В ‎статье‏ ‎Google ‎Security ‎Blog ‎«On ‎Fire‏ ‎Drills ‎and‏ ‎Phishing‏ ‎Tests» рассказывается ‎о ‎важности‏ ‎тестов ‎на‏ ‎фишинг ‎и ‎тренингов ‎для‏ ‎повышения‏ ‎безопасности ‎организации.

Важность‏ ‎тестов ‎на‏ ‎фишинг

📌Фишинговые ‎тесты ‎как ‎инструмент ‎обучения: Фишинговые‏ ‎тесты‏ ‎используются ‎для‏ ‎обучения ‎сотрудников‏ ‎распознавать ‎попытки ‎фишинга ‎и ‎реагировать‏ ‎на‏ ‎них.‏ ‎Они ‎имитируют‏ ‎реальные ‎фишинговые‏ ‎атаки, ‎чтобы‏ ‎помочь‏ ‎сотрудникам ‎выявлять‏ ‎подозрительные ‎электронные ‎письма ‎и ‎ссылки.

📌Анализ‏ ‎поведения: Эти ‎тесты‏ ‎дают‏ ‎представление ‎о ‎поведении‏ ‎сотрудников ‎и‏ ‎эффективности ‎текущих ‎программ ‎обучения.‏ ‎Они‏ ‎помогают ‎определить,‏ ‎какие ‎сотрудники‏ ‎или ‎отделы ‎более ‎подвержены ‎фишинговым‏ ‎атакам.

Тренинги‏ ‎по ‎реагированию‏ ‎на ‎инциденты

📌Имитация‏ ‎инцидентов: тренингов ‎включают ‎в ‎себя ‎имитацию‏ ‎инцидентов‏ ‎безопасности‏ ‎для ‎проверки‏ ‎возможностей ‎организации‏ ‎по ‎реагированию‏ ‎на‏ ‎инциденты. ‎Это‏ ‎включает ‎в ‎себя ‎то, ‎насколько‏ ‎быстро ‎и‏ ‎эффективно‏ ‎команда ‎может ‎обнаруживать‏ ‎угрозы ‎безопасности,‏ ‎реагировать ‎на ‎них ‎и‏ ‎устранять‏ ‎их.

📌Готовность ‎и‏ ‎совершенствование: Регулярные ‎учения‏ ‎помогают ‎обеспечить ‎готовность ‎группы ‎реагирования‏ ‎на‏ ‎инциденты ‎к‏ ‎реальным ‎инцидентам‏ ‎безопасности. ‎Они ‎также ‎указывают ‎на‏ ‎области,‏ ‎требующие‏ ‎улучшения ‎в‏ ‎плане ‎реагирования‏ ‎на ‎инциденты.

Интеграция‏ ‎тестов‏ ‎на ‎фишинг‏ ‎и ‎проведения ‎треннингов

📌Комплексное ‎обучение ‎безопасности: Сочетание‏ ‎тестов ‎на‏ ‎фишинг‏ ‎с ‎тренингами ‎обеспечивает‏ ‎комплексный ‎подход‏ ‎к ‎обучению ‎безопасности. ‎Это‏ ‎гарантирует,‏ ‎что ‎сотрудники‏ ‎будут ‎не‏ ‎только ‎осведомлены ‎о ‎фишинговых ‎угрозах,‏ ‎но‏ ‎и ‎знают,‏ ‎как ‎эффективно‏ ‎на ‎них ‎реагировать.

📌Реалистичные ‎сценарии: Объединяя ‎эти‏ ‎два‏ ‎метода,‏ ‎организации ‎могут‏ ‎создавать ‎более‏ ‎реалистичные ‎и‏ ‎сложные‏ ‎сценарии, ‎которые‏ ‎лучше ‎подготовят ‎сотрудников ‎к ‎реальным‏ ‎угрозам.

Показатели ‎и‏ ‎оценка

📌Измерение‏ ‎эффективности: Как ‎тесты ‎на‏ ‎фишинг, ‎так‏ ‎и ‎трениг ‎должны ‎оцениваться‏ ‎с‏ ‎использованием ‎показателей‏ ‎для ‎измерения‏ ‎их ‎эффективности. ‎Это ‎включает ‎в‏ ‎себя‏ ‎отслеживание ‎количества‏ ‎сотрудников, ‎которые‏ ‎поддаются ‎тестированию ‎на ‎фишинг, ‎и‏ ‎времени‏ ‎реагирования‏ ‎во ‎время‏ ‎тренингов.

📌Постоянное ‎совершенствование: Данные,‏ ‎собранные ‎в‏ ‎ходе‏ ‎этих ‎учений,‏ ‎следует ‎использовать ‎для ‎постоянного ‎совершенствования‏ ‎программ ‎обучения‏ ‎безопасности‏ ‎и ‎планов ‎реагирования‏ ‎на ‎инциденты.

Организационная‏ ‎культура

📌Продвижение ‎культуры, ‎ориентированной ‎прежде‏ ‎всего‏ ‎на ‎безопасность: Регулярные‏ ‎тесты ‎на‏ ‎фишинг ‎и ‎тренинги ‎помогают ‎продвигать‏ ‎культуру‏ ‎безопасности ‎в‏ ‎организации. ‎Они‏ ‎подчеркивают ‎важность ‎осведомленности ‎сотрудников ‎о‏ ‎безопасности‏ ‎и‏ ‎готовности ‎к‏ ‎ней.

📌Поощряющие ‎сообщения: Эти‏ ‎упражнения ‎побуждают‏ ‎сотрудников‏ ‎сообщать ‎о‏ ‎подозрительных ‎действиях ‎и ‎потенциальных ‎инцидентах‏ ‎безопасности, ‎способствуя‏ ‎созданию‏ ‎активной ‎среды ‎безопасности.

Статья ‎"‏ ‎MediHunt: ‎A ‎Network ‎Forensics ‎Framework‏ ‎for ‎Medical‏ ‎IoT‏ ‎Devices» ‎— ‎это‏ ‎настоящий ‎прорыв.‏ ‎Она ‎начинается ‎с ‎рассмотрения‏ ‎насущной‏ ‎потребности ‎в‏ ‎надёжной ‎сетевой‏ ‎криминалистике ‎в ‎среде ‎медицинского ‎Интернета‏ ‎вещей‏ ‎(MIoT). ‎Вы‏ ‎знаете, ‎что‏ ‎среды, ‎в ‎которых ‎используются ‎сети‏ ‎передачи‏ ‎телеметрии‏ ‎с ‎использованием‏ ‎MQTT ‎(Message‏ ‎Queuing ‎Telemetry‏ ‎Transport),‏ ‎являются ‎любимыми‏ ‎для ‎умных ‎больниц ‎из-за ‎их‏ ‎облегчённого ‎протокола‏ ‎связи.

MediHunt‏ ‎— ‎это ‎платформа‏ ‎автоматической ‎сетевой‏ ‎криминалистики, ‎предназначенная ‎для ‎обнаружения‏ ‎атак‏ ‎на ‎сетевой‏ ‎трафик ‎в‏ ‎сетях ‎MQTT ‎в ‎режиме ‎реального‏ ‎времени.‏ ‎Она ‎использует‏ ‎модели ‎машинного‏ ‎обучения ‎для ‎расширения ‎возможностей ‎обнаружения‏ ‎и‏ ‎подходит‏ ‎для ‎развёртывания‏ ‎на ‎устройствах‏ ‎MIoT ‎с‏ ‎ограниченными‏ ‎ресурсами. ‎Потому‏ ‎что, ‎естественно, ‎именно ‎из-за ‎этого‏ ‎мы ‎все‏ ‎потеряли‏ ‎сон.

Эти ‎аспекты ‎—‏ ‎отличная ‎почва‏ ‎для ‎подробного ‎обсуждения ‎фреймворка,‏ ‎его‏ ‎экспериментальной ‎установки‏ ‎и ‎оценки.‏ ‎Вам ‎уже ‎не ‎терпится ‎погрузиться‏ ‎в‏ ‎эти ‎захватывающие‏ ‎подробности?

-------

В ‎документе‏ ‎рассматривается ‎необходимость ‎надёжной ‎сетевой ‎криминалистики‏ ‎в‏ ‎медицинских‏ ‎средах ‎Интернета‏ ‎вещей ‎(MIoT),‏ ‎особенно ‎с‏ ‎упором‏ ‎на ‎сети‏ ‎MQTT. ‎Эти ‎сети ‎обычно ‎используются‏ ‎в ‎интеллектуальных‏ ‎больничных‏ ‎средах ‎благодаря ‎их‏ ‎облегчённому ‎протоколу‏ ‎связи. ‎Освещаются ‎проблемы ‎обеспечения‏ ‎безопасности‏ ‎устройств ‎MIoT,‏ ‎которые ‎часто‏ ‎ограничены ‎в ‎ресурсах ‎и ‎обладают‏ ‎ограниченной‏ ‎вычислительной ‎мощностью.‏ ‎В ‎качестве‏ ‎серьёзной ‎проблемы ‎упоминается ‎отсутствие ‎общедоступных‏ ‎потоковых‏ ‎наборов‏ ‎данных, ‎специфичных‏ ‎для ‎MQTT,‏ ‎для ‎обучения‏ ‎систем‏ ‎обнаружения ‎атак.

MediHunt‏ ‎как ‎решение ‎для ‎автоматизированной ‎сетевой‏ ‎криминалистики, ‎предназначенное‏ ‎для‏ ‎обнаружения ‎атак ‎на‏ ‎основе ‎сетевого‏ ‎трафика ‎в ‎сетях ‎MQTT‏ ‎в‏ ‎режиме ‎реального‏ ‎времени. ‎Его‏ ‎цель ‎— ‎предоставить ‎комплексное ‎решение‏ ‎для‏ ‎сбора ‎данных,‏ ‎анализа, ‎обнаружения‏ ‎атак, ‎представления ‎и ‎сохранения ‎доказательств.‏ ‎Он‏ ‎разработан‏ ‎для ‎обнаружения‏ ‎различных ‎уровней‏ ‎TCP ‎/‏ ‎IP‏ ‎и ‎атак‏ ‎прикладного ‎уровня ‎в ‎сетях ‎MQTT‏ ‎и ‎использует‏ ‎модели‏ ‎машинного ‎обучения ‎для‏ ‎расширения ‎возможностей‏ ‎обнаружения ‎и ‎подходит ‎для‏ ‎развёртывания‏ ‎на ‎устройствах‏ ‎MIoT ‎с‏ ‎ограниченными ‎ресурсами.

Преимущества

📌 Обнаружение ‎атак ‎в ‎режиме‏ ‎реального‏ ‎времени: MediHunt ‎предназначен‏ ‎для ‎обнаружения‏ ‎атак ‎на ‎основе ‎сетевого ‎трафика‏ ‎в‏ ‎режиме‏ ‎реального ‎времени‏ ‎для ‎уменьшения‏ ‎потенциального ‎ущерба‏ ‎и‏ ‎обеспечения ‎безопасности‏ ‎сред ‎MIoT.

📌 Комплексные ‎возможности ‎криминалистики: Платформа ‎предоставляет‏ ‎комплексное ‎решение‏ ‎для‏ ‎сбора ‎данных, ‎анализа,‏ ‎обнаружения ‎атак,‏ ‎представления ‎и ‎сохранения ‎доказательств.‏ ‎Это‏ ‎делает ‎его‏ ‎надёжным ‎инструментом‏ ‎сетевой ‎криминалистики ‎в ‎средах ‎MIoT.

📌 Интеграция‏ ‎с‏ ‎машинным ‎обучением:‏ ‎Используя ‎модели‏ ‎машинного ‎обучения, ‎MediHunt ‎расширяет ‎свои‏ ‎возможности‏ ‎обнаружения.‏ ‎Использование ‎пользовательского‏ ‎набора ‎данных,‏ ‎который ‎включает‏ ‎данные‏ ‎о ‎потоках‏ ‎как ‎для ‎атак ‎уровня ‎TCP/IP,‏ ‎так ‎и‏ ‎для‏ ‎атак ‎прикладного ‎уровня,‏ ‎позволяет ‎более‏ ‎точно ‎и ‎эффективно ‎обнаруживать‏ ‎широкий‏ ‎спектр ‎кибератак.

📌 Высокая‏ ‎производительность: ‎решение‏ ‎показало ‎высокую ‎производительность, ‎получив ‎баллы‏ ‎F1‏ ‎и ‎точность‏ ‎обнаружения, ‎превышающую‏ ‎0,99 ‎и ‎указывает ‎на ‎то,‏ ‎что‏ ‎она‏ ‎обладает ‎высокой‏ ‎надёжностью ‎при‏ ‎обнаружении ‎атак‏ ‎на‏ ‎сети ‎MQTT.

📌 Эффективность‏ ‎использования ‎ресурсов: ‎несмотря ‎на ‎свои‏ ‎широкие ‎возможности,‏ ‎MediHunt‏ ‎разработан ‎с ‎учётом‏ ‎экономии ‎ресурсов,‏ ‎что ‎делает ‎его ‎подходящим‏ ‎для‏ ‎развёртывания ‎на‏ ‎устройствах ‎MIoT‏ ‎с ‎ограниченными ‎ресурсами ‎(raspberry ‎Pi).

Недостатки

📌 Ограничения‏ ‎набора‏ ‎данных: хотя ‎MediHunt‏ ‎использует ‎пользовательский‏ ‎набор ‎данных ‎для ‎обучения ‎своих‏ ‎моделей‏ ‎машинного‏ ‎обучения, ‎создание‏ ‎и ‎обслуживание‏ ‎таких ‎наборов‏ ‎данных‏ ‎может ‎быть‏ ‎сложной ‎задачей. ‎Набор ‎данных ‎необходимо‏ ‎регулярно ‎обновлять,‏ ‎чтобы‏ ‎охватывать ‎новые ‎и‏ ‎зарождающиеся ‎сценарии‏ ‎атак.

📌 Ограничения ‎ресурсов: ‎хотя ‎MediHunt‏ ‎разработан‏ ‎с ‎учётом‏ ‎экономии ‎ресурсов,‏ ‎ограничения, ‎присущие ‎устройствам ‎MIoT, ‎такие‏ ‎как‏ ‎ограниченная ‎вычислительная‏ ‎мощность ‎и‏ ‎память, ‎все ‎ещё ‎могут ‎создавать‏ ‎проблемы.‏ ‎Обеспечить‏ ‎бесперебойную ‎работу‏ ‎фреймворка ‎на‏ ‎этих ‎устройствах‏ ‎без‏ ‎ущерба ‎для‏ ‎их ‎основных ‎функций ‎может ‎быть‏ ‎непросто.

📌 Сложность ‎реализации:‏ ‎Внедрение‏ ‎и ‎поддержка ‎платформы‏ ‎сетевой ‎криминалистики‏ ‎на ‎основе ‎машинного ‎обучения‏ ‎может‏ ‎быть ‎сложной‏ ‎задачей. ‎Это‏ ‎требует ‎опыта ‎в ‎области ‎кибербезопасности‏ ‎и‏ ‎машинного ‎обучения,‏ ‎который ‎может‏ ‎быть ‎доступен ‎не ‎во ‎всех‏ ‎медицинских‏ ‎учреждениях.

📌 Зависимость‏ ‎от ‎моделей‏ ‎машинного ‎обучения:‏ ‎Эффективность ‎MediHunt‏ ‎в‏ ‎значительной ‎степени‏ ‎зависит ‎от ‎точности ‎и ‎надёжности‏ ‎его ‎моделей‏ ‎машинного‏ ‎обучения. ‎Эти ‎модели‏ ‎необходимо ‎обучать‏ ‎на ‎высококачественных ‎данных ‎и‏ ‎регулярно‏ ‎обновлять, ‎чтобы‏ ‎они ‎оставались‏ ‎эффективными ‎против ‎новых ‎типов ‎атак.

📌 Проблемы‏ ‎с‏ ‎масштабируемостью: ‎хотя‏ ‎платформа ‎подходит‏ ‎для ‎небольших ‎развёртываний ‎на ‎устройствах‏ ‎типа‏ ‎Raspberry‏ ‎Pi, ‎ее‏ ‎масштабирование ‎до‏ ‎более ‎крупных‏ ‎и‏ ‎сложных ‎сред‏ ‎MIoT ‎может ‎вызвать ‎дополнительные ‎проблемы.‏ ‎Обеспечение ‎стабильной‏ ‎производительности‏ ‎и ‎надёжности ‎в‏ ‎более ‎крупной‏ ‎сети ‎устройств ‎может ‎быть‏ ‎затруднено

Подробный‏ ‎разбор

MediHunt [RU].pdf

530,79 KB

Скачать

Вредоносная ‎кампания‏ ‎Chalubo ‎RAT ‎была ‎нацелена ‎на‏ ‎конкретные ‎модели‏ ‎маршрутизаторов‏ ‎Actiontec ‎и ‎Sagemcom,‏ ‎в ‎первую‏ ‎очередь ‎затронув ‎сеть ‎Windstream.‏ ‎Вредоносная‏ ‎программа ‎использовала‏ ‎атаки ‎методом‏ ‎перебора ‎для ‎получения ‎доступа, ‎выполняла‏ ‎загрузку‏ ‎данных ‎в‏ ‎память, ‎чтобы‏ ‎избежать ‎обнаружения, ‎и ‎взаимодействовала ‎с‏ ‎серверами‏ ‎C2‏ ‎по ‎зашифрованным‏ ‎каналам. ‎Атака‏ ‎привела ‎к‏ ‎значительному‏ ‎сбою ‎в‏ ‎работе, ‎потребовавшему ‎замены ‎более ‎600‏ ‎000 ‎маршрутизаторов,‏ ‎что‏ ‎подчеркивает ‎необходимость ‎принятия‏ ‎надежных ‎мер‏ ‎безопасности ‎и ‎регулярного ‎обновления‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎инцидентов.

Последствия ‎для‏ ‎интернет-провайдеров:

📌Windstream: Пострадал ‎интернет-провайдер, ‎более ‎600 ‎000‏ ‎маршрутизаторов‏ ‎были ‎выведены‏ ‎из ‎строя‏ ‎в ‎период ‎с ‎25 ‎по‏ ‎27‏ ‎октября‏ ‎2023 ‎года.

📌Модели: Actiontec‏ ‎T3200, ‎T3260‏ ‎и ‎Sagemcom‏ ‎F5380.

📌Последствия: Примерно‏ ‎49% ‎модемов‏ ‎интернет-провайдера ‎были ‎отключены, ‎что ‎потребовало‏ ‎замены ‎оборудования.

Глобальные‏ ‎последствия:

📌Активность‏ ‎ботнета: С ‎сентября ‎по‏ ‎ноябрь ‎2023‏ ‎года ‎панели ‎ботнета ‎Chalubo‏ ‎взаимодействовали‏ ‎с ‎117‏ ‎000 ‎уникальными‏ ‎IP-адресами ‎в ‎течение ‎30 ‎дней.

📌Географическое‏ ‎распределение: Большинство‏ ‎заражений ‎произошло‏ ‎в ‎США,‏ ‎Бразилии ‎и ‎Китае.

📌Особенности: 95% ботов ‎взаимодействовали ‎только‏ ‎с‏ ‎одной‏ ‎панелью ‎управления.

Уязвимые‏ ‎маршрутизаторы

📌 Целевые ‎модели:‏ ‎маршрутизаторы ‎бизнес-класса‏ ‎с‏ ‎истекшим ‎сроком‏ ‎службы.

📌Actiontec ‎T3200 ‎и ‎T3260 ‎—‏ ‎это ‎беспроводные‏ ‎маршрутизаторы‏ ‎VDSL2, ‎одобренные ‎компанией‏ ‎Windstream.

📌Sagemcom ‎F5380‏ ‎— ‎это ‎маршрутизатор ‎WiFi6‏ ‎(802.11ax).

📌 Модели‏ ‎DrayTek ‎Vigor‏ ‎2960 ‎и‏ ‎3900

Вредоносное ‎ПО: ‎Chalubo ‎RAT

📌Впервые ‎обнаружен‏ ‎Sophos‏ ‎Labs ‎в‏ ‎августе ‎2018‏ ‎года.

📌Основные ‎функции: DDoS-атаки, ‎выполнение ‎Lua-скриптов ‎и‏ ‎методы‏ ‎обхода‏ ‎с ‎использованием‏ ‎шифрования ‎ChaCha20.

📌Первоначальное‏ ‎заражение: ‎Использует‏ ‎атаки‏ ‎методом ‎перебора‏ ‎на ‎SSH-серверы ‎со ‎слабыми ‎учетными‏ ‎данными ‎(например,‏ ‎root:‏ ‎admin).

📌Доставка ‎полезной ‎нагрузки:

📌Первый‏ ‎этап: ‎скрипт‏ ‎bash ‎(«get_scrpc») ‎запускает ‎второй‏ ‎скрипт‏ ‎(«get_strtriush»), ‎который‏ ‎извлекает ‎и‏ ‎выполняет ‎основную ‎полезную ‎нагрузку ‎бота‏ ‎(«Chalubo»‏ ‎или ‎«mips.elf»).

📌Выполнение: Вредоносная‏ ‎программа ‎запускается‏ ‎в ‎памяти, ‎удаляет ‎файлы ‎с‏ ‎диска‏ ‎и‏ ‎изменяет ‎имя‏ ‎процесса, ‎чтобы‏ ‎избежать ‎обнаружения.

📌Взаимодействие:

📌Серверы‏ ‎C2: выполняется‏ ‎циклический ‎просмотр‏ ‎фиксированных ‎C2s, ‎загрузка ‎следующего ‎этапа‏ ‎и ‎его‏ ‎расшифровка‏ ‎с ‎помощью ‎ChaCha20.

📌Закрепление:‏ ‎Новая ‎версия‏ ‎не ‎поддерживает ‎закрепление ‎на‏ ‎зараженных‏ ‎устройствах.

Вредоносная ‎программа‏ ‎Hiatus ‎RAT

📌 Порт‏ ‎8816: HiatusRAT ‎проверяет ‎наличие ‎существующих ‎процессов‏ ‎на‏ ‎порту ‎8816,‏ ‎отключает ‎все‏ ‎существующие ‎службы ‎и ‎открывает ‎прослушиватель‏ ‎на‏ ‎этом‏ ‎порту.

📌 Сбор ‎информации:‏ ‎Собирает ‎информацию‏ ‎о ‎хосте‏ ‎и‏ ‎отправляет ‎ее‏ ‎на ‎сервер ‎C2 ‎для ‎отслеживания‏ ‎статуса ‎заражения‏ ‎и‏ ‎регистрации ‎информации ‎о‏ ‎скомпрометированном ‎хосте.

📌 Первоначальный‏ ‎доступ: Путем ‎использования ‎уязвимостей ‎во‏ ‎встроенном‏ ‎ПО ‎маршрутизатора‏ ‎или ‎с‏ ‎использованием ‎ненадежных ‎учетных ‎данных.

📌 Закрепление: используется ‎скрипт‏ ‎bash‏ ‎для ‎загрузки‏ ‎и ‎выполнения‏ ‎HiatusRAT ‎и ‎двоичного ‎файла ‎для‏ ‎перехвата‏ ‎пакетов

Лаборатория‏ ‎Black ‎Lotus‏ ‎обнаружила ‎новые‏ ‎вредоносные ‎кампании‏ ‎на‏ ‎маршрутизаторах

📌Black ‎Lotus‏ ‎Labs, ‎исследовательская ‎группа ‎по ‎изучению‏ ‎угроз ‎в‏ ‎Lumen‏ ‎Technologies ‎(ранее ‎CenturyLink),‏ ‎недавно ‎обнаружила‏ ‎две ‎крупные ‎кампании ‎вредоносных‏ ‎программ,‏ ‎нацеленных ‎на‏ ‎маршрутизаторы ‎и‏ ‎сетевые ‎устройства ‎разных ‎производителей. ‎Эти‏ ‎открытия‏ ‎свидетельствуют ‎о‏ ‎растущих ‎угрозах,‏ ‎с ‎которыми ‎сталкивается ‎инфраструктура ‎Интернета,‏ ‎и‏ ‎о‏ ‎необходимости ‎совершенствования‏ ‎методов ‎обеспечения‏ ‎безопасности.

Кампания ‎Hiatus

📌В‏ ‎марте‏ ‎2023 ‎года‏ ‎Black ‎Lotus ‎Labs ‎сообщила ‎о‏ ‎проведении ‎комплексной‏ ‎кампании‏ ‎под ‎названием ‎«Hiatus»,‏ ‎которая ‎с‏ ‎июня ‎2022 ‎года ‎была‏ ‎нацелена‏ ‎на ‎маршрутизаторы‏ ‎бизнес-класса, ‎в‏ ‎первую ‎очередь ‎на ‎модели ‎DrayTek‏ ‎Vigor‏ ‎2960 ‎и‏ ‎3900.

📌Злоумышленники ‎использовали‏ ‎маршрутизаторы ‎DrayTek ‎с ‎истекшим ‎сроком‏ ‎службы‏ ‎для‏ ‎обеспечения ‎долговременного‏ ‎сохранения ‎без‏ ‎обнаружения.

📌В ‎Интернете‏ ‎было‏ ‎опубликовано ‎около‏ ‎4100 ‎уязвимых ‎моделей ‎DrayTek, ‎при‏ ‎этом ‎Hiatus‏ ‎скомпрометировал‏ ‎примерно ‎100 ‎из‏ ‎них ‎в‏ ‎Латинской ‎Америке, ‎Европе ‎и‏ ‎Северной‏ ‎Америке.

📌После ‎заражения‏ ‎вредоносная ‎программа‏ ‎перехватывает ‎данные, ‎передаваемые ‎через ‎зараженный‏ ‎маршрутизатор,‏ ‎и ‎внедряет‏ ‎троянскую ‎программу‏ ‎удаленного ‎доступа ‎(RAT) ‎под ‎названием‏ ‎«HiatusRAT»,‏ ‎которая‏ ‎может ‎передавать‏ ‎вредоносный ‎трафик‏ ‎в ‎дополнительные‏ ‎сети.

📌Black‏ ‎Lotus ‎Labs‏ ‎отключила ‎маршрутизацию ‎серверов ‎управления ‎и‏ ‎разгрузки ‎(C2)‏ ‎на‏ ‎глобальной ‎магистрали ‎Lumen‏ ‎и ‎добавила‏ ‎индикаторы ‎компрометации ‎(IOCs) ‎в‏ ‎свою‏ ‎систему ‎быстрой‏ ‎защиты ‎от‏ ‎угроз, ‎чтобы ‎блокировать ‎угрозы ‎до‏ ‎того,‏ ‎как ‎они‏ ‎достигнут ‎сетей‏ ‎клиентов.

Кампания ‎Pumpkin ‎Eclipse

📌В ‎конце ‎октября‏ ‎2023‏ ‎года‏ ‎лаборатория ‎Black‏ ‎Lotus ‎Labs‏ ‎исследовала ‎массовый‏ ‎сбой,‏ ‎затронувший ‎определенные‏ ‎модели ‎шлюзов ‎ActionTec ‎(T3200s ‎и‏ ‎T3260s) ‎и‏ ‎Sagemcom‏ ‎(F5380) ‎в ‎сети‏ ‎одного ‎интернет-провайдера.

📌Более‏ ‎600 ‎000 ‎устройств ‎отображали‏ ‎красный‏ ‎индикатор, ‎указывающий‏ ‎на ‎вероятную‏ ‎проблему ‎с ‎повреждением ‎встроенного ‎ПО.

📌Атака‏ ‎была‏ ‎ограничена ‎определенным‏ ‎номером ‎автономной‏ ‎системы ‎(ASN), ‎затронув ‎около ‎49%‏ ‎устройств‏ ‎в‏ ‎этой ‎сети,‏ ‎подвергшихся ‎воздействию.

📌Лаборатории‏ ‎Black ‎Lotus‏ ‎обнаружили‏ ‎многоступенчатый ‎механизм‏ ‎заражения, ‎который ‎позволил ‎установить ‎Chalubo‏ ‎RAT ‎—‏ ‎ботнет,‏ ‎нацеленный ‎на ‎шлюзы‏ ‎SOHO ‎и‏ ‎устройства ‎Интернета ‎вещей.

📌Black ‎Lotus‏ ‎Labs‏ ‎добавила ‎IOC‏ ‎в ‎свою‏ ‎аналитическую ‎ленту ‎threat ‎intelligence, ‎пополнив‏ ‎портфель‏ ‎подключенных ‎средств‏ ‎безопасности ‎Lumen.

Инструмент ‎OFGB‏ ‎(Oh ‎Frick ‎Go ‎Back) предназначен ‎для‏ ‎удаления ‎рекламы‏ ‎из‏ ‎различных ‎частей ‎операционной‏ ‎системы ‎Windows‏ ‎11 ‎путем ‎изменения ‎определенных‏ ‎разделов‏ ‎в ‎реестре‏ ‎Windows.

Основные ‎возможности‏ ‎и ‎функционал

📌Удаление ‎рекламы: Основная ‎функция ‎OFGB‏ ‎заключается‏ ‎в ‎отключении‏ ‎рекламы, ‎появившейся‏ ‎в ‎обновлении ‎Windows ‎11 ‎от‏ ‎23‏ ‎апреля‏ ‎2024 ‎года.‏ ‎Эта ‎реклама‏ ‎появляется ‎в‏ ‎различных‏ ‎частях ‎операционной‏ ‎системы, ‎включая ‎проводник ‎и ‎меню‏ ‎«Пуск».

📌Модификация ‎реестра:‏ ‎Инструмент‏ ‎работает ‎путем ‎изменения‏ ‎определенных ‎разделов‏ ‎в ‎реестре ‎Windows. ‎Этот‏ ‎метод‏ ‎используется ‎для‏ ‎эффективного ‎отключения‏ ‎рекламы.

📌Написано ‎на ‎C# ‎и ‎WPF: OFGB‏ ‎разработан‏ ‎с ‎использованием‏ ‎C# ‎и‏ ‎Windows ‎Presentation ‎Foundation ‎(WPF), ‎которая‏ ‎предоставляет‏ ‎графический‏ ‎пользовательский ‎интерфейс‏ ‎для ‎этого‏ ‎инструмента.

📌Ссылки: Разделы ‎реестра‏ ‎и‏ ‎комментарии ‎к‏ ‎их ‎функциям ‎были ‎вдохновлены ‎сценарием‏ ‎Шона ‎Бринка.‏ ‎Кроме‏ ‎того, ‎на ‎тематику‏ ‎приложения ‎повлиял‏ ‎проект ‎Aldaviva ‎под ‎названием‏ ‎DarkNet.

📌Создание‏ ‎инструмента: Для ‎создания‏ ‎OFGB ‎пользователям‏ ‎потребуется ‎Visual ‎Studio ‎и ‎.NET‏ ‎8.0‏ ‎SDK. ‎Репозиторий‏ ‎можно ‎клонировать‏ ‎или ‎загрузить ‎в ‎виде ‎ZIP-файла,‏ ‎а‏ ‎решение‏ ‎можно ‎создать‏ ‎в ‎Visual‏ ‎Studio, ‎используя‏ ‎сочетание‏ ‎клавиш ‎Ctrl‏ ‎+ ‎Shift ‎+ ‎B ‎или‏ ‎пункт ‎меню‏ ‎«Сборка»‏ ‎> ‎«Создать ‎решение».

📌Безопасность‏ ‎и ‎распространение: Разработчик‏ ‎подчеркивает, ‎что ‎GitHub ‎является‏ ‎единственной‏ ‎официальной ‎платформой‏ ‎распространения ‎OFGB.‏ ‎Безопасность ‎загрузок ‎с ‎других ‎веб-сайтов‏ ‎не‏ ‎гарантируется.

📌Альтернативное ‎предложение: Для‏ ‎пользователей, ‎которые‏ ‎хотят ‎вообще ‎не ‎сталкиваться ‎с‏ ‎подобной‏ ‎рекламой,‏ ‎разработчик ‎в‏ ‎шутку ‎предлагает‏ ‎попробовать ‎Linux.

Преимущества‏ ‎OFGB:

📌Простой‏ ‎и ‎понятный‏ ‎интерфейс: ‎OFGB ‎предоставляет ‎простой ‎графический‏ ‎интерфейс ‎пользователя‏ ‎(GUI)‏ ‎с ‎флажками ‎для‏ ‎различных ‎типов‏ ‎рекламы, ‎что ‎позволяет ‎пользователям,‏ ‎не‏ ‎обладающим ‎техническими‏ ‎знаниями, ‎легко‏ ‎отключать ‎рекламу, ‎не ‎обращаясь ‎напрямую‏ ‎к‏ ‎реестру ‎Windows.

📌Комплексное‏ ‎удаление ‎рекламы: OFGB‏ ‎охватывает ‎широкий ‎спектр ‎рекламных ‎объявлений,‏ ‎включая‏ ‎те,‏ ‎что ‎находятся‏ ‎в ‎меню‏ ‎«Пуск», ‎проводнике,‏ ‎на‏ ‎экране ‎блокировки,‏ ‎в ‎приложении ‎«Настройки» ‎и ‎т.‏ ‎д., ‎предоставляя‏ ‎универсальное‏ ‎решение ‎для ‎удаления‏ ‎рекламы.

📌Открытый ‎исходный‏ ‎код ‎и ‎бесплатно: ‎Поскольку‏ ‎OFGB‏ ‎является ‎проектом‏ ‎с ‎открытым‏ ‎исходным ‎кодом, ‎доступным ‎на ‎GitHub,‏ ‎его‏ ‎можно ‎использовать‏ ‎бесплатно, ‎и‏ ‎дорабатывать ‎под ‎свои ‎нужды.

Недостатки ‎OFGB:

📌Ограниченная‏ ‎функциональность:‏ ‎В‏ ‎отличие ‎от‏ ‎более ‎комплексных‏ ‎инструментов, ‎таких‏ ‎как‏ ‎Shutup10 ‎или‏ ‎Wintoys, ‎OFGB ‎ориентирован ‎исключительно ‎на‏ ‎удаление ‎рекламы‏ ‎и‏ ‎не ‎предлагает ‎дополнительных‏ ‎функций ‎для‏ ‎обеспечения ‎конфиденциальности, ‎телеметрии ‎или‏ ‎других‏ ‎настроек ‎Windows.

📌Возможные‏ ‎проблемы ‎с‏ ‎совместимостью: ‎Поскольку ‎сторонний ‎инструмент ‎изменяет‏ ‎реестр‏ ‎Windows, ‎существует‏ ‎риск ‎возникновения‏ ‎проблем ‎с ‎совместимостью ‎или ‎конфликтов‏ ‎с‏ ‎будущими‏ ‎обновлениями ‎Windows,‏ ‎что ‎потенциально‏ ‎может ‎нарушить‏ ‎настройки‏ ‎удаления ‎рекламы.

📌Отсутствие‏ ‎автоматических ‎обновлений: ‎в ‎OFGB ‎отсутствует‏ ‎механизм ‎автоматического‏ ‎обновления,‏ ‎поэтому ‎пользователям ‎может‏ ‎потребоваться ‎вручную‏ ‎проверять ‎и ‎устанавливать ‎новые‏ ‎версии,‏ ‎поскольку ‎Microsoft‏ ‎вводит ‎новые‏ ‎типы ‎объявлений ‎или ‎изменяет ‎разделы‏ ‎реестра.

Для‏ ‎сравнения, ‎такие‏ ‎инструменты, ‎как‏ ‎Shutup10, ‎Wintoys ‎и ‎Tiny11 ‎Builder,‏ ‎предлагают‏ ‎более‏ ‎полную ‎функциональность,‏ ‎включая ‎средства‏ ‎управления ‎конфиденциальностью‏ ‎и‏ ‎телеметрией, ‎параметры‏ ‎настройки ‎и ‎возможность ‎создания ‎пользовательских‏ ‎образов ‎Windows.‏ ‎Однако‏ ‎эти ‎инструменты ‎могут‏ ‎оказаться ‎более‏ ‎сложными ‎в ‎использовании, ‎особенно‏ ‎для‏ ‎пользователей, ‎не‏ ‎обладающих ‎техническими‏ ‎знаниями.

В ‎мире,‏ ‎где ‎умные ‎устройства ‎призваны ‎облегчить‏ ‎нашу ‎жизнь,‏ ‎научная‏ ‎статья ‎«Обнаружение ‎кибератак‏ ‎на ‎интеллектуальные‏ ‎устройства ‎с ‎учётом ‎потребляемой‏ ‎энергии»‏ ‎— ‎это‏ ‎захватывающая ‎история‏ ‎о ‎том, ‎как ‎эти ‎гаджеты‏ ‎могут‏ ‎быть ‎использованы‏ ‎против ‎нас.‏ ‎Представьте, ‎что ‎ваш ‎«умный» ‎холодильник‏ ‎планирует‏ ‎сократить‏ ‎ваши ‎счета‏ ‎за ‎электроэнергию,‏ ‎пока ‎вы‏ ‎спите,‏ ‎или ‎ваш‏ ‎термостат ‎сговорился ‎с ‎вашим ‎тостером‏ ‎совершить ‎кибератаку.‏ ‎В‏ ‎этой ‎статье ‎героически‏ ‎предлагается ‎простая‏ ‎система ‎обнаружения, ‎которая ‎спасёт‏ ‎нас‏ ‎от ‎этих‏ ‎опасных ‎бытовых‏ ‎приборов, ‎проанализировав ‎их ‎энергопотребление. ‎Потому‏ ‎что,‏ ‎очевидно, ‎лучший‏ ‎способ ‎перехитрить‏ ‎интеллектуальное ‎устройство ‎— ‎это ‎следить‏ ‎за‏ ‎тем,‏ ‎сколько ‎электроэнергии‏ ‎оно ‎потребляет‏ ‎вас ‎нет‏ ‎дома.‏ ‎Итак, ‎в‏ ‎следующий ‎раз, ‎когда ‎ваша ‎интеллектуальная‏ ‎лампочка ‎начнёт‏ ‎мигать,‏ ‎не ‎волнуйтесь ‎—‏ ‎это ‎просто‏ ‎алгоритм ‎(обнаружения ‎атаки ‎на‏ ‎ваш‏ ‎холодильник) ‎выполняет‏ ‎свою ‎работу.

-------

В‏ ‎статье ‎подчёркивается ‎влияние ‎интеграции ‎технологии‏ ‎Интернета‏ ‎вещей ‎в‏ ‎умные ‎дома‏ ‎и ‎связанные ‎с ‎этим ‎проблемы‏ ‎безопасности.

📌 Энергоэффективность: подчёркивается‏ ‎важность‏ ‎энергоэффективности ‎в‏ ‎системах ‎Интернета‏ ‎вещей, ‎особенно‏ ‎в‏ ‎средах ‎«умного‏ ‎дома» ‎для ‎комфорта, ‎уюта ‎и‏ ‎безопасности.

📌 Уязвимости: ‎уязвимость‏ ‎устройств‏ ‎Интернета ‎вещей ‎к‏ ‎кибератакам ‎и‏ ‎физическим ‎атакам ‎из-за ‎ограниченности‏ ‎их‏ ‎ресурсов ‎подчёркивает‏ ‎необходимость ‎защиты‏ ‎этих ‎устройств ‎для ‎обеспечения ‎их‏ ‎эффективного‏ ‎использования ‎в‏ ‎реальных ‎сценариях.

📌 Предлагаемая‏ ‎система ‎обнаружения: ‎Авторы ‎предлагают ‎систему‏ ‎обнаружения,‏ ‎основанную‏ ‎на ‎анализе‏ ‎энергопотребления ‎интеллектуальных‏ ‎устройств. ‎Цель‏ ‎этой‏ ‎платформы ‎—‏ ‎классифицировать ‎состояние ‎атак ‎отслеживаемых ‎устройств‏ ‎путём ‎изучения‏ ‎структуры‏ ‎их ‎энергопотребления.

📌 Двухэтапный ‎подход:‏ ‎Методология ‎предполагает‏ ‎двухэтапный ‎подход. ‎На ‎первом‏ ‎этапе‏ ‎используется ‎короткий‏ ‎промежуток ‎времени‏ ‎для ‎грубого ‎обнаружения ‎атаки, ‎в‏ ‎то‏ ‎время ‎как‏ ‎второй ‎этап‏ ‎включает ‎в ‎себя ‎более ‎детальный‏ ‎анализ.

📌 Облегчённый‏ ‎алгоритм:‏ ‎представлен ‎облегчённый‏ ‎алгоритм, ‎который‏ ‎адаптирован ‎к‏ ‎ограниченным‏ ‎ресурсам ‎устройств‏ ‎Интернета ‎вещей ‎и ‎учитывает ‎три‏ ‎различных ‎протокола:‏ ‎TCP,‏ ‎UDP ‎и ‎MQTT.

📌 Анализ‏ ‎скорости ‎приёма‏ ‎пакетов: ‎Метод ‎обнаружения ‎основан‏ ‎на‏ ‎анализе ‎скорости‏ ‎приёма ‎пакетов‏ ‎интеллектуальными ‎устройствами ‎для ‎выявления ‎аномального‏ ‎поведения,‏ ‎указывающего ‎на‏ ‎атаки ‎с‏ ‎использованием ‎энергопотребления.

Преимущества

📌 Облегчённый ‎алгоритм ‎обнаружения: Предлагаемый ‎алгоритм‏ ‎разработан‏ ‎таким‏ ‎образом, ‎чтобы‏ ‎быть ‎облегчённым,‏ ‎что ‎делает‏ ‎его‏ ‎подходящим ‎для‏ ‎устройств ‎Интернета ‎вещей ‎с ‎ограниченными‏ ‎ресурсами. ‎Это‏ ‎гарантирует,‏ ‎что ‎механизм ‎обнаружения‏ ‎не ‎будет‏ ‎чрезмерно ‎нагружать ‎устройства, ‎которые‏ ‎он‏ ‎призван ‎защищать.

📌 Универсальность‏ ‎протокола: ‎Алгоритм‏ ‎учитывает ‎множество ‎протоколов ‎связи ‎(TCP,‏ ‎UDP,‏ ‎MQTT), ‎что‏ ‎повышает ‎его‏ ‎применимость ‎к ‎различным ‎типам ‎интеллектуальных‏ ‎устройств‏ ‎и‏ ‎конфигурациям ‎сетей.

📌 Двухэтапное‏ ‎обнаружение ‎подход:‏ ‎использование ‎двухэтапного‏ ‎обнаружения‏ ‎подход ‎позволяет‏ ‎повысить ‎точность ‎определения ‎потребления ‎энергии‏ ‎ударов ‎при‏ ‎минимальном‏ ‎количестве ‎ложных ‎срабатываний.‏ ‎Этот ‎метод‏ ‎позволяет ‎как ‎быстро ‎провести‏ ‎первоначальное‏ ‎обнаружение, ‎так‏ ‎и ‎детальный‏ ‎анализ.

📌 Оповещения ‎в ‎режиме ‎реального ‎времени:‏ ‎Платформа‏ ‎оперативно ‎оповещает‏ ‎администраторов ‎об‏ ‎обнаружении ‎атаки, ‎обеспечивая ‎быстрое ‎реагирование‏ ‎и‏ ‎смягчение‏ ‎потенциальных ‎угроз.

📌 Эффективное‏ ‎обнаружение ‎аномалий:‏ ‎измеряя ‎скорость‏ ‎приёма‏ ‎пакетов ‎и‏ ‎анализируя ‎структуру ‎энергопотребления, ‎алгоритм ‎эффективно‏ ‎выявляет ‎отклонения‏ ‎от‏ ‎нормального ‎поведения, ‎которые‏ ‎указывают ‎на‏ ‎кибератаки.

Недостатки

📌 Ограниченные ‎сценарии ‎атак: Экспериментальная ‎установка‏ ‎ориентирована‏ ‎только ‎на‏ ‎определённые ‎типы‏ ‎атак, ‎что ‎ограничивает ‎возможность ‎обобщения‏ ‎результатов‏ ‎на ‎другие‏ ‎потенциальные ‎векторы‏ ‎атак, ‎не ‎охваченные ‎в ‎исследовании.

📌 Проблемы‏ ‎с‏ ‎масштабируемостью:‏ ‎хотя ‎алгоритм‏ ‎разработан ‎таким‏ ‎образом, ‎чтобы‏ ‎быть‏ ‎лёгким, ‎его‏ ‎масштабируемость ‎в ‎более ‎крупных ‎и‏ ‎сложных ‎средах‏ ‎«умного‏ ‎дома» ‎с ‎большим‏ ‎количеством ‎устройств‏ ‎и ‎различными ‎условиями ‎сети‏ ‎может‏ ‎потребовать ‎дальнейшей‏ ‎проверки.

📌 Зависимость ‎от‏ ‎исходных ‎данных: Эффективность ‎механизма ‎обнаружения ‎зависит‏ ‎от‏ ‎точных ‎базовых‏ ‎измерений ‎скорости‏ ‎приёма ‎пакетов ‎и ‎энергопотребления. ‎Любые‏ ‎изменения‏ ‎в‏ ‎нормальных ‎условиях‏ ‎эксплуатации ‎устройств‏ ‎могут ‎повлиять‏ ‎на‏ ‎исходные ‎данные,‏ ‎потенциально ‎приводя ‎к ‎ложноположительным ‎или‏ ‎отрицательным ‎результатам.

📌 Ограничения‏ ‎ресурсов:‏ ‎несмотря ‎на ‎легковесность,‏ ‎алгоритм ‎по-прежнему‏ ‎требует ‎вычислительных ‎ресурсов, ‎что‏ ‎может‏ ‎стать ‎проблемой‏ ‎для ‎устройств‏ ‎с ‎крайне ‎ограниченными ‎ресурсами. ‎Постоянный‏ ‎мониторинг‏ ‎и ‎анализ‏ ‎также ‎могут‏ ‎повлиять ‎на ‎срок ‎службы ‎батареи‏ ‎и‏ ‎производительность‏ ‎этих ‎устройств.

Подробный‏ ‎разбор

Detection of Energy Consumption Cyber Attacks on Smart Devices [RU].pdf

480,23 KB

Скачать

Microsoft ‎ICS‏ ‎Forensics ‎Tools ‎(ICSpector) ‎— инструмент ‎с‏ ‎открытым ‎исходным‏ ‎кодом,‏ ‎предназначенный ‎для ‎проведения‏ ‎криминалистического ‎анализа‏ ‎промышленных ‎систем ‎управления ‎(ICS),‏ ‎в‏ ‎частности, ‎программируемых‏ ‎логических ‎контроллеров‏ ‎(PLC).

Технические ‎характеристики

Состав ‎и ‎архитектура

📌Модульная ‎конструкция:‏ ‎ICSpector‏ ‎состоит ‎из‏ ‎нескольких ‎компонентов,‏ ‎что ‎обеспечивает ‎гибкость ‎и ‎индивидуальную‏ ‎настройку‏ ‎в‏ ‎зависимости ‎от‏ ‎конкретных ‎потребностей.‏ ‎Пользователи ‎могут‏ ‎также‏ ‎добавлять ‎новые‏ ‎анализаторы.

📌Сетевой ‎сканер: ‎Идентифицирует ‎устройства, ‎взаимодействующие‏ ‎по ‎поддерживаемым‏ ‎протоколам‏ ‎OT, ‎и ‎обеспечивает‏ ‎их ‎работоспособность.‏ ‎Он ‎может ‎работать ‎с‏ ‎предоставленной‏ ‎IP-подсетью ‎или‏ ‎с ‎определенным‏ ‎списком ‎IP-адресов.

📌Извлечение ‎данных ‎и ‎анализатор:‏ ‎Извлекает‏ ‎метаданные ‎и‏ ‎логику ‎ПЛК,‏ ‎преобразуя ‎необработанные ‎данные ‎в ‎удобочитаемую‏ ‎форму,‏ ‎чтобы‏ ‎выделить ‎области,‏ ‎которые ‎могут‏ ‎указывать ‎на‏ ‎вредоносную‏ ‎активность.

Криминалистические ‎возможности

📌Идентификация‏ ‎скомпрометированных ‎устройств: ‎помогает ‎идентифицировать ‎скомпрометированные‏ ‎устройства ‎с‏ ‎помощью‏ ‎ручной ‎проверки, ‎автоматизированного‏ ‎мониторинга ‎или‏ ‎во ‎время ‎реагирования ‎на‏ ‎инциденты.

📌Создание‏ ‎моментальных ‎снимков: Позволяет‏ ‎создавать ‎моментальные‏ ‎снимки ‎проектов ‎контроллеров ‎для ‎сравнения‏ ‎изменений‏ ‎с ‎течением‏ ‎времени, ‎что‏ ‎помогает ‎обнаруживать ‎несанкционированное ‎вмешательство ‎или‏ ‎аномалии.

📌Поддержка‏ ‎ПЛК‏ ‎Siemens: В ‎настоящее‏ ‎время ‎поддерживаются‏ ‎семейства ‎Siemens‏ ‎SIMATIC‏ ‎S7-300 ‎и‏ ‎S7-400, ‎в ‎будущем ‎планируется ‎поддержка‏ ‎других ‎семейств‏ ‎ПЛК.

Интеграция‏ ‎с ‎другими ‎инструментами

📌Microsoft‏ ‎Defender ‎для‏ ‎Интернета ‎вещей: Может ‎использоваться ‎совместно‏ ‎с‏ ‎Microsoft ‎Defender‏ ‎для ‎Интернета‏ ‎вещей, ‎который ‎обеспечивает ‎безопасность ‎на‏ ‎сетевом‏ ‎уровне, ‎непрерывный‏ ‎мониторинг, ‎обнаружение‏ ‎активов, ‎угроз ‎и ‎управление ‎уязвимостями‏ ‎в‏ ‎средах‏ ‎Интернета ‎вещей/OT.

Примеры‏ ‎использования

📌Реагирование ‎на‏ ‎инциденты: активности ‎по‏ ‎реагированию‏ ‎на ‎инциденты‏ ‎позволяют ‎обнаружить ‎скомпрометированные ‎устройства ‎и‏ ‎понять, ‎был‏ ‎ли‏ ‎взломан ‎код ‎ПЛК.

📌Проактивная‏ ‎защита: Помогает ‎в‏ ‎проактивном ‎реагировании ‎на ‎инциденты,‏ ‎сравнивая‏ ‎программы ‎ПЛК‏ ‎на ‎инженерных‏ ‎рабочих ‎станциях ‎с ‎программами ‎на‏ ‎реальных‏ ‎устройствах ‎для‏ ‎обнаружения ‎несанкционированных‏ ‎изменений.

Отрасли

📌Атомные, ‎тепловые ‎и ‎гидроэлектростанции: Электростанции ‎в‏ ‎значительной‏ ‎степени‏ ‎зависят ‎от‏ ‎промышленных ‎систем‏ ‎управления ‎для‏ ‎управления‏ ‎критически ‎важными‏ ‎операциями. ‎ICSpector ‎можно ‎использовать ‎для‏ ‎обеспечения ‎целостности‏ ‎программируемых‏ ‎логических ‎контроллеров, ‎которые‏ ‎управляют ‎этими‏ ‎процессами. ‎Обнаруживая ‎любые ‎аномальные‏ ‎индикаторы‏ ‎или ‎скомпрометированные‏ ‎конфигурации, ‎ICSpector‏ ‎помогает ‎предотвратить ‎сбои ‎в ‎работе,‏ ‎которые‏ ‎могут ‎привести‏ ‎к ‎отключению‏ ‎электроэнергии ‎или ‎угрозе ‎безопасности.

📌Водоочистные ‎сооружения:‏ ‎На‏ ‎этих‏ ‎объектах ‎используются‏ ‎микросхемы ‎управления‏ ‎процессами ‎очистки,‏ ‎обеспечивающие‏ ‎безопасность ‎воды.‏ ‎ICSpector ‎может ‎помочь ‎в ‎мониторинге‏ ‎и ‎проверке‏ ‎целостности‏ ‎ПЛК, ‎гарантируя, ‎что‏ ‎процессы ‎очистки‏ ‎воды ‎не ‎будут ‎нарушены,‏ ‎что‏ ‎имеет ‎решающее‏ ‎значение ‎для‏ ‎здоровья ‎и ‎безопасности ‎населения.

📌Промышленное ‎производство:‏ ‎В‏ ‎производственных ‎условиях‏ ‎микросхемы ‎используются‏ ‎для ‎управления ‎оборудованием ‎и ‎производственными‏ ‎линиями.‏ ‎ICSpector‏ ‎можно ‎использовать‏ ‎для ‎обнаружения‏ ‎любых ‎несанкционированных‏ ‎изменений‏ ‎или ‎аномалий‏ ‎в ‎ПЛК, ‎обеспечивая ‎стабильное ‎качество‏ ‎продукции ‎и‏ ‎предотвращая‏ ‎дорогостоящие ‎простои ‎из-за‏ ‎отказа ‎оборудования.

📌Сектора‏ ‎критической ‎инфраструктуры: сюда ‎входят ‎такие‏ ‎отрасли,‏ ‎как ‎энергетика,‏ ‎водоснабжение, ‎транспорт‏ ‎и ‎системы ‎связи. ‎ICSpector ‎можно‏ ‎использовать‏ ‎для ‎защиты‏ ‎систем ‎управления‏ ‎этими ‎критически ‎важными ‎инфраструктурами ‎от‏ ‎кибератак,‏ ‎обеспечивая‏ ‎их ‎непрерывную‏ ‎и ‎безопасную‏ ‎работу.

📌Предприятия ‎химической‏ ‎промышленности:‏ ‎На ‎этих‏ ‎предприятиях ‎используются ‎микросхемы ‎для ‎управления‏ ‎сложными ‎химическими‏ ‎процессами.‏ ‎ICSpector ‎может ‎помочь‏ ‎в ‎обеспечении‏ ‎безопасности ‎ПЛК, ‎управляющих ‎этими‏ ‎процессами,‏ ‎и ‎их‏ ‎исправности, ‎что‏ ‎жизненно ‎важно ‎для ‎предотвращения ‎опасных‏ ‎инцидентов.

📌Нефтегазовая‏ ‎промышленность: ‎Системы‏ ‎ICS ‎широко‏ ‎используются ‎в ‎нефтегазовом ‎секторе ‎для‏ ‎процессов‏ ‎бурения,‏ ‎переработки ‎и‏ ‎распределения. ‎ICSpector‏ ‎можно ‎использовать‏ ‎для‏ ‎мониторинга ‎и‏ ‎проверки ‎целостности ‎этих ‎систем, ‎предотвращая‏ ‎сбои, ‎которые‏ ‎могут‏ ‎привести ‎к ‎значительным‏ ‎финансовым ‎потерям‏ ‎и ‎ущербу ‎окружающей ‎среде

Ещё ‎один‏ ‎захватывающий ‎документ ‎о ‎невероятно ‎безопасном‏ ‎мире ‎маршрутизаторов‏ ‎для‏ ‎малого ‎и ‎домашнего‏ ‎офиса ‎(SOHO).‏ ‎На ‎этот ‎раз ‎нас‏ ‎ждёт‏ ‎восхитительный ‎анализ,‏ ‎который ‎глубоко‏ ‎погружает ‎в ‎пучину ‎дефектов ‎безопасности,‏ ‎эксплойтов‏ ‎и ‎катастрофических‏ ‎последствий ‎для‏ ‎критически ‎важной ‎инфраструктуры.

В ‎этом ‎документе‏ ‎содержится‏ ‎подробное‏ ‎описание ‎того,‏ ‎как ‎эти‏ ‎устройства, ‎по‏ ‎сути,‏ ‎являются ‎открытыми‏ ‎дверями ‎для ‎спонсируемых ‎государством ‎кибер-вечеринок.‏ ‎Это ‎обязательное‏ ‎к‏ ‎прочтению ‎пособие ‎для‏ ‎всех, ‎кто‏ ‎интересуется ‎проблемами ‎кибербезопасности, ‎а‏ ‎также‏ ‎руководство ‎о‏ ‎том, ‎как‏ ‎не ‎следует ‎проектировать ‎маршрутизатор. ‎А‏ ‎ещё‏ ‎вы ‎узнаете,‏ ‎что ‎производителям‏ ‎делают ‎строгий ‎выговор ‎о ‎внедрении‏ ‎принципов‏ ‎безопасности‏ ‎с ‎занесением‏ ‎в ‎личное‏ ‎дело ‎ФБР.

Итак,‏ ‎если‏ ‎вы ‎ищете‏ ‎руководство ‎по ‎защите ‎вашего ‎маршрутизатора‏ ‎SOHO, ‎то‏ ‎этот‏ ‎документ ‎— ‎идеальный‏ ‎вариант. ‎Это‏ ‎своего ‎рода ‎практическое ‎руководство,‏ ‎но‏ ‎для ‎всего,‏ ‎что ‎вам‏ ‎не ‎следует ‎делать

-------

В ‎документе ‎представлен‏ ‎подробный‏ ‎анализ ‎угроз,‏ ‎возникающих ‎при‏ ‎использовании ‎небезопасных ‎маршрутизаторов ‎для ‎малого‏ ‎офиса‏ ‎/‏ ‎домашнего ‎офиса‏ ‎(SOHO). ‎Анализ‏ ‎охватывает ‎различные‏ ‎аспекты,‏ ‎включая ‎проблемы‏ ‎безопасности ‎и ‎эксплойты, ‎воздействие ‎на‏ ‎критическую ‎инфраструктуру.‏ ‎В‏ ‎документе ‎предлагается ‎качественная‏ ‎сводка ‎текущего‏ ‎состояния ‎безопасности ‎маршрутизаторов ‎SOHO,‏ ‎в‏ ‎которой ‎подчёркиваются‏ ‎риски, ‎создаваемые‏ ‎небезопасными ‎устройствами, ‎и ‎шаги, ‎которые‏ ‎можно‏ ‎предпринять ‎для‏ ‎снижения ‎этих‏ ‎рисков. ‎Анализ ‎полезен ‎специалистам ‎по‏ ‎безопасности,‏ ‎производителям‏ ‎и ‎различным‏ ‎отраслям ‎промышленности,‏ ‎обеспечивая ‎всестороннее‏ ‎понимание‏ ‎угроз ‎и‏ ‎руководящих ‎принципов ‎повышения ‎безопасности ‎маршрутизаторов‏ ‎SOHO.

Подробный ‎разбор

NSA's panic. SOHO [RU].pdf

557,32 KB

Скачать

Проект ‎ZX‏ ‎Raytracer ‎не ‎только ‎демонстрирует ‎возможность‏ ‎внедрения ‎трассировщика‏ ‎лучей‏ ‎в ‎ZX ‎Spectrum,‏ ‎но ‎и‏ ‎служит ‎образовательным ‎ресурсом, ‎посвященным‏ ‎истории‏ ‎вычислительной ‎техники,‏ ‎и ‎источником‏ ‎вдохновения ‎для ‎будущих ‎проектов ‎в‏ ‎области‏ ‎ретро-вычислений, ‎встраиваемых‏ ‎систем ‎и‏ ‎методов ‎оптимизации

Ключевые ‎моменты ‎и ‎потенциальные‏ ‎области‏ ‎применения

📌Реализация‏ ‎Raytracer ‎на‏ ‎устаревшем ‎оборудовании:‏ ‎Проект ‎демонстрирует‏ ‎возможность‏ ‎реализации ‎raytracer,‏ ‎технологии ‎рендеринга ‎графики, ‎требующей ‎больших‏ ‎вычислительных ‎затрат,‏ ‎на‏ ‎ZX ‎Spectrum, ‎домашнем‏ ‎компьютере ‎1980-х‏ ‎годов ‎с ‎очень ‎ограниченными‏ ‎аппаратными‏ ‎возможностями ‎(процессор‏ ‎Z80A ‎с‏ ‎частотой ‎3,5 ‎МГц ‎и ‎часто‏ ‎всего‏ ‎16Кб ‎оперативной‏ ‎памяти).

📌Преодоление ‎аппаратных‏ ‎ограничений: ‎Несмотря ‎на ‎серьезные ‎аппаратные‏ ‎ограничения,‏ ‎проект‏ ‎преодолел ‎такие‏ ‎проблемы, ‎как‏ ‎цветовые ‎ограничения,‏ ‎низкое‏ ‎разрешение ‎256×176‏ ‎пикселей ‎и ‎низкую ‎производительность ‎(начальное‏ ‎время ‎рендеринга‏ ‎17‏ ‎часов ‎на ‎кадр)‏ ‎благодаря ‎продуманной‏ ‎оптимизации ‎и ‎приближениям.

📌Образовательный ‎инструмент: Проект‏ ‎может‏ ‎быть ‎использован‏ ‎в ‎качестве‏ ‎учебного ‎пособия ‎на ‎курсах ‎информатики,‏ ‎особенно‏ ‎тех, ‎которые‏ ‎посвящены ‎компьютерной‏ ‎графике, ‎методам ‎оптимизации ‎или ‎низкоуровневому‏ ‎программированию.

📌Выставки‏ ‎ретро-игр‏ ‎и ‎демосцены: Raytracer‏ ‎можно ‎демонстрировать‏ ‎на ‎ретро-компьютерных‏ ‎мероприятиях,‏ ‎вечеринках-демосценах ‎или‏ ‎выставках, ‎посвященных ‎достижениям ‎винтажного ‎оборудования‏ ‎и ‎программирования.

📌Разработка‏ ‎встраиваемых‏ ‎систем: ‎Методы ‎оптимизации‏ ‎и ‎аппроксимации,‏ ‎использованные ‎в ‎этом ‎проекте,‏ ‎могут‏ ‎вдохновить ‎разработчиков,‏ ‎работающих ‎над‏ ‎встраиваемыми ‎системами ‎или ‎устройствами ‎с‏ ‎ограниченными‏ ‎ресурсами, ‎где‏ ‎решающее ‎значение‏ ‎имеет ‎эффективное ‎использование ‎ограниченных ‎ресурсов.

📌Знакомство‏ ‎с‏ ‎историей‏ ‎вычислительной ‎техники:‏ ‎Проект ‎может‏ ‎быть ‎представлен‏ ‎в‏ ‎музеях ‎или‏ ‎на ‎выставках, ‎посвященных ‎истории ‎вычислительной‏ ‎техники, ‎демонстрируя‏ ‎изобретательность‏ ‎и ‎творческий ‎подход‏ ‎первых ‎программистов,‏ ‎работавших ‎с ‎ограниченными ‎аппаратными‏ ‎ресурсами.

📌Вдохновение‏ ‎для ‎будущих‏ ‎проектов: ‎Успех‏ ‎этого ‎проекта ‎может ‎побудить ‎других‏ ‎изучить‏ ‎возможности ‎устаревшего‏ ‎оборудования ‎или‏ ‎взяться ‎за ‎аналогичные ‎сложные ‎проекты,‏ ‎расширяя‏ ‎границы‏ ‎возможного ‎на‏ ‎старых ‎системах.

В ‎статье рассказывается‏ ‎о ‎том, ‎как ‎MITM-атаки ‎могут‏ ‎обойти ‎защиту‏ ‎FIDO2‏ ‎от ‎фишинга; ‎подробно‏ ‎описывается ‎процесс‏ ‎аутентификации ‎в ‎FIDO2, ‎освещаются‏ ‎уязвимости‏ ‎в ‎обработке‏ ‎токенов ‎сеанса‏ ‎и ‎приводятся ‎реальные ‎примеры, ‎связанные‏ ‎с‏ ‎использованием ‎единого‏ ‎входа ‎Entra‏ ‎ID, ‎PingFederate ‎и ‎Yubico ‎Playground,‏ ‎а‏ ‎также‏ ‎стратегии ‎устранения‏ ‎неполадок ‎для‏ ‎повышения ‎безопасности.

FIDO2

📌FIDO2‏ ‎—‏ ‎это ‎современный‏ ‎стандарт ‎аутентификации ‎без ‎пароля, ‎разработанный‏ ‎Альянсом ‎FIDO‏ ‎Alliance‏ ‎для ‎замены ‎паролей

📌Он‏ ‎предназначен ‎для‏ ‎защиты ‎от ‎фишинга, ‎атак‏ ‎типа‏ ‎«человек ‎посередине»‏ ‎(MITM) ‎и‏ ‎перехвата ‎сеанса

📌Процесс ‎аутентификации ‎включает ‎в‏ ‎себя‏ ‎регистрацию ‎устройства‏ ‎и ‎аутентификацию‏ ‎с ‎использованием ‎криптографии ‎с ‎открытым‏ ‎ключом

Функции‏ ‎безопасности‏ ‎FIDO2

📌FIDO2 ‎разработан‏ ‎для ‎предотвращения‏ ‎фишинговых ‎атак,‏ ‎MITM‏ ‎и ‎перехвата‏ ‎сеанса

📌 Однако ‎исследование ‎показало, ‎что ‎реализации‏ ‎FIDO2 ‎часто‏ ‎не‏ ‎защищают ‎токены ‎сеанса‏ ‎после ‎успешной‏ ‎аутентификации

Атака ‎на ‎FIDO2 ‎с‏ ‎помощью‏ ‎MITM

📌Автор ‎исследовал‏ ‎атаки ‎MITM‏ ‎на ‎поставщиков ‎идентификационных ‎данных ‎(IDP)

📌 Хотя‏ ‎MITM‏ ‎сложнее ‎использовать‏ ‎с ‎помощью‏ ‎TLS, ‎такие ‎методы, ‎как ‎подмена‏ ‎DNS,‏ ‎отравление‏ ‎ARP ‎и‏ ‎кража ‎сертификатов,‏ ‎могут ‎помочь‏ ‎в‏ ‎этом

📌Выполнив ‎MITM‏ ‎для ‎IdP, ‎злоумышленник ‎может ‎перехватить‏ ‎токен ‎сеанса‏ ‎после‏ ‎проверки ‎подлинности ‎FIDO2

EntraID‏ ‎SSO ‎(Microsoft)

📌Обзор:‏ ‎Entra ‎ID ‎SSO ‎—‏ ‎это‏ ‎решение ‎для‏ ‎единого ‎входа,‏ ‎которое ‎поддерживает ‎различные ‎протоколы ‎единого‏ ‎входа‏ ‎и ‎современные‏ ‎методы ‎аутентификации,‏ ‎включая ‎FIDO2.

📌Уязвимость: Исследование ‎показало, ‎что ‎злоумышленник‏ ‎может‏ ‎перехватывать‏ ‎сеансы, ‎используя‏ ‎способ, ‎которым‏ ‎Entra ‎ID‏ ‎обрабатывает‏ ‎токены ‎сеанса.

📌Метод‏ ‎атаки: ‎Злоумышленнику ‎не ‎нужно ‎ретранслировать‏ ‎весь ‎процесс‏ ‎аутентификации.‏ ‎Вместо ‎этого ‎он‏ ‎может ‎использовать‏ ‎подписанный ‎токен, ‎предоставленный ‎IdP,‏ ‎срок‏ ‎действия ‎которого‏ ‎составляет ‎один‏ ‎час. ‎Этот ‎токен ‎может ‎быть‏ ‎повторно‏ ‎использован ‎в‏ ‎течение ‎допустимого‏ ‎периода ‎времени ‎для ‎создания ‎файлов‏ ‎cookie‏ ‎состояния‏ ‎на ‎более‏ ‎длительный ‎период.

📌Пример:‏ ‎Собственное ‎приложение‏ ‎портала‏ ‎управления ‎Azure‏ ‎не ‎проверяет ‎токен, ‎предоставленный ‎службой‏ ‎единого ‎входа,‏ ‎что‏ ‎позволяет ‎злоумышленнику ‎использовать‏ ‎украденный ‎токен‏ ‎для ‎получения ‎несанкционированного ‎доступа.

PingFederate

📌Обзор:‏ ‎PingFederate‏ ‎— ‎это‏ ‎решение ‎для‏ ‎единого ‎входа, ‎которое ‎использует ‎сторонние‏ ‎адаптеры‏ ‎для ‎выполнения‏ ‎аутентификации. ‎Эти‏ ‎адаптеры ‎могут ‎быть ‎объединены ‎в‏ ‎поток‏ ‎политики‏ ‎аутентификации.

📌Уязвимость: ‎Исследование‏ ‎показало, ‎что‏ ‎если ‎разработчик,‏ ‎которому‏ ‎доверяют, ‎не‏ ‎проверит ‎токен ‎OIDC ‎(или ‎SAML-ответ),‏ ‎атака ‎MITM‏ ‎может‏ ‎быть ‎успешной.

📌Метод ‎атаки: Атака‏ ‎использует ‎самое‏ ‎слабое ‎звено ‎в ‎цепочке‏ ‎аутентификации.‏ ‎Поскольку ‎протоколы‏ ‎единого ‎входа‏ ‎основаны ‎на ‎предоставлении ‎токенов, ‎которые‏ ‎могут‏ ‎быть ‎повторно‏ ‎использованы ‎различными‏ ‎устройствами, ‎злоумышленник ‎может ‎перехватить ‎сеанс,‏ ‎украв‏ ‎эти‏ ‎токены.

📌Пример: Адаптер ‎PingOne‏ ‎можно ‎использовать‏ ‎с ‎поддержкой‏ ‎FIDO2.‏ ‎Если ‎токен‏ ‎OIDC ‎не ‎будет ‎подтвержден, ‎злоумышленник‏ ‎может ‎обойти‏ ‎защиту‏ ‎FIDO2 ‎и ‎получить‏ ‎несанкционированный ‎доступ.

Yubico‏ ‎Playground

📌Обзор: ‎Yubico ‎Playground ‎—‏ ‎это‏ ‎среда ‎тестирования‏ ‎функций ‎и‏ ‎ключей ‎безопасности ‎FIDO.

📌Уязвимость: Исследование ‎показало, ‎что‏ ‎можно‏ ‎использовать ‎простой‏ ‎сеансовый ‎файл‏ ‎cookie, ‎сгенерированный ‎после ‎аутентификации ‎FIDO2.

📌Метод‏ ‎атаки:‏ ‎На‏ ‎устройстве, ‎запросившем‏ ‎сеансовый ‎файл‏ ‎cookie, ‎отсутствует‏ ‎проверка‏ ‎подлинности. ‎Любое‏ ‎устройство ‎может ‎использовать ‎этот ‎файл‏ ‎cookie ‎до‏ ‎истечения‏ ‎срока ‎его ‎действия,‏ ‎что ‎позволяет‏ ‎злоумышленнику ‎обойти ‎этап ‎аутентификации.

📌Пример:‏ ‎Получив‏ ‎файл ‎cookie‏ ‎сеанса, ‎злоумышленник‏ ‎может ‎получить ‎доступ ‎к ‎личному‏ ‎кабинету‏ ‎пользователя ‎и‏ ‎удалить ‎ключ‏ ‎безопасности ‎из ‎профиля ‎пользователя, ‎демонстрируя‏ ‎простой‏ ‎сценарий‏ ‎перехвата ‎сеанса

ФБР, ‎АНБ‏ ‎и ‎их ‎международные ‎партнёры ‎порадовали‏ ‎ещё ‎одним‏ ‎рекомендацией‏ ‎по ‎безопасности ‎на‏ ‎этот ‎раз‏ ‎с ‎участием ‎очень ‎популярных‏ ‎пользователей‏ ‎Ubiquiti ‎EdgeRouters‏ ‎и ‎их‏ ‎главной ‎роли ‎в ‎глобальной ‎кибер-драме,‏ ‎срежиссированной‏ ‎APT28.

В ‎этом‏ ‎последнем ‎выпуске‏ ‎блокбастера ‎от ‎экспертов ‎в ‎области‏ ‎кибербезопасности‏ ‎мы‏ ‎узнаем, ‎как‏ ‎Ubiquiti ‎EdgeRouters,‏ ‎эти ‎удобные‏ ‎в‏ ‎использовании ‎устройства,‏ ‎стали ‎невольными ‎соучастниками ‎схем ‎APT28…‏ ‎с ‎их‏ ‎то‏ ‎учётными ‎данными ‎по‏ ‎умолчанию ‎и‏ ‎защитой ‎«зачем ‎вам ‎firewall».

Если‏ ‎вы‏ ‎пользуетесь ‎Ubiquiti‏ ‎EdgeRouters ‎и‏ ‎вас ‎ещё ‎не ‎взломали, ‎поздравляем!‏ ‎Но,‏ ‎возможно, ‎стоит‏ ‎проверить ‎настройки,‏ ‎обновить ‎прошивку ‎и ‎сменить ‎пароли.‏ ‎Или,‏ ‎что‏ ‎ещё ‎лучше,‏ ‎просто ‎отправьте‏ ‎свой ‎маршрутизатор‏ ‎в‏ ‎отпуск ‎в‏ ‎такое ‎место, ‎где ‎APT28 ‎не‏ ‎сможет ‎его‏ ‎найти.‏ ‎Удачной ‎защиты ‎роутера!

-------

Представлен‏ ‎анализ ‎документа,‏ ‎опубликованного ‎на ‎официальном ‎сайте‏ ‎Минобороны‏ ‎США, ‎описывающего‏ ‎использование ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎по ‎всему‏ ‎миру.‏ ‎Этот ‎анализ‏ ‎предоставляет ‎качественную‏ ‎выжимку ‎документа, ‎делая ‎его ‎доступным‏ ‎для‏ ‎широкой‏ ‎аудитории, ‎включая‏ ‎специалистов ‎по‏ ‎кибербезопасности, ‎сетевых‏ ‎администраторов‏ ‎и ‎руководителей‏ ‎ИТ-отделов. ‎Он ‎позволяет ‎понять ‎угрозы‏ ‎APT28, ‎что‏ ‎даёт‏ ‎возможность ‎разработать ‎эффективные‏ ‎стратегии ‎защиты,‏ ‎методы ‎идентификации ‎и ‎реагирования‏ ‎в‏ ‎сетевом ‎оборудовании),‏ ‎а ‎также‏ ‎стратегический ‎взгляд ‎на ‎управление ‎рисками‏ ‎и‏ ‎необходимость ‎внедрения‏ ‎рекомендаций ‎по‏ ‎смягчению ‎угрозы ‎для ‎защиты ‎организационной‏ ‎инфраструктуры.

Подробный‏ ‎разбор

NSA's panic. Ubiquiti [RU].pdf

569,61 KB

Скачать

Автоматизированный ‎подход‏ ‎BucketLoot, универсальность ‎в ‎работе ‎с ‎несколькими‏ ‎облачными ‎платформами‏ ‎и‏ ‎обширный ‎набор ‎функций‏ ‎делают ‎его‏ ‎ценным ‎дополнением ‎к ‎набору‏ ‎инструментов‏ ‎специалистов ‎по‏ ‎безопасности, ‎команд‏ ‎DevOps ‎и ‎организаций, ‎стремящихся ‎повысить‏ ‎уровень‏ ‎своей ‎облачной‏ ‎безопасности ‎и‏ ‎защитить ‎конфиденциальные ‎данные, ‎хранящиеся ‎в‏ ‎облачных‏ ‎хранилищах‏ ‎объектов.

Ключевые ‎функции

📌Автоматическая‏ ‎проверка ‎облачных‏ ‎хранилищ: BucketLoot ‎может‏ ‎автоматически‏ ‎сканировать ‎и‏ ‎проверять ‎облачные ‎хранилища, ‎совместимые ‎с‏ ‎S3, ‎на‏ ‎нескольких‏ ‎платформах, ‎включая ‎Amazon‏ ‎Web ‎Services‏ ‎(AWS), ‎Google ‎Cloud ‎Storage‏ ‎(GCS),‏ ‎DigitalOcean ‎Spaces‏ ‎и ‎пользовательские‏ ‎домены/URL-адреса.

📌Извлечение ‎ресурсов: ‎Инструмент ‎может ‎извлекать‏ ‎ресурсы,‏ ‎хранящиеся ‎в‏ ‎корзинах, ‎такие‏ ‎как ‎URL-адреса, ‎поддомены ‎и ‎домены,‏ ‎которые‏ ‎могут‏ ‎быть ‎полезны‏ ‎для ‎управления‏ ‎объектами ‎атаки‏ ‎и‏ ‎разведки.

📌 Обнаружение ‎секретных‏ ‎данных: BucketLoot ‎может ‎обнаруживать ‎и ‎помечать‏ ‎потенциальные ‎секретные‏ ‎данные,‏ ‎такие ‎как ‎API-ключи,‏ ‎токены ‎доступа‏ ‎и ‎другую ‎конфиденциальную ‎информацию,‏ ‎помогая‏ ‎организациям ‎выявлять‏ ‎и ‎снижать‏ ‎риски ‎безопасности.

📌Пользовательский ‎поиск ‎по ‎ключевым‏ ‎словам‏ ‎и ‎регулярным‏ ‎выражениям: пользователи ‎могут‏ ‎выполнять ‎поиск ‎по ‎определенным ‎ключевым‏ ‎словам‏ ‎или‏ ‎регулярным ‎выражениям‏ ‎в ‎файлах‏ ‎корзины, ‎что‏ ‎позволяет‏ ‎осуществлять ‎целенаправленный‏ ‎поиск ‎конфиденциальных ‎данных ‎или ‎определенных‏ ‎типов ‎информации.

📌Эффективное‏ ‎сканирование: BucketLoot‏ ‎специализируется ‎на ‎сканировании‏ ‎файлов, ‎в‏ ‎которых ‎хранятся ‎данные ‎в‏ ‎текстовом‏ ‎формате, ‎оптимизируя‏ ‎процесс ‎сканирования‏ ‎и ‎повышая ‎производительность.

📌Гибкие ‎режимы ‎сканирования: Инструмент‏ ‎предлагает‏ ‎гостевой ‎режим‏ ‎для ‎первоначального‏ ‎сканирования ‎без ‎необходимости ‎использования ‎учетных‏ ‎данных,‏ ‎а‏ ‎также ‎режим‏ ‎полного ‎сканирования‏ ‎с ‎использованием‏ ‎учетных‏ ‎данных ‎платформы‏ ‎для ‎более ‎всестороннего ‎анализа.

📌Вывод ‎в‏ ‎формате ‎JSON:‏ ‎BucketLoot‏ ‎предоставляет ‎свои ‎выходные‏ ‎данные ‎в‏ ‎формате ‎JSON, ‎что ‎упрощает‏ ‎анализ‏ ‎и ‎интеграцию‏ ‎результатов ‎в‏ ‎существующие ‎рабочие ‎процессы ‎или ‎другие‏ ‎инструменты‏ ‎обеспечения ‎безопасности.

Полезность‏ ‎для ‎различных‏ ‎отраслей ‎и ‎экспертов ‎в ‎области‏ ‎безопасности

📌Профессионалы‏ ‎в‏ ‎области ‎кибербезопасности: BucketLoot‏ ‎— ‎это‏ ‎инструмент ‎для‏ ‎специалистов‏ ‎в ‎области‏ ‎кибербезопасности, ‎таких ‎как ‎пентестеры, ‎багхантеры‏ ‎и ‎исследователи‏ ‎безопасности,‏ ‎т. ‎к. ‎он‏ ‎помогает ‎выявлять‏ ‎потенциальные ‎уязвимости ‎и ‎проблемы‏ ‎доступа‏ ‎к ‎данным‏ ‎в ‎конфигурациях‏ ‎облачных ‎хранилищ.

📌Поставщики ‎облачных ‎услуг: ‎Организации,‏ ‎предлагающие‏ ‎облачные ‎сервисы,‏ ‎могут ‎использовать‏ ‎BucketLoot ‎для ‎обеспечения ‎безопасности ‎данных‏ ‎своих‏ ‎клиентов,‏ ‎хранящихся ‎в‏ ‎облачных ‎хранилищах,‏ ‎и ‎поддержания‏ ‎соответствия‏ ‎отраслевым ‎стандартам.

📌Команды‏ ‎DevSecOps ‎и ‎DevOps: Интегрируя ‎BucketLoot ‎в‏ ‎свои ‎рабочие‏ ‎процессы,‏ ‎команды ‎DevSecOps ‎и‏ ‎DevOps ‎могут‏ ‎проактивно ‎выявлять ‎и ‎снижать‏ ‎риски‏ ‎безопасности, ‎связанные‏ ‎с ‎облачными‏ ‎хранилищами, ‎продвигая ‎безопасные ‎методы ‎разработки‏ ‎программного‏ ‎обеспечения.

📌Реагирование ‎на‏ ‎инциденты ‎и‏ ‎криминалистика: ‎В ‎случае ‎утечки ‎данных‏ ‎или‏ ‎инцидента‏ ‎BucketLoot ‎может‏ ‎помочь ‎группам‏ ‎реагирования ‎на‏ ‎инциденты‏ ‎и ‎судебным‏ ‎следователям ‎быстро ‎идентифицировать ‎уязвимые ‎данные‏ ‎и ‎потенциальные‏ ‎векторы‏ ‎атак, ‎связанные ‎с‏ ‎неправильной ‎конфигурацией‏ ‎облачного ‎хранилища.

📌Соответствие ‎требованиям ‎и‏ ‎управление‏ ‎рисками: Организации, ‎на‏ ‎которые ‎распространяются‏ ‎требования ‎нормативных ‎актов, ‎такие ‎как‏ ‎GDPR,‏ ‎HIPAA ‎или‏ ‎PCI-DSS, ‎могут‏ ‎использовать ‎BucketLoot ‎для ‎обеспечения ‎безопасной‏ ‎обработки‏ ‎конфиденциальных‏ ‎данных, ‎хранящихся‏ ‎в ‎облачных‏ ‎хранилищах, ‎и‏ ‎демонстрации‏ ‎соблюдения ‎стандартов‏ ‎защиты ‎данных.

📌Программы ‎вознаграждения ‎за ‎ошибки: Багхантеры‏ ‎и ‎исследователи‏ ‎могут‏ ‎использовать ‎BucketLoot ‎для‏ ‎выявления ‎потенциальных‏ ‎уязвимостей ‎и ‎доступа ‎к‏ ‎данным‏ ‎в ‎конфигурациях‏ ‎облачных ‎хранилищ,‏ ‎что ‎способствует ‎повышению ‎общей ‎безопасности‏ ‎организаций‏ ‎и ‎получению‏ ‎вознаграждений.

Приготовьтесь ‎к‏ ‎очередному ‎эпизоду ‎«Кибербезопасности», ‎в ‎котором‏ ‎будут ‎показаны‏ ‎наши‏ ‎любимые ‎кибер-злодеи, ‎и‏ ‎их ‎громкие‏ ‎облачные ‎выходки! ‎На ‎этот‏ ‎раз‏ ‎АНБ ‎и‏ ‎ФБР ‎объединились,‏ ‎чтобы ‎рассказать ‎захватывающую ‎историю ‎о‏ ‎том,‏ ‎что ‎атакующим‏ ‎уже ‎не‏ ‎интересны ‎локальные ‎сети ‎и ‎сервера,‏ ‎когда‏ ‎есть‏ ‎бескрайние ‎просторы‏ ‎облачных ‎сервисов.

Этот‏ ‎документ ‎больше‏ ‎похож‏ ‎на ‎практическое‏ ‎руководство ‎для ‎начинающих ‎киберпреступников, ‎чем‏ ‎на ‎предупреждение.‏ ‎В‏ ‎нем ‎подробно ‎описывается‏ ‎хитроумная ‎смена‏ ‎тактики, ‎когда ‎наглым ‎образом‏ ‎воруются‏ ‎токенов ‎от‏ ‎учётных ‎записей,‏ ‎особенно ‎неиспользуемых, ‎но ‎всё ‎ещё‏ ‎активных,‏ ‎чтобы ‎обойти‏ ‎разом ‎все‏ ‎облачные ‎механизмы ‎защиты.

Если ‎вы ‎думали,‏ ‎что‏ ‎ваши‏ ‎данные ‎в‏ ‎облаке ‎будут‏ ‎в ‎большей‏ ‎безопасности,‏ ‎подумайте ‎ещё‏ ‎раз. ‎А ‎потом, ‎обновите ‎свои‏ ‎пароли, ‎защитите‏ ‎свои‏ ‎учётные ‎записи ‎и,‏ ‎возможно, ‎купите‏ ‎кибер-страховку, ‎этот ‎рынок ‎кибер-продуктов‏ ‎популярнее‏ ‎ИБ-продуктов.

-------

В ‎документе‏ ‎представлен ‎всесторонний‏ ‎анализ ‎публикации, ‎в ‎которой ‎подробно‏ ‎описаны‏ ‎известные ‎тактики,‏ ‎методы ‎и‏ ‎процедуры ‎(TTP), ‎используемые ‎кибер-профессионалами ‎для‏ ‎получения‏ ‎первоначального‏ ‎доступа ‎к‏ ‎облачным ‎системам.‏ ‎Анализ ‎охватывает‏ ‎различные‏ ‎аспекты, ‎включая‏ ‎выявление ‎и ‎использование ‎уязвимостей, ‎различные‏ ‎методы ‎использования‏ ‎облачных‏ ‎технологий, ‎развёртывание ‎специального‏ ‎вредоносного ‎ПО.

Представлены‏ ‎ключевые ‎моменты ‎и ‎полезная‏ ‎информация,‏ ‎которую ‎могут‏ ‎использовать ‎ИБ‏ ‎и ‎ИТ ‎специалисты ‎и ‎специалисты‏ ‎в‏ ‎различных ‎отраслях‏ ‎для ‎улучшения‏ ‎своих ‎защитных ‎стратегий, ‎против ‎спонсируемых‏ ‎государством‏ ‎киберугроз.‏ ‎Понимая ‎адаптированную‏ ‎тактику ‎субъекта‏ ‎для ‎первоначального‏ ‎доступа‏ ‎к ‎облаку,‏ ‎заинтересованные ‎стороны ‎могут ‎лучше ‎предвидеть‏ ‎и ‎снижать‏ ‎потенциальные‏ ‎риски ‎для ‎своей‏ ‎облачной ‎инфраструктуры,‏ ‎тем ‎самым ‎укрепляя ‎свою‏ ‎общую‏ ‎безопасность.

Подробный ‎разбор

NSA's panic. AdaptTactics [RU].pdf

727,51 KB

Скачать

QCSuper — универсальный ‎инструмент,‏ ‎предназначенный ‎для ‎различных ‎целей. ‎Его‏ ‎функциональные ‎возможности‏ ‎перехвата‏ ‎и ‎анализа ‎радио-сетевых‏ ‎данных ‎с‏ ‎устройств ‎на ‎базе ‎Qualcomm‏ ‎делает‏ ‎его ‎незаменимым‏ ‎для ‎операторов‏ ‎связи, ‎исследователей ‎в ‎области ‎безопасности,‏ ‎разработчиков‏ ‎сетей.

Основные ‎возможности‏ ‎QCSuper

📌Поддержка ‎протоколов:‏ ‎перехват ‎сырых ‎радио-фреймов ‎для ‎сетей‏ ‎2G‏ ‎(GSM),‏ ‎2,5G ‎(GPRS‏ ‎и ‎EDGE),‏ ‎3G ‎(UMTS)‏ ‎и‏ ‎4G ‎(LTE).‏ ‎Для ‎некоторых ‎моделей ‎доступна ‎частичная‏ ‎поддержка ‎5G.

📌Совместимость‏ ‎с‏ ‎устройствами: Работает ‎с ‎телефонами‏ ‎и ‎модемами‏ ‎на ‎базе ‎Qualcomm, ‎включая‏ ‎рут‏ ‎Android-устройства ‎и‏ ‎USB-донглы

📌Вывод ‎данных:‏ ‎Формирует ‎файлы ‎PCAP ‎с ‎инкапсуляцией‏ ‎GSMTAP,‏ ‎которые ‎можно‏ ‎проанализировать ‎с‏ ‎помощью ‎Wireshark.

📌Простота ‎использования: ‎простые ‎команды‏ ‎для‏ ‎начала‏ ‎сбора ‎данных

📌Кроссплатформенная‏ ‎поддержка: ‎поддерживается‏ ‎установка ‎как‏ ‎на‏ ‎Linux, ‎так‏ ‎и ‎на ‎Windows, ‎с ‎подробными‏ ‎инструкциями ‎для‏ ‎обеих‏ ‎платформ

📌Исследования ‎и ‎анализ:‏ ‎Широко ‎используется‏ ‎исследователями ‎в ‎области ‎телекоммуникаций,‏ ‎мобильной‏ ‎связи ‎и‏ ‎безопасности ‎для‏ ‎анализа ‎радиосвязи

Аппаратные ‎требования ‎QCSuper

📌Устройства ‎на‏ ‎базе‏ ‎Qualcomm: ‎Основным‏ ‎требованием ‎является‏ ‎наличие ‎телефона ‎или ‎модема ‎на‏ ‎базе‏ ‎Qualcomm.‏ ‎Это ‎связано‏ ‎с ‎тем,‏ ‎что ‎QCSuper‏ ‎использует‏ ‎протокол ‎Qualcomm‏ ‎Diag ‎для ‎перехвата ‎данных

📌Рут ‎Android-телефон‏ ‎или ‎USB-модем: Рут‏ ‎доступ‏ ‎требуется ‎для ‎доступа‏ ‎к ‎необходимым‏ ‎диагностическим ‎интерфейсам

📌Совместимость ‎с ‎операционной‏ ‎системой:‏ ‎QCSuper ‎протестирован‏ ‎на ‎Ubuntu‏ ‎LTS ‎22.04 ‎и ‎Windows ‎11.

📌Wireshark: Wireshark‏ ‎необходим‏ ‎для ‎анализа‏ ‎файлов ‎PCAP,‏ ‎сформированных ‎QCSuper. ‎В ‎зависимости ‎от‏ ‎типа‏ ‎снимаемых‏ ‎кадров ‎требуются‏ ‎различные ‎версии‏ ‎Wireshark ‎(например,‏ ‎Wireshark‏ ‎2.x ‎—‏ ‎4.x ‎для ‎кадров ‎2G/3G, ‎Wireshark‏ ‎2.5.x ‎для‏ ‎кадров‏ ‎4G ‎и ‎Wireshark‏ ‎3.6.x ‎для‏ ‎кадров ‎5G).

Ограничения

🚫QCSuper ‎нельзя ‎использовать‏ ‎с‏ ‎телефонами, ‎отличными‏ ‎от ‎Qualcomm.‏ ‎Этот ‎инструмент ‎специально ‎использует ‎протокол‏ ‎Qualcomm‏ ‎Diag, ‎который‏ ‎является ‎фирменным‏ ‎протоколом, ‎доступным ‎только ‎на ‎устройствах‏ ‎на‏ ‎базе‏ ‎Qualcomm. ‎Поэтому‏ ‎он ‎несовместим‏ ‎с ‎телефонами‏ ‎или‏ ‎модемами, ‎которые‏ ‎не ‎используют ‎чипсеты ‎Qualcomm

🚫QCSuper ‎не‏ ‎может ‎перехватывать‏ ‎радио-фреймы‏ ‎5G ‎на ‎всех‏ ‎устройствах. ‎Возможность‏ ‎захвата ‎радиокадров ‎5G ‎ограничена‏ ‎некоторыми‏ ‎моделями ‎устройств‏ ‎на ‎базе‏ ‎Qualcomm. ‎Инструмент ‎частично ‎поддерживает ‎5G,‏ ‎и‏ ‎эта ‎функциональность‏ ‎была ‎протестирована‏ ‎в ‎определенных ‎условиях ‎с ‎помощью‏ ‎Wireshark‏ ‎3.6.x.‏ ‎Поэтому ‎не‏ ‎все ‎устройства‏ ‎на ‎базе‏ ‎Qualcomm‏ ‎обязательно ‎будут‏ ‎поддерживать ‎захват ‎кадров ‎5G, ‎и‏ ‎пользователям ‎может‏ ‎потребоваться‏ ‎проверить ‎совместимость ‎для‏ ‎конкретной ‎модели‏ ‎устройства.

Применение ‎QCSuper

Телекоммуникационная ‎отрасль:

📌Анализ ‎сети: QCSuper‏ ‎позволяет‏ ‎операторам ‎связи‏ ‎фиксировать ‎и‏ ‎анализировать ‎обмен ‎радиосигналами ‎между ‎мобильными‏ ‎устройствами‏ ‎и ‎сетью.‏ ‎Это ‎помогает‏ ‎лучше ‎понять ‎производительность ‎сети, ‎диагностировать‏ ‎проблемы‏ ‎и‏ ‎оптимизировать ‎сетевые‏ ‎конфигурации.

📌Соответствие ‎протоколам:‏ ‎Фиксируя ‎исходные‏ ‎радиокадры,‏ ‎телекоммуникационные ‎компании‏ ‎могут ‎гарантировать ‎соответствие ‎своих ‎сетей‏ ‎отраслевым ‎стандартам‏ ‎и‏ ‎протоколам, ‎таким ‎как‏ ‎те, ‎которые‏ ‎определены ‎в ‎3GPP ‎для‏ ‎сетей‏ ‎2G, ‎3G,‏ ‎4G ‎и‏ ‎5G.

Безопасность ‎мобильной ‎связи:

📌Исследование ‎безопасности: Исследователи ‎могут‏ ‎использовать‏ ‎QCSuper ‎для‏ ‎изучения ‎уязвимостей‏ ‎в ‎мобильных ‎сетях ‎и ‎выявления‏ ‎потенциальных‏ ‎недостатков‏ ‎в ‎системе‏ ‎безопасности ‎и‏ ‎разрабатки ‎стратегии‏ ‎их‏ ‎устранения.

📌Тестирование ‎на‏ ‎проникновение: QCSuper ‎полезен ‎для ‎проведения ‎тестов‏ ‎на ‎проникновение‏ ‎в‏ ‎мобильные ‎сети. ‎Это‏ ‎позволяет ‎специалистам‏ ‎по ‎безопасности ‎моделировать ‎атаки‏ ‎и‏ ‎оценивать ‎устойчивость‏ ‎сети ‎к‏ ‎различным ‎угрозам.

Сетевые ‎исследования ‎и ‎разработки:

📌Анализ‏ ‎протоколов:‏ ‎Исследователи ‎могут‏ ‎использовать ‎QCSuper‏ ‎для ‎сбора ‎и ‎анализа ‎сигнальной‏ ‎информации‏ ‎и‏ ‎пользовательских ‎данных‏ ‎на ‎разных‏ ‎уровнях ‎стека‏ ‎мобильной‏ ‎сети. ‎Это‏ ‎имеет ‎значение ‎для ‎разработки ‎новых‏ ‎протоколов ‎и‏ ‎улучшения‏ ‎существующих.

📌 Исследование ‎5G: Благодаря ‎частичной‏ ‎поддержке ‎5G‏ ‎QCSuper ‎играет ‎важную ‎роль‏ ‎в‏ ‎изучении ‎достижений‏ ‎в ‎области‏ ‎мобильных ‎технологий, ‎чтобы ‎понять ‎новые‏ ‎возможности‏ ‎и ‎проблемы,‏ ‎связанные ‎с‏ ‎сетями ‎5G.

Образовательные ‎и ‎обучающие ‎цели:

📌Учебные‏ ‎программы: QCSuper‏ ‎используется‏ ‎в ‎учебных‏ ‎программах ‎для‏ ‎обучения ‎специалистов‏ ‎в‏ ‎области ‎телекоммуникаций‏ ‎и ‎безопасности ‎протоколам ‎и ‎безопасности‏ ‎мобильных ‎сетей,‏ ‎предоставляя‏ ‎практический ‎опыт ‎сбора‏ ‎и ‎анализа‏ ‎реального ‎сетевого ‎трафика.

📌Академические ‎исследования:‏ ‎Университеты‏ ‎и ‎исследовательские‏ ‎институты ‎могут‏ ‎использовать ‎QCSuper ‎для ‎академических ‎проектов‏ ‎и‏ ‎исследований, ‎помогая‏ ‎студентам ‎и‏ ‎исследователям ‎получить ‎практическое ‎представление ‎о‏ ‎работе‏ ‎мобильных‏ ‎сетей.

В ‎статье представлен‏ ‎подробный ‎анализ ‎конкретной ‎уязвимости ‎в‏ ‎устройствах ‎TP-Link,‏ ‎о‏ ‎которой ‎сообщалось ‎в‏ ‎2020 ‎году,‏ ‎но ‎которой ‎не ‎присвоен‏ ‎статус‏ ‎CVE.

Причины ‎возникновения‏ ‎уязвимости ‎переполнения‏ ‎буфера ‎TDDP ‎в ‎TP-Link

Уязвимость ‎TDDP-протокола‏ ‎TP-Link‏ ‎(протокол ‎отладки‏ ‎устройств ‎TP-LINK),‏ ‎связанная ‎с ‎переполнением ‎буфера, ‎в‏ ‎первую‏ ‎очередь‏ ‎связана ‎с‏ ‎обработкой ‎протоколом‏ ‎UDP-пакетов. ‎TDDP,‏ ‎двоичный‏ ‎протокол, ‎используемый‏ ‎для ‎целей ‎отладки, ‎обрабатывает ‎пакеты‏ ‎с ‎помощью‏ ‎одного‏ ‎UDP-пакета, ‎который ‎при‏ ‎неправильной ‎обработке‏ ‎может ‎представлять ‎угрозу ‎безопасности.‏ ‎Конкретной‏ ‎причиной ‎переполнения‏ ‎буфера ‎является‏ ‎отсутствие ‎надлежащей ‎проверки ‎длины ‎данных‏ ‎во‏ ‎время ‎анализа‏ ‎этих ‎UDP-пакетов.‏ ‎Эта ‎оплошность ‎приводит ‎к ‎переполнению‏ ‎памяти,‏ ‎что‏ ‎приводит ‎к‏ ‎повреждению ‎структуры‏ ‎памяти ‎устройства

Последствия‏ ‎уязвимости

Основной‏ ‎причиной ‎уязвимости,‏ ‎связанной ‎с ‎переполнением ‎буфера ‎TDDP‏ ‎в ‎TP-Link,‏ ‎является‏ ‎отказ ‎в ‎обслуживании‏ ‎(DoS). ‎Это‏ ‎происходит, ‎когда ‎переполнение ‎приводит‏ ‎к‏ ‎повреждению ‎структуры‏ ‎памяти, ‎в‏ ‎результате ‎чего ‎устройство ‎выходит ‎из‏ ‎строя‏ ‎или ‎перестает‏ ‎отвечать ‎на‏ ‎запросы. ‎Кроме ‎того, ‎существует ‎вероятность‏ ‎удаленного‏ ‎выполнения‏ ‎кода, ‎что‏ ‎может ‎позволить‏ ‎злоумышленнику ‎выполнить‏ ‎произвольный‏ ‎код ‎на‏ ‎устройстве. ‎Это ‎может ‎привести ‎к‏ ‎несанкционированному ‎доступу‏ ‎к‏ ‎сети, ‎краже ‎данных‏ ‎или ‎дальнейшему‏ ‎использованию ‎сетевых ‎ресурсов

Методы ‎использования

Использование‏ ‎уязвимости‏ ‎переполнения ‎буфера‏ ‎TDDP ‎в‏ ‎TP-Link ‎связано ‎с ‎отправкой ‎созданных‏ ‎UDP-пакетов,‏ ‎которые ‎превышают‏ ‎установленные ‎протоколом‏ ‎пределы ‎буфера. ‎Этого ‎можно ‎достичь,‏ ‎манипулируя‏ ‎длиной‏ ‎данных ‎пакета,‏ ‎чтобы ‎она‏ ‎превышала ‎то,‏ ‎что‏ ‎может ‎обработать‏ ‎буфер, ‎что ‎приводит ‎к ‎переполнению.‏ ‎Такие ‎инструменты,‏ ‎как‏ ‎Shambles, ‎могут ‎использоваться‏ ‎для ‎выявления,‏ ‎устранения, ‎эмуляции ‎и ‎проверки‏ ‎таких‏ ‎условий ‎переполнения‏ ‎буфера. ‎Успешное‏ ‎использование ‎может ‎позволить ‎злоумышленникам ‎вызвать‏ ‎отказ‏ ‎в ‎обслуживании‏ ‎или ‎потенциально‏ ‎выполнить ‎произвольный ‎код ‎на ‎устройстве.

Стратегии‏ ‎смягчения‏ ‎последствий

📌Обновления‏ ‎встроенного ‎ПО: Регулярное‏ ‎обновление ‎встроенного‏ ‎по ‎устройств‏ ‎TP-Link‏ ‎до ‎последней‏ ‎версии ‎может ‎помочь ‎устранить ‎уязвимости‏ ‎и ‎повысить‏ ‎безопасность.

📌Сегментация‏ ‎сети: ‎Размещение ‎критически‏ ‎важных ‎устройств‏ ‎в ‎отдельных ‎сегментах ‎сети‏ ‎может‏ ‎ограничить ‎распространение‏ ‎потенциальных ‎атак.

📌Правила‏ ‎брандмауэра: ‎Настройка ‎брандмауэров ‎для ‎ограничения‏ ‎входящего‏ ‎трафика ‎через‏ ‎UDP-порт ‎1040,‏ ‎который ‎используется ‎TDDP, ‎может ‎предотвратить‏ ‎несанкционированный‏ ‎доступ.

📌Сканеры‏ ‎уязвимостей: ‎Регулярное‏ ‎сканирование ‎уязвимостей‏ ‎средствами ‎безопасности‏ ‎может‏ ‎помочь ‎выявить‏ ‎их ‎и ‎устранить ‎до ‎того,‏ ‎как ‎они‏ ‎будут‏ ‎использованы.

Обзор ‎TDDP

📌Протокол ‎отладки‏ ‎устройств ‎TP-Link‏ ‎(TDDP): ‎Двоичный ‎протокол, ‎используемый‏ ‎в‏ ‎основном ‎для‏ ‎целей ‎отладки,‏ ‎который ‎работает ‎с ‎помощью ‎одного‏ ‎UDP-пакета.‏ ‎Этот ‎протокол‏ ‎описан ‎в‏ ‎патенте ‎CN102096654A.

📌Структура ‎пакета: Пакет ‎TDDP ‎содержит‏ ‎такие‏ ‎поля,‏ ‎как ‎версия,‏ ‎тип, ‎код,‏ ‎ReplyInfo, ‎PktLength,‏ ‎PktID,‏ ‎подтип, ‎Резерв‏ ‎и ‎дайджест ‎MD5, ‎которые ‎имеют‏ ‎решающее ‎значение‏ ‎для‏ ‎работы ‎протокола.

Анализ ‎уязвимых‏ ‎функций:

📌tddpEntry ‎(sub_4045f8‏ ‎0×004045F8): ‎Эта ‎функция ‎постоянно‏ ‎проверяет‏ ‎входящие ‎данные‏ ‎с ‎помощью‏ ‎функции ‎recvfrom ‎и ‎передает ‎данные‏ ‎в‏ ‎функцию ‎TddpPktInterfaceFunction‏ ‎без ‎проверки‏ ‎размера ‎полученных ‎данных.

📌GetTddpMaxPktBuff ‎(sub_4042d0 ‎0×004042D0):‏ ‎Возвращает‏ ‎размер‏ ‎буфера, ‎равный‏ ‎0×14000.

📌tddp_versionTwoOpt ‎(sub_404b40‏ ‎0×00405990) ‎и‏ ‎tddp_deCode‏ ‎(sub_404fa4 ‎0×00405014):‏ ‎функции, ‎участвующие ‎в ‎обработке ‎и‏ ‎декодировании ‎пакета‏ ‎TDDP.‏ ‎Они ‎обрабатывают ‎расшифровку‏ ‎данных ‎с‏ ‎помощью ‎DES ‎и ‎проверяют‏ ‎целостность‏ ‎расшифрованных ‎данных.

Механизм‏ ‎использования

📌Триггер ‎переполнения‏ ‎буфера: ‎Уязвимость ‎срабатывает, ‎когда ‎длина‏ ‎пакета,‏ ‎указанная ‎в‏ ‎пакете ‎TDDP,‏ ‎превышает ‎размер ‎буфера ‎(0×14000), ‎что‏ ‎приводит‏ ‎к‏ ‎переполнению ‎буфера.

📌Расшифровка‏ ‎и ‎проверка‏ ‎MD5: ‎Для‏ ‎расшифровки‏ ‎используется ‎функция‏ ‎des_min_do, ‎и ‎дайджест ‎пакета ‎MD5‏ ‎сверяется ‎с‏ ‎дайджестом‏ ‎данных ‎MD5. ‎Если‏ ‎длина ‎пакета‏ ‎превышает ‎размер ‎буфера, ‎это‏ ‎приводит‏ ‎к ‎повреждению‏ ‎памяти ‎и‏ ‎отказу ‎в ‎обслуживании ‎(DoS).

Проверка ‎концепции‏ ‎(PoC)

📌Настройка: PoC‏ ‎включает ‎в‏ ‎себя ‎настройку‏ ‎виртуальной ‎машины ‎(ВМ) ‎с ‎встроенным‏ ‎ПО‏ ‎и‏ ‎запуск ‎службы‏ ‎tddpd.

📌Код ‎эксплойта: Документ‏ ‎содержит ‎код‏ ‎на‏ ‎Python, ‎который‏ ‎создает ‎пакет ‎TDDP ‎с ‎определенными‏ ‎полями, ‎манипулируемыми‏ ‎для‏ ‎запуска ‎переполнения ‎буфера.

📌Результат:‏ ‎Выполнение ‎PoC‏ ‎приводит ‎к ‎сбою ‎программы‏ ‎tddpd,‏ ‎что ‎подтверждает‏ ‎уязвимость.

Вывод

📌Последствия: ‎Уязвимость‏ ‎приводит ‎к ‎отказу ‎в ‎обслуживании‏ ‎и‏ ‎потенциально ‎позволяет‏ ‎выполнять ‎удаленный‏ ‎код ‎при ‎дальнейшем ‎использовании.

📌Рекомендации: Для ‎устранения‏ ‎таких‏ ‎уязвимостей‏ ‎рекомендуется ‎регулярно‏ ‎обновлять ‎и‏ ‎исправлять, ‎сегментировать‏ ‎сеть‏ ‎и ‎надлежащим‏ ‎образом ‎проверять ‎поступающие ‎данные.

На ‎этот‏ ‎раз ‎мы ‎погружаемся ‎в ‎мутные‏ ‎воды ‎вредоносной‏ ‎программы‏ ‎Fuxnet, ‎детища ‎хакерской‏ ‎группы ‎Blackjack.

Место‏ ‎действия: ‎Москва, ‎город, ‎который,‏ ‎ни‏ ‎о ‎чем‏ ‎не ‎подозревая,‏ ‎занимается ‎своими ‎делами, ‎что ‎он‏ ‎вот-вот‏ ‎станет ‎звездой‏ ‎социальный ‎драмы‏ ‎Blackjack.Суть ‎атаки ‎— ‎ничего ‎особенного,‏ ‎просто‏ ‎классический‏ ‎ход ‎«давайте‏ ‎отключим ‎сенсорные‏ ‎шлюзы».

Стремясь ‎к‏ ‎беспрецедентной‏ ‎прозрачности, ‎Blackjack‏ ‎решает ‎транслировать ‎свои ‎киберпреступления ‎на‏ ‎сайте ‎http://ruexfil.com. Потому‏ ‎что‏ ‎ничто ‎так ‎не‏ ‎кричит ‎о‏ ‎«секретной ‎операции», ‎как ‎публичная‏ ‎демонстрация‏ ‎хакерского ‎мастерства,‏ ‎сопровождаемая ‎скриншотами‏ ‎для ‎особо ‎внимательных ‎пользователей.

Но ‎тут-то‏ ‎интрига‏ ‎и ‎обостряется:‏ ‎первоначальное ‎утверждение‏ ‎о ‎2659 ‎вышедших ‎из ‎строя‏ ‎сенсорных‏ ‎шлюзах?‏ ‎Кажется, ‎это‏ ‎небольшое ‎преувеличение.‏ ‎Реальное ‎число?‏ ‎Чуть‏ ‎больше ‎500.‏ ‎Это ‎сродни ‎провозглашению ‎мирового ‎господства‏ ‎для ‎тех‏ ‎сфоткался‏ ‎после ‎пересечения ‎границы‏ ‎в ‎аэропорту.

Создатели,‏ ‎как ‎всегда, ‎намекают ‎на‏ ‎продолжение,‏ ‎утверждая, ‎что‏ ‎их ‎результаты‏ ‎были ‎всего ‎лишь ‎намёком ‎на‏ ‎грядущий‏ ‎хаос. ‎Ведь‏ ‎что ‎такое‏ ‎кибератака ‎без ‎намёка ‎на ‎продолжение,‏ ‎дразнящее‏ ‎аудиторию‏ ‎обещанием ‎новых‏ ‎цифровых ‎разрушений?

-------

в‏ ‎документе ‎представлен‏ ‎анализ‏ ‎Fuxnet, ‎приписываемого‏ ‎хакерской ‎группе ‎Blackjack, ‎которое, ‎как‏ ‎сообщается, ‎нацелено‏ ‎на‏ ‎инфраструктуру ‎отдельных ‎стран.‏ ‎Анализ ‎включает‏ ‎в ‎себя ‎различные ‎аспекты‏ ‎вредоносного‏ ‎ПО, ‎включая‏ ‎его ‎технические‏ ‎характеристики, ‎влияние ‎на ‎системы, ‎механизмы‏ ‎защиты,‏ ‎методы ‎распространения,‏ ‎цели ‎и‏ ‎мотивы, ‎стоящие ‎за ‎его ‎внедрением.‏ ‎Изучив‏ ‎эти‏ ‎аспекты, ‎цель‏ ‎документа-обеспечить ‎подробный‏ ‎обзор ‎Fuxnet‏ ‎по‏ ‎возможности ‎и‏ ‎её ‎значение ‎для ‎кибербезопасности.

Документ ‎предлагает‏ ‎качественное ‎описание‏ ‎Fuxnet,‏ ‎основанное ‎на ‎информации,‏ ‎которой ‎публично‏ ‎доступной ‎от ‎экспертов ‎по‏ ‎кибербезопасности.‏ ‎Этот ‎анализ‏ ‎полезен ‎для‏ ‎специалистов ‎в ‎области ‎ИБ, ‎ИТ-специалистов‏ ‎и‏ ‎заинтересованных ‎сторон‏ ‎в ‎различных‏ ‎отраслях, ‎поскольку ‎он ‎не ‎только‏ ‎проливает‏ ‎свет‏ ‎на ‎технические‏ ‎тонкости ‎сложной‏ ‎киберугрозы, ‎но‏ ‎и‏ ‎подчёркивает ‎важность‏ ‎надёжных ‎мер ‎кибербезопасности ‎для ‎защиты‏ ‎критически ‎важной‏ ‎инфраструктуры‏ ‎от ‎возникающих ‎угроз.‏ ‎Документ ‎способствует‏ ‎более ‎широкому ‎пониманию ‎тактики‏ ‎ведения‏ ‎кибервойны ‎и‏ ‎повышает ‎готовность‏ ‎организаций ‎к ‎защите ‎от ‎подобных‏ ‎атак‏ ‎в ‎будущем.

Подробный‏ ‎разбор

Fuxnet [RU].pdf

532,53 KB

Скачать

В ‎статье приводится‏ ‎подробное ‎руководство ‎по ‎использованию ‎QEMU‏ ‎для ‎эмуляции‏ ‎встроенного‏ ‎по ‎IoT, ‎в‏ ‎частности, ‎с‏ ‎акцентом ‎на ‎практический ‎пример,‏ ‎связанный‏ ‎с ‎эмуляцией‏ ‎встроенного ‎ПО‏ ‎маршрутизатора. ‎Автор ‎делится ‎идеями ‎и‏ ‎подробными‏ ‎шагами ‎о‏ ‎том, ‎как‏ ‎эффективно ‎использовать ‎QEMU ‎для ‎исследований‏ ‎и‏ ‎тестирования‏ ‎безопасности.

Обзор ‎QEMU

📌QEMU‏ ‎используется ‎для‏ ‎эмуляции ‎различных‏ ‎аппаратных‏ ‎архитектур, ‎что‏ ‎делает ‎его ‎ценным ‎инструментом ‎для‏ ‎ИБ-исследователей, ‎которым‏ ‎необходимо‏ ‎тестировать ‎программное ‎обеспечение‏ ‎в ‎контролируемой‏ ‎среде ‎без ‎физического ‎оборудования.

📌В‏ ‎руководстве‏ ‎особое ‎внимание‏ ‎уделяется ‎использованию‏ ‎Ubuntu ‎18.04 ‎для ‎настройки ‎QEMU‏ ‎из-за‏ ‎простоты ‎управления‏ ‎интерфейсами ‎в‏ ‎этом ‎конкретном ‎дистрибутиве.

Первоначальная ‎настройка ‎и‏ ‎установка

📌В‏ ‎документе‏ ‎описаны ‎начальные‏ ‎шаги ‎по‏ ‎установке ‎QEMU‏ ‎и‏ ‎его ‎зависимостей‏ ‎от ‎Ubuntu ‎18.04, ‎включая ‎установку‏ ‎библиотек ‎и‏ ‎инструментов,‏ ‎необходимых ‎для ‎создания‏ ‎сетевых ‎мостов‏ ‎и ‎отладки ‎с ‎помощью‏ ‎pwndbg.

Анализ‏ ‎и ‎подготовка‏ ‎встроенного ‎ПО

📌Binwalk‏ ‎используется ‎для ‎анализа ‎и ‎извлечения‏ ‎содержимого‏ ‎встроенного ‎ПО.‏ ‎В ‎руководстве‏ ‎подробно ‎описано, ‎как ‎использовать ‎Binwalk‏ ‎для‏ ‎идентификации‏ ‎и ‎распаковки‏ ‎компонентов ‎встроенного‏ ‎ПО, ‎уделяя‏ ‎особое‏ ‎внимание ‎файловой‏ ‎системе ‎squashfs, ‎которая ‎имеет ‎решающее‏ ‎значение ‎для‏ ‎процесса‏ ‎эмуляции.

Процесс ‎эмуляции

📌Среда ‎Chroot:‏ ‎Для ‎этого‏ ‎необходимо ‎скопировать ‎двоичный ‎файл‏ ‎qemu-mips-static‏ ‎в ‎каталог‏ ‎встроенного ‎ПО‏ ‎и ‎использовать ‎chroot ‎для ‎непосредственного‏ ‎запуска‏ ‎веб-сервера ‎встроенного‏ ‎ПО.

📌Эмуляция ‎системного‏ ‎режима: ‎Этот ‎метод ‎использует ‎скрипт‏ ‎и‏ ‎дополнительные‏ ‎загрузки ‎(например,‏ ‎vmlinux ‎и‏ ‎образ ‎Debian)‏ ‎для‏ ‎создания ‎более‏ ‎стабильной ‎и ‎интегрированной ‎среды ‎эмуляции.

Отладка‏ ‎и ‎настройка‏ ‎сети

📌Приведены‏ ‎подробные ‎инструкции ‎по‏ ‎настройке ‎сетевых‏ ‎мостов ‎и ‎интерфейсов, ‎которые‏ ‎позволят‏ ‎эмулируемому ‎микропрограммному‏ ‎обеспечению ‎взаимодействовать‏ ‎с ‎хост-системой.

📌В ‎руководстве ‎также ‎описывается‏ ‎установка‏ ‎различных ‎каталогов‏ ‎(/dev, ‎/proc,‏ ‎/sys) ‎для ‎обеспечения ‎доступа ‎эмулируемой‏ ‎системы‏ ‎к‏ ‎необходимым ‎ресурсам.

Запуск‏ ‎и ‎взаимодействие‏ ‎с ‎эмулируемым‏ ‎встроенным‏ ‎ПО

📌После ‎завершения‏ ‎настройки ‎микропрограммное ‎обеспечение ‎запускается, ‎и‏ ‎пользователь ‎может‏ ‎взаимодействовать‏ ‎с ‎эмулируемым ‎веб-сервером‏ ‎через ‎браузер.‏ ‎В ‎руководстве ‎содержатся ‎советы‏ ‎по‏ ‎устранению ‎распространенных‏ ‎проблем, ‎таких‏ ‎как ‎неправильные ‎пути ‎или ‎отсутствующие‏ ‎файлы,‏ ‎которые ‎могут‏ ‎привести ‎к‏ ‎сбою ‎сервера.

Тестирование ‎безопасности ‎и ‎обратное‏ ‎проектирование

📌Документ‏ ‎завершается‏ ‎описанием ‎использования‏ ‎программы ‎эмуляции‏ ‎для ‎тестирования‏ ‎безопасности‏ ‎и ‎обратного‏ ‎проектирования. ‎В ‎нем ‎упоминаются ‎такие‏ ‎инструменты, ‎как‏ ‎Burp‏ ‎Suite ‎для ‎сбора‏ ‎веб-запросов ‎и‏ ‎Ghidra ‎для ‎анализа ‎двоичных‏ ‎файлов.

Практическая‏ ‎демонстрация

📌Представлена ‎практическая‏ ‎демонстрация ‎поиска‏ ‎и ‎использования ‎уязвимости, ‎связанной ‎с‏ ‎внедрением‏ ‎команд, ‎в‏ ‎эмулируемом ‎микропрограммном‏ ‎обеспечении, ‎демонстрирующая, ‎как ‎QEMU ‎можно‏ ‎использовать‏ ‎для‏ ‎тестирования ‎и‏ ‎разработки ‎доказательств‏ ‎концепции ‎уязвимостей‏ ‎в‏ ‎системе ‎безопасности.

В ‎мире,‏ ‎где ‎переход ‎по ‎ссылке ‎сродни‏ ‎переходу ‎по‏ ‎минному‏ ‎полю, ‎фишинг ‎становится‏ ‎главным ‎злодеем.‏ ‎Представляем ‎наших ‎героев: ‎исследователей,‏ ‎написавших‏ ‎эту ‎статью,‏ ‎вооружённых ‎своим‏ ‎новым ‎блестящим ‎оружием ‎— ‎антифишстеком.‏ ‎Это‏ ‎не ‎просто‏ ‎какая-то ‎модель;‏ ‎это ‎чудо ‎борьбы ‎с ‎киберпреступностью‏ ‎на‏ ‎базе‏ ‎LSTM, ‎которому‏ ‎не ‎нужно‏ ‎ничего ‎знать‏ ‎о‏ ‎фишинге, ‎чтобы‏ ‎поймать ‎его.

Они ‎разработали ‎настолько ‎действенный‏ ‎продукт, ‎что‏ ‎традиционные‏ ‎системы ‎обнаружения ‎фишинга‏ ‎могут ‎устареть‏ ‎до ‎слез. ‎Используя ‎мистические‏ ‎возможности‏ ‎сетей ‎LSTM‏ ‎и ‎алхимию‏ ‎функций ‎TF-IDF, ‎они ‎создали ‎эликсир‏ ‎для‏ ‎обнаружения ‎фишинга,‏ ‎которому, ‎как‏ ‎предполагается, ‎могут ‎позавидовать ‎специалисты ‎по‏ ‎кибербезопасности‏ ‎во‏ ‎всем ‎мире.

-------

Анализ‏ ‎документа ‎«AntiPhishStack:‏ ‎модель ‎многоуровневого‏ ‎обобщения‏ ‎на ‎основе‏ ‎LSTM ‎для ‎оптимизированного ‎обнаружения ‎фишинговых‏ ‎URL», ‎будет‏ ‎охватывать‏ ‎различные ‎аспекты, ‎включая‏ ‎методологию, ‎результаты‏ ‎и ‎последствия ‎для ‎кибербезопасности.‏ ‎В‏ ‎частности, ‎будет‏ ‎рассмотрен ‎подход‏ ‎документа ‎к ‎использованию ‎сетей ‎с‏ ‎долгой‏ ‎краткосрочной ‎памятью‏ ‎(LSTM) ‎в‏ ‎рамках ‎многоуровневой ‎структуры ‎обобщения ‎для‏ ‎обнаружения‏ ‎фишинговых‏ ‎URL-адресов. ‎Будет‏ ‎изучена ‎эффективность‏ ‎модели, ‎стратегии‏ ‎её‏ ‎оптимизации ‎и‏ ‎её ‎производительность ‎по ‎сравнению ‎с‏ ‎существующими ‎методами.

В‏ ‎ходе‏ ‎анализа ‎также ‎будут‏ ‎рассмотрены ‎практические‏ ‎применения ‎модели, ‎способы ‎её‏ ‎интеграции‏ ‎в ‎существующие‏ ‎меры ‎кибербезопасности‏ ‎и ‎её ‎потенциальное ‎влияние ‎на‏ ‎сокращение‏ ‎числа ‎фишинговых‏ ‎атак. ‎Подчёркнута‏ ‎актуальность ‎документа ‎для ‎специалистов ‎по‏ ‎кибербезопасности,‏ ‎ИТ-специалистов‏ ‎и ‎заинтересованных‏ ‎сторон ‎в‏ ‎различных ‎отраслях,‏ ‎а‏ ‎также ‎важность‏ ‎передовых ‎методов ‎обнаружения ‎фишинга ‎в‏ ‎современном ‎цифровом‏ ‎ландшафте.‏ ‎Это ‎изложение ‎послужит‏ ‎ценным ‎ресурсом‏ ‎для ‎экспертов ‎по ‎кибербезопасности,‏ ‎ИТ-специалистов‏ ‎и ‎других‏ ‎лиц, ‎интересующихся‏ ‎последними ‎разработками ‎в ‎области ‎обнаружения‏ ‎и‏ ‎предотвращения ‎фишинга.

Подробный‏ ‎разбор

AntiPhishStack [RU].pdf

556,10 KB

Скачать

Ботнет ‎под‏ ‎названием ‎«Goldoon» ‎нацелен ‎на ‎уязвимость‏ ‎десятилетней ‎давности‏ ‎в‏ ‎незащищенных ‎устройствах ‎D-Link.

📌Уязвимость: Goldoon‏ ‎использует ‎CVE-2015-2051,‏ ‎критический ‎дефект ‎безопасности ‎с‏ ‎оценкой‏ ‎CVSS ‎9,8,‏ ‎который ‎затрагивает‏ ‎маршрутизаторы ‎D-Link ‎DIR-645. ‎Эта ‎уязвимость‏ ‎позволяет‏ ‎злоумышленникам ‎удалённо‏ ‎выполнять ‎произвольные‏ ‎команды ‎с ‎помощью ‎специально ‎созданных‏ ‎HTTP-запросов.

📌Действия‏ ‎ботнета: Как‏ ‎только ‎устройство‏ ‎скомпрометировано, ‎злоумышленники‏ ‎получают ‎полный‏ ‎контроль,‏ ‎что ‎позволяет‏ ‎им ‎извлекать ‎системную ‎информацию, ‎устанавливать‏ ‎связь ‎с‏ ‎сервером‏ ‎управления ‎(C2) ‎и‏ ‎использовать ‎устройства‏ ‎для ‎проведения ‎дальнейших ‎атак,‏ ‎таких‏ ‎как ‎распределенные‏ ‎атаки ‎типа‏ ‎«отказ ‎в ‎обслуживании» ‎(DDoS).

📌 Методы ‎DDoS-атак:‏ ‎Ботнет‏ ‎Goldoon ‎способен‏ ‎запускать ‎различные‏ ‎DDoS-атаки, ‎используя ‎такие ‎методы, ‎как‏ ‎TCP-флудинг,‏ ‎ICMP-флудинг,‏ ‎и ‎более‏ ‎специализированные ‎атаки,‏ ‎такие ‎как‏ ‎Minecraft‏ ‎DDoS.

📌Распространение ‎и‏ ‎скрытность: ‎Ботнет ‎инициирует ‎атаку, ‎используя‏ ‎CVE-2015-2051 ‎для‏ ‎развертывания‏ ‎скрипта-"дроппера» ‎с ‎вредоносного‏ ‎сервера. ‎Этот‏ ‎скрипт ‎предназначен ‎для ‎самоуничтожения,‏ ‎чтобы‏ ‎избежать ‎обнаружения,‏ ‎и ‎работает‏ ‎в ‎различных ‎архитектурах ‎систем ‎Linux.‏ ‎Программа‏ ‎загружает ‎и‏ ‎запускает ‎файл,‏ ‎«подготавливая ‎почву» ‎для ‎дальнейших ‎вредоносных‏ ‎действий.

📌Меры‏ ‎по‏ ‎снижению ‎и‏ ‎предотвращению: ‎Пользователям‏ ‎настоятельно ‎рекомендуется‏ ‎своевременно‏ ‎обновлять ‎устройства‏ ‎D-Link. ‎Кроме ‎того, ‎внедрение ‎решений‏ ‎для ‎мониторинга‏ ‎сети,‏ ‎установление ‎строгих ‎правил‏ ‎брандмауэра ‎и‏ ‎постоянное ‎информирование ‎о ‎последних‏ ‎бюллетенях‏ ‎по ‎безопасности‏ ‎и ‎исправлениях‏ ‎являются ‎важными ‎шагами, ‎позволяющими ‎опережать‏ ‎возникающие‏ ‎угрозы.

📌Влияние ‎и‏ ‎критичность: ‎Использование‏ ‎CVE-2015-2051 ‎ботнетом ‎Goldoon ‎представляет ‎собой‏ ‎малозатратную‏ ‎атаку,‏ ‎но ‎оказывает‏ ‎критическое ‎воздействие‏ ‎на ‎безопасность,‏ ‎которое‏ ‎может ‎привести‏ ‎к ‎удаленному ‎выполнению ‎кода. ‎Активность‏ ‎ботнета ‎резко‏ ‎возросла‏ ‎в ‎апреле ‎2024‏ ‎года ‎почти‏ ‎вдвое.

📌Рекомендации: Fortinet ‎рекомендует ‎по ‎возможности‏ ‎использовать‏ ‎исправления ‎и‏ ‎обновления ‎в‏ ‎связи ‎с ‎постоянным ‎развитием ‎и‏ ‎внедрением‏ ‎новых ‎ботнетов.‏ ‎Организациям ‎также‏ ‎рекомендуется ‎пройти ‎бесплатный ‎обучающий ‎курс‏ ‎Fortinet‏ ‎по‏ ‎кибербезопасности, ‎который‏ ‎поможет ‎конечным‏ ‎пользователям ‎научиться‏ ‎распознавать‏ ‎фишинговые ‎атаки‏ ‎и ‎защищаться ‎от ‎них.

Затронутые ‎отрасли‏ ‎промышленности

📌Домашние ‎сети‏ ‎и‏ ‎сети ‎малого ‎бизнеса:‏ ‎они ‎подвергаются‏ ‎непосредственному ‎воздействию, ‎поскольку ‎в‏ ‎этих‏ ‎средах ‎обычно‏ ‎используются ‎маршрутизаторы‏ ‎D-Link. ‎Компрометация ‎этих ‎маршрутизаторов ‎может‏ ‎привести‏ ‎к ‎сбоям‏ ‎в ‎работе‏ ‎сети ‎и ‎несанкционированному ‎доступу ‎к‏ ‎сетевому‏ ‎трафику.

📌Интернет-провайдеры‏ ‎(ISP): ‎Интернет-провайдеры‏ ‎могут ‎столкнуться‏ ‎с ‎повышенным‏ ‎давлением,‏ ‎требуя ‎от‏ ‎клиентов ‎помощи ‎в ‎обновлении ‎или‏ ‎замене ‎уязвимых‏ ‎устройств,‏ ‎и ‎они ‎могут‏ ‎испытывать ‎повышенную‏ ‎нагрузку ‎на ‎сеть ‎в‏ ‎результате‏ ‎DDoS-атак, ‎исходящих‏ ‎от ‎скомпрометированных‏ ‎маршрутизаторов.

📌Компании, ‎занимающиеся ‎кибербезопасностью: ‎Эти ‎организации‏ ‎могут‏ ‎столкнуться ‎с‏ ‎повышенным ‎спросом‏ ‎на ‎услуги ‎в ‎области ‎безопасности,‏ ‎включая‏ ‎обнаружение‏ ‎угроз, ‎повышение‏ ‎надежности ‎систем‏ ‎и ‎реагирование‏ ‎на‏ ‎инциденты, ‎связанные‏ ‎со ‎взломанными ‎маршрутизаторами.

📌Электронная ‎коммерция ‎и‏ ‎онлайн-сервисы: ‎Компании‏ ‎в‏ ‎этом ‎секторе ‎могут‏ ‎стать ‎объектами‏ ‎DDoS-атак, ‎запущенных ‎со ‎взломанных‏ ‎устройств,‏ ‎что ‎потенциально‏ ‎может ‎привести‏ ‎к ‎перебоям ‎в ‎обслуживании ‎и‏ ‎финансовым‏ ‎потерям.

📌Здравоохранение: ‎В‏ ‎связи ‎с‏ ‎ростом ‎числа ‎медицинских ‎служб, ‎использующих‏ ‎подключение‏ ‎к‏ ‎Интернету, ‎скомпрометированные‏ ‎маршрутизаторы ‎могут‏ ‎представлять ‎угрозу‏ ‎целостности‏ ‎данных ‎пациентов‏ ‎и ‎доступности ‎критически ‎важных ‎услуг.

Последствия

📌Компрометация‏ ‎сети ‎и‏ ‎утечка‏ ‎данных: ‎Злоумышленники ‎могут‏ ‎получить ‎полный‏ ‎контроль ‎над ‎скомпрометированными ‎маршрутизаторами,‏ ‎что‏ ‎потенциально ‎может‏ ‎привести ‎к‏ ‎краже ‎данных, ‎включая ‎конфиденциальную ‎личную‏ ‎и‏ ‎финансовую ‎информацию.

📌Распределенные‏ ‎атаки ‎типа‏ ‎«Отказ ‎в ‎обслуживании» ‎(DDoS): Ботнет ‎может‏ ‎запускать‏ ‎различные‏ ‎DDoS-атаки, ‎которые‏ ‎могут ‎нанести‏ ‎ущерб ‎сетевой‏ ‎инфраструктуре,‏ ‎нарушить ‎работу‏ ‎служб ‎и ‎привести ‎к ‎значительному‏ ‎простою ‎в‏ ‎работе‏ ‎затронутых ‎организаций.

📌Увеличение ‎эксплуатационных‏ ‎расходов: ‎Организациям‏ ‎может ‎потребоваться ‎инвестировать ‎в‏ ‎усиленные‏ ‎меры ‎безопасности,‏ ‎проводить ‎широкомасштабные‏ ‎проверки ‎и ‎заменять ‎или ‎обновлять‏ ‎уязвимые‏ ‎устройства, ‎что‏ ‎приведет ‎к‏ ‎увеличению ‎эксплуатационных ‎расходов.

📌Ущерб ‎репутации: Компании, ‎пострадавшие‏ ‎от‏ ‎атак,‏ ‎связанных ‎со‏ ‎взломанными ‎маршрутизаторами,‏ ‎могут ‎понести‏ ‎репутационный‏ ‎ущерб, ‎если‏ ‎будет ‎сочтено, ‎что ‎они ‎недостаточно‏ ‎защищают ‎данные‏ ‎клиентов‏ ‎или ‎не ‎обеспечивают‏ ‎доступность ‎услуг.

📌Нормативно-правовые‏ ‎последствия: Организации, ‎которые ‎не ‎обеспечивают‏ ‎надлежащую‏ ‎защиту ‎своих‏ ‎сетей, ‎могут‏ ‎столкнуться ‎с ‎проверкой ‎со ‎стороны‏ ‎регулирующих‏ ‎органов ‎и‏ ‎потенциальными ‎юридическими‏ ‎проблемами, ‎особенно ‎если ‎данные ‎потребителей‏ ‎будут‏ ‎скомпрометированы‏ ‎из-за ‎небрежности‏ ‎при ‎устранении‏ ‎известных ‎уязвимостей.

Добро ‎пожаловать‏ ‎в ‎очередной ‎выпуск ‎ежемесячного ‎сборника‏ ‎материалов, ‎который‏ ‎является‏ ‎вашим ‎универсальным ‎ресурсом‏ ‎для ‎получения‏ ‎информации ‎о ‎самых ‎последних‏ ‎разработках,‏ ‎аналитических ‎материалах‏ ‎и ‎лучших‏ ‎практиках ‎в ‎постоянно ‎развивающейся ‎области‏ ‎безопасности.‏ ‎В ‎этом‏ ‎выпуске ‎мы‏ ‎подготовили ‎разнообразную ‎подборку ‎статей, ‎новостей‏ ‎и‏ ‎результатов‏ ‎исследований, ‎рассчитанных‏ ‎как ‎на‏ ‎профессионалов, ‎так‏ ‎и‏ ‎на ‎обычных‏ ‎любителей. ‎Цель ‎нашего ‎дайджеста ‎—‏ ‎сделать ‎наш‏ ‎контент‏ ‎интересным ‎и ‎доступным.‏ ‎Приятного ‎чтения!

Chronicles Security. Digest. 2024-05.pdf

9,19 MB

Скачать

Добро ‎пожаловать‏ ‎в ‎очередной ‎выпуск ‎ежемесячного ‎сборника‏ ‎материалов, ‎который‏ ‎является‏ ‎вашим ‎универсальным ‎ресурсом‏ ‎для ‎получения‏ ‎информации ‎о ‎самых ‎последних‏ ‎разработках,‏ ‎аналитических ‎материалах‏ ‎и ‎лучших‏ ‎практиках ‎в ‎постоянно ‎развивающейся ‎области‏ ‎безопасности.‏ ‎В ‎этом‏ ‎выпуске ‎мы‏ ‎подготовили ‎разнообразную ‎подборку ‎статей, ‎новостей‏ ‎и‏ ‎результатов‏ ‎исследований, ‎рассчитанных‏ ‎как ‎на‏ ‎профессионалов, ‎так‏ ‎и‏ ‎на ‎обычных‏ ‎любителей. ‎Цель ‎нашего ‎дайджеста ‎—‏ ‎сделать ‎наш‏ ‎контент‏ ‎интересным ‎и ‎доступным.‏ ‎Приятного ‎чтения!

Chronicles Security. Digest. 2024-05. Level#Regular.pdf

8,61 MB

Скачать