Захват артефактов: массовая компрометация зависимостей для первоначального доступа
Многие из недавних громких атак стали результатом уязвимостей в целостности цепочки поставок. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. Удалось ли злоумышленнику автоматически компрометировать множество репозиториев и пакетов, массово заполучив первоначальный доступ к разработчикам ПО?
Чтобы оценить возможность массовой компрометации, мы проанализировали структуру зависимостей и популярные реестры пакетов (PyPi и NPM). Далее мы выделили ряд артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак по захвату контроля. После анализа публичных реестров мы поделимся информацией о том, сколько зависимостей уязвимо ко взлому репозитория и перехвату URL-адресов. Мы также расскажем о том, как атаки с использованием тайпсквоттинга (с помощью суперспособностей LLM) помогают злоумышленнику усилить воздействие, сохранить доступ к SDLC и внедрить вредоносную полезную нагрузку.
По итогам доклада мы предоставим метод и инструменты для мониторинга всех артефактов зависимостей, чтобы помочь снизить риск поглощения в CI/CD. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. В докладе освещаются основные тактики, методы и инструменты злоумышленников, а также стратегии защиты для специалистов по безопасности.
Денис Макрушин
«МТС-Red»
1 view
135
29
2 weeks ago 00:18:15 15
[DotaNews] ПРИЗОВОЙ ИНТА ЭТО ПОЛНЫЙ ПРОВАЛ! САМЫЙ ХУДШИЙ ИНТ В ИСТОРИИ ДОТЫ - @DotaNews
2 weeks ago 00:03:06 338
Соник 3 - трейлер 2024
2 weeks ago 00:09:22 1
❗️ НОВОСТИ | КРУПНЕЙШАЯ УТЕЧКА ФСБ | РОССИЯ ЗАХВАТЫВАЕТ НОВОГРОДОВКУ | ИНВАЛИДА ОТПРАВИЛИ НА ФРОНТ
2 weeks ago 00:56:03 6
CSS Reset - ненужный артефакт или спасательный круг // Демо-занятие курса «HTML/CSS»
2 weeks ago 00:45:18 10
РАННИЙ ДОСТУП ► Древние Русы
2 weeks ago 00:17:59 1
10 невозможных артефактов неизвестной Цивилизации в Африке
2 weeks ago 02:55:14 1
ОНА РАБОТАЕТ В СЛЕД.КОМЕ! ЗАХВАТЫВАЮЩИЙ ДЕТЕКТИВ! - Алмазы Цирцеи все серии, 1-4 серия, Россия 2017
2 weeks ago 00:13:03 3
[LERCHI] Я слутал 1000 ТАЙНИКОВ и ВОТ ЧТО ИЗ ЭТОГО ВЫШЛО l ЗАРАБОТАЛ 40кк за 3 дня l РОЗЫГРЫШ на 2кк l
2 weeks ago 00:08:20 84
[Svetix] С НУЛЯ ДО ТУЗА #2 | ПРОХОЖДЕНИЕ КВЕСТОВ ФОТОНА СТАЛКРАФТ | STALCRAFT
2 weeks ago 00:03:14 1
В сургутской «Школе поисковика» проходят бесплатные занятия для подростков
2 weeks ago 01:32:32 26
Fatal Force: Earth Assault JAVA GAME (Macrospace 2004 year) FULL WALKTHROUGH 1080p 60 FPS
3 weeks ago 00:09:26 1
50КК НА НОЧНЫХ ВЫБРОСАХ l АРТХАНТИНГ В STALCRAFT:X l РОЗЫГРЫШ В ОПИСАНИИ #stalcraft #exbo #артефакты