IDS Системы обнаружения вторжений

Пришло время выйти за рамки брандмауэров и начать говорить о системах обнаружения вторжений. Далее я поделюсь с вами более подробной информацией о том, как системы могут идентифицировать злоумышленников в сети или файловой системе.

Само название IDS говорит само за себя. Мы говорим об устройстве или программном приложении, предназначенном для выявления вредоносной активности. Эта вредоносная активность может быть в сети, но может быть и в системе, и очень часто в файловой системе.

https://habr.com/ru/post/680028/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680028

Варианты обхода IDS

Давайте посмотрим на некоторые механизмы уклонения от обфускации, называемые полиморфным кодом. Это популярный шаблон не только для обхода IDS-ов, но и для обхода некоторых антивирусов. Здесь мы говорим о возможности видоизменять или модифицировать код. Таким образом, исходный алгоритм по-прежнему работает так, как задумано, но больше не придерживается предсказуемого шаблона. Это также может означать, что код меняется при каждом запуске. Это полиморфная природа, так как он может принимать несколько разных форм. Часто это также означает шифрование компонентов полезной нагрузки. Поэтому мы говорим о том, чтобы написать один и тот же код, сделать одно и то же, но заставить его выглядеть иначе, чтобы его нельзя было обнаружить.

https://habr.com/ru/post/680042/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680042

Конкурс IDS Bypass проходил на конференции Positive Hack Days уже в четвертый раз (разбор одного из прошлых конкурсов). В этом году мы сделали шесть игровых узлов с флагом на каждом. Для получения флага участнику предлагалось либо проэксплуатировать уязвимость на сервере, либо выполнить другое условие, например перебрать списки пользователей в домене.

Сами задания и уязвимости были достаточно простыми. Сложность представлял обход IDS: система инспектирует сетевой трафик от участников специальными правилами, которые ищут атаки. Если такое правило срабатывает, сетевой запрос участника блокируется и бот присылает ему текст сработавшего правила в Телеграм.

И да, в этом году мы попробовали уйти от привычных CTFd и журналов IDS в сторону более удобного телеграм-бота. Для участия необходимо было всего лишь написать боту и выбрать имя пользователя. Затем он присылал OVPN-файл для подключения к игровой сети, и в дальнейшем все взаимодействие (просмотр заданий и игрового дашборда, сдача флагов) происходило только через бота. Этот подход оправдал себя на 100%!

https://habr.com/ru/post/669068/?utm_source=habrahabr&utm_medium=rss&utm_campaign=669068

Вслед за пандемией пришла настоящая эпидемия кибератак, и форум PHDays в новых реалиях как никогда актуален. Как обычно, скучать не придется.

Помимо серьезных докладов по информационной безопасности вас ждет кибербитва The Standoff, а захватывающие конкурсы помогут не только развлечься, но и получить новые знания и ценный опыт. Соревнования открыты для всех заинтересованных исследователей. Принять участие в них можно как онлайн, так и офлайн.

https://habr.com/ru/post/662253/?utm_source=habrahabr&utm_medium=rss&utm_campaign=662253