    Kako začeti

    1. Ocena vrzeli – preverite, katere obveznosti ZInfV-1 že izpolnjujete.
    2. Pilotna namestitev ThreatSonarja – v 60 minutah pokrijete > 1 000 končnih točk in dobite prvo forenzično sliko.
    3. Integracija s procesi CSIRT/SOC – avtomatizirajte eskalacijo in poročanje.
    4. Dokumentacija skladnosti – izvozite poročila za nadzorni organ in notranji revizijski odbor.

    Zaključek

    ZInfV-1 in NIS 2 dvigujeta letvico kibernetske odpornosti v Sloveniji. ThreatSonar vam omogoča, da te zahteve izpolnite hitro, stroškovno učinkovito in z minimalnim kadrovskim vložkom – od 24/7 detekcije do forenzičnega poročanja, ki ga organi priznavajo kot dokaz o skladnosti.

    Potrebujete več informacij ali demo? 
Kontaktirajte našo ekipo CYBER-SEC in preverite, kako lahko ThreatSonar v nekaj urah zapre vaše največje varnostne vrzeli.

    Pošlji povpraševanje

  • ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR – Napredno orodje za lovljenje groženj in analizo incidentov

    ThreatSonar EDR, ki ga razvija priznano podjetje TeamT5, je napredno orodje za odkrivanje in odzivanje na grožnje (Endpoint Detection & Response), zasnovano za hitro zaznavanje in analizo varnostnih incidentov. Z napredno analitiko povezuje posamezne indikatorje kompromitacije in z visoko natančnostjo identificira vsiljivce v že ogroženem okolju.

    Ključne prednosti ThreatSonar EDR

    1. Avtomatizirano lovljenje groženj

    ThreatSonar omogoča avtomatizirano iskanje groženj (threat hunting) in analizo incidentov, s čimer pomaga varnostnim ekipam pri hitrem odkrivanju in odzivanju na varnostne incidente.

    2. Inteligentna forenzika

    Orodje vključuje tisoče vnaprej določenih indikatorjev kompromitacije (IoC) in omogoča uvoz zunanjih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi IoC-ji, kar omogoča natančno identifikacijo in odziv na ciljno usmerjene grožnje.

    3. Vizualizacija napadov

    ThreatSonar omogoča vizualizacijo poti napada, kar analitikom omogoča lažje razumevanje vedenja napadalca, hitro prepoznavanje incidentov in učinkovito izvajanje ukrepov za ublažitev posledic.

    4. Napredna analiza vedenja

    Orodje uporablja napredne tehnike analize vedenja in strojnega učenja za identifikacijo sofisticiranih groženj, ki jih tradicionalna protivirusna programska oprema morda ne zazna.

    5. Podrobna poročila in forenzika

    ThreatSonar omogoča podrobno analizo incidentov in forenzične preiskave, kar pomaga razumeti, kako je prišlo do vdora, in preprečiti prihodnje incidente.

    Zakaj izbrati ThreatSonar EDR?

    1. Preverjena učinkovitost: Orodje je uspešno zaznalo več kot 1.000 napadov APT, ki jih druge rešitve niso uspele odkriti.
    2. Široka uporaba: ThreatSonar je bil implementiran na več kot 3 milijonih končnih točk in ga uporablja več kot 300 podjetij in organizacij po vsem svetu.
    3. Enostavna integracija: Orodje se enostavno integrira z obstoječimi varnostnimi sistemi in omogoča hitro implementacijo brez obsežnih prilagoditev.

    Idealno za:

    • Podjetja in organizacije, ki želijo izboljšati svojo varnostno infrastrukturo in se učinkovito odzivati na napredne grožnje.
    • Varnostne ekipe, ki potrebujejo orodje za hitro zaznavanje, analizo in odzivanje na varnostne incidente.
    • Organizacije, ki iščejo rešitev za proaktivno lovljenje groženj in izboljšanje svoje varnostne drže.

    Kako deluje platforma ThreatSonar za forenzično analizo groženj?

    Zbiranje in analiza podatkov

    Data Collection and Analysis

    Napredna tehnologija za lovljenje groženj zazna sumljive programe in dejavnosti datotek na končnih točkah ter odkrije morebitne grožnje.

    Forenzika, podprta z obveščevalnimi podatki

    Intelligence-driven Forensics

    Vgrajene tisoče podpisov APT zadnjih vrat (backdoor) zagotavljajo najnovejše obveščevalne podatkevsaki končni točki za izvedbo forenzične analize groženj.
    Omogoča tudi uvoz zunanjih obveščevalnih podatkov, kot so hash vrednosti, IP naslovi, domene, Yara pravila in drugi indikatorji kompromitacije (IoC), za natančno obrambo pred ciljno usmerjenimi grožnjami.

    Analiza osnovnih vzrokov

    Root Causes Analysis

    Ugotovi, kako je prišlo do incidenta, in identificira prisotne grožnje.

    Forenzična poročila

    Forensics Reports

    Vključujejo identificirane grožnje in njihove osnovne vzroke. Vsa dejanja in odločitve, sprejete med postopkom ocene, so dokumentirane za nadaljnjo uporabo.

    Vodilne funkcionalnosti v industriji

    Omogoča forenziko pomnilnika in analizo vedenja za učinkovito prepoznavanje neznanih zlonamernih programov

    Ocena kompromitacije ponuja celovit vpogled v incident in skrajša čas preiskave

    Aktivno lovljenje groženj z vizualizacijo povezav med potencialno kompromitiranimi končnimi točkami

    Želite izvedeti več?

    Za predstavitev ali dodatna vprašanja nas kontaktirajte – z veseljem vam bomo pomagali pri izboljšanju vaše varnostne infrastrukture.

    Pošlji povpraševanje
  • EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023)

    EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023)

    EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023) (RAZISKOVALNO DELO!)

    Uvod

    V nenehno razvijajočem se področju kibernetske varnosti imajo rešitve za zaznavanje in odzivanje na napade na končnih točkah (EDR), kot je SentinelOne, ključno vlogo pri obrambi pred naprednimi grožnjami. Vendar napadalci nenehno razvijajo nove metode za obvoz teh varnostnih rešitev. Namen tega prispevka je osvetliti eno izmed takšnih tehnik ter poudariti pomen razumevanja metodologij napadalcev za utrditev obrambe.

    Pregled napada: Izpis hash-ov z orodjem Mimikatz

    Izpis hash-ov je pogosta tehnika po izkoriščanju ranljivosti, ki jo napadalci uporabljajo za pridobivanje višjih privilegijev ali za lateralno premikanje znotraj omrežja. Orodja, kot je Mimikatz, so se pogosto uporabljala v ta namen, kljub napredku EDR rešitev, kot je SentinelOne.

    Ključna ideja: Napadalci lahko uporabijo Mimikatz za pridobivanje poverilnic tudi v okoljih, kjer delujejo EDR orodja. Vendar pa imajo sodobni EDR-ji vgrajene zmožnosti za vedenjsko analizo in pregledovanje pomnilnika, ki lahko zaznajo takšne poskuse.

    V mojem primeru sem uporabil AES enkriptirano verzijo Mimikatza, ki sem jo vpeljal v sistem z namenom testiranja varnosti. Z omenjeno tehniko sem uspel izvesti izpis poverilnic, ne da bi bil zaznan ali blokiran s strani SentinelOne EDR-ja.

    Tehnike izogibanja EDR zaščiti

    V tem testu sem uporabil naslednje metode za izogibanje EDR-ju:

    1. AES-enkripcija orodja Mimikatz: Zaradi enkripcije EDR ni prepoznal znanih vzorcev ob zagonu orodja.
    2. Obvod nadzora EDR: V določenem trenutku sem opazil, da EDR ni reagiral na sumljivo vedenje, kar kaže na uspešno obvodno tehniko.

    Zaključek

    Razumevanje, kako delujejo napadalci, je prvi korak k izgradnji robustne obrambe. Čeprav ta študija primera poudarja izzive, ki jih predstavljajo napredne tehnike izogibanja, hkrati opozarja na pomen večplastne varnosti, rednega posodabljanja varnostnih rešitev in vzpostavitve proaktivne varnostne kulture.

    Z odgovornim deljenjem znanja lahko skupaj dvignemo raven kibernetske varnosti in otežimo delo zlonamernim akterjem.

    Omejitev odgovornosti

    Problem je bil javljen na SentinelOne in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je SentinelOne, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.