В ‎статье «Использование‏ ‎Национальной ‎базы ‎данных ‎уязвимостей ‎для‏ ‎распространения ‎вредоносного‏ ‎ПО»‏ ‎от ‎Nozomi ‎Networks‏ ‎обсуждаются ‎потенциальные‏ ‎риски ‎и ‎уязвимости, ‎связанные‏ ‎с‏ ‎NVD.

📌NVD ‎—‏ ‎палка ‎о‏ ‎двух ‎концах: Предполагается, ‎что ‎NVD ‎—‏ ‎это‏ ‎настоящая ‎сокровищница‏ ‎для ‎профессионалов‏ ‎в ‎области ‎кибербезопасности, ‎но ‎угадайте,‏ ‎что?‏ ‎Это‏ ‎также ‎золотая‏ ‎жила ‎для‏ ‎киберпреступников. ‎Они‏ ‎могут‏ ‎легко ‎получить‏ ‎доступ ‎к ‎подробной ‎информации ‎об‏ ‎уязвимостях, ‎что‏ ‎превращает‏ ‎их ‎работу ‎по‏ ‎разработке ‎эксплойтов‏ ‎в ‎прогулку ‎по ‎парку.

📌Распространение‏ ‎вредоносных‏ ‎программ ‎через‏ ‎NVD: Представьте ‎себе‏ ‎иронию ‎— ‎для ‎распространения ‎вредоносных‏ ‎программ‏ ‎используется ‎база‏ ‎данных, ‎предназначенная‏ ‎для ‎нашей ‎защиты. ‎Киберпреступники ‎могут‏ ‎вставлять‏ ‎вредоносные‏ ‎ссылки ‎в‏ ‎записи ‎NVD,‏ ‎и ‎ничего‏ ‎не‏ ‎подозревающие ‎пользователи‏ ‎могут ‎просто ‎переходить ‎по ‎ним,‏ ‎думая, ‎что‏ ‎получают‏ ‎доступ ‎к ‎легитимным‏ ‎ресурсам.

📌Автоматизированные ‎инструменты‏ ‎и ‎сценарии: ‎Автоматизированные ‎инструменты,‏ ‎которые‏ ‎сканируют ‎сетевую‏ ‎систему ‎на‏ ‎наличие ‎уязвимостей, ‎могут ‎быть ‎взломаны.‏ ‎Этими‏ ‎инструментами, ‎разработанными‏ ‎для ‎обеспечения‏ ‎безопасности ‎организаций, ‎можно ‎манипулировать ‎для‏ ‎загрузки‏ ‎и‏ ‎запуска ‎вредоносного‏ ‎ПО.

📌Проблемы ‎с‏ ‎доверием: Многие ‎доверяют‏ ‎NVD,‏ ‎но ‎этим‏ ‎доверием ‎можно ‎воспользоваться. ‎Если ‎киберпреступникам‏ ‎удастся ‎внедрить‏ ‎вредоносные‏ ‎данные ‎в ‎NVD,‏ ‎они ‎могут‏ ‎использовать ‎это ‎доверие ‎для‏ ‎широкого‏ ‎распространения ‎своих‏ ‎вредоносных ‎программ.‏ ‎Не ‎доверяйте ‎никому, ‎даже ‎своему‏ ‎любимому‏ ‎NVD.

📌Стратегии ‎снижения‏ ‎рисков: Конечно, ‎есть‏ ‎способы ‎снизить ‎эти ‎риски, ‎но‏ ‎они‏ ‎требуют‏ ‎усилий. ‎Организациям‏ ‎необходимо ‎проверять‏ ‎данные, ‎которые‏ ‎они‏ ‎извлекают ‎из‏ ‎NVD, ‎и ‎обеспечивать ‎безопасность ‎своих‏ ‎автоматизированных ‎инструментов.

📌Идентификация ‎вредоносного‏ ‎ПО ‎и ‎его ‎активность: ‎Вредоносное‏ ‎ПО, ‎идентифицированное‏ ‎как‏ ‎Cuttlefish, ‎было ‎активно‏ ‎как ‎минимум‏ ‎с ‎27 ‎июля ‎2023‏ ‎года,‏ ‎а ‎последняя‏ ‎кампания ‎проводилась‏ ‎с ‎октября ‎2023 ‎по ‎апрель‏ ‎2024‏ ‎года. ‎Вирус‏ ‎предназначен ‎для‏ ‎проникновения ‎в ‎маршрутизаторы ‎и ‎другое‏ ‎сетевое‏ ‎оборудование‏ ‎с ‎целью‏ ‎незаметной ‎кражи‏ ‎информации.

📌Географическая ‎направленность‏ ‎и‏ ‎жертвы: ‎Кампания‏ ‎в ‎основном ‎затронула ‎Турцию, ‎где‏ ‎99% ‎случаев‏ ‎заражения‏ ‎происходит ‎внутри ‎страны.‏ ‎Среди ‎остальных‏ ‎жертв ‎— ‎глобальные ‎операторы‏ ‎спутниковой‏ ‎связи ‎и,‏ ‎возможно, ‎центр‏ ‎обработки ‎данных, ‎расположенный ‎в ‎США.

📌Связь‏ ‎с‏ ‎китайскими ‎операциями:‏ ‎Исследователи ‎из‏ ‎Black ‎Lotus ‎Labs ‎предполагают ‎наличие‏ ‎связи‏ ‎между‏ ‎Cuttlefish ‎и‏ ‎китайским ‎правительством‏ ‎из-за ‎значительного‏ ‎совпадения‏ ‎с ‎другой‏ ‎вредоносной ‎программой ‎под ‎названием ‎HiatusRat,‏ ‎которая ‎использовалась‏ ‎в‏ ‎операциях, ‎отвечающих ‎интересам‏ ‎Китая.

📌Принцип ‎работы: Cuttlefish‏ ‎собирает ‎данные ‎о ‎пользователях‏ ‎и‏ ‎устройствах, ‎находящихся‏ ‎за ‎пределами‏ ‎целевой ‎сети, ‎что ‎позволяет ‎хакерам‏ ‎отслеживать‏ ‎весь ‎трафик,‏ ‎проходящий ‎через‏ ‎скомпрометированные ‎устройства. ‎Программа ‎предназначена ‎для‏ ‎маршрутизаторов‏ ‎корпоративного‏ ‎уровня ‎для‏ ‎малого ‎и‏ ‎домашнего ‎офиса‏ ‎(SOHO).

📌Кража‏ ‎данных: ‎Вредоносная‏ ‎программа ‎настроена ‎на ‎кражу ‎ключей‏ ‎для ‎облачных‏ ‎сервисов,‏ ‎таких ‎как ‎Alicloud,‏ ‎AWS, ‎Digital‏ ‎Ocean, ‎CloudFlare ‎и ‎BitBucket.‏ ‎Это‏ ‎позволяет ‎злоумышленникам‏ ‎получать ‎доступ‏ ‎к ‎данным ‎из ‎облачных ‎ресурсов,‏ ‎которые,‏ ‎как ‎правило,‏ ‎менее ‎защищены,‏ ‎чем ‎традиционные ‎сетевые ‎периметры.

📌Проблемы ‎обнаружения: Характер‏ ‎атаки,‏ ‎осуществляемой‏ ‎через ‎надежную‏ ‎внутреннюю ‎сеть,‏ ‎делает ‎ее‏ ‎особенно‏ ‎трудной ‎для‏ ‎обнаружения. ‎Многие ‎средства ‎обеспечения ‎безопасности‏ ‎сосредоточены ‎на‏ ‎внешних‏ ‎угрозах, ‎тем ‎самым‏ ‎потенциально ‎упуская‏ ‎из ‎виду ‎такие ‎действия,‏ ‎возникающие‏ ‎внутри ‎компании.

📌Последствия:‏ ‎ освещается ‎меняющийся‏ ‎ландшафт ‎угроз, ‎в ‎котором ‎методы‏ ‎пассивного‏ ‎подслушивания ‎и‏ ‎перехвата ‎данных‏ ‎становятся ‎все ‎более ‎изощренными. ‎Растущая‏ ‎проблема,‏ ‎связанная‏ ‎с ‎использованием‏ ‎облачных ‎средств‏ ‎аутентификации, ‎требует‏ ‎усиления‏ ‎мер ‎безопасности.

Ещё ‎один‏ ‎документ ‎для ‎анализа. ‎На ‎этот‏ ‎раз ‎это‏ ‎захватывающая‏ ‎статья ‎«MalPurifier: ‎повышение‏ ‎эффективности ‎обнаружения‏ ‎вредоносных ‎программ ‎в ‎Android‏ ‎за‏ ‎счет ‎состязательной‏ ‎защиты ‎от‏ ‎атак ‎с ‎уклонением». ‎Потому ‎что,‏ ‎знаете‏ ‎ли, ‎миру‏ ‎действительно ‎нужна‏ ‎была ‎ещё ‎одна ‎статья ‎по‏ ‎обнаружению‏ ‎вредоносных‏ ‎программ ‎в‏ ‎Android.

Сначала ‎мы‏ ‎рассмотрим ‎введение‏ ‎и‏ ‎мотивацию, ‎чтобы‏ ‎понять, ‎почему ‎необходимо ‎ещё ‎одно‏ ‎решение ‎для‏ ‎борьбы‏ ‎с ‎постоянно ‎растущими‏ ‎угрозами, ‎связанными‏ ‎с ‎вредоносными ‎программами ‎для‏ ‎Android.‏ ‎Предупреждение ‎о‏ ‎спойлере: ‎это‏ ‎потому, ‎что ‎современные ‎подходы, ‎основанные‏ ‎на‏ ‎машинном ‎обучении,‏ ‎так ‎же‏ ‎уязвимы, ‎как ‎карточный ‎домик ‎во‏ ‎время‏ ‎шторма.

Затем‏ ‎мы ‎перейдём‏ ‎к ‎экспериментальной‏ ‎установке ‎и‏ ‎результатам.‏ ‎В ‎этом‏ ‎разделе ‎будет ‎показано, ‎как ‎MalPurifier‏ ‎превосходит ‎другие‏ ‎средства‏ ‎защиты, ‎достигая ‎точности‏ ‎более ‎90,91%.‏ ‎Впечатляет, ‎если ‎не ‎принимать‏ ‎во‏ ‎внимание ‎тот‏ ‎факт, ‎что‏ ‎он ‎протестирован ‎на ‎наборах ‎данных,‏ ‎которые‏ ‎могут ‎отражать,‏ ‎а ‎могут‏ ‎и ‎не ‎отражать ‎реальные ‎сценарии.

В‏ ‎разделе‏ ‎«Механизмы‏ ‎защиты» ‎будут‏ ‎рассмотрены ‎различные‏ ‎стратегии, ‎используемые‏ ‎MalPurifier,‏ ‎такие ‎как‏ ‎состязательная ‎очистка ‎и ‎состязательное ‎обучение.‏ ‎Потому ‎что‏ ‎ничто‏ ‎так ‎не ‎говорит‏ ‎о ‎«надёжной‏ ‎защите», ‎как ‎подбрасывание ‎более‏ ‎убедительных‏ ‎примеров ‎решения‏ ‎проблемы.

Конечно, ‎ни‏ ‎одна ‎статья ‎не ‎будет ‎полной‏ ‎без‏ ‎признания ‎её‏ ‎недостатков ‎и‏ ‎будущей ‎работы. ‎Здесь ‎авторы ‎смиренно‏ ‎признают,‏ ‎что‏ ‎их ‎решение‏ ‎не ‎идеально,‏ ‎и ‎предложат‏ ‎области‏ ‎для ‎будущих‏ ‎исследований. ‎Поскольку, ‎естественно, ‎поиск ‎идеальной‏ ‎системы ‎обнаружения‏ ‎вредоносных‏ ‎программ ‎никогда ‎не‏ ‎заканчивается.

Этот ‎анализ‏ ‎предоставит ‎высококачественное ‎краткое ‎изложение‏ ‎документа,‏ ‎подчеркнув ‎его‏ ‎вклад ‎и‏ ‎значение ‎для ‎специалистов ‎по ‎безопасности‏ ‎и‏ ‎других ‎специалистов‏ ‎в ‎различных‏ ‎областях. ‎Он ‎будет ‎особенно ‎полезен‏ ‎тем,‏ ‎кто‏ ‎любит ‎читать‏ ‎о ‎последних‏ ‎достижениях ‎в‏ ‎области‏ ‎обнаружения ‎вредоносных‏ ‎программ, ‎даже ‎если ‎их ‎практическое‏ ‎применение ‎все‏ ‎ещё‏ ‎вызывает ‎споры.

-------

В ‎документе‏ ‎представлен ‎анализ‏ ‎статьи ‎" ‎MalPurifier: ‎Enhancing‏ ‎Android‏ ‎Malware ‎Detection‏ ‎with ‎Adversarial‏ ‎Purification ‎against ‎Evasion ‎Attacks». ‎Анализ‏ ‎посвящён‏ ‎различным ‎аспектам‏ ‎статьи, ‎включая‏ ‎используемую ‎методологию, ‎экспериментальную ‎установку ‎и‏ ‎полученные‏ ‎результаты.

Этот‏ ‎анализ ‎представляет‏ ‎собой ‎качественное‏ ‎изложение ‎документа,‏ ‎предлагающее‏ ‎ценную ‎информацию‏ ‎специалистам ‎в ‎области ‎безопасности, ‎исследователям‏ ‎и ‎практикам‏ ‎в‏ ‎различных ‎областях. ‎Понимая‏ ‎сильные ‎стороны‏ ‎и ‎ограничения ‎платформы ‎MalPurifier,‏ ‎заинтересованные‏ ‎стороны ‎смогут‏ ‎лучше ‎оценить‏ ‎её ‎потенциальные ‎применения ‎и ‎вклад‏ ‎в‏ ‎совершенствование ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ ‎Android. ‎Анализ ‎особенно ‎полезен‏ ‎для‏ ‎тех,‏ ‎кто ‎занимается‏ ‎кибербезопасностью, ‎машинным‏ ‎обучением ‎и‏ ‎безопасностью‏ ‎мобильных ‎приложений,‏ ‎поскольку ‎в ‎нем ‎освещаются ‎инновационные‏ ‎подходы ‎к‏ ‎снижению‏ ‎рисков, ‎связанных ‎с‏ ‎атаками ‎с‏ ‎целью ‎предотвращения ‎обнаружения.

В ‎документе‏ ‎под‏ ‎названием ‎«MalPurifier:‏ ‎Enhancing ‎Android‏ ‎Malware ‎Detection ‎with ‎Adversarial ‎Purification‏ ‎against‏ ‎Evasion ‎Attacks»‏ ‎представлен ‎новый‏ ‎подход ‎к ‎улучшению ‎обнаружения ‎вредоносных‏ ‎программ‏ ‎для‏ ‎Android, ‎особенно‏ ‎в ‎условиях‏ ‎состязательных ‎атак‏ ‎уклонения‏ ‎(adversarial ‎evasion‏ ‎attacks). ‎В ‎документе ‎подчёркивается, ‎что‏ ‎это ‎первая‏ ‎попытка‏ ‎использовать ‎состязательную ‎очистку‏ ‎для ‎смягчения‏ ‎атак ‎в ‎экосистеме ‎Android,‏ ‎предоставляя‏ ‎многообещающее ‎решение‏ ‎для ‎повышения‏ ‎безопасности ‎систем ‎обнаружения ‎вредоносных ‎программ‏ ‎Android.

Мотивация:

📌 Распространённость‏ ‎вредоносного ‎ПО‏ ‎для ‎Android: В‏ ‎документе ‎освещается ‎широко ‎распространённая ‎проблема‏ ‎вредоносного‏ ‎ПО‏ ‎для ‎Android,‏ ‎которое ‎представляет‏ ‎значительные ‎угрозы‏ ‎безопасности‏ ‎для ‎пользователей‏ ‎и ‎устройств.

📌 Методы ‎уклонения: часто ‎используются ‎методы‏ ‎уклонения ‎для‏ ‎модификации‏ ‎вредоносных ‎программ, ‎что‏ ‎затрудняет ‎их‏ ‎идентификацию ‎традиционными ‎системами ‎обнаружения.

Проблемы:

📌 Состязательные‏ ‎атаки: обсуждаются‏ ‎проблемы, ‎связанные‏ ‎с ‎состязательными‏ ‎атаками, ‎когда ‎небольшие ‎изменения ‎кода‏ ‎вредоносных‏ ‎программ ‎позволяют‏ ‎избежать ‎обнаружения.

📌 Уязвимости‏ ‎системы ‎обнаружения: ‎Существующие ‎системы ‎обнаружения‏ ‎вредоносных‏ ‎программ‏ ‎уязвимы ‎для‏ ‎этих ‎состязательных‏ ‎атак, ‎что‏ ‎требует‏ ‎более ‎надёжных‏ ‎решений.

Цель ‎и ‎предлагаемое ‎решение:

📌 Повышение ‎надёжности‏ ‎обнаружения: цель ‎исследования‏ ‎—‏ ‎повышение ‎устойчивость ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ ‎Android ‎к ‎атакам‏ ‎с‏ ‎использованием ‎состязательного‏ ‎уклонения.

📌 Предлагаемое ‎решение: MalPurifier,‏ ‎направлено ‎на ‎очистку ‎мусора ‎в‏ ‎образцах‏ ‎и ‎восстановление‏ ‎вредоносного ‎ПО‏ ‎до ‎обнаруживаемой ‎формы.

📌 Используемые ‎методы: ‎В‏ ‎системе‏ ‎используются‏ ‎такие ‎методы,‏ ‎как ‎автокодирование‏ ‎и ‎генеративные‏ ‎состязательные‏ ‎сети ‎(GAN)‏ ‎для ‎процесса ‎очистки.

Техники, ‎используемые ‎при‏ ‎атаках ‎уклонения:

📌 Образцы‏ ‎состязательности:‏ ‎часто ‎используются ‎методы‏ ‎уклонения ‎для‏ ‎модификации ‎вредоносных ‎программ, ‎что‏ ‎затрудняет‏ ‎их ‎идентификацию‏ ‎традиционными ‎системами‏ ‎обнаружения.

📌 Обфусцирование: Такие ‎методы, ‎как ‎шифрование ‎кода,‏ ‎упаковка‏ ‎и ‎полиморфизм,‏ ‎используются ‎для‏ ‎изменения ‎внешнего ‎вида ‎вредоносного ‎ПО‏ ‎без‏ ‎изменения‏ ‎его ‎функциональности.

Значение:

📌 Улучшенная‏ ‎безопасность: Расширяя ‎возможности‏ ‎систем ‎обнаружения‏ ‎вредоносных‏ ‎программ, ‎MalPurifier‏ ‎стремится ‎обеспечить ‎лучшую ‎безопасность ‎устройств‏ ‎Android.

📌 Вклад ‎в‏ ‎исследование:‏ ‎Статья ‎вносит ‎свой‏ ‎вклад, ‎устраняя‏ ‎пробел ‎в ‎надёжных ‎решениях‏ ‎для‏ ‎обнаружения ‎вредоносных‏ ‎программ, ‎способных‏ ‎противостоять ‎злоумышленным ‎атакам.

Преимущества

📌 Высокая ‎точность: ‎MalPurifier‏ ‎демонстрирует‏ ‎высокую ‎эффективность,‏ ‎достигая ‎точности‏ ‎более ‎90,91% ‎при ‎37 ‎различных‏ ‎атаках.‏ ‎Это‏ ‎указывает ‎на‏ ‎высокую ‎производительность‏ ‎при ‎обнаружении‏ ‎вредоносных‏ ‎программ.

📌 Масштабируемость: Метод ‎легко‏ ‎масштабируется ‎для ‎различных ‎моделей ‎обнаружения,‏ ‎обеспечивая ‎гибкость‏ ‎и‏ ‎надёжность ‎в ‎его‏ ‎реализации, ‎не‏ ‎требуя ‎значительных ‎модификаций.

📌 Лёгкий ‎и‏ ‎гибкий:‏ ‎Использование ‎модели‏ ‎с ‎шумоподавляющим‏ ‎автоэнкодером ‎(Denoising ‎AutoEncoder, ‎DAE) ‎обеспечивает‏ ‎лёгкий‏ ‎и ‎гибкий‏ ‎подход ‎к‏ ‎очистке ‎от ‎вредоносного ‎ПО. ‎Это‏ ‎гарантирует,‏ ‎что‏ ‎метод ‎может‏ ‎быть ‎интегрирован‏ ‎в ‎существующие‏ ‎системы‏ ‎с ‎минимальными‏ ‎накладными ‎расходами.

📌 Комплексная ‎защита: ‎Уделяя ‎особое‏ ‎внимание ‎очистке‏ ‎от‏ ‎вредоносных ‎программ, ‎MalPurifier‏ ‎устраняет ‎критическую‏ ‎уязвимость ‎в ‎системах ‎обнаружения‏ ‎вредоносных‏ ‎программ ‎на‏ ‎основе ‎ML,‏ ‎повышая ‎их ‎общую ‎безопасность ‎и‏ ‎устойчивость‏ ‎к ‎изощренным‏ ‎методам ‎уклонения.

Ограничения

📌 Обобщение‏ ‎на ‎другие ‎платформы: Текущая ‎реализация ‎и‏ ‎оценка‏ ‎сосредоточены‏ ‎исключительно ‎на‏ ‎экосистеме ‎Android.‏ ‎Эффективность ‎MalPurifier‏ ‎на‏ ‎других ‎платформах,‏ ‎таких ‎как ‎iOS ‎или ‎Windows,‏ ‎остаётся ‎непроверенной‏ ‎и‏ ‎неопределённой.

📌 Проблемы ‎с ‎масштабируемостью: хотя‏ ‎в ‎документе‏ ‎утверждается ‎о ‎масштабируемости, ‎фактическая‏ ‎производительность‏ ‎и ‎действенность‏ ‎MalPurifier ‎в‏ ‎крупномасштабных ‎сценариях ‎обнаружения ‎в ‎реальном‏ ‎времени‏ ‎тщательно ‎не‏ ‎оценивались. ‎Это‏ ‎вызывает ‎вопросы ‎о ‎практической ‎применимости‏ ‎в‏ ‎средах‏ ‎с ‎соответствующими‏ ‎сценариями ‎нагрузки.

📌 Вычислительные‏ ‎издержки: Процесс ‎очистки‏ ‎приводит‏ ‎к ‎дополнительным‏ ‎вычислительным ‎издержкам. ‎Несмотря ‎на ‎то,‏ ‎что ‎он‏ ‎описывается‏ ‎как ‎лёгкий, ‎его‏ ‎влияние ‎на‏ ‎производительность ‎системы, ‎особенно ‎в‏ ‎средах‏ ‎с ‎ограниченными‏ ‎ресурсами ‎требует‏ ‎дальнейшего ‎изучения.

📌 Адаптация ‎к ‎состязательности: ‎могут‏ ‎разрабатываться‏ ‎новые ‎стратегии‏ ‎для ‎адаптации‏ ‎к ‎процессу ‎очистки, ‎потенциально ‎обходя‏ ‎средства‏ ‎защиты,‏ ‎предоставляемые ‎MalPurifier.‏ ‎Постоянная ‎адаптация‏ ‎и ‎совершенствование‏ ‎методов‏ ‎необходимы ‎для‏ ‎своевременного ‎опережения ‎угроз.

📌 Показатели ‎оценки: ‎Оценка‏ ‎в ‎первую‏ ‎очередь‏ ‎фокусируется ‎на ‎точности‏ ‎обнаружения ‎и‏ ‎устойчивости ‎к ‎атакам ‎уклонения.‏ ‎Другие‏ ‎важные ‎показатели,‏ ‎такие ‎как‏ ‎потребление ‎энергии, ‎опыт ‎работы ‎с‏ ‎пользователем‏ ‎и ‎долгосрочная‏ ‎эффективность, ‎не‏ ‎учитываются, ‎что ‎ограничивает ‎полноту ‎оценки.

📌 Интеграция‏ ‎с‏ ‎существующими‏ ‎системами: В ‎документе‏ ‎подробно ‎не‏ ‎обсуждается ‎интеграция‏ ‎MalPurifier‏ ‎с ‎существующими‏ ‎системами ‎обнаружения ‎вредоносных ‎программ ‎и‏ ‎потенциальное ‎влияние‏ ‎на‏ ‎их ‎производительность. ‎Необходимы‏ ‎бесшовные ‎стратегии‏ ‎интеграции ‎и ‎комбинированные ‎оценки‏ ‎эффективности

Влияние‏ ‎на ‎технологию

📌 Прогресс‏ ‎в ‎обнаружении‏ ‎вредоносных ‎программ: ‎MalPurifier ‎представляет ‎собой‏ ‎значительный‏ ‎технологический ‎прогресс‏ ‎в ‎области‏ ‎обнаружения ‎вредоносных ‎программ. ‎Используя ‎методы‏ ‎состязательной‏ ‎очистки,‏ ‎он ‎повышает‏ ‎устойчивость ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ‏ ‎Android ‎к‏ ‎атакам-уклонениям. ‎Это ‎нововведение ‎может ‎привести‏ ‎к ‎разработке‏ ‎более‏ ‎безопасных ‎и ‎надёжных‏ ‎инструментов ‎обнаружения‏ ‎вредоносных ‎программ.

📌 Механизмы ‎защиты ‎от‏ ‎состязательности: Статья‏ ‎вносит ‎вклад‏ ‎в ‎более‏ ‎широкую ‎область ‎состязательного ‎машинного ‎обучения,‏ ‎демонстрируя‏ ‎эффективность ‎состязательной‏ ‎очистки. ‎Метод‏ ‎может ‎быть ‎адаптирован ‎к ‎другим‏ ‎областям‏ ‎кибербезопасности,‏ ‎таким ‎как‏ ‎обнаружение ‎сетевых‏ ‎вторжений ‎и‏ ‎защита‏ ‎конечных ‎точек,‏ ‎повышая ‎общую ‎устойчивость ‎систем ‎к‏ ‎новым ‎атакам.

📌 Приложения‏ ‎для‏ ‎машинного ‎обучения: Использование ‎шумоподавляющих‏ ‎автоэнкодеров ‎(DAE)‏ ‎и ‎генеративных ‎состязательных ‎сетей‏ ‎(GAN)‏ ‎в ‎MalPurifier‏ ‎демонстрирует ‎потенциал‏ ‎передовых ‎моделей ‎машинного ‎обучения ‎в‏ ‎приложениях‏ ‎кибербезопасности. ‎Это‏ ‎может ‎вдохновить‏ ‎на ‎дальнейшие ‎исследования ‎и ‎разработки‏ ‎по‏ ‎применению‏ ‎этих ‎моделей‏ ‎к ‎другим‏ ‎задачам ‎безопасности,‏ ‎таким‏ ‎как ‎обнаружение‏ ‎фишинга ‎и ‎предотвращение ‎мошенничества.

Влияние ‎на‏ ‎отрасль

📌 Повышенная ‎безопасность‏ ‎мобильных‏ ‎устройств: Отрасли, ‎которые ‎в‏ ‎значительной ‎степени‏ ‎зависят ‎от ‎мобильных ‎устройств,‏ ‎такие‏ ‎как ‎здравоохранение,‏ ‎финансы ‎и‏ ‎розничная ‎торговля, ‎могут ‎извлечь ‎выгоду‏ ‎от‏ ‎применения ‎MalPurifier,‏ ‎как ‎следствие,‏ ‎могут ‎лучше ‎защищать ‎конфиденциальные ‎данные‏ ‎и‏ ‎поддерживать‏ ‎целостность ‎мобильных‏ ‎приложений.

📌 Снижение ‎числа‏ ‎инцидентов, ‎связанных‏ ‎с‏ ‎кибербезопасностью: Внедрение ‎надёжных‏ ‎систем ‎обнаружения ‎вредоносных ‎программ, ‎таких‏ ‎как ‎MalPurifier,‏ ‎может‏ ‎привести ‎к ‎сокращению‏ ‎инцидентов ‎кибербезопасности,‏ ‎таких ‎как ‎утечка ‎данных‏ ‎и‏ ‎атаки ‎программ-вымогателей,‏ ‎а ‎также‏ ‎значительной ‎экономии ‎средств ‎для ‎бизнеса‏ ‎и‏ ‎снижению ‎вероятности‏ ‎репутационного ‎ущерба.

📌 Преимущества‏ ‎соблюдения ‎нормативных ‎требований: Расширенные ‎возможности ‎обнаружения‏ ‎вредоносных‏ ‎программ‏ ‎могут ‎помочь‏ ‎организациям ‎соблюдать‏ ‎нормативные ‎требования,‏ ‎связанные‏ ‎с ‎защитой‏ ‎данных ‎и ‎кибербезопасностью. ‎Например, ‎отрасли,‏ ‎подпадающие ‎под‏ ‎действие‏ ‎таких ‎нормативных ‎актов,‏ ‎как ‎GDPR‏ ‎или ‎HIPAA, ‎могут ‎использовать‏ ‎MalPurifier‏ ‎для ‎обеспечения‏ ‎соответствия ‎строгим‏ ‎стандартам ‎безопасности.

📌 Инновации ‎в ‎продуктах ‎кибербезопасности: Компании,‏ ‎занимающиеся‏ ‎кибербезопасностью, ‎могут‏ ‎внедрять ‎методы,‏ ‎представленные ‎в ‎документе, ‎в ‎свои‏ ‎продукты,‏ ‎что‏ ‎приведёт ‎к‏ ‎разработке ‎решений‏ ‎безопасности ‎следующего‏ ‎поколения‏ ‎для ‎повышения‏ ‎конкурентного ‎преимущества ‎на ‎рынке ‎и‏ ‎стимулировать ‎инновации‏ ‎в‏ ‎индустрии ‎кибербезопасности.

📌 Межотраслевые ‎приложения: хотя‏ ‎в ‎статье‏ ‎основное ‎внимание ‎уделяется ‎обнаружению‏ ‎вредоносных‏ ‎Android-программ, ‎основополагающие‏ ‎принципы ‎состязательной‏ ‎очистки ‎могут ‎применяться ‎в ‎различных‏ ‎отраслях.‏ ‎Такие ‎секторы,‏ ‎как ‎производство,‏ ‎государственное ‎управление ‎и ‎транспорт, ‎которые‏ ‎также‏ ‎подвержены‏ ‎воздействию ‎вредоносных‏ ‎программ, ‎могут‏ ‎адаптировать ‎эти‏ ‎методы‏ ‎для ‎усиления‏ ‎своих ‎мер ‎кибербезопасности.

MalPurifier. Detoxifying Your Android, One Malicious Byte at a Time.pdf

496,02 KB

Скачать

Репозиторий ‎GitHub‏ ‎«V-i-x-x/AMSI-BYPASS» предоставляет ‎информацию ‎об ‎уязвимости, ‎известной‏ ‎как ‎«AMSI‏ ‎WRITE‏ ‎RAID», ‎которая ‎может‏ ‎быть ‎использована‏ ‎для ‎обхода ‎интерфейса ‎проверки‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎(Antimalware ‎Scan‏ ‎Interface, ‎AMSI).

📌Описание ‎уязвимости: ‎Уязвимость ‎«AMSI‏ ‎WRITE‏ ‎RAID» ‎позволяет‏ ‎злоумышленникам ‎перезаписывать‏ ‎определенные ‎доступные ‎для ‎записи ‎области‏ ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI,‏ ‎эффективно ‎обходя‏ ‎защиту ‎AMSI.

📌Области,‏ ‎доступные‏ ‎для ‎записи:‏ ‎В ‎репозитории ‎подчеркивается, ‎что ‎несколько‏ ‎областей ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI ‎доступны‏ ‎для ‎записи‏ ‎и ‎могут ‎быть ‎использованы‏ ‎для‏ ‎обхода ‎и‏ ‎описаны ‎в‏ ‎скриншотах, ‎как ‎«vulnerable_entries.png» ‎и ‎«writable_entries_part_1.png».

📌Подтверждение‏ ‎концепции: В‏ ‎хранилище ‎имеется‏ ‎документ ‎в‏ ‎формате ‎PDF ‎(Amsi.pdf), ‎в ‎котором‏ ‎подробно‏ ‎описывается‏ ‎уязвимость, ‎дается‏ ‎исчерпывающее ‎объяснение‏ ‎икак ‎можно‏ ‎обойти‏ ‎AMSI.

📌Влияние: ‎Успешное‏ ‎использование ‎этой ‎уязвимости ‎позволяет ‎вредоносному‏ ‎коду ‎избегать‏ ‎обнаружения‏ ‎AMSI, ‎что ‎является‏ ‎серьезной ‎проблемой‏ ‎безопасности, ‎поскольку ‎AMSI ‎предназначена‏ ‎для‏ ‎обеспечения ‎дополнительного‏ ‎уровня ‎защиты‏ ‎от ‎вредоносных ‎программ.

Влияние ‎на ‎отрасли

📌Повышенный‏ ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами: ‎методы‏ ‎обхода ‎AMSI ‎позволяют ‎злоумышленникам ‎выполнять‏ ‎вредоносный‏ ‎код‏ ‎незамеченными, ‎что‏ ‎увеличивает ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами,‏ ‎включая ‎программы-вымогатели‏ ‎и ‎атаки ‎без ‎использования ‎файлов.‏ ‎Это ‎особенно‏ ‎актуально‏ ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальными‏ ‎данными, ‎таких ‎как ‎финансы,‏ ‎здравоохранение‏ ‎и ‎государственный‏ ‎сектор.

📌Нарушенный ‎уровень‏ ‎безопасности: Обход ‎AMSI ‎может ‎привести ‎к‏ ‎нарушению‏ ‎уровня ‎безопасности,‏ ‎поскольку ‎традиционные‏ ‎антивирусные ‎решения ‎и ‎средства ‎обнаружения‏ ‎и‏ ‎реагирования‏ ‎на ‎конечные‏ ‎точки ‎(EDR)‏ ‎могут ‎не‏ ‎обнаруживать‏ ‎и ‎предотвращать‏ ‎вредоносные ‎действия. ‎Это ‎может ‎привести‏ ‎к ‎утечке‏ ‎данных,‏ ‎финансовым ‎потерям ‎и‏ ‎ущербу ‎репутации.

📌Сбои‏ ‎в ‎работе: ‎Успешные ‎атаки‏ ‎в‏ ‎обход ‎AMSI‏ ‎могут ‎привести‏ ‎к ‎значительным ‎сбоям ‎в ‎работе,‏ ‎особенно‏ ‎в ‎таких‏ ‎критически ‎важных‏ ‎секторах ‎инфраструктуры, ‎как ‎энергетика, ‎транспорт‏ ‎и‏ ‎коммунальные‏ ‎услуги. ‎Эти‏ ‎сбои ‎могут‏ ‎оказывать ‎комплексное‏ ‎воздействие‏ ‎на ‎предоставление‏ ‎услуг ‎и ‎общественную ‎безопасность.

Ключевые ‎функции

📌Имена‏ ‎функций ‎и ‎пакетов: ‎Nimfilt устраняет ‎путаницу‏ ‎в ‎именах‏ ‎функций‏ ‎и ‎пакетов, ‎специфичных‏ ‎для ‎Nim,‏ ‎что ‎делает ‎их ‎более‏ ‎удобочитаемыми‏ ‎и ‎простыми‏ ‎для ‎анализа.

📌Имена‏ ‎функций ‎инициализации ‎пакетов: Он ‎также ‎устраняет‏ ‎путаницу‏ ‎в ‎именах‏ ‎функций ‎инициализации‏ ‎пакетов ‎Nim.

📌Строки ‎Nim: Nimfilt ‎применяет ‎структуры‏ ‎в‏ ‎стиле‏ ‎C ‎к‏ ‎строкам ‎Nim,‏ ‎что ‎помогает‏ ‎интерпретировать‏ ‎структуры ‎данных‏ ‎в ‎двоичном ‎формате. ‎Это ‎включает‏ ‎в ‎себя‏ ‎определение‏ ‎длины ‎и ‎полезной‏ ‎нагрузки ‎строк.

📌Плагин‏ ‎IDA: ‎Nimfilt ‎можно ‎использовать‏ ‎в‏ ‎качестве ‎плагина‏ ‎IDA, ‎где‏ ‎он ‎упорядочивает ‎функции ‎по ‎каталогам‏ ‎на‏ ‎основе ‎имени‏ ‎их ‎пакета‏ ‎или ‎пути ‎к ‎нему. ‎Это‏ ‎помогает‏ ‎структурировать‏ ‎процесс ‎анализа.

📌Автоматическое‏ ‎выполнение: Плагин ‎можно‏ ‎настроить ‎на‏ ‎автоматическое‏ ‎выполнение ‎при‏ ‎загрузке ‎двоичного ‎файла ‎Nim, ‎установив‏ ‎для ‎глобальной‏ ‎переменной‏ ‎AUTO_RUN ‎значение ‎True.

📌Идентификация‏ ‎двоичных ‎файлов‏ ‎Nim: Nimfilt ‎использует ‎эвристику ‎для‏ ‎определения‏ ‎того, ‎является‏ ‎ли ‎загруженный‏ ‎файл ‎двоичным ‎файлом ‎Nim, ‎проверяя‏ ‎наличие‏ ‎определенных ‎строк‏ ‎и ‎имен‏ ‎функций, ‎связанных ‎с ‎Nim.

📌 Правила ‎YARA:‏ ‎Он‏ ‎включает‏ ‎правила ‎YARA‏ ‎для ‎идентификации‏ ‎двоичных ‎файлов‏ ‎ELF‏ ‎и ‎PE,‏ ‎скомпилированных ‎в ‎Nim.

📌Интерфейс ‎командной ‎строки‏ ‎(CLI): ‎Скрипт‏ ‎на‏ ‎Python: ‎Nimfilt ‎может‏ ‎быть ‎запущен‏ ‎как ‎скрипт ‎на ‎Python‏ ‎в‏ ‎командной ‎строке,‏ ‎предоставляя ‎часть‏ ‎своих ‎функциональных ‎возможностей ‎за ‎пределами‏ ‎IDA.

📌Организация‏ ‎функций: ‎ В‏ ‎IDA ‎Nimfilt‏ ‎создает ‎каталоги ‎в ‎окне ‎функций,‏ ‎чтобы‏ ‎упорядочить‏ ‎функции ‎в‏ ‎соответствии ‎с‏ ‎их ‎именем‏ ‎пакета‏ ‎или ‎путем‏ ‎к ‎нему, ‎улучшая ‎читаемость ‎и‏ ‎управляемость ‎анализа.

Сценарии

Nimfilt‏ ‎использовался‏ ‎в ‎различных ‎реальных‏ ‎сценариях, ‎в‏ ‎частности, ‎при ‎анализе ‎вредоносных‏ ‎программ,‏ ‎написанных ‎на‏ ‎языке ‎программирования‏ ‎Nim.

Sednit ‎Group:

📌Background: Группа ‎Sednit, ‎также ‎известная‏ ‎как‏ ‎APT28 ‎или‏ ‎Fancy ‎Bear,‏ ‎является ‎хорошо ‎известной ‎группой, ‎занимающейся‏ ‎кибершпионажем.‏ ‎Они‏ ‎действуют ‎по‏ ‎меньшей ‎мере‏ ‎с ‎2004‏ ‎года‏ ‎и ‎ответственны‏ ‎за ‎несколько ‎громких ‎атак, ‎включая‏ ‎взлом ‎Национального‏ ‎комитета‏ ‎Демократической ‎партии ‎(DNC)‏ ‎в ‎2016‏ ‎году.

📌Использование ‎Nim: ‎В ‎2019‏ ‎году‏ ‎было ‎замечено,‏ ‎что ‎Sednit‏ ‎использовал ‎вредоносный ‎загрузчик, ‎написанный ‎на‏ ‎Nim.‏ ‎Это ‎стало‏ ‎одним ‎из‏ ‎первых ‎случаев ‎использования ‎Nim ‎при‏ ‎разработке‏ ‎вредоносных‏ ‎программ.

📌 Роль ‎Nimfilt:‏ ‎Nimfilt ‎использовался‏ ‎для ‎реверса‏ ‎вредоносной‏ ‎программы, ‎скомпилированной‏ ‎с ‎помощью ‎Nim, ‎помогая ‎аналитикам‏ ‎понять ‎структуру‏ ‎и‏ ‎функциональность ‎загрузчика, ‎разбирая‏ ‎имена ‎функций‏ ‎и ‎пакетов ‎и ‎применяя‏ ‎соответствующие‏ ‎структуры ‎данных‏ ‎к ‎строкам.

Mustang‏ ‎Panda ‎APT ‎Group:

📌Background: ‎Mustang ‎Panda‏ ‎—‏ ‎это ‎китайская‏ ‎группа ‎Advanced‏ ‎Persistent ‎Threat ‎(APT), ‎известная ‎своей‏ ‎деятельностью‏ ‎в‏ ‎области ‎кибершпионажа.‏ ‎Они ‎использовали‏ ‎Nim ‎для‏ ‎создания‏ ‎пользовательских ‎загрузчиков‏ ‎для ‎своего ‎бэкдора ‎Korplug.

📌Конкретный ‎инцидент: В‏ ‎августе ‎2023‏ ‎года‏ ‎Mustang ‎Panda ‎использовала‏ ‎вредоносную ‎библиотеку‏ ‎DLL, ‎написанную ‎на ‎Nim,‏ ‎в‏ ‎рамках ‎своей‏ ‎кампании ‎против‏ ‎правительственной ‎организации ‎в ‎Словакии. ‎Эта‏ ‎библиотека‏ ‎была ‎частью‏ ‎их ‎классического‏ ‎загрузчика ‎trident ‎Korplug.

📌Роль ‎Nimfilt: Nimfilt ‎сыграл‏ ‎важную‏ ‎роль‏ ‎в ‎анализе‏ ‎этой ‎библиотеки‏ ‎DLL. ‎Разобрав‏ ‎названия‏ ‎и ‎распределив‏ ‎функции ‎по ‎каталогам, ‎Nimfilt ‎упростил‏ ‎исследователям ‎анализ‏ ‎вредоносного‏ ‎ПО ‎и ‎понимание‏ ‎его ‎поведения.

Общий‏ ‎анализ ‎вредоносных ‎программ:

📌 Популярность ‎Nim:‏ ‎Язык‏ ‎программирования ‎Nim‏ ‎становится ‎все‏ ‎более ‎привлекательным ‎для ‎разработчиков ‎вредоносных‏ ‎программ‏ ‎благодаря ‎своему‏ ‎надежному ‎компилятору‏ ‎и ‎способности ‎легко ‎работать ‎с‏ ‎другими‏ ‎языками,‏ ‎такими ‎как‏ ‎C, ‎С++‏ ‎и ‎JavaScript.‏ ‎Это‏ ‎привело ‎к‏ ‎росту ‎количества ‎вредоносных ‎программ, ‎написанных‏ ‎на ‎Nim.

📌Вклад‏ ‎Nimfilt:‏ ‎Для ‎исследователей, ‎занимающихся‏ ‎реверсом ‎двоичных‏ ‎файлов, ‎Nimfilt ‎предоставляет ‎мощный‏ ‎инструмент‏ ‎для ‎ускорения‏ ‎процесса ‎анализа.‏ ‎Это ‎помогает ‎устранить ‎путаницу ‎в‏ ‎именах,‏ ‎применить ‎структуры‏ ‎к ‎строкам‏ ‎и ‎упорядочить ‎функции, ‎тем ‎самым‏ ‎делая‏ ‎процесс‏ ‎реверса ‎более‏ ‎эффективным ‎и‏ ‎целенаправленным.

Вредоносная ‎кампания‏ ‎Chalubo ‎RAT ‎была ‎нацелена ‎на‏ ‎конкретные ‎модели‏ ‎маршрутизаторов‏ ‎Actiontec ‎и ‎Sagemcom,‏ ‎в ‎первую‏ ‎очередь ‎затронув ‎сеть ‎Windstream.‏ ‎Вредоносная‏ ‎программа ‎использовала‏ ‎атаки ‎методом‏ ‎перебора ‎для ‎получения ‎доступа, ‎выполняла‏ ‎загрузку‏ ‎данных ‎в‏ ‎память, ‎чтобы‏ ‎избежать ‎обнаружения, ‎и ‎взаимодействовала ‎с‏ ‎серверами‏ ‎C2‏ ‎по ‎зашифрованным‏ ‎каналам. ‎Атака‏ ‎привела ‎к‏ ‎значительному‏ ‎сбою ‎в‏ ‎работе, ‎потребовавшему ‎замены ‎более ‎600‏ ‎000 ‎маршрутизаторов,‏ ‎что‏ ‎подчеркивает ‎необходимость ‎принятия‏ ‎надежных ‎мер‏ ‎безопасности ‎и ‎регулярного ‎обновления‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎инцидентов.

Последствия ‎для‏ ‎интернет-провайдеров:

📌Windstream: Пострадал ‎интернет-провайдер, ‎более ‎600 ‎000‏ ‎маршрутизаторов‏ ‎были ‎выведены‏ ‎из ‎строя‏ ‎в ‎период ‎с ‎25 ‎по‏ ‎27‏ ‎октября‏ ‎2023 ‎года.

📌Модели: Actiontec‏ ‎T3200, ‎T3260‏ ‎и ‎Sagemcom‏ ‎F5380.

📌Последствия: Примерно‏ ‎49% ‎модемов‏ ‎интернет-провайдера ‎были ‎отключены, ‎что ‎потребовало‏ ‎замены ‎оборудования.

Глобальные‏ ‎последствия:

📌Активность‏ ‎ботнета: С ‎сентября ‎по‏ ‎ноябрь ‎2023‏ ‎года ‎панели ‎ботнета ‎Chalubo‏ ‎взаимодействовали‏ ‎с ‎117‏ ‎000 ‎уникальными‏ ‎IP-адресами ‎в ‎течение ‎30 ‎дней.

📌Географическое‏ ‎распределение: Большинство‏ ‎заражений ‎произошло‏ ‎в ‎США,‏ ‎Бразилии ‎и ‎Китае.

📌Особенности: 95% ботов ‎взаимодействовали ‎только‏ ‎с‏ ‎одной‏ ‎панелью ‎управления.

Уязвимые‏ ‎маршрутизаторы

📌 Целевые ‎модели:‏ ‎маршрутизаторы ‎бизнес-класса‏ ‎с‏ ‎истекшим ‎сроком‏ ‎службы.

📌Actiontec ‎T3200 ‎и ‎T3260 ‎—‏ ‎это ‎беспроводные‏ ‎маршрутизаторы‏ ‎VDSL2, ‎одобренные ‎компанией‏ ‎Windstream.

📌Sagemcom ‎F5380‏ ‎— ‎это ‎маршрутизатор ‎WiFi6‏ ‎(802.11ax).

📌 Модели‏ ‎DrayTek ‎Vigor‏ ‎2960 ‎и‏ ‎3900

Вредоносное ‎ПО: ‎Chalubo ‎RAT

📌Впервые ‎обнаружен‏ ‎Sophos‏ ‎Labs ‎в‏ ‎августе ‎2018‏ ‎года.

📌Основные ‎функции: DDoS-атаки, ‎выполнение ‎Lua-скриптов ‎и‏ ‎методы‏ ‎обхода‏ ‎с ‎использованием‏ ‎шифрования ‎ChaCha20.

📌Первоначальное‏ ‎заражение: ‎Использует‏ ‎атаки‏ ‎методом ‎перебора‏ ‎на ‎SSH-серверы ‎со ‎слабыми ‎учетными‏ ‎данными ‎(например,‏ ‎root:‏ ‎admin).

📌Доставка ‎полезной ‎нагрузки:

📌Первый‏ ‎этап: ‎скрипт‏ ‎bash ‎(«get_scrpc») ‎запускает ‎второй‏ ‎скрипт‏ ‎(«get_strtriush»), ‎который‏ ‎извлекает ‎и‏ ‎выполняет ‎основную ‎полезную ‎нагрузку ‎бота‏ ‎(«Chalubo»‏ ‎или ‎«mips.elf»).

📌Выполнение: Вредоносная‏ ‎программа ‎запускается‏ ‎в ‎памяти, ‎удаляет ‎файлы ‎с‏ ‎диска‏ ‎и‏ ‎изменяет ‎имя‏ ‎процесса, ‎чтобы‏ ‎избежать ‎обнаружения.

📌Взаимодействие:

📌Серверы‏ ‎C2: выполняется‏ ‎циклический ‎просмотр‏ ‎фиксированных ‎C2s, ‎загрузка ‎следующего ‎этапа‏ ‎и ‎его‏ ‎расшифровка‏ ‎с ‎помощью ‎ChaCha20.

📌Закрепление:‏ ‎Новая ‎версия‏ ‎не ‎поддерживает ‎закрепление ‎на‏ ‎зараженных‏ ‎устройствах.

Вредоносная ‎программа‏ ‎Hiatus ‎RAT

📌 Порт‏ ‎8816: HiatusRAT ‎проверяет ‎наличие ‎существующих ‎процессов‏ ‎на‏ ‎порту ‎8816,‏ ‎отключает ‎все‏ ‎существующие ‎службы ‎и ‎открывает ‎прослушиватель‏ ‎на‏ ‎этом‏ ‎порту.

📌 Сбор ‎информации:‏ ‎Собирает ‎информацию‏ ‎о ‎хосте‏ ‎и‏ ‎отправляет ‎ее‏ ‎на ‎сервер ‎C2 ‎для ‎отслеживания‏ ‎статуса ‎заражения‏ ‎и‏ ‎регистрации ‎информации ‎о‏ ‎скомпрометированном ‎хосте.

📌 Первоначальный‏ ‎доступ: Путем ‎использования ‎уязвимостей ‎во‏ ‎встроенном‏ ‎ПО ‎маршрутизатора‏ ‎или ‎с‏ ‎использованием ‎ненадежных ‎учетных ‎данных.

📌 Закрепление: используется ‎скрипт‏ ‎bash‏ ‎для ‎загрузки‏ ‎и ‎выполнения‏ ‎HiatusRAT ‎и ‎двоичного ‎файла ‎для‏ ‎перехвата‏ ‎пакетов

Лаборатория‏ ‎Black ‎Lotus‏ ‎обнаружила ‎новые‏ ‎вредоносные ‎кампании‏ ‎на‏ ‎маршрутизаторах

📌Black ‎Lotus‏ ‎Labs, ‎исследовательская ‎группа ‎по ‎изучению‏ ‎угроз ‎в‏ ‎Lumen‏ ‎Technologies ‎(ранее ‎CenturyLink),‏ ‎недавно ‎обнаружила‏ ‎две ‎крупные ‎кампании ‎вредоносных‏ ‎программ,‏ ‎нацеленных ‎на‏ ‎маршрутизаторы ‎и‏ ‎сетевые ‎устройства ‎разных ‎производителей. ‎Эти‏ ‎открытия‏ ‎свидетельствуют ‎о‏ ‎растущих ‎угрозах,‏ ‎с ‎которыми ‎сталкивается ‎инфраструктура ‎Интернета,‏ ‎и‏ ‎о‏ ‎необходимости ‎совершенствования‏ ‎методов ‎обеспечения‏ ‎безопасности.

Кампания ‎Hiatus

📌В‏ ‎марте‏ ‎2023 ‎года‏ ‎Black ‎Lotus ‎Labs ‎сообщила ‎о‏ ‎проведении ‎комплексной‏ ‎кампании‏ ‎под ‎названием ‎«Hiatus»,‏ ‎которая ‎с‏ ‎июня ‎2022 ‎года ‎была‏ ‎нацелена‏ ‎на ‎маршрутизаторы‏ ‎бизнес-класса, ‎в‏ ‎первую ‎очередь ‎на ‎модели ‎DrayTek‏ ‎Vigor‏ ‎2960 ‎и‏ ‎3900.

📌Злоумышленники ‎использовали‏ ‎маршрутизаторы ‎DrayTek ‎с ‎истекшим ‎сроком‏ ‎службы‏ ‎для‏ ‎обеспечения ‎долговременного‏ ‎сохранения ‎без‏ ‎обнаружения.

📌В ‎Интернете‏ ‎было‏ ‎опубликовано ‎около‏ ‎4100 ‎уязвимых ‎моделей ‎DrayTek, ‎при‏ ‎этом ‎Hiatus‏ ‎скомпрометировал‏ ‎примерно ‎100 ‎из‏ ‎них ‎в‏ ‎Латинской ‎Америке, ‎Европе ‎и‏ ‎Северной‏ ‎Америке.

📌После ‎заражения‏ ‎вредоносная ‎программа‏ ‎перехватывает ‎данные, ‎передаваемые ‎через ‎зараженный‏ ‎маршрутизатор,‏ ‎и ‎внедряет‏ ‎троянскую ‎программу‏ ‎удаленного ‎доступа ‎(RAT) ‎под ‎названием‏ ‎«HiatusRAT»,‏ ‎которая‏ ‎может ‎передавать‏ ‎вредоносный ‎трафик‏ ‎в ‎дополнительные‏ ‎сети.

📌Black‏ ‎Lotus ‎Labs‏ ‎отключила ‎маршрутизацию ‎серверов ‎управления ‎и‏ ‎разгрузки ‎(C2)‏ ‎на‏ ‎глобальной ‎магистрали ‎Lumen‏ ‎и ‎добавила‏ ‎индикаторы ‎компрометации ‎(IOCs) ‎в‏ ‎свою‏ ‎систему ‎быстрой‏ ‎защиты ‎от‏ ‎угроз, ‎чтобы ‎блокировать ‎угрозы ‎до‏ ‎того,‏ ‎как ‎они‏ ‎достигнут ‎сетей‏ ‎клиентов.

Кампания ‎Pumpkin ‎Eclipse

📌В ‎конце ‎октября‏ ‎2023‏ ‎года‏ ‎лаборатория ‎Black‏ ‎Lotus ‎Labs‏ ‎исследовала ‎массовый‏ ‎сбой,‏ ‎затронувший ‎определенные‏ ‎модели ‎шлюзов ‎ActionTec ‎(T3200s ‎и‏ ‎T3260s) ‎и‏ ‎Sagemcom‏ ‎(F5380) ‎в ‎сети‏ ‎одного ‎интернет-провайдера.

📌Более‏ ‎600 ‎000 ‎устройств ‎отображали‏ ‎красный‏ ‎индикатор, ‎указывающий‏ ‎на ‎вероятную‏ ‎проблему ‎с ‎повреждением ‎встроенного ‎ПО.

📌Атака‏ ‎была‏ ‎ограничена ‎определенным‏ ‎номером ‎автономной‏ ‎системы ‎(ASN), ‎затронув ‎около ‎49%‏ ‎устройств‏ ‎в‏ ‎этой ‎сети,‏ ‎подвергшихся ‎воздействию.

📌Лаборатории‏ ‎Black ‎Lotus‏ ‎обнаружили‏ ‎многоступенчатый ‎механизм‏ ‎заражения, ‎который ‎позволил ‎установить ‎Chalubo‏ ‎RAT ‎—‏ ‎ботнет,‏ ‎нацеленный ‎на ‎шлюзы‏ ‎SOHO ‎и‏ ‎устройства ‎Интернета ‎вещей.

📌Black ‎Lotus‏ ‎Labs‏ ‎добавила ‎IOC‏ ‎в ‎свою‏ ‎аналитическую ‎ленту ‎threat ‎intelligence, ‎пополнив‏ ‎портфель‏ ‎подключенных ‎средств‏ ‎безопасности ‎Lumen.

На ‎этот‏ ‎раз ‎мы ‎погружаемся ‎в ‎мутные‏ ‎воды ‎вредоносной‏ ‎программы‏ ‎Fuxnet, ‎детища ‎хакерской‏ ‎группы ‎Blackjack.

Место‏ ‎действия: ‎Москва, ‎город, ‎который,‏ ‎ни‏ ‎о ‎чем‏ ‎не ‎подозревая,‏ ‎занимается ‎своими ‎делами, ‎что ‎он‏ ‎вот-вот‏ ‎станет ‎звездой‏ ‎социальный ‎драмы‏ ‎Blackjack.Суть ‎атаки ‎— ‎ничего ‎особенного,‏ ‎просто‏ ‎классический‏ ‎ход ‎«давайте‏ ‎отключим ‎сенсорные‏ ‎шлюзы».

Стремясь ‎к‏ ‎беспрецедентной‏ ‎прозрачности, ‎Blackjack‏ ‎решает ‎транслировать ‎свои ‎киберпреступления ‎на‏ ‎сайте ‎http://ruexfil.com. Потому‏ ‎что‏ ‎ничто ‎так ‎не‏ ‎кричит ‎о‏ ‎«секретной ‎операции», ‎как ‎публичная‏ ‎демонстрация‏ ‎хакерского ‎мастерства,‏ ‎сопровождаемая ‎скриншотами‏ ‎для ‎особо ‎внимательных ‎пользователей.

Но ‎тут-то‏ ‎интрига‏ ‎и ‎обостряется:‏ ‎первоначальное ‎утверждение‏ ‎о ‎2659 ‎вышедших ‎из ‎строя‏ ‎сенсорных‏ ‎шлюзах?‏ ‎Кажется, ‎это‏ ‎небольшое ‎преувеличение.‏ ‎Реальное ‎число?‏ ‎Чуть‏ ‎больше ‎500.‏ ‎Это ‎сродни ‎провозглашению ‎мирового ‎господства‏ ‎для ‎тех‏ ‎сфоткался‏ ‎после ‎пересечения ‎границы‏ ‎в ‎аэропорту.

Создатели,‏ ‎как ‎всегда, ‎намекают ‎на‏ ‎продолжение,‏ ‎утверждая, ‎что‏ ‎их ‎результаты‏ ‎были ‎всего ‎лишь ‎намёком ‎на‏ ‎грядущий‏ ‎хаос. ‎Ведь‏ ‎что ‎такое‏ ‎кибератака ‎без ‎намёка ‎на ‎продолжение,‏ ‎дразнящее‏ ‎аудиторию‏ ‎обещанием ‎новых‏ ‎цифровых ‎разрушений?

-------

в‏ ‎документе ‎представлен‏ ‎анализ‏ ‎Fuxnet, ‎приписываемого‏ ‎хакерской ‎группе ‎Blackjack, ‎которое, ‎как‏ ‎сообщается, ‎нацелено‏ ‎на‏ ‎инфраструктуру ‎отдельных ‎стран.‏ ‎Анализ ‎включает‏ ‎в ‎себя ‎различные ‎аспекты‏ ‎вредоносного‏ ‎ПО, ‎включая‏ ‎его ‎технические‏ ‎характеристики, ‎влияние ‎на ‎системы, ‎механизмы‏ ‎защиты,‏ ‎методы ‎распространения,‏ ‎цели ‎и‏ ‎мотивы, ‎стоящие ‎за ‎его ‎внедрением.‏ ‎Изучив‏ ‎эти‏ ‎аспекты, ‎цель‏ ‎документа-обеспечить ‎подробный‏ ‎обзор ‎Fuxnet‏ ‎по‏ ‎возможности ‎и‏ ‎её ‎значение ‎для ‎кибербезопасности.

Документ ‎предлагает‏ ‎качественное ‎описание‏ ‎Fuxnet,‏ ‎основанное ‎на ‎информации,‏ ‎которой ‎публично‏ ‎доступной ‎от ‎экспертов ‎по‏ ‎кибербезопасности.‏ ‎Этот ‎анализ‏ ‎полезен ‎для‏ ‎специалистов ‎в ‎области ‎ИБ, ‎ИТ-специалистов‏ ‎и‏ ‎заинтересованных ‎сторон‏ ‎в ‎различных‏ ‎отраслях, ‎поскольку ‎он ‎не ‎только‏ ‎проливает‏ ‎свет‏ ‎на ‎технические‏ ‎тонкости ‎сложной‏ ‎киберугрозы, ‎но‏ ‎и‏ ‎подчёркивает ‎важность‏ ‎надёжных ‎мер ‎кибербезопасности ‎для ‎защиты‏ ‎критически ‎важной‏ ‎инфраструктуры‏ ‎от ‎возникающих ‎угроз.‏ ‎Документ ‎способствует‏ ‎более ‎широкому ‎пониманию ‎тактики‏ ‎ведения‏ ‎кибервойны ‎и‏ ‎повышает ‎готовность‏ ‎организаций ‎к ‎защите ‎от ‎подобных‏ ‎атак‏ ‎в ‎будущем.

Подробный‏ ‎разбор

Fuxnet [RU].pdf

532,53 KB

Скачать

DCRat, ‎швейцарский‏ ‎армейский ‎нож ‎киберпреступного ‎мира, ‎истинное‏ ‎свидетельство ‎предпринимательского‏ ‎духа,‏ ‎процветающего ‎в ‎темных‏ ‎уголках ‎Интернета.‏ ‎С ‎момента ‎своего ‎грандиозного‏ ‎дебюта‏ ‎в ‎2018‏ ‎году ‎DCRat‏ ‎стал ‎незаменимым ‎гаджетом ‎для ‎каждого‏ ‎начинающего‏ ‎злодея ‎со‏ ‎склонностью ‎к‏ ‎цифровым ‎проказам.

По ‎очень ‎низкой ‎цене‏ ‎в‏ ‎7‏ ‎долларов ‎можно‏ ‎приобрести ‎двухмесячную‏ ‎подписку ‎на‏ ‎это‏ ‎чудо ‎современного‏ ‎вредоносного ‎ПО. ‎Правильно, ‎дешевле, ‎чем‏ ‎стоимость ‎модного‏ ‎кофе,‏ ‎а ‎для ‎тех,‏ ‎кто ‎действительно‏ ‎предан ‎делу, ‎доступна ‎пожизненная‏ ‎лицензия‏ ‎за ‎внушительную‏ ‎сумму ‎в‏ ‎40 ‎долларов.

В ‎результате ‎шага, ‎который‏ ‎шокировал‏ ‎подпольные ‎форумы,‏ ‎разработчик, ‎стоящий‏ ‎за ‎DCRat, ‎объявил ‎в ‎2022‏ ‎году,‏ ‎что‏ ‎снимает ‎шляпу,‏ ‎прекращает ‎работу‏ ‎над ‎RAT‏ ‎и‏ ‎переходит ‎к‏ ‎предположительно ‎более ‎мрачным ‎начинаниям. ‎Он‏ ‎даже ‎дразнил‏ ‎преемника,‏ ‎потому ‎что ‎зачем‏ ‎позволять ‎хорошему‏ ‎делу ‎умереть, ‎когда ‎можно‏ ‎просто‏ ‎провести ‎ребрендинг‏ ‎и ‎перезапустить‏ ‎компанию?

DCRat ‎— ‎это ‎не ‎просто‏ ‎какой-нибудь‏ ‎вредоносный ‎код;‏ ‎это ‎модульный,‏ ‎настраиваемый ‎и ‎совершенно ‎гибкий ‎инструмент,‏ ‎который‏ ‎может‏ ‎делать ‎все:‏ ‎от ‎кражи‏ ‎рецептов ‎печенья‏ ‎до‏ ‎запуска ‎DDoS-атак.‏ ‎DCRat ‎заманивает ‎своих ‎жертв ‎цифровым‏ ‎эквивалентом ‎«бесплатных‏ ‎конфет»:‏ ‎контент ‎для ‎взрослых,‏ ‎фальшивые ‎обещания‏ ‎OnlyFans

В ‎конце ‎концов, ‎DCRat‏ ‎служит‏ ‎напоминанием ‎о‏ ‎том, ‎что‏ ‎в ‎эпоху ‎цифровых ‎технологий ‎ваша‏ ‎безопасность‏ ‎настолько ‎сильна,‏ ‎насколько ‎сильна‏ ‎ваша ‎способность ‎не ‎переходить ‎по‏ ‎подозрительным‏ ‎ссылкам.‏ ‎Итак, ‎в‏ ‎следующий ‎раз,‏ ‎когда ‎вас‏ ‎соблазнит‏ ‎заманчивое ‎предложение,‏ ‎просто ‎помните: ‎это ‎может ‎быть‏ ‎просто ‎DCRat,‏ ‎который‏ ‎ждёт, ‎чтобы ‎принять‏ ‎вас ‎с‏ ‎распростёртыми ‎объятиями ‎в ‎свои,‏ ‎на‏ ‎самом ‎деле,‏ ‎не ‎слишком‏ ‎любящие ‎объятия.

Подробный ‎разбор

DCRAT [RU].pdf

470,66 KB

Скачать