Что нового?

Новостной обозреватель “skynetzone” - хакеры, законы ук рф , новости теневых площадок и прочие интересные факты

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#21

Преступники украли данные миллионов клиентов StockX
Интернет-биржа одежды и обуви StockX

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, который привел к компрометации 6,8 млн записей с персональной информацией пользователей. По данным экспертов, похищенные сведения уже можно купить на подпольных площадках.


Компания не уточняет детали инцидента, однако впервые о проблемах стало известно 1 августа. В этот день клиенты StockX получили уведомления с просьбой сменить пароль якобы из-за «обновления систем безопасности».

Попытки скрыть утечку

Такая постановка вопроса обеспокоила как пользователей, так и ИБ-экспертов. Первые

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что их пытаются обмануть фишеры, вторые

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что внедрение защитных систем не требует смены паролей. Со своей стороны, представители StockX лишь подтвердили легитимность рассылки и призвали следовать инструкциям.


Только 3 августа в компании

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что настоящая причина требования — «подозрительная активность, потенциально связанная с пользовательскими данными».


«Мы немедленно провели тщательное расследование с привлечением сторонних экспертов, — говорится в сообщении StockX. — Собранные улики позволяют предположить, что неизвестные взломщики получили доступ к определенной информации наших клиентов, включая имена, электронные адреса и точки доставки, логины, хешированные пароли и историю покупок. По имеющимся у нас данным, финансовую и платежную информацию инцидент не затронул».


Из сообщения также следует, что в дополнение к обновлению паролей специалисты компании внедрили «высокочастотную ротацию учетных данных на всех серверах и устройствах», а также закрыли свой облачный периметр. Представители StockX отказались раскрывать другие подробности, сославшись на продолжающееся расследование.


Украденные данные пользователей StockX уже в продаже

По данным онлайн-изданий, украденная информация уже попала на подпольные торговые площадки — неизвестный продавец предлагает ее за $300.


Злоумышленник уточнил, что взлом произошел еще в мае и коснулся 6,7 млн пользователей. В подкрепление своих слов преступник отправил журналистам 1000 записей из похищенной базы, которые оказались достоверными.


Как уточняют специалисты, взломщики получили больше информации, чем говорилось в заявлении StockX. Помимо прочего, похищенные данные включают модели клиентских устройств и версии установленных ОС, размеры обуви и валюту для расчетов.


Эксперты полагают, что сложившаяся ситуация грозит StockX крупными штрафами — в частности, до 4% годовой прибыли в соответствии с

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Этот закон устанавливает, что компании обязаны сами сообщать об инцидентах с персональными данными, в то время как представители StockX в своих заявлениях ссылались на обновление систем безопасности. Последующие вопросы СМИ они проигнорировали.


Как ранее выяснили аналитики, в настоящее время под угрозой взлома

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

более 500 тыс. интернет-магазинов. В зоне особого риска площадки под управлением CMS Magento — в этой категории проверку безопасности провалили почти 90% сайтов. Атаки на такие магазины могут разом охватывать

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, приводя к компрометации пользовательских данных.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#22
О безопасности, номерах, электронных почтах и, совсем немного о рекламе

Что-то вроде исторической справки

Наверняка все помнят, как раньше работал интернет для большинства людей: приезжает дядя, проводит кабель, вы на рабочем столе жмёте иконку Internet explorer'a и вуаля, вы — пользователь интернета. Вы могли искать информацию поиском, создавать электронную почту по одному, не факт что реальному ФИО, регистрироваться в блогах и социальных сетях по почте, покупать что-то в интернет магазинах всё так же по ФИО и почте.

Но шло время, корпорации учились зарабатывать на персональных данных, показывать таргетированную и контекстную рекламу, государства, в поисках террористов и «террористов» засовывали свои носы всё глубже в большие данные, пользователи учились беспокоиться о своей конфиденциальности.

Так мы пришли в 2019.
Реальность

А реальность грустна и тревожна: как часто вы при регистрации сталкивались с просьбой указать свой номер? Уверен, за последние 3 года это происходило если не каждый, то в 9 из 10 раз. Более того, редкий из старых сервисов не спросит номер при повторном логине, если вы не заходили года два три.

Как же так вышло? Всё просто: ваш мобильный номер, оформленный на вас официально — лучший способ вас идентифицировать, привлечь ваше внимание, потревожить вас.

По вашему номеру вас может найти кто угодно, от сотрудника центра «Э» до мошенника, чему было много свидетельств и на этом портале в том числе.

Однако самое грустное лично для меня — многие пользователи искренне верят, что просьба указать номер — забота о них, а указав номер, почту и реальные ФИО, они защищают себя, информацию о себе.

Далее — текст о том, почему это не так, а также, почему номер как способ связи и рекламы устарел и вашему сервису по возможности необходимо от него отказываться прямо-прямо сейчас.

Пользователям

Представьте, вы зарегистрировались на очередном портале, будь то интернет магазин или сайт с мемами, указали почту, номер, ФИ, а портал оказался взломан. Или изначально был мошенническим или рекламным, впрочем лучше первое.

Посмотрим на примере меня, сколько можно ТОЛЬКО по открытым источникам узнать о вас информации:


  1. Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    узнаём, что как минимум я являюсь пользователем Пикабу, когда-то давно играл в браузерки, но сейчас владею аккаунтом на Steam, интересуюсь дизайном, кастомными прошивками для xperia z1 и кардингом.

  2. Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    , кроме никнейма, который уже просмотрели выше.

  3. Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    Можно расслабиться? Как бы не так: набираем в плей маркете «определение номера», скачиваем первое попавшееся приложение и

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    , что сразу позволяет узнать как минимум ФИ, как максимум, что я стильно одеваюсь, ходил на какие-то курсы, работал курьером, предположительно разбираюсь в маркетинге и учусь в Международном Университете в Москве на факультете Управления Крупными Городами.

Дальше больше: используя никнейм и сервис поиска по номеру, находим ВКонтакте, где получаем косвенные подтверждения тезисам, высказанным выше по подпискам и информации профиля, и получаем возможность ознакомиться с списком друзей.

Вы спросите: «И что? Эта информация бесполезна!»

Отнюдь. Представьте себя в роли недобросовестного полицейского, которому нужна палка, или мошенника. Данный набор, как минимум, позволяет рекламировать мне определённый набор услуг вроде рекламных ботов, очередных курсов чего-либо, запчастей для старого телефона, новых игр, а как максимум, в расчёте, что я не просто интересуюсь кардингом, пробовать меня шантажировать на эту тему.

Что тут такого? Шантажистов ты просто пошлёшь, а реклама — на то и реклама, чтобы её не смотреть.

Снова представим себя в роли недобросовестного полицейского, мошенника и etc:
На самом деле всё что было написано выше для нас — детский лепет, белая вершина чёрной пирамиды. Не буду писать о том, как получить доступ к «чёрной» части данных, все цены уже были описаны здесь же:

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

;

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

;

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.

Лучше подумаем, что с этим можно сделать.

А сделать можно многое, уверяю, из самого очевидного: пробиваем номер карты и баланс, если подозреваем что у меня могут водиться деньги, звоним, представляемся сотрудником сбербанка и просим отправить СМС.

Дальнейшее обычно описывают в заявлении в полицию, не будем заострять на этом внимание, как и на огромном количестве других возможных вариаций нае...... обмана честного пользователя сети интернет, который может оказаться не мной, а любым из вас, ваших родителей и прародителей, друзей.

Что же делать?

Мои, хотя почему мои, базовые, рекомендации таковы:

  1. Держите минимум две сим-карты: На одну регистрируйтесь на разных сайтах в интернете, банках, букмекерских конторах и что угодно ещё, но ни в коем случае не публикуйте этот номер в открытом доступе и не говорите никому включая друзей, родственников, etc. Соответственно другую используйте публично, для связи с друзьями. От товарища майора это не защитит, но мошенникам создаст дополнительные препятствия, или хотя бы удорожит их деятельность на ещё пару-тройку тысяч рублей.
  2. То же, что и 1, только с электронными почтами.
  3. Используйте сервисы, предоставляющие временный номер и временную почту для регистраций, ссылку давать не буду т.к. таковые легко гуглятся.
  4. Не публикуйте в интернете важную конфиденциальную информацию нигде, будь то блог в ЖЖ или личные сообщения ВКонтакте.
  5. По возможности не указывайте свои реальные данные нигде.
  6. Не пользуйтесь услугой доставки до дома, или вызывайте курьера на какой-нибудь ближайший адрес (пример — соседний дом, если речь о городе, крупная улица, если о пгт или того хуже)
  7. Не пользуйтесь интернетом.
  8. Уходите в тайгу, а нет, она же сгорела.

Держателям сайтов, приложений, мини-приложений вконтакте, игр и чего угодно ещё.
Данная статья и раздел, в общем-то, подразумевает, что вы — ответственный гражданин, уважаете права человека и конституцию, если это не так — просьба прекратить чтение и следовать далеко-надолго.

Итак, как же обеспечить безопасность пользователей и сохранить репутацию? Мои варианты ниже:

1) Регистрация без почты и телефона.

Идеальный вариант, в качестве примера которого можно вспомнить

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в .onion зоне, где при регистрации вы вводите логин, отображаемый логин и пароль, и как бы всё. Идеальный пользователь использует для такого сайта уникальные логин и пароль (не используемые им на других сайтах), что не позволяет даже в случае похищения базы и появления её в открытом доступе установить ассоциации с другими более доступными (читай выше каким образом) сервисами и публичной информацией.

Из проблем — показ рекламы, который, впрочем, затруднится не сильно, если использовать решения от google, яндекса и прочих, а так же проблемы в взаимоотношениях с государством, которые, в большинстве случаев, решаются регистрацией сайта в иностранной юрисдикции и хостинг их там же, а если вы публикуете информацию о противодействии силовикам, либертарианстве, аниме и котиках и не попадаете в это большинство — тем более.
Важно понимать, что в данном варианте не подразумевается отсутствие записи ip пользователя в ваши базы, сохранение куки и чтение webRTC, такие решения больше для преступных сообществ, речь же именно о защите граждан от всего нехорошего.

2) Регистрация только по номеру.

Удивительно, но вариант гораздо более удобный чем регистрация по почте, которая в 2019м автоматически воспринимается, как «мы будем спамить вам бесполезную рассылку all day every day», и по сути таковым и является.

При использовании такого варианта в идеале использовать двухфакторную аутентификацию, дабы злоумышленник, имеющий номер и пароль, не мог войти без смс-кода, а имеющий дубль сим-карты или переадрессацию смс спотыкался о пароль.

3) Регистрация только по почте.

Вариант для «олдов», который, впрочем, не добавляет никаких дополнительных полезных возможностей к первому, кроме восстановления аккаунта по почте, которым так же зачастую будет пользоваться злоумышленник.

Важно понимать, что варианты выше подойдут корпоративному блогу, но не банку и не гос. сервису (их безопасность — отдельный огромный вопрос который никто не поднимает по причине нежелания уехать в лес или сесть), однако отказываться от идеальной модели — себя не любить, ведь всё, что не развитие — деградация.

Ну и немного про рекламу, в заголовке ведь было обещано

2019 — это когда ты удаляешь письма не читая, 2019 — это когда ты услышав звонок думаешь «снова эти бесплатные юридические консультации/фильтры воды всего за 100 т. р./опросы/что угодно ещё). 2019 — это год, когда вам и вашему сервису необходимо сократить контакт с клиентом по электронной почте и мобильному номеру до минимума. Наладьте чат на сайте или в приложении в личном кабинете. Это не трудно, не дорого, но это бесценно, когда речь заходит о лояльности.

А если вы не согласны, ответьте на простой вопрос — ответите ли вы на звонок, если увидите, что гугл звонилка, гетконтакт или что-то подобное отметит его как спам, и если да — то с каким настроем.

Из историй из жизни: лето, 10 утра, я на кровати, сплю. ЗВОНОК. Гугл определяет как рег.ру.
Просыпаюсь, в голове мысли, что мне сайт эшники прикрывают? Отвечаю на звонок:

-> Добрый день, это рег.ру, у вас возникали проблемы при использовании нашего сервиса?
-> Нет, сервис удобный, интерфейс понятный.
-> Спасибо, до свидания.

Что это было, я так и не понял, но утро было испорчено, а в голове остался неприятный осадок.
И таких историй миллион только у меня.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#23
Исследователи предложили использовать SQLite для запуска кода внутри других приложений

На конференции DEFCON в Лас-Вегасе аналитики компании Check Point

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что «подправленная» специальным образом база данных SQLite может использоваться для запуска кода внутри других приложений, которые полагаются на нее в вопросах хранения данных, что в итоге позволит добиться, например, устойчивого присутствия на устройстве iOS.


Корень данной проблемы заключается в том, как сторонние приложения читают данные из баз SQLite. Фактически злоумышленник может скрыть в БД вредоносный код, и в результате приложение (например, уже упомянутый iMessage), считавшее вредоносную базу, также выполнит скрытый в ней код.



На конференции исследователи показали, что атакующий, которому удастся заменить или отредактировать файл AddressBook.sqlitedb, получит возможность встроить вредоносный код в адресную книгу iPhone. Дело в том, что iMessage запрашивает этот SQLite-файл регулярно, а вместе с этим происходит запуск вредоносного кода, что позволяет малвари загружаться на устройстве. Хуже того, аналитики Check Point объясняют, что Apple не подписывает файлы SQLite, поэтому осуществить подмену совсем нетрудно, и злоумышленник легко может обеспечить себе постоянную загрузку и устойчивое присутствие в системе.


Интересно, что, по мнению исследователей, проблемы SQLite могут использоваться и для защиты. Например, браузеры хранят пользовательские данные и пароли в базах данных SQLite, а малварь нередко бывает нацелена на хищение этой информации и передачу похищенного на удаленный сервер. Такие серверы, как правило, написаны на PHP и анализируют полученные файлы SQLite, извлекая из них пользовательские данные, чтобы те удобно отображались прямо в панели управления малварью. И аналитики Check Point уверены, что уязвимости SQLite можно использовать для выполнения кода на таких управляющих серверах и захвата контроля над системами злоумышленников.


«Учитывая тот факт, что SQLite встроен практически в любую платформу, мы полагаем, что едва поскребли верхушку айсберга, если говорить о потенциале эксплуатации», — говорят эксперты, имея в виду, что SQLite присутствует в Skype, практически любых браузерах, на Android-устройствах, в iTunes, клиентах Dropbox, автомобильных мультимедийных системах, телевизорах, кабельных приставках и множестве

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Инженеры Apple уже выпустили исправления (CVE-2019-8600, CVE-2019-8598, CVE-2019-8602, CVE-2019-8577), призванные защитить пользователей от данного вектора атак. Обновления получили

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

,

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

,

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

и

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Технические подробности проведенного специалистами исследования можно найти

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, а использованные экспертами инструменты уже опублик
ованы на

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.​
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#24
Банковский троян Cerberus считает шаги пользователей Android

Эксперты компании ThreatFabric обнаружили в Интернете

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, который авторы предлагают в аренду. Создатели зловреда открыто продвигают его через Twitter и YouTube и утверждают, что разработали его с нуля.


Банковские трояны в аренду

Исследователи отмечают, что Cerberus появился на рынке банкеров для Android очень своевременно. В марте 2019 года на подпольных хакерских площадках появились сообщения об

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, который с 2017 года был ведущим

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

среди мобильных банковских троянов. После этого исходный код трояна был опубликован в Интернете, однако зловред лишился поддержки, так что у Cerberus есть все шансы занять его место.

По словам экспертов, лидеры этого сегмента подпольного рынка сменяются примерно раз в один-два года.


Технические возможности Cerberus

Функционально новый троян не представляет собой ничего революционного, несмотря на то, что его код действительно оригинальный и не является копией Anubis. Единственная интересная особенность Cerberus состоит в использовании акселерометра Android-устройства для отслеживания перемещений. Таким образом зловред определяет, что он поразил реальную цель, а не оказался в антивирусной песочнице. Троян запускается только после того, как внутренний шагомер убедится, что пройденная пользователем дистанция превышает заданную в коде отметку.

В остальном поведение Cerberus не слишком отличается от прочих банковских зловредов. Он распространяется под видом приложения Flash Player. Оказавшись на устройстве, троян скрывает свою иконку и запрашивает доступ к службе специальных возможностей. Если жертва предоставляет ему это разрешение, Cerberus уже самостоятельно выдает себе права на отправку сообщений и совершение телефонных звонков. Кроме того, он отключает встроенное защитное решение Google Play Protect, чтобы избежать блокировки.


Троян обладает функциями кейлоггинга и создания невидимых окон, которые и позволяют ему перехватывать пользовательские данные. Аналитики нашли в коде список из 30 приложений, для которых Cerberus создает оверлеи. Банковские программы составляют половину этого списка.


Прочие вредоносные возможности включают сбор данных о зараженном устройстве, установку, запуск и удаление приложений. Модульная архитектура Cerberus позволяет операторам добавлять и новые функции.

Поиск арендаторов в клирнете

Специалисты нашли Twitter-аккаунт, посвященный продвижению Cerberus среди потенциальных клиентов. К удивлению экспертов, преступники охотно вступают в переписку даже с представителями ИБ-сообщества, не опасаясь, что те помешают их деятельности. По мнению аналитиков, такое поведение связано с желанием злоумышленников получить скандальную славу или невысоким уровнем их развития.


Помимо Twitter, преступники создали канал на YouTube, где опубликовали видео с инструкцией по работе с Cerberus. Видео охватывают все этапы работы, начиная с заражения устройства и заканчивая удалением зловреда.

 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#25
HTTP/2-серверы под угрозой DoS-атак
Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обрушит на цель запросы без возможности предоставить адекватные ответы.
По информации на момент публикации, заплатки ко всем уязвимостям выпустила компания Cloudfare, которая работает с решением NGINX. Разработчики Apple и Microsoft залатали по пять дыр, влиявших на их системы. Специалисты Akamai, которые также отметились патчами, в пояснении к уязвимостям сравнили их с атаками на базе Slowloris — эта техника также расходовала ресурсы веб-сервера неполными запросами.
Список затронутых продуктов также включает Ambassador (API Gateway), Apache Traffic Server, Netty Project, nghttp2, Node.js, Envoy (Proxy).
Технически обнаруженные уязвимости похожи друг на друга. Различия заключаются в типе данных, которые перегружают атакуемый сервер:
CVE-2019-9511— манипулирует размерами окна и приоритизацией потоков данных.
CVE-2019-9512— заставляет сервер выстраивать внутреннюю очередь из ответов на множество «пинговых» запросов.
CVE-2019-9513— позволяет злоумышленнику создать многочисленные потоки запросов и постоянно менять их внутреннюю очередность, ломая дерево приоритетов сервера.
CVE-2019-9514— перегружает сервер некорректными потоками, что приводит к созданию чрезмерного количества фреймов RST_STREAM, которые перезапускают такие процессы.
CVE-2019-9515— блокирует работу множеством фреймов SETTINGS, на каждый из которых, согласно спецификации HTTP/2, сервер должен ответить.
CVE-2019-9516—эксплуатирует потоки заголовков с нулевой длиной.
CVE-2019-9517— использует неограниченный буферинг внутренних данных. Для этого взломщику нужно открыть окно HTTP/2 без окна TCP и отправить запрос на некий массивный объект — сервер не сможет подготовить ответ и повиснет.
CVE-2019-9518— применяет потоки фреймов с пустой полезной нагрузкой и без завершающего флага; время обработки таких объектов оказывается непропорционально больше разрешающей способности сетевых каналов.
По словам специалистов Cloudfare, с момента обнаружения уязвимостей они отслеживают появление атак на их основе. На данный момент известно о нескольких локальных инцидентах, но до масштабных атак дело пока не дошло.

 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#26

О безопасности, номерах, электронных почтах и, совсем немного о рекламе

Что-то вроде исторической справки
Наверняка все помнят, как раньше работал интернет для большинства людей: приезжает дядя, проводит кабель, вы на рабочем столе жмёте иконку Internet explorer'a и вуаля, вы — пользователь интернета. Вы могли искать информацию поиском, создавать электронную почту по одному, не факт что реальному ФИО, регистрироваться в блогах и социальных сетях по почте, покупать что-то в интернет магазинах всё так же по ФИО и почте.
Но шло время, корпорации учились зарабатывать на персональных данных, показывать таргетированную и контекстную рекламу, государства, в поисках террористов и «террористов» засовывали свои носы всё глубже в большие данные, пользователи учились беспокоиться о своей конфиденциальности.
Так мы пришли в 2019.
Реальность
А реальность грустна и тревожна: как часто вы при регистрации сталкивались с просьбой указать свой номер? Уверен, за последние 3 года это происходило если не каждый, то в 9 из 10 раз. Более того, редкий из старых сервисов не спросит номер при повторном логине, если вы не заходили года два три.
Как же так вышло? Всё просто: ваш мобильный номер, оформленный на вас официально — лучший способ вас идентифицировать, привлечь ваше внимание, потревожить вас.
По вашему номеру вас может найти кто угодно, от сотрудника центра «Э» до мошенника, чему было много свидетельств и на этом портале в том числе.
Однако самое грустное лично для меня — многие пользователи искренне верят, что просьба указать номер — забота о них, а указав номер, почту и реальные ФИО, они защищают себя, информацию о себе.
Далее — текст о том, почему это не так, а также, почему номер как способ связи и рекламы устарел и вашему сервису по возможности необходимо от него отказываться прямо-прямо сейчас.
Пользователям
Представьте, вы зарегистрировались на очередном портале, будь то интернет магазин или сайт с мемами, указали почту, номер, ФИ, а портал оказался взломан. Или изначально был мошенническим или рекламным, впрочем лучше первое.
Посмотрим на примере меня, сколько можно ТОЛЬКО по открытым источникам узнать о вас информации:
Гуглим никнейм: узнаём, что как минимум я являюсь пользователем Пикабу, когда-то давно играл в браузерки, но сейчас владею аккаунтом на Steam, интересуюсь дизайном, кастомными прошивками для xperia z1 и кардингом.
К сожалению не находим ничего полезного по почте, кроме никнейма, который уже просмотрели выше.
Тем же макаром не находим ничего по номеру. Можно расслабиться? Как бы не так: набираем в плей маркете «определение номера», скачиваем первое попавшееся приложение и внезапно видим, что сразу позволяет узнать как минимум ФИ, как максимум, что я стильно одеваюсь, ходил на какие-то курсы, работал курьером, предположительно разбираюсь в маркетинге и учусь в Международном Университете в Москве на факультете Управления Крупными Городами.
Дальше больше: используя никнейм и сервис поиска по номеру, находим ВКонтакте, где получаем косвенные подтверждения тезисам, высказанным выше по подпискам и информации профиля, и получаем возможность ознакомиться с списком друзей.
Вы спросите: «И что? Эта информация бесполезна!»
Отнюдь. Представьте себя в роли недобросовестного полицейского, которому нужна палка, или мошенника. Данный набор, как минимум, позволяет рекламировать мне определённый набор услуг вроде рекламных ботов, очередных курсов чего-либо, запчастей для старого телефона, новых игр, а как максимум, в расчёте, что я не просто интересуюсь кардингом, пробовать меня шантажировать на эту тему.
Что тут такого? Шантажистов ты просто пошлёшь, а реклама — на то и реклама, чтобы её не смотреть.
Снова представим себя в роли недобросовестного полицейского, мошенника и etc:
На самом деле всё что было написано выше для нас — детский лепет, белая вершина чёрной пирамиды. Не буду писать о том, как получить доступ к «чёрной» части данных, все цены уже были описаны здесь же: 1;2;3.
Лучше подумаем, что с этим можно сделать.
А сделать можно многое, уверяю, из самого очевидного: пробиваем номер карты и баланс, если подозреваем что у меня могут водиться деньги, звоним, представляемся сотрудником сбербанка и просим отправить СМС.
Дальнейшее обычно описывают в заявлении в полицию, не будем заострять на этом внимание, как и на огромном количестве других возможных вариаций нае...... обмана честного пользователя сети интернет, который может оказаться не мной, а любым из вас, ваших родителей и прародителей, друзей.
Что же делать?
Мои, хотя почему мои, базовые, рекомендации таковы:
Держите минимум две сим-карты: На одну регистрируйтесь на разных сайтах в интернете, банках, букмекерских конторах и что угодно ещё, но ни в коем случае не публикуйте этот номер в открытом доступе и не говорите никому включая друзей, родственников, etc. Соответственно другую используйте публично, для связи с друзьями. От товарища майора это не защитит, но мошенникам создаст дополнительные препятствия, или хотя бы удорожит их деятельность на ещё пару-тройку тысяч рублей.
То же, что и 1, только с электронными почтами.
Используйте сервисы, предоставляющие временный номер и временную почту для регистраций, ссылку давать не буду т.к. таковые легко гуглятся.
Не публикуйте в интернете важную конфиденциальную информацию нигде, будь то блог в ЖЖ или личные сообщения ВКонтакте.
По возможности не указывайте свои реальные данные нигде.
Не пользуйтесь услугой доставки до дома, или вызывайте курьера на какой-нибудь ближайший адрес (пример — соседний дом, если речь о городе, крупная улица, если о пгт или того хуже)
Не пользуйтесь интернетом.
Уходите в тайгу, а нет, она же сгорела.
Держателям сайтов, приложений, мини-приложений вконтакте, игр и чего угодно ещё.
Данная статья и раздел, в общем-то, подразумевает, что вы — ответственный гражданин, уважаете права человека и конституцию, если это не так — просьба прекратить чтение и следовать далеко-надолго.
Итак, как же обеспечить безопасность пользователей и сохранить репутацию? Мои варианты ниже:
1) Регистрация без почты и телефона.
Идеальный вариант, в качестве примера которого можно вспомнить известный трёхголовый сайт в .onion зоне, где при регистрации вы вводите логин, отображаемый логин и пароль, и как бы всё. Идеальный пользователь использует для такого сайта уникальные логин и пароль (не используемые им на других сайтах), что не позволяет даже в случае похищения базы и появления её в открытом доступе установить ассоциации с другими более доступными (читай выше каким образом) сервисами и публичной информацией.
Из проблем — показ рекламы, который, впрочем, затруднится не сильно, если использовать решения от google, яндекса и прочих, а так же проблемы в взаимоотношениях с государством, которые, в большинстве случаев, решаются регистрацией сайта в иностранной юрисдикции и хостинг их там же, а если вы публикуете информацию о противодействии силовикам, либертарианстве, аниме и котиках и не попадаете в это большинство — тем более.
Важно понимать, что в данном варианте не подразумевается отсутствие записи ip пользователя в ваши базы, сохранение куки и чтение webRTC, такие решения больше для преступных сообществ, речь же именно о защите граждан от всего нехорошего.
2) Регистрация только по номеру.
Удивительно, но вариант гораздо более удобный чем регистрация по почте, которая в 2019м автоматически воспринимается, как «мы будем спамить вам бесполезную рассылку all day every day», и по сути таковым и является.
При использовании такого варианта в идеале использовать двухфакторную аутентификацию, дабы злоумышленник, имеющий номер и пароль, не мог войти без смс-кода, а имеющий дубль сим-карты или переадрессацию смс спотыкался о пароль.
3) Регистрация только по почте.
Вариант для «олдов», который, впрочем, не добавляет никаких дополнительных полезных возможностей к первому, кроме восстановления аккаунта по почте, которым так же зачастую будет пользоваться злоумышленник.
Важно понимать, что варианты выше подойдут корпоративному блогу, но не банку и не гос. сервису (их безопасность — отдельный огромный вопрос который никто не поднимает по причине нежелания уехать в лес или сесть), однако отказываться от идеальной модели — себя не любить, ведь всё, что не развитие — деградация.
Ну и немного про рекламу, в заголовке ведь было обещано
2019 — это когда ты удаляешь письма не читая, 2019 — это когда ты услышав звонок думаешь «снова эти бесплатные юридические консультации/фильтры воды всего за 100 т. р./опросы/что угодно ещё). 2019 — это год, когда вам и вашему сервису необходимо сократить контакт с клиентом по электронной почте и мобильному номеру до минимума. Наладьте чат на сайте или в приложении в личном кабинете. Это не трудно, не дорого, но это бесценно, когда речь заходит о лояльности.
А если вы не согласны, ответьте на простой вопрос — ответите ли вы на звонок, если увидите, что гугл звонилка, гетконтакт или что-то подобное отметит его как спам, и если да — то с каким настроем.
Из историй из жизни: лето, 10 утра, я на кровати, сплю. ЗВОНОК. Гугл определяет как рег.ру.
Просыпаюсь, в голове мысли, что мне сайт эшники прикрывают? Отвечаю на звонок:
-> Добрый день, это рег.ру, у вас возникали проблемы при использовании нашего сервиса?
-> Нет, сервис удобный, интерфейс понятный.
-> Спасибо, до свидания.
Что это было, я так и не понял, но утро было испорчено, а в голове остался неприятный осадок.
И таких историй миллион только у меня.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#27
Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины

Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.

27 июня 2017 г. зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, организаций по всему миру, перечень которых пополняется непрерывно и в соцсетях появляется все больше подобных фотографий:


Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:


  • путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
  • путем направленной отправки вредоносного ПО по электронной почте
  • использующаяся уязвимость для исполнения вредоносного кода:

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

  • использующаяся уязвимость для распространения и заражения:

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    , он же EternalBlue
При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:



  • открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe;
  • загрузка шифровальщика по адресу

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    [.]com;
  • на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta
  • подключение зараженного компьютера к адресам

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    [.]247,

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    [.]xyz;
  • распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
  • заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.
    • В случае, если вирусу не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске, за исключением системной директории Windows, а также папок, содержащих файлы браузеров (в отличие от WannaCry, который сканировал систему и шифровал файлы определенных форматов), аналогично поведению старого вымогателя Mischa — данное поведение было замечено в лабораторных исследованиях, подавляющее большинство жертв подвергались полному шифрованию диска и блокированию доступа в систему после перезагрузки.

  • После перезагрузки пользователю отображается окно с требованием выплаты $300 в эквиваленте Bitcoin на кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. На момент 23:30 на счет злоумышленникам уже перевели 3.277 BTC (заплатили 31 человек), по текущему курсу (на момент публикации 1 BTC эквивалентен $2409) это $7894.

    Как защититься от шифрования данных?


    Первым делом необходимо обновить сигнатуры антивирусного ПО на серверах и рабочих станциях (в случае наличия антивирусного ПО) — база сигнатур должна быть обновлена 27.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч). Вот перечень вредоносных файлов и их хеш-значений:
    • файл Order-20062017.doc, размер 6215 байт, SHA1: 101CC1CB56C407D5B9149F2C3B8523350D23BA84, MD5: 415FE69BF
    • 32634CA98FA07633F4118E1, SHA256: FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206;
    • файл myguy.xls, размер 13893 байт, SHA1: 736752744122A0B5EE4B95DDAD634DD225DC0F73, MD5: 0487382A4DAF8EB9660F1C67E30F8B25, EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6;
    • файл BCA9D6.exe, размер 275968 байт, SHA1: 9288FB8E96D419586FC8C595DD95353D48E8A060, MD5: A1D5895F85751DFE67D19CCCB51B051A, SHA256: 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD.

  • На уже зараженных системах указанные файлы располагаются в файловой системе в следующих папках:
    • C:\Windows\perfc.dat
    • C:\myguy.xls.hta
    • %APPDATA%\10807.exe

  • В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:\Windows\perfc.dll с помощью стандартного Блокнота.

    Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:
    • Вручную осуществить блокировку запросов к ресурсам в сети Интернет (скобки возле точек вставлены, чтобы не было гиперссылок):

      — 84.200.16[.]242
      — 84.200.16[.]242/myguy.xls
      — french-cooking[.]com/myguy.exe
      — 111.90.139[.]247
      — COFFEINOFFICE[.]XYZ
    • Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
    • Если рабочая станция уже заражена и пользователь видит «синий экран смерти Windows», компьютер самостоятельно начинает перезагружаться с запуском утилиты Check Disk, необходимо срочно отключить его по питанию, в этом случае данные на жестком диске не будут зашифрованы.
    • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно

      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

      .
      На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:


      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.



      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.



      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    • Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно

      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

      .
    • В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с

      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

      .
    • В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010)

  • Что делать по факту заражения?

    Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
    При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО:
    • Отключить зараженную машину от локальной сети;
    • При заражении MBR в отдельных случаях удается восстановиться с помощью bootrec /RebuildBcd, bootrec /fixMbr, bootrec /fixboot;
    • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления дешифратора, данные можно будет восстановить. Надежду вселяет история с предыдущей крупномасштабной атакой на территории Украины вредоносного вымогательского ПО XData — создатель вируса опубликовал ключи шифрования через несколько дней после распространения вируса, оперативно появилось ПО для дешифрования данных);
    • Загрузиться с загрузочного диска / флешки, установить систему, полностью отформатировав зашифрованный жесткий диск;
    • Установить актуальные обновления безопасности Windows (обязательна установка

      Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

      );
    • Установить антивирусное ПО, обновить базу данных сигнатур;
    • Восстановить данные из резервной копии (в случае наличия резервной копии незашифрованных данных, до заражения).

  • Данные с жестких дисков, зашифрованных старым вирусом Petya, восстанавливались

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    . Сам дешифратор для старой версии Petya был опубликован

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    . Дешифратора для новой версии Petya.C еще нет.

    Обнаружение распространения вируса по сети

    В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.

    Существует SIGMA-правило для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch:
    title: PsExec tool execution on destination host
    status: experimental
    description: Detects PsExec service installation and execution events (service and Sysmon)
    author: Thomas Patzke
    reference:

    Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.


    logsource:
    product: windows
    detection:
    service_installation:
    EventID: 7045
    ServiceName: 'PSEXESVC'
    ServiceFileName: '*\PSEXESVC.exe'
    service_execution:
    EventID: 7036
    ServiceName: 'PSEXESVC'
    sysmon_processcreation:
    EventID: 1
    Image: '*\PSEXESVC.exe'
    User: 'NT AUTHORITY\SYSTEM'
    condition: service_installation or service_execution or sysmon_processcreation
    falsepositives:
    — unknown
    level: low


    Снова эпидемия?

    Причиной широкого распространения вируса является невыполнение базовых необходимых мероприятий по защите от направленных атак подобного рода:
    • своевременное обновление системного ПО;
    • повышение осведомленности сотрудников в области ИБ и формирование принципов безопасной работы с электронной почтой.

  • Организационные мероприятия не могут обеспечить надежной и эффективной защиты от направленных атак и вымогательского ПО, поэтому требуется выполнение комплекса технических мероприятий.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#28
Фундаментальные основы хакерства. Мастер-класс по анализу исполняемых файлов в IDA pro
В этой статье мы окунемся в глубокий и подробный статический анализ с помощью IDA Pro — сверхпопулярного среди хакеров и специалистов по информационной безопасности дизассемблера. С первых же версий он занял заслуженное место лидера рынка. Это своего рода швейцарский армейский нож, которым мы будем разделывать цифровую добычу. Начнем с самого базового анализа и постепенно будем пробираться вперед, разгребая заросли кода.

С легкой руки Денниса Ритчи повелось начинать освоение нового языка программирования с создания простейшей программы «Hello, World!». Не будем нарушать эту традицию и оценим возможности IDA Pro следующим примером.


INFO

Чтобы все было как в статье, компилируй примеры с помощью Visual C++ 2017 вызовом cl.exe first.cpp /EHcs. Флаг /EHcs нужен, чтобы подавить возражение компилятора и вместе с тем включить семантику уничтожения объектов.

#include <iostream>
void main()
{
std::cout << "Hello, Sailor!\n";
}

Компилятор сгенерирует исполняемый файл объемом почти 190 Кбайт, большую часть которого займет служебный, стартовый или библиотечный код. Попытка дизассемблирования с помощью таких средств, как W32Dasm, не увенчается быстрым успехом, поскольку над полученным листингом размером в два с половиной мегабайта (!) можно просидеть не час и не два. Легко представить, сколько времени уйдет на серьезные задачи, требующие изучения десятков и сотен мегабайтов дизассемблированного текста.

Попробуем дизассемблировать эту программу с помощью IDA. Если все настройки оставить по умолчанию, то после завершения анализа экран должен выглядеть следующим образом.


Чтобы открыть текстовое представление, надо из контекстного меню выбрать пункт Text view.

Какую версию IDA Pro выбрать?

Последней версией IDA Pro на момент написания статьи была 7.3. Ее цена может быть великовата для покупки в исследовательских целях. Как известно, Ильфак Гильфанов очень строго относится к утечкам и появлению продуктов своей компании в интернете и не допускает подобного.

Однако на сайте компании Hex-Rays в публичный доступ выложена бесплатная версия дизассемблера с функциональными ограничениями. Например, она не получает обновления после достижения майлстоуна целой версии, то есть сейчас для свободной загрузки доступна версия 7.0. Также она поддерживает только архитектуры x86 и x64.

Тем не менее этого вполне достаточно для наших целей. Потому что нам не придется разбираться в коде для процессоров ARM, Motorola, Sparc, MIPS или Zilog. Еще одно ограничение накладывается на использование в коммерческих целях, но и тут наша совесть чиста.

Закончив автоматический анализ файла first.exe, IDA переместит курсор к строке .text:0040628B — точке входа в программу. Не забудь из графического режима отображения листинга переключиться в текстовый. Также обрати внимание на строчку .text:00406290 start endp ; sp-analysis failed, выделенную красным цветом в конце функции start. Так IDA отмечает последнюю строку функции в случае, если у нее в конце return и значение указателя стека на выходе из функции отличается от такового на входе.
Среди начинающих программистов широко распространено заблуждение, что якобы программы, написанные на языке С, начинают выполняться с функции main. В действительности это не совсем так. На самом деле сразу после загрузки файла управление передается на функцию Start, вставленную компилятором. Она подготавливает глобальные переменные:
  • argc — количество аргументов командной строки;
  • argv — массив указателей на строки аргументов;
  • _environ — массив указателей на строки переменных окружения.
Заполняется структура OSVERSIONINFOEX, которая среди прочего включает:
  • dwBuildNumber — билд;
  • dwMajorVersion — старшую версию операционной системы;
  • dwMinorVersion — младшую версию операционной системы;
  • _winver — полную версию операционной системы;
  • wServicePackMajor — старшую версию пакета обновления;
  • wServicePackMinor — младшую версию пакета обновления.
Далее Start инициализирует кучу (heap) и вызывает функцию main, а после возвращения управления завершает процесс с помощью функции Exit. Для получения значений структуры OSVERSIONINFOEX используется функция GetVersionEx.
Продемонстрировать инициализацию переменных, совершаемую стартовым кодом, а также получение их значений позволяет следующая программа.
CRtO.demo.c
#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>

void main()
{
OSVERSIONINFOEX osvi;
ZeroMemory(&osvi, sizeof(OSVERSIONINFOEX));
osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
GetVersionEx((OSVERSIONINFO*)&osvi);

int a;
printf(">OS Version:\t\t\t%d.%d\n\
>Build:\t\t\t%d\n\
>Arguments count:\t%d\n", \
osvi.dwMajorVersion, osvi.dwMinorVersion, osvi.dwOSVersionInfoSize, __argc);
for (a = 0; a < __argc; a++)
printf(">\t Argument %02d:\t\t%s\n", a + 1, __argv[a]);
a = !a - 1;
while (_environ[++a]);
printf(">Environment variables count:%d\n", a);
while (a)
printf(">\tVariable %d:\t\t%s\n", a, _environ[--a]);
}
Прототип функции main как будто указывает, что приложение не принимает никаких аргументов командной строки, но результат работы программы говорит об обратном и на моей машине выглядит так (приводится в сокращенном виде):

OS Version: 6.2
Build: 156
Arguments count: 1
Argument 01: CRt0.demo.exe
Environment variables count: 99
...
Variable 20: FrameworkVersion=v4.0.30319
Variable 19: FrameworkDIR32=C:\WINDOWS\Microsoft.NET\Framework\
Variable 18: FrameworkDir=C:\WINDOWS\Microsoft.NET\Framework\
Variable 17: Framework40Version=v4.0
Variable 16: ExtensionSdkDir=C:\Program Files (x86)\Microsoft SDKs\Windows Kits\10\ExtensionSDKs
Variable 15: DriverData=C:\Windows\System32\Drivers\DriverData

Очевидно, нет никакой необходимости анализировать стандартный стартовый код приложения, и первая задача исследователя — найти место передачи управления на функцию main. К сожалению, чтобы гарантированно решить эту задачу, потребуется полный анализ содержимого функции Start. У исследователей есть много хитростей, которые позволяют не делать этого, но все они базируются на особенностях реализации конкретных компиляторов и не могут считаться универсальными.
Например, Visual C++ всегда, независимо от прототипа функции main, передает ей три аргумента: указатель на массив указателей переменных окружения, указатель на массив указателей аргументов командной строки и количество аргументов командной строки, а все остальные функции стартового кода принимают меньшее количество аргументов.
Рекомендую ознакомиться с исходниками стартовых функций популярных компиляторов. Для Visual C++ 14 в соответствии с архитектурой они находятся в подпапках каталога %\Program Files (x86)\Microsoft Visual Studio 14.0\VC\crt\src\. Их изучение упростит анализ дизассемблерного листинга.
Ниже в качестве иллюстрации приводится фрагмент стартового кода программы first.exe, полученный в результате работы W32Dasm.

//******************** Program Entry Point ********************
:0040628B E802070000 call 00406992
:00406290 E974FEFFFF jmp 00406109
* Referenced by a CALL at Addresses:
|:0040380C , :004038B2 , :0040392E , :00403977 , :00403A8E
|:00404094 , :004040FA , :00404262 , :00404BF4 , :00405937
|:004059AE
|
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004062B6(U)
|
:00406295 8B4DF4 mov ecx, dword ptr [ebp-0C]
:00406298 64890D00000000 mov dword ptr fs:[00000000], ecx
:0040629F 59 pop ecx
:004062A0 5F pop edi
:004062A1 5F pop edi
:004062A2 5E pop esi
:004062A3 5B pop ebx
:004062A4 8BE5 mov esp, ebp
:004062A6 5D pop ebp
:004062A7 51 push ecx
:004062A8 F2 repnz
:004062A9 C3 ret
...

Иначе выглядит результат работы IDA, умеющей распознавать библиотечные функции по их сигнатурам (приблизительно по такому же алгоритму работает множество антивирусов).
Поэтому способности дизассемблера тесно связаны с его версией и полнотой комплекта поставки — далеко не все версии IDA Pro в состоянии работать с программами, сгенерированными современными компиляторами.

.text:0040628B start proc near
.text:0040628B
.text:0040628B ; FUNCTION CHUNK AT .text:00406109 SIZE 00000127 BYTES
.text:0040628B ; FUNCTION CHUNK AT .text:00406265 SIZE 00000026 BYTES
.text:0040628B
.text:0040628B call sub_406992
.text:00406290 jmp loc_406109
.text:00406290 start endp ; sp-analysis failed
.text:00406290
.text:00406295 ; [00000015 BYTES: COLLAPSED FUNCTION __EH_epilog3. PRESS CTRL-NUMPAD+ TO EXPAND]
.text:004062AA ; [00000011 BYTES: COLLAPSED FUNCTION __EH_epilog3_GS. PRESS CTRL-NUMPAD+ TO EXPAND]
.text:004062BB ; [00000034 BYTES: COLLAPSED FUNCTION __EH_prolog3. PRESS CTRL-NUMPAD+ TO EXPAND]
.text:004062EF ; [00000037 BYTES: COLLAPSED FUNCTION __EH_prolog3_GS. PRESS CTRL-NUMPAD+ TO EXPAND]
.text:00406326 ; [00000037 BYTES: COLLAPSED FUNCTION __EH_prolog3_catch. PRESS CTRL-NUMPAD+ TO EXPAND]
.text:0040635D
.text:0040635D ; =============== S U B R O U T I N E ===============
.text:0040635D
.text:0040635D ; Attributes: thunk
.text:0040635D
.text:0040635D sub_40635D proc near ; CODE XREF: sub_4042FD+19↑p
.text:0040635D jmp sub_406745
.text:0040635D sub_40635D endp
.text:0040635D
.text:00406362
...

Перечень поддерживаемых компиляторов можно найти в файле %IDA%/SIG/list. В нем есть старинные Microsoft C и Quick C, Visual C++ с первой по восьмую версию и Visual.Net. А вот Visual C++ 14 из Visual Studio 2017 здесь нет. Однако, взглянув в окно IDA, мы видим, что дизассемблер сумел определить многие (но не все) функции.
Заглянем в окно вывода, находящееся внизу. Там, немного прокрутив вывод, мы обнаружим строчку Using FLIRT signature: SEH for vc7-14, говорящую о том, что используемая версия IDA все же понимает компиляторы Visual C++ от 7 до 14.



Давай разбираться в получившемся листинге. Первое и в данном случае единственное, что нам надо найти, — это функция main. В начале стартового кода после выполнения процедуры sub_406992 программа совершает прыжок на метку loc_406109:

.text:0040628B start proc near
.text:0040628B call sub_406992
.text:00406290 jmp loc_406109

Для перехода на метку достаточно поставить на нее текстовый курсор и нажать Enter. Если подвести курсор мыши к метке или вызову функции, появится окно, в котором будет показано начало выбранной функции или место листинга, куда переводит метка, что очень удобно.

В данном случае, как мы видим по комментарию, IDA отправила нас в начало стартового куска кода. Немного прокрутим листинг вниз, обращая внимание на плавные переходы по меткам.

В итоге доходим до вызова функции: call sub_4010D0. Похоже, это и есть функция main, поскольку здесь дизассемблер смог распознать строковую переменную и дал ей осмысленное имя aHelloSailor, а в комментарии, расположенном справа, для наглядности привел оригинальное содержимое Hello, Sailor!\n. Смещение этой строки компилятор закинул на вершину стека, а затем ниже через строчку, по всей видимости, происходит вызов функции вывода на экран:

.text:004010D3 push offset aHelloSailor ; "Hello, Sailor!\n"
.text:004010D8 push offset unk_42DE30
.text:004010DD call sub_401170

Чтобы убедиться в этом, зайдем в последнюю процедуру. Разобраться в ней без пива не представляется возможным, разве что огромное количество параметров намекает нам на схожесть с функцией printf.

Если поместить курсор в границы имени aHelloSailor и нажать Enter, IDA автоматически перейдет к строке, в которой выполняется определение переменной:

.rdata:0041E1A0 aHelloSailor db 'Hello, Sailor!',0Ah,0 ; DATA XREF: sub_4010D0+3↑o

Выражение DATA XREF: sub_4010D0+3↑o называется перекрестной ссылкой и свидетельствует о том, что в третьей строке процедуры sub_4010D0 произошло обращение к текущему адресу по его смещению (o от слова offset), а стрелка, направленная вверх, указывает на относительное расположение источника перекрестной ссылки.

Если навести курсор на выражение sub_4010D0+3↑o и нажать Enter, то IDA Pro перейдет к следующей строке:

.text:004010D3 push offset aHelloSailor ; "Hello, Sailor!\n"

Нажатие Esc отменяет предыдущее перемещение, возвращая курсор в исходную позицию.

К слову, дизассемблер W32Dasm даже не смог распознать строковую переменную.


Что не так с IDA?
Положа руку на сердце — я был слегка разочарован, ибо ожидал, что IDA распознает больше библиотечных процедур. Поэтому я решил натравить «Иду» на такую же программу, но сгенерированную более ранней версией компилятора. Подопытным кроликом выступил Visual C++ 8.0 (VS 2005).
Сравним результаты работы компиляторов. Тот же исходник, компиляция из командной строки (папка first05). Загрузим итоговый экзешник в «Иду». Листинг приводится в сокращенном виде для экономии пространства.


Мало того что стартовый код меньше по объему, так еще было автоматически определено большее количество библиотечных функций, среди которых: GetVersionExA, GetProcessHeap, HeapFree и ряд других. Среди них достаточно просто найти вызов main и перейти на саму функцию.

Тем не менее VC++ 8.0 — ушедшая эпоха, и в пример я ее привел только для ознакомления.

На этом анализ приложения first.cpp можно считать завершенным. Для полноты картины остается переименовать функцию sub_4010D0 в main. Для этого подводи курсор к строке .text:004010D0 (началу функции) и жми N. В появившемся диалоге можешь ввести main. Результат должен выглядеть так:

.text:004010D0 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:004010D0 main proc near ; CODE XREF: start-8D↓p
.text:004010D0
.text:004010D0 argc = dword ptr 8
.text:004010D0 argv = dword ptr 0Ch
.text:004010D0 envp = dword ptr 10h
.text:004010D0
.text:004010D0 push ebp
.text:004010D1 mov ebp, esp
.text:004010D3 push offset aHelloSailor ; "Hello, Sailor!\n"
.text:004010D8 push offset unk_42DE30
.text:004010DD call sub_401170
.text:004010E2 add esp, 8
.text:004010E5 xor eax, eax
.text:004010E7 pop ebp
.text:004010E8 retn
.text:004010E8 main endp

Обрати внимание: IDA в комментарии подставила прототип функции, а ниже параметры по умолчанию.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#29
У хакера конфисковали более миллиона долларов, чтобы выплатить компенсации его жертвам
27-летний Грант Вест (Grant West) был арестован британскими властями еще в 2017 в ходе операции Draba, а вскоре после ареста признал себя виновным и был приговорен к 10 годам лишения свободы за многочисленные хакерские атаки и преступления, связанные с наркотиками.


С 2015 года Вест, действовавший под псевдонимом Courvoisie, атаковал десятки компаний по всему миру. По

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, суммарно от его рук пострадали более 100 предприятий и организаций, включая Uber, Groupon, T Mobile, Just Eat, Asda, Sainsburys и так далее.



Вест использовал фишинг и атаковал компании с целью получения финансовой информации о десятках тысяч их клиентов, а затем продавал собранные таким образом данные в даркнете (он успел совершить более 47 000 сделок), или использовал информацию о ворованных картах в личных целях: регулярно оплачивал таким образом еду, покупки и товары для дома. Кроме того, он торговал в даркнете наркотиками, а также продавал другим мошенникам инструкции по проведению кибератак.


Все свои атаки Вест осуществлял с ноутбука, принадлежавшего его девушке, Рэйчел Брукс (Rachael Brookes). На этом же устройстве он хранил личную финансовую информацию более чем 100 000 человек. Кроме того, при обыске дома у хакера была обнаружена SD-карта, на которой нашли более 78 млн ученых данных, а также информацию о 63 000 ворованных банковских картах.


После ареста сообщалось, что у Веста изъяли более 25 000 фунтов стерлингов (30 000 долларов) и наркотики. Но теперь правоохранители рассказали, что также обнаружили большую сумму в криптовалюте. Как оказалось, изначально Вест не хотел расставаться с «заработанным» и пытался скрыть биткионы от следствия, однако судья пригрозил хакеру, что тогда тот проведет за решеткой еще четыре года.


На этой неделе суд одобрил конфискацию криптовалютных активов Веста, которые, как выяснилось, оцениваются в 922 978 фунтов стерлингов. Теперь криптовалюта хакера будет продана, а вырученные средства будут использованы для выплат компенсаций пострадавшим.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#30
Fancy Bear пытается победить машинное обучение новым бэкдором
Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Исследователи из Cylance

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28). Инструмент создан с целью победить защиту на основе машинного обучения. По словам исследователей, преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Имплант представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности.
Данный подход демонстрирует утонченную работу киберпреступников. Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты, предполагают специалисты.
В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников. Обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее.
Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.

 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#31
«Лаборатория Касперского» предупредила о малвари, маскирующейся под учебники и рефераты
Начался учебный год, и специалисты «Лаборатории Касперского»

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что попытка скачать пиратские рефераты и учебники часто заканчивается заражением. Если в поисках материалов пользователь попадает на вредоносный сайт, в итоге на его машину может проникнуть все, что угодно. Но некоторая малварь распространяется таким образом чаще других.


Как выяснилось, за последний учебный год преступники, концентрирующиеся на теме образования, пытались атаковать пользователей продуктов «Лаборатории Касперского» в общей сложности более 356 000 раз. Из них 233 000 случаев — это вредоносные рефераты. Малварь, замаскированная под учебники, была ответственна за 122 000 атак.



Самыми популярными оказались вредоносные учебники по английскому: их пытались скачать 2080 человек. На втором месте — пособия по математике, которые чуть не заразили 1213 учащихся. Замыкает тройку самых опасных предметов литература — 870 потенциальных жертв.


Под видом рефератов и учебников чаще всего распространяются следующие вредоносы:


Stalk. Чтобы заразиться, не обязательно даже посещать сомнительные сайты и искать пиратские версии учебников. Такую «литературу» распространяют и спамеры. К примеру, так распространяется давно известный червь Worm.Win32.Stalk.a, которого эксперты уже считали «ушедшим на покой». Однако червь не просто до сих пор активен, но и занимает первую строчку по количеству атакованных пользователей среди малвари, маскирующейся под учебные материалы.


Попав на компьютер, Stalk проникает на все подключенные к нему устройства, например, на другие компьютеры в локальной сети или на флешку с учебными материалами. Исследователи отмечают, что это коварный ход, ведь, скорее всего, пользователь захочет распечатать загруженный реферат, а принтерные в школах и университетах принимают документы именно на флешках. В результате червь пробирается и в сеть учебного заведения. Чтобы захватить как можно больше систем, малварь также попытается разослать себя по электронной почте всем контактам жертвы.


Но Stalk опасен не только своей способностью распространяться по локальной сети и почте. Червь также способен загружать на зараженное устройство другие сомнительные приложения, а также копировать и отправлять своим операторам, например, файлы с компьютера.


Эксперты полагают, что причина успеха Stalk заключается в том, что в учебных заведениях в целом и в принтерных в частности часто используются устаревшие версии ОС и другого ПО, что и позволяет червю до сих пор благоденствовать.


Win32.Agent.ifdx. Под видом учебника или реферата в формате DOC, DOCX или PDF частенько скрывается загрузчик. Несмотря на то, что он притворяется документом с соответствующей иконкой, на самом деле это программа. Причем при запуске она действительно откроет текстовый файл — чтобы усыпить бдительность жертвы. Однако основная задача — доставить на компьютер малварь.


В последнее время загрузчик распространяет майнеры. Однако стоит помнить о том, что приоритеты операторов малвари могут смениться, и пейлоад поменяется на шпионские программы, банковские трояны или шифровальщики.


WinLNK.Agent.gen. Малварь любит скрываться в архивах — в упакованном виде их сложнее проверить. Так поступает, например, загрузчик WinLNK.Agent.gen, который тоже легко подцепить в поисках учебников и рефератов. Внутри архива находится ярлык текстового файла, который не только открывает сам документ, но и запускает прилагающиеся компоненты малвари.


Таким образом на устройство могут проникнуть другие вредоносы. Как правило, это снова майнеры, которые добывают для своих хозяев криптовалюту, используя ресурсы зараженного устройства. Но это может быть и adware, заваливающая жертв рекламными предложениями, и другие вредоносы.


MediaGet. Замыкает список наиболее «безобидный сюрприз» из всех, что поджидают учащихся на вредоносных ресурсах: сайты с учебниками, пестрящие кнопками «Скачать бесплатно», нередко подсовывают пользователям вместо документа, который те искали, загрузчик программы MediaGet. Этот загрузчик просто скачает и установит ненужный пользователю торрент-клиент, не причинив другого вреда.

 

shaiker

Участник

shaiker

Участник
Регистрация
6 Июн 2019
Сообщения
8
Симпатии
1
eRUB
103
#32
Архивы НАСА

Хакеры взломали сервер NASA
Может американская Лаборатория реактивного движения NASA (JPL) и производит одни из самых высокотехнологичных вещей на планете, например, те же марсоходы и космические телескопы, но оказывается, что у нее наблюдаются очень серьезные проблемы с кибербезопасностью. Компьютерная сетевая безопасность одной из ведущих исследовательских лабораторий мира находится на весьма посредственном уровне, что и стало причиной ее успешного хакерского взлома в апреле 2018 года.
злоумышленники, используя неавторизированный компьютер на базе Raspberry Pi (компактный одноплатный компьютер размером с банковскую карту, изначально разработанный как бюджетная система для обучения информатике, но позже получивший более широкое применение) и украсть 500 МБ данных, которые находились в одной из основных систем. Хакеры также использовали эту возможность, чтобы найти шлюз, который позволил бы глубже проникнуть во внутреннюю сеть JPL.
Фактически это открыло им доступ к некоторым большим миссиям NASA, включая Deep Space Network, представляющую собой международную сеть радиотелескопов и средств связи, используемых как для радиоастрономического исследования Солнечной системы и Вселенной, так и для управления межпланетными космическими аппаратами. После этого в целях безопасности агентство решило отключить от сети JPL проекты по созданию многоцелевого транспортного корабля «Орион» и Международной космической станции, чтобы хакеры впоследствии не добрались и до них.
Инспекция также обнаружила, что помимо проблем с видимостью подключенных к сети устройств и отсутствием разбиения сети на отдельные подсистемы, запросы безопасности не обрабатывались в течение длительных периодов времени. Отмечается, что в некоторых случаях эти запросы никто не обрабатывал в течение 180 дней. Следователи подчеркивают, что практика ведения и реагирования на подобные инциденты сотрудниками отдела безопасности JPL отличаются от предписаний и рекомендаций NASA.
В самом аэрокосмическом агентстве согласились со всеми выводами инспекции, а также пообещали следовать всем рекомендациям надзорного ведомства, кроме одной — создать возможности для поиска угроз, чтобы находить уязвимости, прежде чем они приведут к серьезным проблемам. С этим пунктом в NASA не согласны.
Посмотреть вложение 10070
Вот так да....
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#33
Вымогатели потребовали от городских властей 5,3 млн долларов, но им предложили 400 000, и сделка не состоялась
Еще в начале июля 2019 года город Нью-Бедфор, штат Массачусетс, пострадал от атаки шифровальщика Ryuk. Информация о случившемся не раскрывалась до недавнего времени, так как городские власти пытались договориться с вымогателями, потребовавшими целых 5,3 млн долларов выкупа. Столь огромной суммы у города, конечно, не было, и городские власти сделали операторам малвари встречной предложение в размере 400 000 долларов, но этого оказалось недостаточно.


Теперь, когда инцидент остался позади, мэр Нью-Бедфорда Джон Митчелл (Jon Mitchell) провел

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, на которой подробно рассказал о случившемся.



По словам Митчелла, атака произошла в ночь с 4 на 5 июля, и городская сеть оказалась заражена Ryuk. Вымогатель сумел заразить 158 рабочих станций, что составило 4% от общего парка компьютеров в городе. Все могло бы обернуться намного хуже, но атака произошла ночью, когда большинство городских систем были отключены, что не позволило вымогателям распространять малварь по всей сети. А уже на следующий день ИТ-специалисты города обнаружили компрометацию и быстро изолировали зараженные машины от городской сети.


Через одного из своих консультантов город связался со злоумышленниками, которые оставили адрес электронной почты в сообщениях с требованием выкупа. Те потребовали от муниципальных властей 5,3 млн долларов в криптовалюте. Такой суммы у Нью-Бедфора не было, однако город решил вступить с хакерами в переговоры, чтобы выиграть больше время для ИТ-персонала, на тот случай, если атакующие предпримут иные действия, кроме вымогательской атаки.


В итоге город сделал злоумышленникам встречное предложение, используя страховое возмещение в размере 400 000 долларов, однако такая сумма хакерам показалась недостаточной. Тогда было принято решение восстанавливать пострадавшую информацию из резервных копий, что оказалось не так сложно, в виду небольшого количества зараженных систем, а также в силу того, что шифровальщики не поразили критические системы города.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#34
Шифровальщик Lilocked заразил тысячи Linux-серверов

ИБ-специалисты заметили нового шифровальщика Lilocked (он же Lilu), который уже атаковал более 6000 серверов, и похоже, малварь предназначена только для Linux-систем.


Первые заражения были зафиксированы еще середине июля 2019 года, однако до сих пор неясно, как именно Lilocked проникает на серверы своих жертв. Когда известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie) написал о шифровальщике в своем

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, пользователи стали сообщать, что были атакованы, к примеру, через уязвимости в Exim или пострадали из-за использования старых версий WordPress.



Пораженные этим вымогателем серверы легко обнаружить, так как большинство файлов на них зашифрованы и имеют расширение .lilocked. Исследователи отмечают, что Lilocked не шифрует системные файлы, чтобы сервер мог продолжать работать, но «портит» файлы HTML, SHTML, JS, CSS, PHP, INI и различные файлы изображений.

Копия послания с требованием выкупа (с именем #README.lilocked) доступна в каждой папке, где вымогатель шифрует файлы. Пострадавшим предлагают посетить сайт в даркнете, где нужно ввести ключ из записки с требованием выкупа. Уже здесь у жертв требуют 0,03 биткоина (примерно 325 долларов США по текущему курсу).

По словам французского ИБ-специалста, известного под псевдонимом

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, вымогатель поразил уже более 6700 серверов, многие из которых проиндексированы поисковиками, так что их можно легко обнаружить через Google.

К сожалению, реальное число жертв Lilocked, вероятнее всего, намного выше, так как далеко не везде есть веб-серверы, и многие зараженные системы не фигурируют в результатах поиска Google. Как именно работает Lilocked, и можно ли спасти пострадавшую информацию, не выплачивая выкуп злоумышленникам, пока неизвестно, так как экспертам пока не удалось обнаружить и изучить образец самой малвари.
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#35
В ходе операции reWired арестован 281 подозреваемый в BEC-скаме

Совместными усилиями правоохранительных органов десяти стран мира за последние четыре месяца были арестованы множество подозреваемых в мошенничестве посредством BEC-атак.

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

помогла вернуть пострадавшим компаниями порядка 118 млн долларов США.


Напомню, что чаще всего компрометация посредством деловой переписки (business email compromise, BEC) подразумевает под собой компрометацию легитимного почтового аккаунта одного из сотрудников компании. После этого злоумышленники используют учетную запись для рассылки поддельных писем сотрудниками той же компании или ее партнерам, и применяют социальную инженерию, убеждая их перевести средства на подставные счета, прикрываясь фальшивыми инвойсами и вымышленными сделками.



На этой неделе Центр приема жалоб на мошенничество в Интернете (IC3) при ФБР опубликовал

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, согласно которому, в период с июня 2016 года по июль 2019 года компании со всего мира потеряли в результате BEC-мошенничества более 26 миллиардов долларов. Выявленные убытки от таких атак увеличиваются год от года, и с мая 2018 года по июль 2019 года они в очередной раз выросли на 100%.


Активно ловить BEC-скамеров правоохранительные органы начали еще в прошлом году, например, в рамках операции

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Так, летом 2018 года были арестованы сразу 74 подозреваемых, у которых было изъято почти 2,4 млн долларов США, а пострадавшим компаниями удалось вернуть около 14 млн долларов США, ранее похищенных с помощью мошеннических переводов.


Как оказалось, в этом году «охота» продолжилась. Операция reWired, о которой отчиталось на этой неделе Министерство юстиции США, длилась четыре месяца и проводилась совместными усилиями органов правопорядка из США, Франции, Италии, Японии, Кении, Малайзии, Турции, Ганы, Нигерии и Великобритании. Эта операция оказалась намного масштабнее прошлогодней Wire Wire. В общей сложности был арестован 281 мошенник, и большинство задержаний пришлось на Нигерию, где правоохранители совершили сразу 167 арестов. Сообщается, что еще 74 подозреваемых были задержаны в США, 18 арестованы в Турции, а еще 15 человек задержаны в Гане.


Операция reWired привела к изъятию у мошенников 3,7 млн долларов, а пострадавшие компании на этот раз вернули себе около 118 миллионов долларов.


Кроме того, Министерство юстиции заявляет, что некоторые из задержанных занимались не только мошенничеством по электронной почте и обманом похищали деньги у различных компаний и организаций. К примеру, сообщается, что некоторые задержанные использовали доступ к взломанным учетным записям для кражи личной информации, включая финансовые данные, которые затем использовались для подачи фейковых налоговых деклараций. Так, по данным Налоговой службы США, подозреваемые похитили более 250 000 удостоверений личности и подали более 10 000 мошеннических деклараций, пытаясь получить свыше 91 миллиона долларов в виде возврата налогов.


Помимо этого подозреваемые занимались мошенничеством в сферах свиданий, недвижимости, трудоустройства, продажи автомобилей, лотерей и так далее. Известно, что некоторые из обвиняемых были денежными «мулами», которые помогали отмывать и обналичивать украденные средства.
 

Serggik00

ГЛАВНЫЙ МОДЕРАТОР
ГЛАВНЫЙ МОДЕРАТОР
ЮБИЛЕЙНАЯ ЛЕНТА

Serggik00

ГЛАВНЫЙ МОДЕРАТОР
ГЛАВНЫЙ МОДЕРАТОР
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
31 Май 2018
Сообщения
701
Симпатии
619
eRUB
3,258
#36
Отличные статьи! С удовольствием все почитал!
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#37
Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги



C момента своего

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в декабре 2017-го дипфейки, видео с почти идеальной заменой лица, созданные нейросетью, наводили на экспертов панику. Многие, например, тогда боялись, что теперь еще проще станет «порно-месть», когда бывший бойфренд с достаточно мощным ПК может смастерить любое грязное порно с подругой. А Натали Портман и Скарлетт Йоханссон, о которых порно с deepfake снимали особенно много, публично

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

интернет.



Чтобы бороться с подступающей угрозой, Facebook и Microsoft недавно

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

коалицию для борьбы с дипфейками, объявив призовой фонд $10 млн тем разработчикам, которые придумают лучшие алгоритмы для их обнаружения. Это помимо DARPA, управления исследованиями Министерства обороны США,

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

на эту цель $68 млн за последние два года.



Ну так вот, уже поздно. Первое deepfake-преступление уже состоялось.


По

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

Wall Street Journal, в марте этого года управляющий директор британской энергетической компании был ограблен на €220 000 (около $240 000). Он отправил эти деньги фирме-поставщику из Венгрии, потому что его босс, глава материнской фирмы в Германии, несколько раз подтвердил ему такую инструкцию. Но на самом деле какой-то хитрый злоумышленник просто использовал софт с AI-технологиями, чтобы в режиме реального времени заменять лицо и голос руководителя, и требовать, чтобы тот заплатил ему в течение часа.



Программа, которую использовал вор, смогла полностью имитировать голос человека: тон, пунктуацию, даже немецкий акцент. Сообщение исходило с адреса босса в Германии, в подтверждение британскому директору был направлен e-mail с контактами. Предположить, что что-то идёт не так, можно было разве что по требованию босса провести всю сделку как можно быстрее, но это далеко не первый аврал, который случался в их бизнесе.



В итоге – все деньги пропали. Из венгерского аккаунта их перевели в Мексику, а потом рассеяли по всему миру. Но воры на этом не остановились. Они попросили второй срочный перевод, чтобы «поставки из Венгрии» «пошли еще быстрее». Тут уж британский директор почуял неладное, и позвонил своему настоящему боссу. Получился какой-то сюр: он по очереди принимал звонки то от фейкового, то от настоящего руководителя, говорящих одинаковыми голосами. Название компании и её сотрудников не разглашаются, поскольку по этому делу ведется расследование, и воры еще не найдены.


Возможно, это даже не первая кража с использованием Deepfake AI (или его продвинутых последователей). Symantec сообщает, что она засекла как минимум три случая, в которых замена голоса помогла ворам обхитрить компании и заставить их послать им деньги. В одном из этих случаев ущерб составил миллионы долларов. Причем, судя по косвенным признакам, этот трюк был проделан другими злоумышленниками – не теми, которые обокрали британского СЕО. То есть, deepfake-преступления постепенно становятся общим достоянием, это не придумка какого-то одного гениального хакера.



На самом деле, скоро такую процедуру сможет проделать любой школьник. Главное – найти достаточно доверчивую жертву, и собрать нужное количество сэмплов видео/аудио, чтобы имперсонировать, кого потребуется. Google Duplex уже успешно мимикрирует под голос реального человека, чтобы делать звонки от его имени. Многие небольшие стартапы, в основном из Китая, работают над тем, чтобы предлагать похожие на deepfake сервисы бесплатно. Разные программы-дипфейки даже соревнуются друг с другом, кто сможет сгенерировать достаточно убедительное видео с человеком, используя минимальный объем данных. Некоторые заявляют, что скоро им будет достаточно одного вашего фото.



В июле Израильское национальное управление защиты от киберугроз выпустило

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о принципиально новом виде кибератак, которые могут быть направлены на руководство компаний, ответственных сотрудников и даже высокопоставленных чиновников. Это первая и на данный момент самая реальная AI-угроза. Они говорят, уже сейчас есть программы, способные идеально передать ваш голос и акцент, прослушав вас 20 минут. Если где-то в сети есть запись с вашей речью в течение получаса, или если кто-то немного посидел рядом с вами в кафе с диктофоном, ваш голос теперь может быть использован, чтобы сказать кому угодно что угодно.



Пока что инструментов для борьбы с этим нет. Вариант защититься только один. Если вам кто-то звонит и просит перевести существенную сумму денег, – не будет лишним подтвердить, что это тот самый человек, по другому каналу. Через мессенджеры, Скайп, e-mail, корпоративные каналы или соцсети. А в идеале, конечно же, – лицом к лицу.
 

Serggik00

ГЛАВНЫЙ МОДЕРАТОР
ГЛАВНЫЙ МОДЕРАТОР
ЮБИЛЕЙНАЯ ЛЕНТА

Serggik00

ГЛАВНЫЙ МОДЕРАТОР
ГЛАВНЫЙ МОДЕРАТОР
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
31 Май 2018
Сообщения
701
Симпатии
619
eRUB
3,258
#38
Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги

Посмотреть вложение 10451

C момента своего

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в декабре 2017-го дипфейки, видео с почти идеальной заменой лица, созданные нейросетью, наводили на экспертов панику. Многие, например, тогда боялись, что теперь еще проще станет «порно-месть», когда бывший бойфренд с достаточно мощным ПК может смастерить любое грязное порно с подругой. А Натали Портман и Скарлетт Йоханссон, о которых порно с deepfake снимали особенно много, публично

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

интернет.




Чтобы бороться с подступающей угрозой, Facebook и Microsoft недавно

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

коалицию для борьбы с дипфейками, объявив призовой фонд $10 млн тем разработчикам, которые придумают лучшие алгоритмы для их обнаружения. Это помимо DARPA, управления исследованиями Министерства обороны США,

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

на эту цель $68 млн за последние два года.




Ну так вот, уже поздно. Первое deepfake-преступление уже состоялось.
Посмотреть вложение 10452


По

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

Wall Street Journal, в марте этого года управляющий директор британской энергетической компании был ограблен на €220 000 (около $240 000). Он отправил эти деньги фирме-поставщику из Венгрии, потому что его босс, глава материнской фирмы в Германии, несколько раз подтвердил ему такую инструкцию. Но на самом деле какой-то хитрый злоумышленник просто использовал софт с AI-технологиями, чтобы в режиме реального времени заменять лицо и голос руководителя, и требовать, чтобы тот заплатил ему в течение часа.




Программа, которую использовал вор, смогла полностью имитировать голос человека: тон, пунктуацию, даже немецкий акцент. Сообщение исходило с адреса босса в Германии, в подтверждение британскому директору был направлен e-mail с контактами. Предположить, что что-то идёт не так, можно было разве что по требованию босса провести всю сделку как можно быстрее, но это далеко не первый аврал, который случался в их бизнесе.



В итоге – все деньги пропали. Из венгерского аккаунта их перевели в Мексику, а потом рассеяли по всему миру. Но воры на этом не остановились. Они попросили второй срочный перевод, чтобы «поставки из Венгрии» «пошли еще быстрее». Тут уж британский директор почуял неладное, и позвонил своему настоящему боссу. Получился какой-то сюр: он по очереди принимал звонки то от фейкового, то от настоящего руководителя, говорящих одинаковыми голосами. Название компании и её сотрудников не разглашаются, поскольку по этому делу ведется расследование, и воры еще не найдены.
Посмотреть вложение 10453


Возможно, это даже не первая кража с использованием Deepfake AI (или его продвинутых последователей). Symantec сообщает, что она засекла как минимум три случая, в которых замена голоса помогла ворам обхитрить компании и заставить их послать им деньги. В одном из этих случаев ущерб составил миллионы долларов. Причем, судя по косвенным признакам, этот трюк был проделан другими злоумышленниками – не теми, которые обокрали британского СЕО. То есть, deepfake-преступления постепенно становятся общим достоянием, это не придумка какого-то одного гениального хакера.



На самом деле, скоро такую процедуру сможет проделать любой школьник. Главное – найти достаточно доверчивую жертву, и собрать нужное количество сэмплов видео/аудио, чтобы имперсонировать, кого потребуется. Google Duplex уже успешно мимикрирует под голос реального человека, чтобы делать звонки от его имени. Многие небольшие стартапы, в основном из Китая, работают над тем, чтобы предлагать похожие на deepfake сервисы бесплатно. Разные программы-дипфейки даже соревнуются друг с другом, кто сможет сгенерировать достаточно убедительное видео с человеком, используя минимальный объем данных. Некоторые заявляют, что скоро им будет достаточно одного вашего фото.



В июле Израильское национальное управление защиты от киберугроз выпустило

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о принципиально новом виде кибератак, которые могут быть направлены на руководство компаний, ответственных сотрудников и даже высокопоставленных чиновников. Это первая и на данный момент самая реальная AI-угроза. Они говорят, уже сейчас есть программы, способные идеально передать ваш голос и акцент, прослушав вас 20 минут. Если где-то в сети есть запись с вашей речью в течение получаса, или если кто-то немного посидел рядом с вами в кафе с диктофоном, ваш голос теперь может быть использован, чтобы сказать кому угодно что угодно.




Пока что инструментов для борьбы с этим нет. Вариант защититься только один. Если вам кто-то звонит и просит перевести существенную сумму денег, – не будет лишним подтвердить, что это тот самый человек, по другому каналу. Через мессенджеры, Скайп, e-mail, корпоративные каналы или соцсети. А в идеале, конечно же, – лицом к лицу.
Программы все изощреннее и изощреннее, скам уже походит на охоту) жертва и охотник!
 

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
PR-group
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
122
Симпатии
103
eRUB
3,941
#39
Американские власти наложили санкции на северокорейские хак-группы Lazarus, Bluenoroff и Andarial

В конце прошло недели Казначейство США

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о том, что накладывает санкции на три группы «правительственных» хакеров из Северной Кореи (Lazarus, Bluenoroff и Andarial), которые осуществили ряд разрушительных атак на критическую инфраструктуру США, а также похитили сотни миллионов долларов у финансовых учреждений по всему миру. Американские власти утверждают, что похищенные средства использовались северокорейским правительством для финансирования программ вооружений и создания ракет.


Санкции, наложенные Управлением по контролю за иностранными активами США, направлены на то, чтобы блокировать любые иностранные финансовые учреждения, которые сознательно содействуют крупным транзакциям или оказывают иные услуги эти хак-группам, а также замораживать любые активы, связанные с ними.



Наиболее известной из трех хак-групп бесспорно является Lazarus, она же Hidden Cobra. Считается, что она является крупнейшей и действует под непосредственным руководством Главного разведывательного управления Северной Кореи.


Одними из самых известных кампаний, которые приписываю этой группе, можно назвать

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в 2014 году, а также эпидемию шифровальщика

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в 2016 году. Однако представители казначейства заявляют, что Lazarus также нацелена на государственные, военные, финансовые, производственные, издательские, медийные, развлекательные и судоходные компании, а также на критически важную инфраструктуру.


Вторая группировка,

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

(она же APT38 или Stardust Chollima), по мнению властей США, была создана специально для взлома банков и финансовых учреждений, и стала своеобразным ответом правительства Северной Кореи на усиление глобальных санкций. С 2014 года эта группировка ограбила ряд финансовых учреждений в Бангладеш, Индии, Мексике, Пакистане, Филиппинах, Южной Корее, Тайване, Турции, Чили и Вьетнаме. Наиболее известным взломом на счету Bluenoroff остается неудачная

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

со счета Центрального банка Бангладеш, провалившаяся из-за опечатки.


Третья группа, Andarial, активна с 2015 года и, по словам представителей казначейства, часто смешивает кибершпионаж с другими операциями. Сообщается, что эта хак-группа часто атакует инфраструктуру Южной Кореи, «чтобы собирать информацию и провоцировать беспорядки», но также участвовала в хищениях данных о банковских картах, взломе банкоматов для извлечения наличных, а также воровала пользовательские данные для последующей продажи на черном рынке. Кроме того, Andarial разрабатывает уникальную малварь для компрометации сайтов онлайн-покера и других азартных игр.

 
Сверху Снизу