Уязвимости ‎Telerik‏ ‎Report ‎Server, ‎идентифицированные ‎как ‎CVE-2024-4358 и‏ ‎CVE-2024-1800, позволяют ‎злоумышленникам,‏ ‎не‏ ‎прошедшим ‎проверку ‎подлинности,‏ ‎выполнять ‎произвольный‏ ‎код ‎на ‎уязвимых ‎серверах.

Схема‏ ‎атаки

📌Первоначальный‏ ‎доступ: злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik.

📌Использование ‎CVE-2024-4358: Злоумышленник ‎отправляет‏ ‎обработанный‏ ‎запрос ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи‏ ‎администратора.

📌Повышение‏ ‎привилегий: ‎Злоумышленник‏ ‎входит ‎в‏ ‎систему, ‎используя‏ ‎только‏ ‎что ‎созданную‏ ‎учетную ‎запись ‎администратора.

📌Использование ‎CVE-2024-1800: ‎Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет,‏ ‎который ‎использует ‎уязвимость‏ ‎десериализации ‎для‏ ‎выполнения ‎произвольного ‎кода.

📌Выполнение ‎команды:‏ ‎Злоумышленник‏ ‎выполняет ‎произвольные‏ ‎команды ‎на‏ ‎сервере, ‎добиваясь ‎удаленного ‎выполнения ‎кода.

Сценарий‏ ‎атаки

Идентификация‏ ‎цели:

📌Злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik, ‎как ‎правило,‏ ‎путем‏ ‎сканирования‏ ‎общедоступных ‎экземпляров‏ ‎с ‎помощью‏ ‎таких ‎инструментов,‏ ‎как‏ ‎Shodan.

Обход ‎проверки‏ ‎подлинности ‎(CVE-2024-4358):

📌Злоумышленник ‎использует ‎уязвимость ‎в‏ ‎мастере ‎настройки‏ ‎сервера‏ ‎отчетов ‎Telerik ‎для‏ ‎обхода ‎проверки‏ ‎подлинности. ‎Эта ‎уязвимость ‎позволяет‏ ‎злоумышленнику‏ ‎создать ‎новую‏ ‎учетную ‎запись‏ ‎администратора ‎без ‎предварительной ‎проверки ‎подлинности.

📌Конкретной‏ ‎используемой‏ ‎конечной ‎точкой‏ ‎является ‎Telerik.ReportServer.Web.dll!‏ ‎Telerik.ReportServer.Web.Controllers.StartupController.Register, ‎которая ‎не ‎проверяет, ‎был‏ ‎ли‏ ‎процесс‏ ‎установки ‎уже‏ ‎завершен.

📌Злоумышленник ‎отправляет‏ ‎созданный ‎HTTP-запрос‏ ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи ‎администратора:

curl‏ ‎'http://TARGET_HERE/Startup/Register'‏ ‎-d ‎'Username=USERNAME_HERE& ‎Password=PASSWORD_HERE&‏ ‎ConfirmPassword=PASSWORD_HERE& ‎Email=backdoor%http://40admin.com&‏ ‎FirstName=backdoor& ‎LastName=user'

Создание ‎учетной ‎записи‏ ‎и‏ ‎проверка ‎подлинности:

📌После‏ ‎успешной ‎эксплуатации‏ ‎злоумышленник ‎получает ‎привилегированный ‎доступ ‎к‏ ‎серверу‏ ‎отчетов ‎Telerik,‏ ‎используя ‎только‏ ‎что ‎созданную ‎учетную ‎запись ‎администратора.

📌Злоумышленник‏ ‎входит‏ ‎в‏ ‎систему, ‎используя‏ ‎учетные ‎данные‏ ‎учетной ‎записи‏ ‎backdoor,‏ ‎созданной ‎на‏ ‎предыдущем ‎шаге.

Эксплойт ‎десериализации ‎(CVE-2024-1800):

📌Имея ‎административный‏ ‎доступ, ‎злоумышленник‏ ‎использует‏ ‎уязвимость ‎десериализации ‎на‏ ‎сервере ‎отчетов‏ ‎Telerik ‎для ‎выполнения ‎произвольного‏ ‎кода‏ ‎на ‎сервере.

📌Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет, ‎который ‎запускает ‎ошибку ‎десериализации,‏ ‎позволяя‏ ‎выполнять ‎произвольные‏ ‎команды ‎на‏ ‎сервере.

📌Скрипт ‎PoC ‎автоматизирует ‎этот ‎процесс,‏ ‎включая‏ ‎генерацию‏ ‎случайных ‎имен‏ ‎пользователей ‎и‏ ‎паролей ‎для‏ ‎бэкдорской‏ ‎учетной ‎записи‏ ‎и ‎создание ‎отчета ‎о ‎вредоносных‏ ‎программах:

python ‎http://CVE-2024-4358.py --target‏ ‎http://192.168.253.128:83 -c‏ ‎«whoami»

в ‎документе‏ ‎содержится ‎криминалистический ‎анализ ‎области ‎медицинского‏ ‎интернета ‎вещей‏ ‎(IoMT),‏ ‎различных ‎критических ‎аспектов,‏ ‎имеющим ‎отношение‏ ‎к ‎данной ‎области, ‎включая‏ ‎разработку‏ ‎современных ‎и‏ ‎эффективных ‎методик‏ ‎forensics-анализа; ‎методов ‎получения ‎данных ‎с‏ ‎медицинских‏ ‎устройств; ‎изучение‏ ‎проблем ‎конфиденциальности‏ ‎и ‎безопасности ‎медицинских ‎систем, ‎и‏ ‎того,‏ ‎как‏ ‎это ‎влияет‏ ‎на ‎forensics-исследования;‏ ‎обзор ‎forensics-технологий,‏ ‎с‏ ‎акцентом ‎применимые‏ ‎к ‎медицинским ‎устройствам; ‎анализ ‎примеров‏ ‎из ‎реальной‏ ‎практики.

Этот‏ ‎документ ‎предлагает ‎качественный‏ ‎материал ‎текущего‏ ‎состояния ‎медицинской ‎криминалистики, ‎что‏ ‎делает‏ ‎его ‎ценным‏ ‎ресурсом ‎для‏ ‎специалистов ‎в ‎области ‎безопасности, ‎forensics-специалистов‏ ‎и‏ ‎специалистов ‎из‏ ‎различных ‎отраслей‏ ‎промышленности. ‎Представленная ‎информация ‎может ‎помочь‏ ‎улучшить‏ ‎понимание‏ ‎и ‎внедрение‏ ‎эффективных ‎методов‏ ‎forensics-анализа.

Полный ‎материал

-------

Быстрое‏ ‎внедрение‏ ‎Интернета ‎вещей‏ ‎(IoT) ‎в ‎отрасли ‎здравоохранения, ‎известного‏ ‎как ‎Интернет‏ ‎медицинских‏ ‎вещей ‎(IoMT), ‎произвело‏ ‎революцию ‎в‏ ‎уходе ‎за ‎пациентами ‎и‏ ‎медицинских‏ ‎операциях. ‎Устройства‏ ‎IoMT, ‎такие‏ ‎как ‎имплантируемые ‎медицинские ‎устройства, ‎носимые‏ ‎медицинские‏ ‎мониторы ‎и‏ ‎интеллектуальное ‎больничное‏ ‎оборудование, ‎формируют ‎и ‎передают ‎огромные‏ ‎объёмы‏ ‎конфиденциальных‏ ‎данных ‎по‏ ‎сетям.

Криминалистика ‎медицинских‏ ‎сетей ‎Интернета‏ ‎вещей‏ ‎— ‎это‏ ‎развивающаяся ‎область, ‎которая ‎фокусируется ‎на‏ ‎идентификации, ‎сборе,‏ ‎анализе‏ ‎и ‎сохранении ‎цифровых‏ ‎доказательств ‎с‏ ‎устройств ‎и ‎сетей ‎IoMT.‏ ‎Она‏ ‎играет ‎решающую‏ ‎роль ‎в‏ ‎расследовании ‎инцидентов ‎безопасности, ‎утечек ‎данных‏ ‎и‏ ‎кибератак, ‎направленных‏ ‎против ‎организаций‏ ‎здравоохранения. ‎Уникальная ‎природа ‎систем ‎IoMT‏ ‎с‏ ‎их‏ ‎разнообразным ‎набором‏ ‎устройств, ‎протоколов‏ ‎связи ‎и‏ ‎форматов‏ ‎данных ‎создаёт‏ ‎значительные ‎проблемы ‎для ‎традиционных ‎методов‏ ‎цифровой ‎криминалистики.

Основными‏ ‎задачами‏ ‎forensics-анализа ‎медицинских ‎сетей‏ ‎Интернета ‎вещей‏ ‎являются:

📌 Реагирование ‎на ‎инциденты: Быстрое ‎реагирование‏ ‎на‏ ‎инциденты ‎безопасности‏ ‎путём ‎определения‏ ‎источника, ‎масштабов ‎и ‎последствий ‎атаки,‏ ‎а‏ ‎также ‎сбора‏ ‎доказательств ‎или‏ ‎соблюдения ‎нормативных ‎требований.

📌 Сбор ‎доказательств: ‎Разработка‏ ‎специализированных‏ ‎методов‏ ‎получения ‎и‏ ‎сохранения ‎цифровых‏ ‎доказательств ‎с‏ ‎устройств,‏ ‎сетей ‎и‏ ‎облачных ‎систем ‎IoMT ‎при ‎сохранении‏ ‎целостности ‎данных‏ ‎и‏ ‎цепочки ‎хранения.

📌 Анализ ‎данных:‏ ‎Анализ ‎собранных‏ ‎данных, ‎включая ‎сетевой ‎трафик,‏ ‎журналы‏ ‎устройств ‎и‏ ‎показания ‎датчиков‏ ‎для ‎реконструкции ‎событий, ‎приведшие ‎к‏ ‎инциденту,‏ ‎и ‎определить‏ ‎потенциальные ‎уязвимости‏ ‎или ‎векторы ‎атак.

📌 Анализ ‎угроз: ‎использование‏ ‎информации,‏ ‎полученной‏ ‎в ‎ходе‏ ‎исследований ‎для‏ ‎улучшения ‎анализа‏ ‎угроз,‏ ‎совершенствования ‎мер‏ ‎безопасности ‎и ‎предотвращения ‎атак ‎на‏ ‎IoMT.

Криминалистика ‎медицинских‏ ‎сетей‏ ‎Интернета ‎вещей ‎требует‏ ‎междисциплинарного ‎подхода,‏ ‎сочетающего ‎опыт ‎цифровой ‎forensics-анализа,‏ ‎кибербезопасности,‏ ‎особенностей ‎сектора‏ ‎здравоохранения ‎и‏ ‎технологий ‎Интернета ‎вещей. ‎Forensics-исследователи ‎должны‏ ‎ориентироваться‏ ‎в ‎сложностях‏ ‎систем ‎IoMT,‏ ‎включая ‎неоднородность ‎устройств, ‎ограниченность ‎ресурсов,‏ ‎проприетарные‏ ‎протоколы‏ ‎и ‎необходимость‏ ‎сохранения ‎конфиденциальности‏ ‎пациентов ‎и‏ ‎данных.

Проект ‎EvilLsassTwin‏ ‎на ‎GitHub, размещенный ‎в ‎репозитории ‎Nimperiments,‏ ‎посвящен ‎конкретному‏ ‎методу‏ ‎извлечения ‎учетных ‎данных‏ ‎из ‎процесса‏ ‎Local ‎Security ‎Authority ‎Subsystem‏ ‎Service‏ ‎(LSASS) ‎в‏ ‎системах ‎Windows.

📌Цель: Цель‏ ‎проекта ‎— ‎продемонстрировать ‎метод ‎сброса‏ ‎учетных‏ ‎данных ‎из‏ ‎процесса ‎LSASS,‏ ‎который ‎является ‎распространенной ‎целью ‎злоумышленников,‏ ‎стремящихся‏ ‎получить‏ ‎конфиденциальную ‎информацию,‏ ‎такую ‎как‏ ‎пароли ‎и‏ ‎токены.

📌Техника:‏ ‎Метод ‎предполагает‏ ‎создание ‎«двойника» ‎процесса ‎LSASS. ‎Этот‏ ‎двойной ‎процесс‏ ‎используется‏ ‎для ‎обхода ‎определенных‏ ‎механизмов ‎безопасности,‏ ‎которые ‎защищают ‎исходный ‎процесс‏ ‎LSASS‏ ‎от ‎прямого‏ ‎доступа.

📌Внедрение: ‎Проект‏ ‎предусматривает ‎детальную ‎реализацию ‎методики, ‎включая‏ ‎необходимый‏ ‎код ‎и‏ ‎шаги ‎для‏ ‎воспроизведения ‎процесса. ‎Это ‎включает ‎в‏ ‎себя‏ ‎создание‏ ‎дубликата ‎процесса‏ ‎LSASS, ‎использование‏ ‎дублирующего ‎процесса‏ ‎для‏ ‎чтения ‎памяти‏ ‎исходного ‎процесса ‎LSASS, ‎извлечение ‎учетных‏ ‎данных ‎из‏ ‎памяти‏ ‎исходного ‎процесса ‎LSASS.

📌Доступность‏ ‎кода: ‎Полный‏ ‎исходный ‎код ‎и ‎документация‏ ‎доступны‏ ‎на ‎странице‏ ‎GitHub, ‎что‏ ‎позволяет ‎пользователям ‎детально ‎изучить ‎и‏ ‎понять‏ ‎технологию.

Влияние ‎и‏ ‎последствия ‎для‏ ‎отрасли

📌Повышенный ‎риск ‎кражи ‎учетных ‎данных:‏ ‎технология‏ ‎EvilLsassTwin‏ ‎выявляет ‎уязвимость‏ ‎процесса ‎LSASS,‏ ‎в ‎котором‏ ‎хранится‏ ‎конфиденциальная ‎информация,‏ ‎такая ‎как ‎зашифрованные ‎пароли, ‎хэши‏ ‎NT, ‎хэши‏ ‎LM‏ ‎и ‎запросы ‎Kerberos.‏ ‎Злоумышленники, ‎использующие‏ ‎этот ‎метод, ‎могут ‎получить‏ ‎несанкционированный‏ ‎доступ ‎к‏ ‎этим ‎учетным‏ ‎данным, ‎что ‎может ‎привести ‎к‏ ‎потенциальным‏ ‎утечкам ‎данных‏ ‎и ‎несанкционированному‏ ‎доступу ‎к ‎критически ‎важным ‎системам.

📌Распространение‏ ‎и‏ ‎повышение‏ ‎привилегий: ‎Как‏ ‎только ‎злоумышленники‏ ‎получают ‎учетные‏ ‎данные‏ ‎из ‎процесса‏ ‎LSASS, ‎они ‎могут ‎использовать ‎их‏ ‎для ‎распространения‏ ‎по‏ ‎сети, ‎повышая ‎свои‏ ‎привилегии ‎и‏ ‎компрометируя ‎дополнительные ‎системы. ‎Это‏ ‎может‏ ‎привести ‎к‏ ‎широкомасштабной ‎компрометации‏ ‎сети, ‎что ‎затруднит ‎организациям ‎сдерживание‏ ‎атаки.

📌Реальные‏ ‎примеры: ‎Атака‏ ‎программы-вымогателя ‎BlackCat‏ ‎является ‎ярким ‎примером ‎того, ‎как‏ ‎злоумышленники‏ ‎использовали‏ ‎сброс ‎данных‏ ‎из ‎памяти‏ ‎LSASS ‎для‏ ‎извлечения‏ ‎учетных ‎данных.‏ ‎Они ‎изменили ‎конфигурацию ‎WDigest, ‎чтобы‏ ‎считывать ‎пароли‏ ‎учетных‏ ‎записей ‎пользователей, ‎и‏ ‎использовали ‎такие‏ ‎инструменты, ‎как ‎Mimikatz, ‎для‏ ‎выполнения‏ ‎дампа, ‎что‏ ‎позволило ‎им‏ ‎получить ‎дополнительный ‎доступ ‎и ‎перемещаться‏ ‎по‏ ‎сети ‎в‏ ‎поперечном ‎направлении.

В ‎документе‏ ‎представлен ‎комплексный ‎анализ ‎энергопотребления ‎интеллектуальных‏ ‎(умных) ‎устройств‏ ‎во‏ ‎время ‎кибератак ‎с‏ ‎акцентом ‎на‏ ‎аспекты, ‎имеющим ‎решающее ‎значение‏ ‎для‏ ‎понимания ‎и‏ ‎смягчения ‎этих‏ ‎угроз: ‎типы ‎кибератак, ‎методы ‎обнаружения,‏ ‎преимущества‏ ‎и ‎недостатки‏ ‎предложенного ‎фреймворка,‏ ‎применимость ‎в ‎разных ‎отраслях, ‎варианты‏ ‎интеграции.

Анализ‏ ‎предоставляет‏ ‎ценную ‎информацию‏ ‎специалистам ‎по‏ ‎кибербезопасности, ‎IoT-специалистам‏ ‎и‏ ‎заинтересованным ‎сторонам‏ ‎отрасли. ‎Анализ ‎полезен ‎для ‎повышения‏ ‎безопасности ‎и‏ ‎отказоустойчивости‏ ‎систем ‎Интернета ‎вещей,‏ ‎обеспечения ‎долговечности‏ ‎и ‎производительности ‎интеллектуальных ‎устройств,‏ ‎а‏ ‎также ‎решения‏ ‎экономических ‎и‏ ‎экологических ‎последствий ‎увеличения ‎потребления ‎энергии‏ ‎во‏ ‎время ‎кибератак.‏ ‎Используя ‎передовые‏ ‎методы ‎обнаружения ‎и ‎интегрируя ‎их‏ ‎с‏ ‎существующими‏ ‎мерами ‎безопасности,‏ ‎организации ‎могут‏ ‎лучше ‎защищать‏ ‎свою‏ ‎инфраструктуру ‎интернета‏ ‎вещей ‎от ‎возникающих ‎кибер-угроз.

Полный ‎материал

-------

Интернета‏ ‎вещей ‎(IoT)‏ ‎произвело‏ ‎революцию ‎в ‎различных‏ ‎аспектах ‎современной‏ ‎жизни, ‎от ‎домашней ‎автоматизации‏ ‎до‏ ‎промышленных ‎систем‏ ‎управления. ‎Однако‏ ‎этот ‎технологический ‎прогресс ‎также ‎породил‏ ‎новые‏ ‎проблемы, ‎особенно‏ ‎в ‎области‏ ‎кибербезопасности. ‎Одной ‎из ‎важнейших ‎проблем‏ ‎является‏ ‎потребление‏ ‎энергии ‎интеллектуальными‏ ‎устройствами ‎во‏ ‎время ‎кибератак,‏ ‎что‏ ‎может ‎иметь‏ ‎далеко ‎идущие ‎последствия ‎для ‎производительности‏ ‎устройств, ‎долговечности‏ ‎и‏ ‎общей ‎устойчивости ‎системы.

Кибератаки‏ ‎на ‎устройства‏ ‎Интернета ‎вещей ‎(DDoS, ‎заражение‏ ‎вредоносными‏ ‎программами, ‎ботнеты,‏ ‎программы-вымогатели, ‎ложное‏ ‎внедрение ‎данных, ‎атаки ‎с ‎использованием‏ ‎энергопотребления‏ ‎и ‎атаки‏ ‎на ‎крипто-майнинг)‏ ‎могут ‎существенно ‎повлиять ‎на ‎структуру‏ ‎энергопотребления‏ ‎скомпрометированных‏ ‎устройств, ‎приводя‏ ‎к ‎аномальным‏ ‎скачкам, ‎отклонениям‏ ‎или‏ ‎чрезмерному ‎энергопотреблению.

Мониторинг‏ ‎и ‎анализ ‎данных ‎о ‎потреблении‏ ‎энергии ‎стали‏ ‎уникальным‏ ‎подходом ‎для ‎обнаружения‏ ‎этих ‎кибератак‏ ‎и ‎смягчения ‎их ‎последствий.‏ ‎Устанавливая‏ ‎базовые ‎показатели‏ ‎для ‎нормальных‏ ‎моделей ‎использования ‎энергии ‎и ‎используя‏ ‎методы‏ ‎обнаружения ‎аномалий,‏ ‎можно ‎выявить‏ ‎отклонения ‎от ‎ожидаемого ‎поведения, ‎потенциально‏ ‎указывающие‏ ‎на‏ ‎наличие ‎злонамеренных‏ ‎действий. ‎Алгоритмы‏ ‎машинного ‎обучения‏ ‎продемонстрировали‏ ‎эффективные ‎возможности‏ ‎в ‎обнаружении ‎аномалий ‎и ‎классификации‏ ‎типов ‎атак‏ ‎на‏ ‎основе ‎показателей ‎энергопотребления.

Важность‏ ‎решения ‎проблемы‏ ‎энергопотребления ‎во ‎время ‎кибератак‏ ‎многогранна.‏ ‎Во-первых, ‎это‏ ‎позволяет ‎своевременно‏ ‎обнаруживать ‎потенциальные ‎угрозы ‎и ‎реагировать‏ ‎на‏ ‎них, ‎смягчая‏ ‎последствия ‎атак‏ ‎и ‎обеспечивая ‎непрерывную ‎функциональность ‎критически‏ ‎важных‏ ‎систем.‏ ‎Во-вторых, ‎это‏ ‎способствует ‎общему‏ ‎сроку ‎службы‏ ‎и‏ ‎производительности ‎устройств‏ ‎Интернета ‎вещей, ‎поскольку ‎чрезмерное ‎потребление‏ ‎энергии ‎может‏ ‎привести‏ ‎к ‎перегреву, ‎снижению‏ ‎эффективности ‎работы‏ ‎и ‎сокращению ‎срока ‎службы‏ ‎устройства.‏ ‎В-третьих, ‎это‏ ‎имеет ‎экономические‏ ‎и ‎экологические ‎последствия, ‎поскольку ‎повышенное‏ ‎потребление‏ ‎энергии ‎приводит‏ ‎к ‎более‏ ‎высоким ‎эксплуатационным ‎расходам ‎и ‎потенциально‏ ‎большему‏ ‎выбросу‏ ‎углекислого ‎газа,‏ ‎особенно ‎при‏ ‎масштабном ‎внедрении‏ ‎Интернета‏ ‎вещей.

Кроме ‎того,‏ ‎интеграция ‎устройств ‎Интернета ‎вещей ‎в‏ ‎критически ‎важную‏ ‎инфраструктуру‏ ‎(интеллектуальные ‎сети, ‎промышленные‏ ‎системы ‎управления‏ ‎и ‎системы ‎здравоохранения) ‎повышает‏ ‎важность‏ ‎решения ‎проблемы‏ ‎энергопотребления ‎во‏ ‎время ‎атак. ‎Скомпрометированные ‎устройства ‎могут‏ ‎нарушить‏ ‎баланс ‎и‏ ‎работу ‎целых‏ ‎систем, ‎что ‎приведёт ‎к ‎неэффективности,‏ ‎потенциальным‏ ‎перебоям‏ ‎в ‎обслуживании‏ ‎и ‎даже‏ ‎проблемам ‎безопасности.

ВЛИЯНИЕ‏ ‎НА‏ ‎ИНДУСТРИЮ

📌 Обнаружение ‎кибератак‏ ‎и ‎реагирование ‎на ‎них: ‎Мониторинг‏ ‎структуры ‎энергопотребления‏ ‎устройств‏ ‎Интернета ‎вещей ‎может‏ ‎служить ‎эффективным‏ ‎методом ‎обнаружения ‎кибератак. ‎Аномальное‏ ‎потребление‏ ‎энергии ‎может‏ ‎указывать ‎на‏ ‎наличие ‎вредоносных ‎действий, ‎таких ‎как‏ ‎распределённые‏ ‎атаки ‎типа‏ ‎«отказ ‎в‏ ‎обслуживании» ‎(DDoS), ‎которые ‎могут ‎перегружать‏ ‎устройства‏ ‎и‏ ‎сети, ‎приводя‏ ‎к ‎увеличению‏ ‎потребления ‎энергии.‏ ‎Анализируя‏ ‎показатели ‎энергопотребления,‏ ‎можно ‎обнаруживать ‎кибератаки ‎и ‎реагировать‏ ‎на ‎них‏ ‎с‏ ‎высокой ‎эффективностью, ‎потенциально‏ ‎на ‎уровне‏ ‎около ‎99,88% ‎для ‎обнаружения‏ ‎и‏ ‎около ‎99,66%‏ ‎для ‎локализации‏ ‎вредоносного ‎ПО ‎на ‎устройствах ‎Интернета‏ ‎вещей.

📌 Влияние‏ ‎на ‎производительность‏ ‎и ‎долговечность‏ ‎устройства: Атаки ‎могут ‎значительно ‎увеличить ‎энергопотребление‏ ‎умных‏ ‎устройств,‏ ‎что, ‎в‏ ‎свою ‎очередь,‏ ‎может ‎повлиять‏ ‎на‏ ‎их ‎производительность‏ ‎и ‎долговечность. ‎Например, ‎чрезмерное ‎потребление‏ ‎энергии ‎может‏ ‎привести‏ ‎к ‎перегреву, ‎снижению‏ ‎эффективности ‎работы‏ ‎и, ‎в ‎долгосрочной ‎перспективе,‏ ‎сократить‏ ‎срок ‎службы‏ ‎устройства. ‎Это‏ ‎особенно ‎касается ‎устройств, ‎которые ‎являются‏ ‎частью‏ ‎критически ‎важной‏ ‎инфраструктуры ‎или‏ ‎тех, ‎которые ‎предоставляют ‎основные ‎услуги.

📌 Влияние‏ ‎уязвимостей: Последствия‏ ‎уязвимостей‏ ‎несут ‎проблемы‏ ‎как ‎для‏ ‎отдельных ‎пользователей,‏ ‎так‏ ‎и ‎для‏ ‎организаций. ‎Кибератаки ‎на ‎устройства ‎Интернета‏ ‎вещей ‎могут‏ ‎привести‏ ‎к ‎нарушениям ‎конфиденциальности,‏ ‎финансовым ‎потерям‏ ‎и ‎сбоям ‎в ‎работе.‏ ‎Например,‏ ‎атака ‎ботнета‏ ‎Mirai ‎в‏ ‎2016 ‎году ‎продемонстрировала ‎потенциальный ‎масштаб‏ ‎и‏ ‎влияние ‎DDoS-атак‏ ‎на ‎основе‏ ‎Интернета ‎вещей, ‎которые ‎нарушили ‎работу‏ ‎основных‏ ‎онлайн-сервисов‏ ‎за ‎счёт‏ ‎использования ‎небезопасных‏ ‎устройств ‎Интернета‏ ‎вещей.

📌 Экономические‏ ‎и ‎экологические‏ ‎последствия: Увеличение ‎энергопотребления ‎умных ‎устройств ‎во‏ ‎время ‎атак‏ ‎имеет‏ ‎как ‎экономические, ‎так‏ ‎и ‎экологические‏ ‎последствия. ‎С ‎экономической ‎точки‏ ‎зрения‏ ‎это ‎может‏ ‎привести ‎к‏ ‎увеличению ‎эксплуатационных ‎расходов ‎для ‎предприятий‏ ‎и‏ ‎потребителей ‎из-за‏ ‎увеличения ‎счётов‏ ‎за ‎электроэнергию. ‎С ‎экологической ‎точки‏ ‎зрения‏ ‎чрезмерное‏ ‎потребление ‎энергии‏ ‎способствует ‎увеличению‏ ‎выбросов ‎углекислого‏ ‎газа,‏ ‎особенно ‎если‏ ‎энергия ‎поступает ‎из ‎невозобновляемых ‎ресурсов.‏ ‎Этот ‎аспект‏ ‎имеет‏ ‎решающее ‎значение ‎в‏ ‎контексте ‎глобальных‏ ‎усилий ‎по ‎сокращению ‎выбросов‏ ‎углекислого‏ ‎газа ‎и‏ ‎борьбе ‎с‏ ‎изменением ‎климата.

📌 Проблемы ‎энергоэффективности: Несмотря ‎на ‎преимущества,‏ ‎умные‏ ‎дома ‎сталкиваются‏ ‎со ‎значительными‏ ‎проблемами ‎с ‎точки ‎зрения ‎энергоэффективности.‏ ‎Непрерывная‏ ‎работа‏ ‎устройств ‎могут‏ ‎привести ‎к‏ ‎высокому ‎потреблению‏ ‎энергии.‏ ‎Для ‎решения‏ ‎этой ‎проблемы ‎IoT ‎предоставляет ‎инструменты‏ ‎для ‎управления‏ ‎энергопотреблением,‏ ‎такие ‎как ‎интеллектуальные‏ ‎термостаты, ‎системы‏ ‎освещения ‎и ‎энергоэффективные ‎приборы.‏ ‎Эти‏ ‎инструменты ‎оптимизируют‏ ‎потребление ‎энергии‏ ‎в ‎зависимости ‎от ‎загруженности ‎помещений,‏ ‎погодных‏ ‎условий ‎и‏ ‎предпочтений ‎пользователей,‏ ‎значительно ‎сокращая ‎потери ‎энергии ‎и‏ ‎снижая‏ ‎счёта‏ ‎за ‎электроэнергию.

📌 Проблемы,‏ ‎связанные ‎с‏ ‎интеллектуальными ‎сетями‏ ‎и‏ ‎энергетическими ‎системами:‏ ‎

Интеллектуальные ‎устройства ‎все ‎чаще ‎интегрируются‏ ‎в ‎интеллектуальные‏ ‎сети‏ ‎и ‎энергетические ‎системы,‏ ‎где ‎они‏ ‎играют ‎решающую ‎роль ‎в‏ ‎управлении‏ ‎энергией ‎и‏ ‎её ‎распределении.‏ ‎Кибератаки ‎на ‎эти ‎устройства ‎могут‏ ‎нарушить‏ ‎баланс ‎и‏ ‎работу ‎всей‏ ‎энергетической ‎системы, ‎что ‎приведёт ‎к‏ ‎неэффективности,‏ ‎потенциальным‏ ‎отключениям ‎электроэнергии‏ ‎и ‎поставит‏ ‎под ‎угрозу‏ ‎энергетическую‏ ‎безопасность. ‎Поэтому‏ ‎решение ‎проблемы ‎энергопотребления ‎интеллектуальных ‎устройств‏ ‎во ‎время‏ ‎кибератак‏ ‎жизненно ‎важно ‎для‏ ‎обеспечения ‎стабильности‏ ‎и ‎надёжности ‎интеллектуальных ‎сетей.

Технические ‎подробности‏ ‎и ‎практика ‎использования ‎CVE-2024-24919 в ‎реальных‏ ‎условиях ‎подчеркивают‏ ‎критический‏ ‎характер ‎этой ‎уязвимости‏ ‎и ‎важность‏ ‎оперативного ‎устранения ‎для ‎защиты‏ ‎от‏ ‎потенциальных ‎утечек‏ ‎данных ‎и‏ ‎сетевых ‎компрометаций.

Описание ‎уязвимости

📌 CVE-2024-24919 ‎— ‎уязвимость,‏ ‎связанная‏ ‎с ‎раскрытием‏ ‎информации, ‎которая‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности,‏ ‎считывать ‎содержимое‏ ‎произвольных ‎файлов‏ ‎на ‎уязвимом‏ ‎устройстве.

📌 Уязвимость‏ ‎классифицируется ‎как‏ ‎«Передача ‎конфиденциальной ‎информации ‎неавторизованному ‎субъекту».

📌 Уязвимость‏ ‎затрагивает ‎системы‏ ‎с‏ ‎удаленным ‎доступом ‎мобильным‏ ‎или ‎VPN.

Уязвимые‏ ‎Продукты

📌CloudGuard ‎Network

📌Quantum ‎Maestro

📌Quantum ‎Scalable‏ ‎Chassis

📌Quantum‏ ‎Security ‎Gateways

📌Quantum‏ ‎Spark ‎Appliances

Подробности‏ ‎Эксплуатации

📌 Уязвимостью ‎можно ‎воспользоваться, ‎отправив ‎созданный‏ ‎запрос‏ ‎на ‎конечную‏ ‎точку ‎/clients/MyCRL,‏ ‎которая ‎предназначена ‎для ‎обработки ‎статических‏ ‎файлов‏ ‎из‏ ‎файловой ‎системы.

📌 Включая‏ ‎в ‎текст‏ ‎запроса ‎последовательности‏ ‎обхода‏ ‎пути, ‎такие‏ ‎как ‎././etc/passwd, ‎злоумышленник ‎может ‎считывать‏ ‎конфиденциальные ‎файлы,‏ ‎такие‏ ‎как ‎/etc/shadow, ‎для‏ ‎получения ‎хэшей‏ ‎паролей.

📌 Уязвимость ‎позволяет ‎считывать ‎любой‏ ‎файл‏ ‎в ‎системе,‏ ‎а ‎не‏ ‎только ‎конкретные ‎файлы, ‎указанные ‎поставщиком.

PoC

📌 Исследователи‏ ‎в‏ ‎области ‎безопасности‏ ‎опубликовали ‎общедоступный‏ ‎PoC-эксплойт ‎для ‎CVE-2024-24919, ‎содержащий ‎технические‏ ‎подробности‏ ‎о‏ ‎том, ‎как‏ ‎использовать ‎уязвимость.

📌 PoC‏ ‎демонстрирует ‎способность‏ ‎считывать‏ ‎произвольные ‎файлы,‏ ‎включая ‎извлечение ‎хэшей ‎паролей ‎и‏ ‎другой ‎конфиденциальной‏ ‎информации.

Практическое‏ ‎применение

📌 Компания ‎Check ‎Point‏ ‎наблюдала ‎активную‏ ‎эксплуатацию ‎этой ‎уязвимости ‎вживую‏ ‎с‏ ‎начала ‎апреля‏ ‎2024 ‎года.

📌 Злоумышленники‏ ‎использовали ‎уязвимость ‎для ‎извлечения ‎хэшей‏ ‎паролей,‏ ‎перемещения ‎по‏ ‎сетям ‎и‏ ‎компрометации ‎серверов ‎Active ‎Directory ‎путем‏ ‎извлечения‏ ‎файла‏ ‎ntds.dit.

Анализ ‎кода

Первоначальный‏ ‎анализ:

📌 Уязвимый ‎код‏ ‎выполняет ‎операции‏ ‎ввода-вывода‏ ‎файлов, ‎на‏ ‎которые ‎указывают ‎ссылки ‎на ‎такие‏ ‎функции, ‎как‏ ‎_fopen‏ ‎и ‎_fread.

📌 Код ‎сравнивает‏ ‎запрошенный ‎URL-адрес‏ ‎со ‎списком ‎жестко ‎заданных‏ ‎строк‏ ‎из ‎таблицы‏ ‎строк, ‎чтобы‏ ‎определить, ‎может ‎ли ‎файл ‎быть‏ ‎обработан.

Ошибка‏ ‎сравнения ‎строк:

📌 В‏ ‎коде ‎используется‏ ‎функция ‎strstr ‎для ‎проверки ‎того,‏ ‎содержит‏ ‎ли‏ ‎запрашиваемый ‎URL-адрес‏ ‎какие-либо ‎строки‏ ‎из ‎таблицы.‏ ‎Эта‏ ‎функция ‎выполняет‏ ‎поиск ‎подстроки, ‎а ‎не ‎строгое‏ ‎сравнение.

📌 Это ‎позволяет‏ ‎злоупотреблять‏ ‎кодом, ‎включив ‎допустимую‏ ‎подстроку ‎в‏ ‎последовательность ‎обхода ‎пути, ‎такую‏ ‎как‏ ‎http://icsweb.cab/././etc/passwd.

Использование ‎обхода‏ ‎пути:

📌 Первоначальные ‎попытки‏ ‎использовать ‎обход ‎пути ‎путем ‎включения‏ ‎в‏ ‎URL-адрес ‎последовательностей‏ ‎типа ‎././etc/passwd‏ ‎завершились ‎неудачей, ‎поскольку ‎операционная ‎система‏ ‎правильно‏ ‎определила‏ ‎путь ‎как‏ ‎недопустимый.

📌 Была ‎найдена‏ ‎вторая ‎таблица‏ ‎строк,‏ ‎содержащая ‎записи,‏ ‎указывающие ‎на ‎пути ‎к ‎каталогам,‏ ‎такие ‎как‏ ‎CSHELL/.

Эксплуатация:

📌 Создав‏ ‎запрос, ‎который ‎включал‏ ‎строку ‎каталога‏ ‎CSHELL/, ‎за ‎которой ‎следовала‏ ‎последовательность‏ ‎обхода ‎пути,‏ ‎исследователи ‎смогли‏ ‎обойти ‎проверки.

📌 Запрос ‎был ‎выполнен ‎успешно:

POST‏ ‎/clients/MyCRL‏ ‎HTTP/1.1

Host: ‎<redacted>

Content-Length:‏ ‎39

aCSHELL/./././././././etc/shadow

📌 Этот ‎запрос‏ ‎вернул ‎содержимое ‎файла ‎/etc/shadow, ‎подтвердив‏ ‎уязвимость‏ ‎для‏ ‎произвольного ‎чтения‏ ‎файла.

Последствия:

📌 Возможность ‎чтения‏ ‎файла ‎/etc/shadow‏ ‎указывает‏ ‎на ‎то,‏ ‎что ‎злоумышленник ‎обладает ‎правами ‎суперпользователя,‏ ‎позволяющими ‎ему‏ ‎читать‏ ‎любой ‎файл ‎в‏ ‎файловой ‎системе.

📌 Это‏ ‎более ‎серьезная ‎проблема, ‎чем‏ ‎рекомендация‏ ‎поставщика, ‎которая‏ ‎предполагала ‎ограниченный‏ ‎доступ ‎к ‎информации.

В ‎статье‏ ‎«QNAP ‎QTS ‎— ‎QNAPping ‎за‏ ‎рулем ‎(CVE-2024-27130‏ ‎и‏ ‎другие ‎уязвимости)» от ‎WatchTowr‏ ‎Labs ‎представлен‏ ‎подробный ‎анализ ‎нескольких ‎уязвимостей,‏ ‎обнаруженных‏ ‎в ‎устройствах‏ ‎QNAP ‎NAS.

CVE-2024-27130.‏ ‎Переполнение ‎стека ‎в ‎share.cgi: ‎Уязвимость‏ ‎возникает‏ ‎из-за ‎небезопасного‏ ‎использования ‎функции‏ ‎strcpy ‎в ‎функции ‎No_Support_ACL, ‎которая‏ ‎доступна‏ ‎через‏ ‎функцию ‎get_file_size‏ ‎в ‎share.cgi.‏ ‎Это ‎приводит‏ ‎к‏ ‎переполнению ‎стека‏ ‎и ‎возможности ‎удаленного ‎выполнения ‎кода‏ ‎(RCE)

Сценарий ‎атаки:

📌Шаг‏ ‎1:‏ ‎Первоначальный ‎доступ: ‎Злоумышленнику‏ ‎нужна ‎действительная‏ ‎учетная ‎запись ‎пользователя ‎NAS,‏ ‎чтобы‏ ‎воспользоваться ‎этой‏ ‎уязвимостью. ‎Учётная‏ ‎запись ‎может ‎быть ‎получена ‎с‏ ‎помощью‏ ‎фишинга, ‎утечки‏ ‎учетных ‎данных‏ ‎или ‎использования ‎другой ‎уязвимости ‎для‏ ‎получения‏ ‎первоначального‏ ‎доступа.

📌Шаг ‎2:‏ ‎Общий ‎доступ‏ ‎к ‎файлам:‏ ‎Злоумышленник‏ ‎предоставляет ‎общий‏ ‎доступ ‎к ‎файлу ‎с ‎пользователем.‏ ‎Это ‎действие‏ ‎запускает‏ ‎функцию ‎get_file_size ‎в‏ ‎share.cgi.

📌Шаг ‎3:‏ ‎Использование: далее ‎происходит ‎вызов ‎No_Support_ACL,‏ ‎которая‏ ‎небезопасно ‎использует‏ ‎strcpy, ‎что‏ ‎приводит ‎к ‎переполнению ‎буфера. ‎Переполнение‏ ‎достигается‏ ‎засчёт ‎вредоносной‏ ‎полезной ‎нагрузки,‏ ‎которая ‎и ‎переполняет ‎буфер, ‎с‏ ‎последующим‏ ‎внедрением‏ ‎вредоносного ‎кода.

📌Шаг‏ ‎4: ‎Удаленное‏ ‎выполнение ‎кода: Переполненный‏ ‎буфер‏ ‎позволяет ‎выполнить‏ ‎произвольный ‎код ‎на ‎устройстве ‎NAS,‏ ‎потенциально ‎предоставляя‏ ‎полный‏ ‎контроль ‎над ‎системой.

Связанные‏ ‎уязвимости

📌CVE-2024-27129: Небезопасное ‎использование‏ ‎strcpy ‎в ‎функции ‎get_tree‏ ‎в‏ ‎utilRequest.cgi, ‎приводящее‏ ‎к ‎переполнению‏ ‎статического ‎буфера ‎и ‎RCE ‎с‏ ‎требованием‏ ‎наличия ‎действительной‏ ‎учетной ‎записи‏ ‎на ‎устройстве ‎NAS.

📌CVE-2024-27131: ‎Спуфинг ‎«x-forwarded-for»‏ ‎приводит‏ ‎к‏ ‎возможности ‎загрузки‏ ‎файла ‎из‏ ‎произвольного ‎исходного‏ ‎местоположения‏ ‎при ‎наличии‏ ‎возможности ‎загрузки ‎файла.

📌WT-2024-0004: Stored ‎XSS ‎с‏ ‎помощью ‎удаленных‏ ‎сообщений‏ ‎системного ‎журнала ‎при‏ ‎наличии ‎настроек‏ ‎не ‎по ‎умолчанию.

📌WT-2024-0005: Stored ‎XSS‏ ‎с‏ ‎помощью ‎удаленного‏ ‎обнаружения ‎устройств‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения.

📌WT-2024-0006: Отсутствие‏ ‎ограничения‏ ‎скорости ‎в‏ ‎API ‎аутентификации‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения

Патчи:

📌Доступны‏ ‎исправления:‏ ‎Первые‏ ‎четыре ‎уязвимости‏ ‎(CVE-2024-27129, ‎CVE-2024-27130,‏ ‎CVE-2024-27131 ‎и‏ ‎WT-2024-0004)‏ ‎были ‎исправлены‏ ‎в ‎следующих ‎версиях: ‎QTS ‎5.1.6.2722,‏ ‎сборка ‎20240402‏ ‎и‏ ‎более ‎поздние ‎версии,‏ ‎QuTS ‎hero‏ ‎h5.1.6.2734, ‎сборка ‎20240414. ‎и‏ ‎более‏ ‎поздней

📌Ответ ‎поставщика:‏ ‎Поставщик ‎признал‏ ‎наличие ‎уязвимостей ‎и ‎работает ‎над‏ ‎их‏ ‎устранением.

Ещё ‎один‏ ‎документ ‎для ‎анализа. ‎На ‎этот‏ ‎раз ‎это‏ ‎захватывающая‏ ‎статья ‎«MalPurifier: ‎повышение‏ ‎эффективности ‎обнаружения‏ ‎вредоносных ‎программ ‎в ‎Android‏ ‎за‏ ‎счет ‎состязательной‏ ‎защиты ‎от‏ ‎атак ‎с ‎уклонением». ‎Потому ‎что,‏ ‎знаете‏ ‎ли, ‎миру‏ ‎действительно ‎нужна‏ ‎была ‎ещё ‎одна ‎статья ‎по‏ ‎обнаружению‏ ‎вредоносных‏ ‎программ ‎в‏ ‎Android.

Сначала ‎мы‏ ‎рассмотрим ‎введение‏ ‎и‏ ‎мотивацию, ‎чтобы‏ ‎понять, ‎почему ‎необходимо ‎ещё ‎одно‏ ‎решение ‎для‏ ‎борьбы‏ ‎с ‎постоянно ‎растущими‏ ‎угрозами, ‎связанными‏ ‎с ‎вредоносными ‎программами ‎для‏ ‎Android.‏ ‎Предупреждение ‎о‏ ‎спойлере: ‎это‏ ‎потому, ‎что ‎современные ‎подходы, ‎основанные‏ ‎на‏ ‎машинном ‎обучении,‏ ‎так ‎же‏ ‎уязвимы, ‎как ‎карточный ‎домик ‎во‏ ‎время‏ ‎шторма.

Затем‏ ‎мы ‎перейдём‏ ‎к ‎экспериментальной‏ ‎установке ‎и‏ ‎результатам.‏ ‎В ‎этом‏ ‎разделе ‎будет ‎показано, ‎как ‎MalPurifier‏ ‎превосходит ‎другие‏ ‎средства‏ ‎защиты, ‎достигая ‎точности‏ ‎более ‎90,91%.‏ ‎Впечатляет, ‎если ‎не ‎принимать‏ ‎во‏ ‎внимание ‎тот‏ ‎факт, ‎что‏ ‎он ‎протестирован ‎на ‎наборах ‎данных,‏ ‎которые‏ ‎могут ‎отражать,‏ ‎а ‎могут‏ ‎и ‎не ‎отражать ‎реальные ‎сценарии.

В‏ ‎разделе‏ ‎«Механизмы‏ ‎защиты» ‎будут‏ ‎рассмотрены ‎различные‏ ‎стратегии, ‎используемые‏ ‎MalPurifier,‏ ‎такие ‎как‏ ‎состязательная ‎очистка ‎и ‎состязательное ‎обучение.‏ ‎Потому ‎что‏ ‎ничто‏ ‎так ‎не ‎говорит‏ ‎о ‎«надёжной‏ ‎защите», ‎как ‎подбрасывание ‎более‏ ‎убедительных‏ ‎примеров ‎решения‏ ‎проблемы.

Конечно, ‎ни‏ ‎одна ‎статья ‎не ‎будет ‎полной‏ ‎без‏ ‎признания ‎её‏ ‎недостатков ‎и‏ ‎будущей ‎работы. ‎Здесь ‎авторы ‎смиренно‏ ‎признают,‏ ‎что‏ ‎их ‎решение‏ ‎не ‎идеально,‏ ‎и ‎предложат‏ ‎области‏ ‎для ‎будущих‏ ‎исследований. ‎Поскольку, ‎естественно, ‎поиск ‎идеальной‏ ‎системы ‎обнаружения‏ ‎вредоносных‏ ‎программ ‎никогда ‎не‏ ‎заканчивается.

Этот ‎анализ‏ ‎предоставит ‎высококачественное ‎краткое ‎изложение‏ ‎документа,‏ ‎подчеркнув ‎его‏ ‎вклад ‎и‏ ‎значение ‎для ‎специалистов ‎по ‎безопасности‏ ‎и‏ ‎других ‎специалистов‏ ‎в ‎различных‏ ‎областях. ‎Он ‎будет ‎особенно ‎полезен‏ ‎тем,‏ ‎кто‏ ‎любит ‎читать‏ ‎о ‎последних‏ ‎достижениях ‎в‏ ‎области‏ ‎обнаружения ‎вредоносных‏ ‎программ, ‎даже ‎если ‎их ‎практическое‏ ‎применение ‎все‏ ‎ещё‏ ‎вызывает ‎споры.

-------

В ‎документе‏ ‎представлен ‎анализ‏ ‎статьи ‎" ‎MalPurifier: ‎Enhancing‏ ‎Android‏ ‎Malware ‎Detection‏ ‎with ‎Adversarial‏ ‎Purification ‎against ‎Evasion ‎Attacks». ‎Анализ‏ ‎посвящён‏ ‎различным ‎аспектам‏ ‎статьи, ‎включая‏ ‎используемую ‎методологию, ‎экспериментальную ‎установку ‎и‏ ‎полученные‏ ‎результаты.

Этот‏ ‎анализ ‎представляет‏ ‎собой ‎качественное‏ ‎изложение ‎документа,‏ ‎предлагающее‏ ‎ценную ‎информацию‏ ‎специалистам ‎в ‎области ‎безопасности, ‎исследователям‏ ‎и ‎практикам‏ ‎в‏ ‎различных ‎областях. ‎Понимая‏ ‎сильные ‎стороны‏ ‎и ‎ограничения ‎платформы ‎MalPurifier,‏ ‎заинтересованные‏ ‎стороны ‎смогут‏ ‎лучше ‎оценить‏ ‎её ‎потенциальные ‎применения ‎и ‎вклад‏ ‎в‏ ‎совершенствование ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ ‎Android. ‎Анализ ‎особенно ‎полезен‏ ‎для‏ ‎тех,‏ ‎кто ‎занимается‏ ‎кибербезопасностью, ‎машинным‏ ‎обучением ‎и‏ ‎безопасностью‏ ‎мобильных ‎приложений,‏ ‎поскольку ‎в ‎нем ‎освещаются ‎инновационные‏ ‎подходы ‎к‏ ‎снижению‏ ‎рисков, ‎связанных ‎с‏ ‎атаками ‎с‏ ‎целью ‎предотвращения ‎обнаружения.

В ‎документе‏ ‎под‏ ‎названием ‎«MalPurifier:‏ ‎Enhancing ‎Android‏ ‎Malware ‎Detection ‎with ‎Adversarial ‎Purification‏ ‎against‏ ‎Evasion ‎Attacks»‏ ‎представлен ‎новый‏ ‎подход ‎к ‎улучшению ‎обнаружения ‎вредоносных‏ ‎программ‏ ‎для‏ ‎Android, ‎особенно‏ ‎в ‎условиях‏ ‎состязательных ‎атак‏ ‎уклонения‏ ‎(adversarial ‎evasion‏ ‎attacks). ‎В ‎документе ‎подчёркивается, ‎что‏ ‎это ‎первая‏ ‎попытка‏ ‎использовать ‎состязательную ‎очистку‏ ‎для ‎смягчения‏ ‎атак ‎в ‎экосистеме ‎Android,‏ ‎предоставляя‏ ‎многообещающее ‎решение‏ ‎для ‎повышения‏ ‎безопасности ‎систем ‎обнаружения ‎вредоносных ‎программ‏ ‎Android.

Мотивация:

📌 Распространённость‏ ‎вредоносного ‎ПО‏ ‎для ‎Android: В‏ ‎документе ‎освещается ‎широко ‎распространённая ‎проблема‏ ‎вредоносного‏ ‎ПО‏ ‎для ‎Android,‏ ‎которое ‎представляет‏ ‎значительные ‎угрозы‏ ‎безопасности‏ ‎для ‎пользователей‏ ‎и ‎устройств.

📌 Методы ‎уклонения: часто ‎используются ‎методы‏ ‎уклонения ‎для‏ ‎модификации‏ ‎вредоносных ‎программ, ‎что‏ ‎затрудняет ‎их‏ ‎идентификацию ‎традиционными ‎системами ‎обнаружения.

Проблемы:

📌 Состязательные‏ ‎атаки: обсуждаются‏ ‎проблемы, ‎связанные‏ ‎с ‎состязательными‏ ‎атаками, ‎когда ‎небольшие ‎изменения ‎кода‏ ‎вредоносных‏ ‎программ ‎позволяют‏ ‎избежать ‎обнаружения.

📌 Уязвимости‏ ‎системы ‎обнаружения: ‎Существующие ‎системы ‎обнаружения‏ ‎вредоносных‏ ‎программ‏ ‎уязвимы ‎для‏ ‎этих ‎состязательных‏ ‎атак, ‎что‏ ‎требует‏ ‎более ‎надёжных‏ ‎решений.

Цель ‎и ‎предлагаемое ‎решение:

📌 Повышение ‎надёжности‏ ‎обнаружения: цель ‎исследования‏ ‎—‏ ‎повышение ‎устойчивость ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ ‎Android ‎к ‎атакам‏ ‎с‏ ‎использованием ‎состязательного‏ ‎уклонения.

📌 Предлагаемое ‎решение: MalPurifier,‏ ‎направлено ‎на ‎очистку ‎мусора ‎в‏ ‎образцах‏ ‎и ‎восстановление‏ ‎вредоносного ‎ПО‏ ‎до ‎обнаруживаемой ‎формы.

📌 Используемые ‎методы: ‎В‏ ‎системе‏ ‎используются‏ ‎такие ‎методы,‏ ‎как ‎автокодирование‏ ‎и ‎генеративные‏ ‎состязательные‏ ‎сети ‎(GAN)‏ ‎для ‎процесса ‎очистки.

Техники, ‎используемые ‎при‏ ‎атаках ‎уклонения:

📌 Образцы‏ ‎состязательности:‏ ‎часто ‎используются ‎методы‏ ‎уклонения ‎для‏ ‎модификации ‎вредоносных ‎программ, ‎что‏ ‎затрудняет‏ ‎их ‎идентификацию‏ ‎традиционными ‎системами‏ ‎обнаружения.

📌 Обфусцирование: Такие ‎методы, ‎как ‎шифрование ‎кода,‏ ‎упаковка‏ ‎и ‎полиморфизм,‏ ‎используются ‎для‏ ‎изменения ‎внешнего ‎вида ‎вредоносного ‎ПО‏ ‎без‏ ‎изменения‏ ‎его ‎функциональности.

Значение:

📌 Улучшенная‏ ‎безопасность: Расширяя ‎возможности‏ ‎систем ‎обнаружения‏ ‎вредоносных‏ ‎программ, ‎MalPurifier‏ ‎стремится ‎обеспечить ‎лучшую ‎безопасность ‎устройств‏ ‎Android.

📌 Вклад ‎в‏ ‎исследование:‏ ‎Статья ‎вносит ‎свой‏ ‎вклад, ‎устраняя‏ ‎пробел ‎в ‎надёжных ‎решениях‏ ‎для‏ ‎обнаружения ‎вредоносных‏ ‎программ, ‎способных‏ ‎противостоять ‎злоумышленным ‎атакам.

Преимущества

📌 Высокая ‎точность: ‎MalPurifier‏ ‎демонстрирует‏ ‎высокую ‎эффективность,‏ ‎достигая ‎точности‏ ‎более ‎90,91% ‎при ‎37 ‎различных‏ ‎атаках.‏ ‎Это‏ ‎указывает ‎на‏ ‎высокую ‎производительность‏ ‎при ‎обнаружении‏ ‎вредоносных‏ ‎программ.

📌 Масштабируемость: Метод ‎легко‏ ‎масштабируется ‎для ‎различных ‎моделей ‎обнаружения,‏ ‎обеспечивая ‎гибкость‏ ‎и‏ ‎надёжность ‎в ‎его‏ ‎реализации, ‎не‏ ‎требуя ‎значительных ‎модификаций.

📌 Лёгкий ‎и‏ ‎гибкий:‏ ‎Использование ‎модели‏ ‎с ‎шумоподавляющим‏ ‎автоэнкодером ‎(Denoising ‎AutoEncoder, ‎DAE) ‎обеспечивает‏ ‎лёгкий‏ ‎и ‎гибкий‏ ‎подход ‎к‏ ‎очистке ‎от ‎вредоносного ‎ПО. ‎Это‏ ‎гарантирует,‏ ‎что‏ ‎метод ‎может‏ ‎быть ‎интегрирован‏ ‎в ‎существующие‏ ‎системы‏ ‎с ‎минимальными‏ ‎накладными ‎расходами.

📌 Комплексная ‎защита: ‎Уделяя ‎особое‏ ‎внимание ‎очистке‏ ‎от‏ ‎вредоносных ‎программ, ‎MalPurifier‏ ‎устраняет ‎критическую‏ ‎уязвимость ‎в ‎системах ‎обнаружения‏ ‎вредоносных‏ ‎программ ‎на‏ ‎основе ‎ML,‏ ‎повышая ‎их ‎общую ‎безопасность ‎и‏ ‎устойчивость‏ ‎к ‎изощренным‏ ‎методам ‎уклонения.

Ограничения

📌 Обобщение‏ ‎на ‎другие ‎платформы: Текущая ‎реализация ‎и‏ ‎оценка‏ ‎сосредоточены‏ ‎исключительно ‎на‏ ‎экосистеме ‎Android.‏ ‎Эффективность ‎MalPurifier‏ ‎на‏ ‎других ‎платформах,‏ ‎таких ‎как ‎iOS ‎или ‎Windows,‏ ‎остаётся ‎непроверенной‏ ‎и‏ ‎неопределённой.

📌 Проблемы ‎с ‎масштабируемостью: хотя‏ ‎в ‎документе‏ ‎утверждается ‎о ‎масштабируемости, ‎фактическая‏ ‎производительность‏ ‎и ‎действенность‏ ‎MalPurifier ‎в‏ ‎крупномасштабных ‎сценариях ‎обнаружения ‎в ‎реальном‏ ‎времени‏ ‎тщательно ‎не‏ ‎оценивались. ‎Это‏ ‎вызывает ‎вопросы ‎о ‎практической ‎применимости‏ ‎в‏ ‎средах‏ ‎с ‎соответствующими‏ ‎сценариями ‎нагрузки.

📌 Вычислительные‏ ‎издержки: Процесс ‎очистки‏ ‎приводит‏ ‎к ‎дополнительным‏ ‎вычислительным ‎издержкам. ‎Несмотря ‎на ‎то,‏ ‎что ‎он‏ ‎описывается‏ ‎как ‎лёгкий, ‎его‏ ‎влияние ‎на‏ ‎производительность ‎системы, ‎особенно ‎в‏ ‎средах‏ ‎с ‎ограниченными‏ ‎ресурсами ‎требует‏ ‎дальнейшего ‎изучения.

📌 Адаптация ‎к ‎состязательности: ‎могут‏ ‎разрабатываться‏ ‎новые ‎стратегии‏ ‎для ‎адаптации‏ ‎к ‎процессу ‎очистки, ‎потенциально ‎обходя‏ ‎средства‏ ‎защиты,‏ ‎предоставляемые ‎MalPurifier.‏ ‎Постоянная ‎адаптация‏ ‎и ‎совершенствование‏ ‎методов‏ ‎необходимы ‎для‏ ‎своевременного ‎опережения ‎угроз.

📌 Показатели ‎оценки: ‎Оценка‏ ‎в ‎первую‏ ‎очередь‏ ‎фокусируется ‎на ‎точности‏ ‎обнаружения ‎и‏ ‎устойчивости ‎к ‎атакам ‎уклонения.‏ ‎Другие‏ ‎важные ‎показатели,‏ ‎такие ‎как‏ ‎потребление ‎энергии, ‎опыт ‎работы ‎с‏ ‎пользователем‏ ‎и ‎долгосрочная‏ ‎эффективность, ‎не‏ ‎учитываются, ‎что ‎ограничивает ‎полноту ‎оценки.

📌 Интеграция‏ ‎с‏ ‎существующими‏ ‎системами: В ‎документе‏ ‎подробно ‎не‏ ‎обсуждается ‎интеграция‏ ‎MalPurifier‏ ‎с ‎существующими‏ ‎системами ‎обнаружения ‎вредоносных ‎программ ‎и‏ ‎потенциальное ‎влияние‏ ‎на‏ ‎их ‎производительность. ‎Необходимы‏ ‎бесшовные ‎стратегии‏ ‎интеграции ‎и ‎комбинированные ‎оценки‏ ‎эффективности

Влияние‏ ‎на ‎технологию

📌 Прогресс‏ ‎в ‎обнаружении‏ ‎вредоносных ‎программ: ‎MalPurifier ‎представляет ‎собой‏ ‎значительный‏ ‎технологический ‎прогресс‏ ‎в ‎области‏ ‎обнаружения ‎вредоносных ‎программ. ‎Используя ‎методы‏ ‎состязательной‏ ‎очистки,‏ ‎он ‎повышает‏ ‎устойчивость ‎систем‏ ‎обнаружения ‎вредоносных‏ ‎программ‏ ‎Android ‎к‏ ‎атакам-уклонениям. ‎Это ‎нововведение ‎может ‎привести‏ ‎к ‎разработке‏ ‎более‏ ‎безопасных ‎и ‎надёжных‏ ‎инструментов ‎обнаружения‏ ‎вредоносных ‎программ.

📌 Механизмы ‎защиты ‎от‏ ‎состязательности: Статья‏ ‎вносит ‎вклад‏ ‎в ‎более‏ ‎широкую ‎область ‎состязательного ‎машинного ‎обучения,‏ ‎демонстрируя‏ ‎эффективность ‎состязательной‏ ‎очистки. ‎Метод‏ ‎может ‎быть ‎адаптирован ‎к ‎другим‏ ‎областям‏ ‎кибербезопасности,‏ ‎таким ‎как‏ ‎обнаружение ‎сетевых‏ ‎вторжений ‎и‏ ‎защита‏ ‎конечных ‎точек,‏ ‎повышая ‎общую ‎устойчивость ‎систем ‎к‏ ‎новым ‎атакам.

📌 Приложения‏ ‎для‏ ‎машинного ‎обучения: Использование ‎шумоподавляющих‏ ‎автоэнкодеров ‎(DAE)‏ ‎и ‎генеративных ‎состязательных ‎сетей‏ ‎(GAN)‏ ‎в ‎MalPurifier‏ ‎демонстрирует ‎потенциал‏ ‎передовых ‎моделей ‎машинного ‎обучения ‎в‏ ‎приложениях‏ ‎кибербезопасности. ‎Это‏ ‎может ‎вдохновить‏ ‎на ‎дальнейшие ‎исследования ‎и ‎разработки‏ ‎по‏ ‎применению‏ ‎этих ‎моделей‏ ‎к ‎другим‏ ‎задачам ‎безопасности,‏ ‎таким‏ ‎как ‎обнаружение‏ ‎фишинга ‎и ‎предотвращение ‎мошенничества.

Влияние ‎на‏ ‎отрасль

📌 Повышенная ‎безопасность‏ ‎мобильных‏ ‎устройств: Отрасли, ‎которые ‎в‏ ‎значительной ‎степени‏ ‎зависят ‎от ‎мобильных ‎устройств,‏ ‎такие‏ ‎как ‎здравоохранение,‏ ‎финансы ‎и‏ ‎розничная ‎торговля, ‎могут ‎извлечь ‎выгоду‏ ‎от‏ ‎применения ‎MalPurifier,‏ ‎как ‎следствие,‏ ‎могут ‎лучше ‎защищать ‎конфиденциальные ‎данные‏ ‎и‏ ‎поддерживать‏ ‎целостность ‎мобильных‏ ‎приложений.

📌 Снижение ‎числа‏ ‎инцидентов, ‎связанных‏ ‎с‏ ‎кибербезопасностью: Внедрение ‎надёжных‏ ‎систем ‎обнаружения ‎вредоносных ‎программ, ‎таких‏ ‎как ‎MalPurifier,‏ ‎может‏ ‎привести ‎к ‎сокращению‏ ‎инцидентов ‎кибербезопасности,‏ ‎таких ‎как ‎утечка ‎данных‏ ‎и‏ ‎атаки ‎программ-вымогателей,‏ ‎а ‎также‏ ‎значительной ‎экономии ‎средств ‎для ‎бизнеса‏ ‎и‏ ‎снижению ‎вероятности‏ ‎репутационного ‎ущерба.

📌 Преимущества‏ ‎соблюдения ‎нормативных ‎требований: Расширенные ‎возможности ‎обнаружения‏ ‎вредоносных‏ ‎программ‏ ‎могут ‎помочь‏ ‎организациям ‎соблюдать‏ ‎нормативные ‎требования,‏ ‎связанные‏ ‎с ‎защитой‏ ‎данных ‎и ‎кибербезопасностью. ‎Например, ‎отрасли,‏ ‎подпадающие ‎под‏ ‎действие‏ ‎таких ‎нормативных ‎актов,‏ ‎как ‎GDPR‏ ‎или ‎HIPAA, ‎могут ‎использовать‏ ‎MalPurifier‏ ‎для ‎обеспечения‏ ‎соответствия ‎строгим‏ ‎стандартам ‎безопасности.

📌 Инновации ‎в ‎продуктах ‎кибербезопасности: Компании,‏ ‎занимающиеся‏ ‎кибербезопасностью, ‎могут‏ ‎внедрять ‎методы,‏ ‎представленные ‎в ‎документе, ‎в ‎свои‏ ‎продукты,‏ ‎что‏ ‎приведёт ‎к‏ ‎разработке ‎решений‏ ‎безопасности ‎следующего‏ ‎поколения‏ ‎для ‎повышения‏ ‎конкурентного ‎преимущества ‎на ‎рынке ‎и‏ ‎стимулировать ‎инновации‏ ‎в‏ ‎индустрии ‎кибербезопасности.

📌 Межотраслевые ‎приложения: хотя‏ ‎в ‎статье‏ ‎основное ‎внимание ‎уделяется ‎обнаружению‏ ‎вредоносных‏ ‎Android-программ, ‎основополагающие‏ ‎принципы ‎состязательной‏ ‎очистки ‎могут ‎применяться ‎в ‎различных‏ ‎отраслях.‏ ‎Такие ‎секторы,‏ ‎как ‎производство,‏ ‎государственное ‎управление ‎и ‎транспорт, ‎которые‏ ‎также‏ ‎подвержены‏ ‎воздействию ‎вредоносных‏ ‎программ, ‎могут‏ ‎адаптировать ‎эти‏ ‎методы‏ ‎для ‎усиления‏ ‎своих ‎мер ‎кибербезопасности.

MalPurifier. Detoxifying Your Android, One Malicious Byte at a Time.pdf

496,02 KB

Скачать

CVE-2024-3400 (+ url + github ‎url#1, url#2) — это‏ ‎критическая ‎уязвимость ‎при ‎внедрении ‎команд‏ ‎в ‎программное‏ ‎обеспечение‏ ‎Palo ‎Alto ‎Networks‏ ‎для ‎PAN-OS,‏ ‎которая, ‎в ‎частности, ‎влияет‏ ‎на‏ ‎функцию ‎GlobalProtect.‏ ‎Эта ‎уязвимость‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности, ‎выполнить‏ ‎произвольный ‎код‏ ‎с ‎правами ‎суперпользователя ‎на ‎уязвимом‏ ‎брандмауэре.‏ ‎Уязвимость‏ ‎затрагивает ‎версии‏ ‎PAN-OS ‎10.2,‏ ‎11.0 ‎и‏ ‎11.1‏ ‎при ‎настройке‏ ‎с ‎помощью ‎GlobalProtect ‎gateway ‎или‏ ‎GlobalProtect ‎portal.

Первоначальное‏ ‎обнаружение‏ ‎и ‎использование:

📌Уязвимость ‎была‏ ‎впервые ‎обнаружена‏ ‎Volexity ‎26 ‎марта ‎2024‏ ‎года.

📌Злоумышленники,‏ ‎идентифицированные ‎как‏ ‎поддерживаемая ‎государством‏ ‎группа ‎UTA0218, ‎воспользовались ‎уязвимостью ‎для‏ ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎устройствам‏ ‎брандмауэра.

Вектор ‎атаки:

📌Уязвимость ‎используется ‎с ‎помощью‏ ‎ошибки‏ ‎фильтрации‏ ‎команд ‎в‏ ‎функции ‎GlobalProtect.‏ ‎Злоумышленники ‎могут‏ ‎манипулировать‏ ‎cookie ‎SESSID‏ ‎для ‎создания ‎произвольных ‎файлов ‎в‏ ‎системе, ‎которые‏ ‎затем‏ ‎могут ‎быть ‎использованы‏ ‎для ‎выполнения‏ ‎команд ‎с ‎правами ‎суперпользователя.

📌Атака‏ ‎не‏ ‎требует ‎аутентификации,‏ ‎что ‎делает‏ ‎ее ‎чрезвычайно ‎опасной ‎ввиду ‎низкой‏ ‎сложности‏ ‎применения.

Последовательность ‎действий:

Шаг‏ ‎1: ‎Разведка:

📌Злоумышленники‏ ‎сканируют ‎уязвимые ‎устройства ‎PAN-OS, ‎настроенные‏ ‎с‏ ‎помощью‏ ‎GlobalProtect ‎gateway‏ ‎или ‎портала.

📌Они‏ ‎используют ‎простые‏ ‎команды‏ ‎для ‎размещения‏ ‎в ‎системе ‎файлов ‎размером ‎в‏ ‎ноль ‎байт‏ ‎для‏ ‎проверки ‎уязвимости.

Шаг ‎2:‏ ‎Первоначальное ‎использование:

📌Злоумышленники‏ ‎отправляют ‎на ‎уязвимое ‎устройство‏ ‎специально‏ ‎созданные ‎сетевые‏ ‎запросы, ‎манипулируя‏ ‎cookie-файлом ‎SESSID ‎для ‎создания ‎файла‏ ‎в‏ ‎определенном ‎каталоге.

📌Пример:‏ ‎Cookie: ‎SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.

Шаг‏ ‎3: ‎Выполнение ‎команды:

📌Созданный ‎файл ‎используется‏ ‎для‏ ‎ввода‏ ‎и ‎выполнения‏ ‎произвольных ‎команд‏ ‎с ‎правами‏ ‎суперпользователя.

📌Злоумышленники‏ ‎создают ‎reverseshell‏ ‎и ‎устанавливают ‎дополнительные ‎инструменты, ‎такие‏ ‎как ‎пользовательский‏ ‎Python-бэкдор‏ ‎UPSTYLE, ‎для ‎обеспечения‏ ‎закрепления ‎в‏ ‎системе.

Шаг ‎4: ‎Последующая ‎эксплуатация:

📌Злоумышленники‏ ‎извлекают‏ ‎конфиденциальные ‎данные,‏ ‎включая ‎текущую‏ ‎конфигурацию ‎брандмауэра ‎и ‎учетные ‎данные‏ ‎пользователя.

📌Они‏ ‎также ‎могут‏ ‎использовать ‎взломанное‏ ‎устройство ‎для ‎распространения ‎по ‎сети.

Обнаруженная‏ ‎вредоносная‏ ‎активность:

📌Всплеск‏ ‎вредоносной ‎активности‏ ‎наблюдался ‎вскоре‏ ‎после ‎публичного‏ ‎раскрытия‏ ‎уязвимости ‎и‏ ‎публикации ‎сценария ‎эксплойта ‎на ‎GitHub.

📌Злоумышленники‏ ‎использовали ‎бэкдор‏ ‎UPSTYLE‏ ‎для ‎косвенного ‎взаимодействия‏ ‎со ‎взломанным‏ ‎устройством, ‎отправляя ‎команды ‎через‏ ‎журналы‏ ‎ошибок ‎и‏ ‎получая ‎выходные‏ ‎данные ‎через ‎общедоступную ‎таблицу ‎стилей.

Добро ‎пожаловать‏ ‎в ‎захватывающий ‎мир ‎криминалистического ‎анализа‏ ‎в ‎средах‏ ‎VMware‏ ‎ESXi ‎с ‎использованием‏ ‎Velociraptor, ‎инструмента,‏ ‎который ‎обещает ‎немного ‎облегчить‏ ‎вашу‏ ‎жизнь. ‎Velociraptor,‏ ‎с ‎его‏ ‎передовыми ‎методами ‎криминалистической ‎обработки, ‎адаптирован‏ ‎к‏ ‎сложностям ‎виртуализированных‏ ‎серверных ‎инфраструктур.‏ ‎Независимо ‎от ‎того, ‎занимаетесь ‎ли‏ ‎вы‏ ‎извлечением‏ ‎данных, ‎анализом‏ ‎журналов ‎или‏ ‎выявлением ‎вредоносных‏ ‎действий,‏ ‎Velociraptor ‎поможет‏ ‎в ‎этом.

Но ‎давайте ‎не ‎будем‏ ‎обманывать ‎себя‏ ‎—‏ ‎это ‎серьёзный ‎бизнес.‏ ‎Целостность ‎и‏ ‎безопасность ‎виртуализированных ‎сред ‎имеют‏ ‎первостепенное‏ ‎значение, ‎а‏ ‎способность ‎проводить‏ ‎тщательные ‎криминалистические ‎расследования ‎имеет ‎решающее‏ ‎значение.‏ ‎Поэтому, ‎хотя‏ ‎мы ‎и‏ ‎можем ‎немного ‎иронизировать, ‎важность ‎этой‏ ‎работы‏ ‎трудно‏ ‎переоценить. ‎Специалисты‏ ‎по ‎безопасности,‏ ‎криминалисты-ИТ-аналитики ‎и‏ ‎другие‏ ‎специалисты ‎полагаются‏ ‎на ‎эти ‎инструменты ‎и ‎методологии‏ ‎для ‎защиты‏ ‎своих‏ ‎инфраструктур. ‎И ‎это,‏ ‎дорогой ‎читатель,‏ ‎не ‎повод ‎для ‎смеха.

Полный‏ ‎материал

-------

В‏ ‎документе ‎представлен‏ ‎комплексный ‎анализ‏ ‎криминалистики ‎с ‎использованием ‎инструмента ‎Velociraptor.‏ ‎Анализ‏ ‎посвящён ‎различным‏ ‎аспектам ‎криминалистики,‏ ‎специфичных, ‎которые ‎имеют ‎значение ‎для‏ ‎поддержания‏ ‎целостности‏ ‎и ‎безопасности‏ ‎виртуализированных ‎серверных‏ ‎инфраструктур. ‎Рассматриваемые‏ ‎ключевые‏ ‎аспекты ‎включают‏ ‎методологии ‎извлечения ‎данных, ‎анализ ‎журналов‏ ‎и ‎выявление‏ ‎атак‏ ‎на ‎виртуальных ‎машинах‏ ‎ESXi.

Анализ ‎особенно‏ ‎полезен ‎специалистам ‎по ‎безопасности,‏ ‎ИТ-криминалистам‏ ‎и ‎другим‏ ‎специалистам ‎из‏ ‎различных ‎отраслей, ‎которым ‎поручено ‎расследование‏ ‎нарушений‏ ‎безопасности ‎в‏ ‎виртуализированных ‎средах‏ ‎и ‎устранение ‎их ‎последствий.

В ‎документе‏ ‎описывается‏ ‎применение‏ ‎Velociraptor, ‎инструмента‏ ‎криминалистики ‎и‏ ‎реагирования ‎на‏ ‎инциденты,‏ ‎для ‎проведения‏ ‎криминалистического ‎анализа ‎в ‎виртуализированных ‎средах.‏ ‎Использование ‎Velociraptor‏ ‎в‏ ‎этом ‎контексте ‎предполагает‏ ‎фокус ‎на‏ ‎методах, ‎адаптированных ‎к ‎сложностям‏ ‎виртуализированных‏ ‎серверных ‎инфраструктур

Ключевые‏ ‎аспекты ‎анализа

📌 Методологии‏ ‎извлечения ‎данных: рассматриваются ‎методы ‎извлечения ‎данных‏ ‎из‏ ‎систем ‎ESXi,‏ ‎что ‎важно‏ ‎для ‎криминалистики ‎после ‎инцидентов ‎безопасности.

📌 Анализ‏ ‎журналов: включает‏ ‎процедуры‏ ‎проверки ‎журналов‏ ‎ESXi, ‎которые‏ ‎могут ‎выявить‏ ‎несанкционированный‏ ‎доступ ‎или‏ ‎другие ‎действия.

📌 Идентификация ‎вредоносных ‎действий: ‎перед‏ ‎анализом ‎артефактов‏ ‎и‏ ‎журналов ‎в ‎документе‏ ‎описываются ‎методы‏ ‎идентификации ‎и ‎понимания ‎характера‏ ‎вредоносных‏ ‎действий, ‎которые‏ ‎могли ‎иметь‏ ‎место ‎в ‎виртуальной ‎среде.

📌 Использование ‎криминалистике: подчёркивает‏ ‎возможности‏ ‎Velociraptor ‎в‏ ‎решении ‎сложных‏ ‎задач, ‎связанных ‎с ‎системами ‎ESXi,‏ ‎что‏ ‎делает‏ ‎его ‎ценным‏ ‎инструментом ‎для‏ ‎forensics-аналитиков.

Применение

Анализ ‎полезен‏ ‎для‏ ‎различных ‎специалистов‏ ‎в ‎области ‎кибербезопасности ‎и ‎информационных‏ ‎технологий:

📌 ИБ-специалисты: для ‎понимания‏ ‎потенциальных‏ ‎уязвимостей ‎и ‎точек‏ ‎входа ‎для‏ ‎нарушений ‎безопасности ‎в ‎виртуализированных‏ ‎средах.

📌 Forensics-аналитики: предоставляет‏ ‎методологии ‎и‏ ‎инструменты, ‎необходимые‏ ‎для ‎проведения ‎тщательных ‎расследований ‎в‏ ‎средах‏ ‎VMware ‎ESXi.

📌 ИТ-администраторы:‏ ‎специалисты ‎по‏ ‎проактивному ‎мониторингу ‎и ‎защите ‎виртуализированных‏ ‎сред‏ ‎от‏ ‎потенциальных ‎угроз.

📌 Отрасли,‏ ‎использующие ‎VMware‏ ‎ESXi, ‎предоставляют‏ ‎информацию‏ ‎об ‎обеспечении‏ ‎безопасности ‎виртуализированных ‎сред ‎и ‎управлении‏ ‎ими, ‎что‏ ‎крайне‏ ‎важно ‎для ‎поддержания‏ ‎целостности ‎и‏ ‎безопасности ‎бизнес-операций.

VMWARE ‎ESXI: ‎СТРУКТУРА‏ ‎И‏ ‎АРТЕФАКТЫ

📌 Bare-Metal ‎гипервизор:‏ ‎VMware ‎ESXi‏ ‎— ‎это ‎Bare-Metal ‎гипервизор, ‎широко‏ ‎используемый‏ ‎для ‎виртуализации‏ ‎информационных ‎систем,‏ ‎часто ‎содержащий ‎критически ‎важные ‎компоненты,‏ ‎такие‏ ‎как‏ ‎серверы ‎приложений‏ ‎и ‎Active‏ ‎Directory.

📌 Операционная ‎система: работает‏ ‎на‏ ‎ядре ‎POSIX‏ ‎под ‎названием ‎VMkernel, ‎которое ‎использует‏ ‎несколько ‎утилит‏ ‎через‏ ‎BusyBox. ‎В ‎результате‏ ‎получается ‎UNIX-подобная‏ ‎организация ‎файловой ‎системы ‎и‏ ‎иерархия.

📌 Артефакты‏ ‎криминалистики: с ‎точки‏ ‎зрения ‎криминалистики,‏ ‎VMware ‎ESXi ‎сохраняет ‎типичные ‎системные‏ ‎артефакты‏ ‎UNIX ‎/‏ ‎Linux, ‎такие‏ ‎как ‎история ‎командной ‎строки ‎и‏ ‎включает‏ ‎артефакты,‏ ‎характерные ‎для‏ ‎его ‎функций‏ ‎виртуализации.

Репозиторий ‎GitHub‏ ‎«darkPulse» представляет ‎собой ‎шелл-код, ‎написанный ‎на‏ ‎Go.

📌Назначение: dark ‎Pulse‏ ‎предназначен‏ ‎для ‎создания ‎различных‏ ‎загрузчиков ‎шеллкодов,‏ ‎которые ‎помогают ‎избежать ‎обнаружения‏ ‎китайскими‏ ‎антивирусными ‎программами,‏ ‎такими ‎как‏ ‎Huorong ‎и ‎360 ‎Total ‎Security.

📌Формирование‏ ‎загрузчиков‏ ‎шеллкодов: Генерирует ‎различные‏ ‎типы ‎загрузчиков‏ ‎шеллкодов.

📌Противодействие ‎антивирусам: позволяет ‎избежать ‎обнаружения ‎популярными‏ ‎китайскими‏ ‎антивирусными‏ ‎программами, ‎такими‏ ‎как ‎Huorong‏ ‎и ‎360‏ ‎Total‏ ‎Security.

📌Шифрование ‎и‏ ‎обфускация: поддерживает ‎шифрование ‎AES ‎и ‎XOR,‏ ‎а ‎также‏ ‎обфускацию‏ ‎UUID/words ‎для ‎уменьшения‏ ‎энтропии.

📌Методы ‎загрузки: Поддерживает‏ ‎несколько ‎методов ‎загрузки, ‎включая‏ ‎callback,‏ ‎fiber ‎и‏ ‎earlybird. ‎Их‏ ‎можно ‎использовать ‎в ‎режимах  ‎indirect‏ ‎syscall‏ ‎и ‎unhook.

📌Кодирование: Использует‏ ‎кодировщик ‎Shikata‏ ‎ga ‎nai, ‎портированный ‎в ‎Go‏ ‎с‏ ‎несколькими‏ ‎улучшениями.

📌SysWhispers3: Использует ‎SysWhispers3‏ ‎для ‎реализации‏ ‎непрямого ‎системного‏ ‎вызова.

Репозиторий ‎GitHub‏ ‎«V-i-x-x/AMSI-BYPASS» предоставляет ‎информацию ‎об ‎уязвимости, ‎известной‏ ‎как ‎«AMSI‏ ‎WRITE‏ ‎RAID», ‎которая ‎может‏ ‎быть ‎использована‏ ‎для ‎обхода ‎интерфейса ‎проверки‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎(Antimalware ‎Scan‏ ‎Interface, ‎AMSI).

📌Описание ‎уязвимости: ‎Уязвимость ‎«AMSI‏ ‎WRITE‏ ‎RAID» ‎позволяет‏ ‎злоумышленникам ‎перезаписывать‏ ‎определенные ‎доступные ‎для ‎записи ‎области‏ ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI,‏ ‎эффективно ‎обходя‏ ‎защиту ‎AMSI.

📌Области,‏ ‎доступные‏ ‎для ‎записи:‏ ‎В ‎репозитории ‎подчеркивается, ‎что ‎несколько‏ ‎областей ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI ‎доступны‏ ‎для ‎записи‏ ‎и ‎могут ‎быть ‎использованы‏ ‎для‏ ‎обхода ‎и‏ ‎описаны ‎в‏ ‎скриншотах, ‎как ‎«vulnerable_entries.png» ‎и ‎«writable_entries_part_1.png».

📌Подтверждение‏ ‎концепции: В‏ ‎хранилище ‎имеется‏ ‎документ ‎в‏ ‎формате ‎PDF ‎(Amsi.pdf), ‎в ‎котором‏ ‎подробно‏ ‎описывается‏ ‎уязвимость, ‎дается‏ ‎исчерпывающее ‎объяснение‏ ‎икак ‎можно‏ ‎обойти‏ ‎AMSI.

📌Влияние: ‎Успешное‏ ‎использование ‎этой ‎уязвимости ‎позволяет ‎вредоносному‏ ‎коду ‎избегать‏ ‎обнаружения‏ ‎AMSI, ‎что ‎является‏ ‎серьезной ‎проблемой‏ ‎безопасности, ‎поскольку ‎AMSI ‎предназначена‏ ‎для‏ ‎обеспечения ‎дополнительного‏ ‎уровня ‎защиты‏ ‎от ‎вредоносных ‎программ.

Влияние ‎на ‎отрасли

📌Повышенный‏ ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами: ‎методы‏ ‎обхода ‎AMSI ‎позволяют ‎злоумышленникам ‎выполнять‏ ‎вредоносный‏ ‎код‏ ‎незамеченными, ‎что‏ ‎увеличивает ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами,‏ ‎включая ‎программы-вымогатели‏ ‎и ‎атаки ‎без ‎использования ‎файлов.‏ ‎Это ‎особенно‏ ‎актуально‏ ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальными‏ ‎данными, ‎таких ‎как ‎финансы,‏ ‎здравоохранение‏ ‎и ‎государственный‏ ‎сектор.

📌Нарушенный ‎уровень‏ ‎безопасности: Обход ‎AMSI ‎может ‎привести ‎к‏ ‎нарушению‏ ‎уровня ‎безопасности,‏ ‎поскольку ‎традиционные‏ ‎антивирусные ‎решения ‎и ‎средства ‎обнаружения‏ ‎и‏ ‎реагирования‏ ‎на ‎конечные‏ ‎точки ‎(EDR)‏ ‎могут ‎не‏ ‎обнаруживать‏ ‎и ‎предотвращать‏ ‎вредоносные ‎действия. ‎Это ‎может ‎привести‏ ‎к ‎утечке‏ ‎данных,‏ ‎финансовым ‎потерям ‎и‏ ‎ущербу ‎репутации.

📌Сбои‏ ‎в ‎работе: ‎Успешные ‎атаки‏ ‎в‏ ‎обход ‎AMSI‏ ‎могут ‎привести‏ ‎к ‎значительным ‎сбоям ‎в ‎работе,‏ ‎особенно‏ ‎в ‎таких‏ ‎критически ‎важных‏ ‎секторах ‎инфраструктуры, ‎как ‎энергетика, ‎транспорт‏ ‎и‏ ‎коммунальные‏ ‎услуги. ‎Эти‏ ‎сбои ‎могут‏ ‎оказывать ‎комплексное‏ ‎воздействие‏ ‎на ‎предоставление‏ ‎услуг ‎и ‎общественную ‎безопасность.

Если ‎бы‏ ‎лень ‎была ‎олимпийским ‎видом ‎спорта,‏ ‎я ‎бы…‏ ‎а,‏ ‎ладно, ‎слишком ‎много‏ ‎усилий. ‎Вот‏ ‎вам ‎все ‎дайджесты, ‎чтобы‏ ‎не‏ ‎напрягаться

• Июльский ‎дайджест‏ ‎(уже ‎скоро)
• Июньский‏ ‎дайджест
• Майский ‎дайджест
• Апрельский ‎дайджест

основные ‎категории ‎материалов‏ ‎—‏ ‎используйте ‎теги:

• 📌новости
• 📌разбор
• 📌исследование
• 📌дайджест

А‏ ‎ещё ‎теперь‏ ‎вы ‎можете ‎критиковать ‎всё ‎вокруг‏ ‎с‏ ‎двойным‏ ‎энтузиазмом ‎и‏ ‎за ‎полцены.‏ ‎Не ‎упустите‏ ‎шанс‏ ‎стать ‎профессиональным‏ ‎нытиком ‎по ‎супервыгодной ‎цене ‎на‏ ‎промо ‎уровне!

📌Не‏ ‎знаете‏ ‎какой ‎уровень ‎вам‏ ‎подходит, ‎прочтите‏ ‎пост ‎https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Этот ‎документ‏ ‎погружает ‎в ‎захватывающий ‎мир ‎CVE-2024-21111,‏ ‎восхитительной ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM ‎VirtualBox,‏ ‎которая ‎просто‏ ‎обожает ‎сеять ‎хаос ‎на‏ ‎хостингах‏ ‎Windows. ‎Мы‏ ‎рассмотрим ‎эту‏ ‎жемчужину ‎со ‎всех ‎возможных ‎сторон,‏ ‎потому‏ ‎что ‎кому‏ ‎не ‎понравится‏ ‎хороший ‎кошмар ‎с ‎точки ‎зрения‏ ‎безопасности?

В‏ ‎этом‏ ‎документе ‎содержится‏ ‎подробное ‎описание‏ ‎уязвимости, ‎предлагающее‏ ‎информацию‏ ‎специалистам ‎по‏ ‎безопасности ‎и ‎другим ‎заинтересованным ‎сторонам,‏ ‎которые ‎просто‏ ‎не‏ ‎могут ‎нарадоваться ‎на‏ ‎подобные ‎проблемы.‏ ‎Этот ‎анализ ‎является ‎обязательным‏ ‎для‏ ‎прочтения ‎всем,‏ ‎кто ‎хочет‏ ‎понять ‎риски, ‎связанные ‎с ‎CVE-2024-21111,‏ ‎и‏ ‎принять ‎меры‏ ‎для ‎предотвращения‏ ‎того, ‎чтобы ‎их ‎системы ‎не‏ ‎стали‏ ‎следующей‏ ‎жертвой. ‎Наслаждайтесь!

-------

документ‏ ‎содержит ‎анализ‏ ‎CVE-2024–2111, ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM‏ ‎VirtualBox, ‎влияющей ‎на ‎хосты ‎Windows.‏ ‎Анализ ‎охватывает‏ ‎различные‏ ‎аспекты ‎уязвимости, ‎включая‏ ‎её ‎технические‏ ‎детали, ‎механизмы ‎использования, ‎потенциальное‏ ‎воздействие‏ ‎на ‎различные‏ ‎отрасли.

Этот ‎документ‏ ‎содержит ‎высококачественное ‎описание ‎уязвимости, ‎предлагая‏ ‎ценную‏ ‎информацию ‎специалистам‏ ‎по ‎безопасности‏ ‎и ‎другим ‎заинтересованным ‎сторонам ‎из‏ ‎различных‏ ‎отраслей.‏ ‎Анализ ‎полезен‏ ‎для ‎понимания‏ ‎рисков, ‎связанных‏ ‎с‏ ‎CVE-2024–2111, ‎и‏ ‎внедрения ‎эффективных ‎мер ‎по ‎защите‏ ‎систем ‎от‏ ‎потенциальных‏ ‎атак.

CVE-2024-2111 ‎— ‎это‏ ‎уязвимость ‎системы‏ ‎безопасности, ‎выявленная ‎в ‎Oracle‏ ‎VM‏ ‎VirtualBox, ‎которая,‏ ‎в ‎частности,‏ ‎затрагивает ‎хосты ‎Windows ‎и ‎присутствует‏ ‎в‏ ‎версиях ‎до‏ ‎версии ‎7.0.16.‏ ‎Это ‎позволяет ‎злоумышленнику ‎с ‎низкими‏ ‎привилегиями,‏ ‎имеющему‏ ‎доступ ‎для‏ ‎входа ‎в‏ ‎систему, ‎к‏ ‎инфраструктуре,‏ ‎где ‎выполняется‏ ‎Oracle ‎VM ‎VirtualBox, ‎потенциально ‎захватить‏ ‎систему

Злоумышленник, ‎использующий‏ ‎эту‏ ‎уязвимость, ‎может ‎получить‏ ‎несанкционированный ‎контроль‏ ‎над ‎уязвимой ‎виртуальной ‎машиной‏ ‎Oracle‏ ‎VirtualBox. ‎Конкретный‏ ‎технический ‎механизм‏ ‎включает ‎локальное ‎повышение ‎привилегий ‎посредством‏ ‎перехода‏ ‎по ‎символической‏ ‎ссылке, ‎что‏ ‎может ‎привести ‎к ‎произвольному ‎удалению‏ ‎и‏ ‎перемещению‏ ‎файла.

📌 Тип ‎уязвимости:‏ ‎локальное ‎повышение‏ ‎привилегий ‎(LPE)‏ ‎позволяет‏ ‎злоумышленнику ‎с‏ ‎низкими ‎привилегиями, ‎у ‎которого ‎уже‏ ‎есть ‎доступ‏ ‎к‏ ‎системе, ‎получить ‎более‏ ‎высокие ‎привилегии.

📌 Вектор‏ ‎атаки ‎и ‎сложность: Вектор ‎CVSS‏ ‎3.1‏ ‎для ‎этой‏ ‎уязвимости ‎равен‏ ‎(CVSS: ‎3.1/AV: ‎L/AC: ‎L/PR: ‎L/‏ ‎UI:‏ ‎N/ ‎S:‏ ‎U/C: ‎H/I:‏ ‎H ‎/A: ‎H). ‎Это ‎указывает‏ ‎на‏ ‎то,‏ ‎что ‎вектор‏ ‎атаки ‎локальный‏ ‎(AV: ‎L),‏ ‎что‏ ‎означает, ‎что‏ ‎злоумышленнику ‎необходим ‎локальный ‎доступ ‎к‏ ‎хосту. ‎Сложность‏ ‎атаки‏ ‎низкая ‎(AC: ‎L),‏ ‎и ‎никакого‏ ‎взаимодействия ‎с ‎пользователем ‎(UI:‏ ‎N)‏ ‎не ‎требуется.‏ ‎Требуемые ‎привилегии‏ ‎невелики ‎(PR: ‎L), ‎что ‎предполагает,‏ ‎что‏ ‎базовые ‎привилегии‏ ‎позволяют ‎воспользоваться‏ ‎этой ‎уязвимостью.

📌 Воздействие: ‎Все ‎показатели ‎воздействия‏ ‎на‏ ‎конфиденциальность,‏ ‎целостность ‎и‏ ‎доступность ‎оцениваются‏ ‎как ‎высокие‏ ‎(C:‏ ‎H/I: ‎H/A:‏ ‎H), ‎что ‎указывает ‎на ‎то,‏ ‎что ‎эксплойт‏ ‎может‏ ‎привести ‎к ‎полному‏ ‎нарушению ‎конфиденциальности,‏ ‎целостности ‎и ‎доступности ‎уязвимой‏ ‎системы.

📌 Способ‏ ‎эксплуатации: Уязвимость ‎реализуется‏ ‎атакой ‎с‏ ‎символическими ‎ссылкам ‎(symlink). ‎Это ‎включает‏ ‎в‏ ‎себя ‎манипулирование‏ ‎ссылками ‎для‏ ‎перенаправления ‎операций, ‎предназначенных ‎для ‎легитимных‏ ‎файлов‏ ‎или‏ ‎каталогов, ‎на‏ ‎другие ‎подконтрольные‏ ‎цели, ‎приводя‏ ‎к‏ ‎произвольному ‎удалению‏ ‎или ‎перемещению ‎файла, ‎и ‎позволяя‏ ‎выполнять ‎произвольный‏ ‎код‏ ‎с ‎привилегиями.

📌 Конкретный ‎механизм: Уязвимость‏ ‎конкретно ‎связана‏ ‎с ‎манипуляциями ‎с ‎файлами‏ ‎журналов‏ ‎системной ‎службой‏ ‎VirtualBox ‎(VboxSDS).‏ ‎Служба, ‎работающая ‎с ‎системными ‎привилегиями,‏ ‎управляет‏ ‎файлами ‎журнала‏ ‎в ‎каталоге,‏ ‎не ‎имеющими ‎строгого ‎контроля ‎доступа,‏ ‎что‏ ‎потенциально‏ ‎приводит ‎к‏ ‎повышению ‎привилегий.‏ ‎Служба ‎выполняет‏ ‎операции‏ ‎переименования ‎/‏ ‎перемещения ‎файлов ‎рекурсивно, ‎что ‎позволяет‏ ‎этим ‎злоупотреблять.

📌 Меры‏ ‎по‏ ‎устранению ‎этой ‎уязвимости: Пользователям‏ ‎рекомендуется ‎обновить‏ ‎свои ‎установки ‎Oracle ‎VM‏ ‎VirtualBox‏ ‎до ‎версии‏ ‎7.0.16 ‎или‏ ‎более ‎поздней, ‎которая ‎содержит ‎необходимые‏ ‎исправления‏ ‎для ‎устранения‏ ‎этой ‎уязвимости

Oops, We Did It Again. CVE-2024-21111 Strikes. [RU].pdf

553,94 KB

Скачать

Публикация ‎исходного‏ ‎кода ‎MS-DOS важна ‎для ‎образовательных ‎целей,‏ ‎сохранения ‎истории,‏ ‎привлечения‏ ‎общественности ‎и ‎использования‏ ‎в ‎качестве‏ ‎технического ‎справочника, ‎что ‎делает‏ ‎ее‏ ‎ценным ‎ресурсом‏ ‎даже ‎в‏ ‎современную ‎эпоху.

Образовательная ‎ценность:

📌Учебное ‎пособие: Исходный ‎код‏ ‎представляет‏ ‎собой ‎ценный‏ ‎ресурс ‎для‏ ‎студентов ‎и ‎начинающих ‎программистов, ‎позволяющий‏ ‎изучить‏ ‎основы‏ ‎разработки ‎операционных‏ ‎систем. ‎Оно‏ ‎дает ‎представление‏ ‎о‏ ‎низкоуровневом ‎программировании,‏ ‎особенно ‎на ‎языке ‎ассемблера, ‎что‏ ‎имеет ‎решающее‏ ‎значение‏ ‎для ‎понимания ‎того,‏ ‎как ‎ранние‏ ‎операционные ‎системы ‎управляли ‎оборудованием‏ ‎и‏ ‎ресурсами. ‎Потому‏ ‎что ‎ничто‏ ‎так ‎не ‎говорит ‎о ‎«передовом‏ ‎образовании»,‏ ‎как ‎изучение‏ ‎операционной ‎системы,‏ ‎которая ‎существовала ‎до ‎появления ‎Интернета.‏ ‎Кому‏ ‎нужны‏ ‎Python ‎или‏ ‎JavaScript, ‎когда‏ ‎вы ‎можете‏ ‎справиться‏ ‎с ‎языком‏ ‎ассемблера?

📌Историческое ‎исследование: ‎исследователи ‎и ‎историки‏ ‎могут ‎проанализировать‏ ‎код,‏ ‎чтобы ‎понять ‎эволюцию‏ ‎методов ‎разработки‏ ‎программного ‎обеспечения ‎и ‎технологические‏ ‎достижения‏ ‎1980-х ‎и‏ ‎1990-х ‎годов.‏ ‎Для ‎тех, ‎кто ‎увлекается ‎древними‏ ‎реликвиями,‏ ‎например, ‎для‏ ‎археологов ‎цифровой‏ ‎эпохи. ‎Зачем ‎изучать ‎современное ‎программное‏ ‎обеспечение,‏ ‎если‏ ‎можно ‎порыться‏ ‎в ‎коде‏ ‎системы, ‎которая‏ ‎работала‏ ‎на ‎гибких‏ ‎дисках?

Сохранение ‎цифровой ‎истории:

📌Важность ‎архивации: Делая ‎исходный‏ ‎код ‎общедоступным,‏ ‎корпорация‏ ‎Майкрософт ‎помогает ‎сохранить‏ ‎значительную ‎часть‏ ‎компьютерной ‎истории. ‎Это ‎гарантирует,‏ ‎что‏ ‎будущие ‎поколения‏ ‎смогут ‎получить‏ ‎доступ ‎к ‎программному ‎обеспечению, ‎сыгравшему‏ ‎ключевую‏ ‎роль ‎в‏ ‎революции ‎персональных‏ ‎компьютеров, ‎и ‎учиться ‎на ‎нем.‏ ‎Потому‏ ‎что‏ ‎сохранение ‎исходного‏ ‎кода ‎древней‏ ‎операционной ‎системы,‏ ‎безусловно,‏ ‎важнее, ‎чем,‏ ‎скажем, ‎борьба ‎с ‎изменением ‎климата‏ ‎или ‎лечение‏ ‎болезней.‏ ‎Будущие ‎поколения, ‎несомненно,‏ ‎поблагодарят ‎нас‏ ‎за ‎этот ‎бесценный ‎вклад.

📌Документация‏ ‎о‏ ‎технологическом ‎прогрессе: В‏ ‎этот ‎выпуск‏ ‎входит ‎не ‎только ‎исходный ‎код,‏ ‎но‏ ‎и ‎оригинальная‏ ‎документация ‎и‏ ‎двоичные ‎файлы, ‎дающие ‎всестороннее ‎представление‏ ‎о‏ ‎разработке‏ ‎программного ‎обеспечения‏ ‎и ‎его‏ ‎контексте ‎в‏ ‎более‏ ‎широкой ‎истории‏ ‎вычислительной ‎техники. ‎И ‎чтобы ‎показать,‏ ‎как ‎далеко‏ ‎мы‏ ‎продвинулись. ‎Смотрите, ‎дети,‏ ‎это ‎то,‏ ‎что ‎мы ‎использовали ‎до‏ ‎того,‏ ‎как ‎у‏ ‎нас ‎появились‏ ‎смартфоны ‎и ‎облачные ‎вычисления. ‎Поразитесь‏ ‎простоте!

Вовлечение‏ ‎сообщества ‎и‏ ‎инновации:

📌Материалы ‎с‏ ‎открытым ‎исходным ‎кодом: Выпуск ‎под ‎лицензией‏ ‎MIT‏ ‎позволяет‏ ‎техническим ‎энтузиастам‏ ‎и ‎разработчикам‏ ‎изучать, ‎экспериментировать‏ ‎и,‏ ‎возможно, ‎перепрофилировать‏ ‎код ‎для ‎современных ‎приложений. ‎Это‏ ‎может ‎привести‏ ‎к‏ ‎инновационному ‎использованию ‎старых‏ ‎технологий ‎в‏ ‎новых ‎контекстах. ‎Для ‎всех‏ ‎тех‏ ‎технических ‎энтузиастов,‏ ‎которым ‎нечем‏ ‎заняться, ‎кроме ‎как ‎возиться ‎с‏ ‎устаревшим‏ ‎кодом. ‎Возможно,‏ ‎кто-то ‎наконец-то‏ ‎поймет, ‎как ‎заставить ‎MS-DOS ‎работать‏ ‎на‏ ‎«умном»‏ ‎холодильнике.

📌Цифровая ‎археология: энтузиасты‏ ‎и ‎защитники‏ ‎цифровых ‎технологий‏ ‎могут‏ ‎использовать ‎исходный‏ ‎код ‎для ‎запуска ‎и ‎тестирования‏ ‎программного ‎обеспечения‏ ‎как‏ ‎на ‎оригинальном ‎оборудовании,‏ ‎так ‎и‏ ‎на ‎современных ‎эмуляторах, ‎гарантируя,‏ ‎что‏ ‎знания ‎и‏ ‎функциональность ‎MS-DOS‏ ‎не ‎будут ‎утрачены. ‎Потому ‎что‏ ‎некоторые‏ ‎люди ‎просто‏ ‎не ‎могут‏ ‎расстаться ‎с ‎прошлым. ‎Давайте ‎проведем‏ ‎выходные,‏ ‎запуская‏ ‎MS-DOS ‎на‏ ‎эмуляторах, ‎вместо‏ ‎того ‎чтобы‏ ‎наслаждаться‏ ‎современными ‎игровыми‏ ‎консолями.

Техническая ‎справка:

📌Понимание ‎устаревших ‎систем: ‎Разработчикам,‏ ‎работающим ‎с‏ ‎устаревшими‏ ‎системами, ‎или ‎тем,‏ ‎кто ‎интересуется‏ ‎историей ‎разработки ‎программного ‎обеспечения,‏ ‎исходный‏ ‎код ‎MS-DOS‏ ‎дает ‎представление‏ ‎о ‎том, ‎как ‎были ‎структурированы‏ ‎и‏ ‎функционировали ‎ранние‏ ‎операционные ‎системы.‏ ‎Это ‎может ‎быть ‎особенно ‎полезно‏ ‎для‏ ‎поддержки‏ ‎или ‎взаимодействия‏ ‎со ‎старыми‏ ‎системами, ‎которые‏ ‎все‏ ‎еще ‎используются‏ ‎сегодня. ‎Для ‎тех ‎бедняг, ‎которые‏ ‎все ‎еще‏ ‎хранят‏ ‎древнее ‎оборудование ‎в‏ ‎подсобных ‎помещениях‏ ‎какого-нибудь ‎забытого ‎офиса. ‎Это‏ ‎все‏ ‎равно ‎что‏ ‎работать ‎механиком‏ ‎на ‎Model ‎T ‎в ‎век‏ ‎электромобилей.

📌Сравнение‏ ‎с ‎современными‏ ‎системами: ‎Анализ‏ ‎исходного ‎кода ‎MS-DOS ‎позволяет ‎провести‏ ‎сравнение‏ ‎с‏ ‎современными ‎операционными‏ ‎системами, ‎выделив‏ ‎достижения ‎в‏ ‎области‏ ‎разработки ‎программного‏ ‎обеспечения ‎и ‎системного ‎дизайна ‎за‏ ‎последние ‎несколько‏ ‎десятилетий.‏ ‎Чтобы ‎оценить, ‎насколько‏ ‎лучше ‎она‏ ‎стала ‎у ‎нас ‎сейчас.‏ ‎Посмотрите‏ ‎на ‎это,‏ ‎дети, ‎и‏ ‎будьте ‎благодарны, ‎что ‎вам ‎не‏ ‎нужно‏ ‎вводить ‎команды,‏ ‎чтобы ‎открыть‏ ‎файл.

Статья ‎«Человеческий‏ ‎фактор ‎и ‎геймификация ‎биокибернетической ‎безопасности»‏ ‎предлагает ‎захватывающее‏ ‎руководство‏ ‎по ‎обеспечению ‎безопасности‏ ‎центров ‎биообработки.‏ ‎Авторы, ‎у ‎которых ‎явно‏ ‎слишком‏ ‎много ‎свободного‏ ‎времени, ‎подчёркивают‏ ‎«стремительный» ‎характер ‎разработок ‎в ‎области‏ ‎биологии‏ ‎и ‎биообработки.‏ ‎Лаборатории, ‎независимо‏ ‎от ‎того, ‎зарабатывают ‎ли ‎они‏ ‎деньги‏ ‎или‏ ‎еле ‎сводят‏ ‎концы ‎с‏ ‎концами, ‎по-видимому,‏ ‎являются‏ ‎главными ‎объектами‏ ‎кибератак. ‎Кто ‎знал, ‎что ‎низкооплачиваемые‏ ‎работники ‎и‏ ‎некачественные‏ ‎ресурсы ‎могут ‎представлять‏ ‎угрозу ‎безопасности?

В‏ ‎документе ‎также ‎подчёркивается ‎важность‏ ‎военных‏ ‎игр. ‎Да,‏ ‎именно ‎военных‏ ‎игр. ‎Потому ‎что ‎есть ‎ли‏ ‎лучший‏ ‎способ ‎подготовиться‏ ‎к ‎киберугрозам,‏ ‎чем ‎играть ‎понарошку? ‎Участники ‎делятся‏ ‎на‏ ‎«защитников‏ ‎данных» ‎и‏ ‎«хакеров ‎данных»,‏ ‎которые ‎участвуют‏ ‎в‏ ‎захватывающей ‎игре‏ ‎«найди ‎уязвимость ‎и ‎исправь ‎её».

В‏ ‎ходе ‎обсуждения‏ ‎авторы‏ ‎раскрывают ‎распространённые ‎ошибки,‏ ‎обнаруживаемые ‎в‏ ‎ходе ‎этих ‎военных ‎игр,‏ ‎такие‏ ‎как ‎неэффективность‏ ‎системы ‎безопасности‏ ‎на ‎театре ‎военных ‎действий ‎и‏ ‎последствия‏ ‎недопонимания ‎для‏ ‎безопасности. ‎Очевидно,‏ ‎что ‎единственный ‎способ ‎оставаться ‎впереди‏ ‎в‏ ‎этой‏ ‎быстро ‎развивающейся‏ ‎области ‎—‏ ‎продолжать ‎играть‏ ‎в‏ ‎эти ‎военные‏ ‎игры ‎и ‎быть ‎в ‎курсе‏ ‎последних ‎тенденций.‏ ‎В‏ ‎конце ‎концов, ‎ничто‏ ‎так ‎не‏ ‎говорит ‎о ‎«ультрасовременности», ‎как‏ ‎захватывающее‏ ‎путешествие ‎по‏ ‎миру ‎киберугроз,‏ ‎дополненное ‎захватывающими ‎настольными ‎играми.

------

В ‎статье‏ ‎«Human‏ ‎Factors ‎in‏ ‎Biocybersecurity ‎Wargames»‏ ‎подчёркивается ‎необходимость ‎понимания ‎уязвимостей ‎при‏ ‎обработке‏ ‎биологических‏ ‎препаратов ‎и‏ ‎их ‎пересечения‏ ‎с ‎кибернетическими‏ ‎и‏ ‎киберфизическими ‎системами.‏ ‎Это ‎понимание ‎необходимо ‎для ‎обеспечения‏ ‎целостности ‎продукта‏ ‎и‏ ‎бренда ‎и ‎обслуживания‏ ‎ИТ-систем.

Влияние ‎био-обработки:

📌 Био-обработка‏ ‎охватывает ‎весь ‎жизненный ‎цикл‏ ‎биосистем‏ ‎и ‎их‏ ‎компонентов, ‎от‏ ‎начальных ‎исследований ‎до ‎разработки, ‎производства‏ ‎и‏ ‎коммерциализации.

📌 Она ‎вносит‏ ‎значительный ‎вклад‏ ‎в ‎мировую ‎экономику, ‎применяясь ‎в‏ ‎производстве‏ ‎продуктов‏ ‎питания, ‎топлива,‏ ‎косметики, ‎лекарств‏ ‎и ‎экологически‏ ‎чистых‏ ‎технологий.

Уязвимость ‎трубопроводов‏ ‎для ‎биопереработки:

📌 Конвейер ‎био-обработки ‎подвержен ‎атакам‏ ‎на ‎различных‏ ‎этапах,‏ ‎особенно ‎там, ‎где‏ ‎оборудование ‎для‏ ‎био-обработки ‎подключено ‎к ‎Интернету.

📌 Уязвимости‏ ‎требуют‏ ‎тщательного ‎контроля‏ ‎при ‎проектировании‏ ‎и ‎мониторинге ‎трубопроводов ‎для ‎биопереработки‏ ‎для‏ ‎предотвращения ‎воздействий.

Роль‏ ‎информационных ‎технологий‏ ‎(ИТ):

📌 Прогресс ‎в ‎био-обработке ‎все ‎больше‏ ‎зависит‏ ‎от‏ ‎автоматизации ‎и‏ ‎передовых ‎алгоритмических‏ ‎процессов, ‎требующих‏ ‎значительного‏ ‎участия ‎ИТ.

📌 Расходы‏ ‎на ‎ИТ ‎значительны ‎и ‎растут‏ ‎параллельно ‎с‏ ‎ростом‏ ‎био-обработки.

Методологии:

📌 Внедрение ‎open-source ‎методологий‏ ‎привело ‎к‏ ‎значительному ‎росту ‎развития ‎коммуникаций‏ ‎и‏ ‎цифровых ‎технологий‏ ‎во ‎всем‏ ‎мире.

📌 Этот ‎рост ‎ещё ‎более ‎ускоряется‏ ‎благодаря‏ ‎достижениям ‎в‏ ‎области ‎биологических‏ ‎вычислений ‎и ‎технологий ‎хранения ‎данных.

Потребность‏ ‎в‏ ‎новых‏ ‎знаниях:

📌 Интеграция ‎технологий‏ ‎биокомпьютинга, ‎био-обработки‏ ‎и ‎хранения‏ ‎данных‏ ‎потребует ‎новых‏ ‎знаний ‎в ‎области ‎эксплуатации ‎(взлома),‏ ‎защиты.

📌 Основные ‎меры‏ ‎защиты‏ ‎данных ‎и ‎процессов‏ ‎остаются ‎критически‏ ‎важными, ‎несмотря ‎на ‎технический‏ ‎прогресс.

Важность‏ ‎«игр»:

📌 Для ‎управления‏ ‎инфраструктурой ‎био-обработки‏ ‎и ‎обеспечивать ‎её ‎безопасность, ‎ИТ‏ ‎необходимо‏ ‎использовать ‎игры‏ ‎для ‎моделирования‏ ‎возможных ‎рисков ‎и ‎устранения ‎их‏ ‎последствий.

📌 Симуляции‏ ‎направлены‏ ‎на ‎подготовку‏ ‎организаций ‎к‏ ‎устранению ‎уязвимостей.

Подробный‏ ‎разбор

Human Factors in Biocybersecurity Wargames [RU].pdf

467,28 KB

Скачать

Используя ‎журналы событий‏ ‎Windows ‎и ‎интегрируясь ‎с ‎передовыми‏ ‎системами ‎обнаружения,‏ ‎организации‏ ‎могут ‎лучше ‎защитить‏ ‎себя ‎от‏ ‎растущей ‎угрозы ‎кражи ‎данных‏ ‎из‏ ‎браузера.

Технические ‎характеристики

📌Журналы‏ ‎событий ‎Windows:‏ ‎Метод ‎использует ‎журналы ‎событий ‎Windows‏ ‎для‏ ‎обнаружения ‎подозрительных‏ ‎действий, ‎которые‏ ‎могут ‎указывать ‎на ‎кражу ‎данных‏ ‎из‏ ‎браузера.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎мониторинг ‎определенных‏ ‎идентификаторов‏ ‎событий ‎и‏ ‎шаблонов, ‎которые ‎указывают ‎на ‎вредоносное‏ ‎поведение.

📌Идентификаторы ‎событий:‏ ‎Ключевые‏ ‎идентификаторы ‎событий ‎для‏ ‎мониторинга ‎включают‏ ‎идентификатор ‎события 4688 для ‎отслеживания ‎создания‏ ‎процесса,‏ ‎который ‎может‏ ‎помочь ‎определить,‏ ‎когда ‎запущен ‎браузер ‎или ‎связанный‏ ‎с‏ ‎ним ‎процесс;‏ ‎Идентификатор ‎события 5145 для‏ ‎мониторинга ‎доступа ‎к ‎файлам, ‎который‏ ‎может‏ ‎быть‏ ‎использован ‎для‏ ‎обнаружения ‎несанкционированного‏ ‎доступа ‎к‏ ‎файлам‏ ‎данных ‎браузера;‏ ‎и ‎идентификатор ‎события 4663 для ‎отслеживания ‎доступа‏ ‎к ‎объектам.,‏ ‎полезный‏ ‎для ‎выявления ‎попыток‏ ‎чтения ‎или‏ ‎изменения ‎файлов ‎данных ‎браузера.

📌Поведенческий‏ ‎анализ: Подход‏ ‎предполагает ‎анализ‏ ‎поведения ‎процессов‏ ‎и ‎их ‎взаимодействия ‎с ‎файлами‏ ‎данных‏ ‎браузера. ‎Это‏ ‎включает ‎в‏ ‎себя ‎поиск ‎необычных ‎закономерностей, ‎таких‏ ‎как‏ ‎процессы,‏ ‎которые ‎обычно‏ ‎не ‎обращаются‏ ‎к ‎файлам‏ ‎данных‏ ‎браузера, ‎которые‏ ‎внезапно ‎начинают ‎это ‎делать, ‎высокая‏ ‎частота ‎доступа‏ ‎к‏ ‎файлам ‎данных ‎браузера‏ ‎процессами, ‎не‏ ‎являющимися ‎браузерами.

📌Интеграция ‎с ‎SIEM: Метод‏ ‎может‏ ‎быть ‎интегрирован‏ ‎с ‎системами‏ ‎управления ‎информацией ‎о ‎безопасности ‎и‏ ‎событиями‏ ‎(SIEM) ‎для‏ ‎автоматизации ‎процесса‏ ‎обнаружения ‎и ‎оповещения. ‎Это ‎позволяет‏ ‎осуществлять‏ ‎мониторинг‏ ‎в ‎режиме‏ ‎реального ‎времени‏ ‎и ‎быстрее‏ ‎реагировать‏ ‎на ‎потенциальные‏ ‎инциденты ‎с ‎кражей ‎данных.

📌Машинное ‎обучение: использование‏ ‎моделей ‎машинного‏ ‎обучения‏ ‎для ‎расширения ‎возможностей‏ ‎обнаружения ‎за‏ ‎счет ‎выявления ‎аномалий ‎и‏ ‎закономерностей,‏ ‎которые ‎нелегко‏ ‎обнаружить ‎только‏ ‎с ‎помощью ‎систем, ‎основанных ‎на‏ ‎правилах.

Влияние‏ ‎на ‎отрасли‏ ‎промышленности

📌Повышение ‎уровня‏ ‎безопасности: Внедряя ‎этот ‎метод ‎обнаружения, ‎организации‏ ‎могут‏ ‎значительно‏ ‎повысить ‎уровень‏ ‎защиты ‎от‏ ‎кражи ‎данных‏ ‎из‏ ‎браузера. ‎Это‏ ‎особенно ‎важно ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальной‏ ‎информацией,‏ ‎таких ‎как ‎финансы,‏ ‎здравоохранение ‎и‏ ‎юридический ‎сектор.

📌Соблюдение ‎нормативных ‎требований: Во‏ ‎многих‏ ‎отраслях ‎промышленности‏ ‎действуют ‎строгие‏ ‎требования ‎по ‎соблюдению ‎нормативных ‎требований‏ ‎в‏ ‎отношении ‎защиты‏ ‎данных. ‎Этот‏ ‎метод ‎помогает ‎организациям ‎соответствовать ‎этим‏ ‎требованиям,‏ ‎предоставляя‏ ‎надежный ‎механизм‏ ‎для ‎обнаружения‏ ‎и ‎предотвращения‏ ‎утечек‏ ‎данных.

📌Реагирование ‎на‏ ‎инциденты: Возможность ‎обнаруживать ‎кражу ‎данных ‎из‏ ‎браузера ‎в‏ ‎режиме‏ ‎реального ‎времени ‎позволяет‏ ‎быстрее ‎реагировать‏ ‎на ‎инциденты, ‎сводя ‎к‏ ‎минимуму‏ ‎потенциальный ‎ущерб‏ ‎и ‎сокращая‏ ‎время, ‎в ‎течение ‎которого ‎злоумышленники‏ ‎получают‏ ‎доступ ‎к‏ ‎конфиденциальным ‎данным.

📌 Экономия‏ ‎средств: Раннее ‎обнаружение ‎и ‎предотвращение ‎кражи‏ ‎данных‏ ‎может‏ ‎привести ‎к‏ ‎значительной ‎экономии‏ ‎средств ‎за‏ ‎счет‏ ‎предотвращения ‎финансового‏ ‎ущерба ‎и ‎ущерба ‎репутации, ‎связанных‏ ‎с ‎утечкой‏ ‎данных.

📌Доверие‏ ‎и ‎репутация: ‎В‏ ‎отраслях, ‎которые‏ ‎в ‎значительной ‎степени ‎зависят‏ ‎от‏ ‎доверия ‎клиентов,‏ ‎таких ‎как‏ ‎электронная ‎коммерция ‎и ‎онлайн-сервисы, ‎демонстрация‏ ‎твердой‏ ‎приверженности ‎безопасности‏ ‎данных ‎может‏ ‎повысить ‎репутацию ‎и ‎доверие ‎клиентов.

Ключевые ‎функции

📌Имена‏ ‎функций ‎и ‎пакетов: ‎Nimfilt устраняет ‎путаницу‏ ‎в ‎именах‏ ‎функций‏ ‎и ‎пакетов, ‎специфичных‏ ‎для ‎Nim,‏ ‎что ‎делает ‎их ‎более‏ ‎удобочитаемыми‏ ‎и ‎простыми‏ ‎для ‎анализа.

📌Имена‏ ‎функций ‎инициализации ‎пакетов: Он ‎также ‎устраняет‏ ‎путаницу‏ ‎в ‎именах‏ ‎функций ‎инициализации‏ ‎пакетов ‎Nim.

📌Строки ‎Nim: Nimfilt ‎применяет ‎структуры‏ ‎в‏ ‎стиле‏ ‎C ‎к‏ ‎строкам ‎Nim,‏ ‎что ‎помогает‏ ‎интерпретировать‏ ‎структуры ‎данных‏ ‎в ‎двоичном ‎формате. ‎Это ‎включает‏ ‎в ‎себя‏ ‎определение‏ ‎длины ‎и ‎полезной‏ ‎нагрузки ‎строк.

📌Плагин‏ ‎IDA: ‎Nimfilt ‎можно ‎использовать‏ ‎в‏ ‎качестве ‎плагина‏ ‎IDA, ‎где‏ ‎он ‎упорядочивает ‎функции ‎по ‎каталогам‏ ‎на‏ ‎основе ‎имени‏ ‎их ‎пакета‏ ‎или ‎пути ‎к ‎нему. ‎Это‏ ‎помогает‏ ‎структурировать‏ ‎процесс ‎анализа.

📌Автоматическое‏ ‎выполнение: Плагин ‎можно‏ ‎настроить ‎на‏ ‎автоматическое‏ ‎выполнение ‎при‏ ‎загрузке ‎двоичного ‎файла ‎Nim, ‎установив‏ ‎для ‎глобальной‏ ‎переменной‏ ‎AUTO_RUN ‎значение ‎True.

📌Идентификация‏ ‎двоичных ‎файлов‏ ‎Nim: Nimfilt ‎использует ‎эвристику ‎для‏ ‎определения‏ ‎того, ‎является‏ ‎ли ‎загруженный‏ ‎файл ‎двоичным ‎файлом ‎Nim, ‎проверяя‏ ‎наличие‏ ‎определенных ‎строк‏ ‎и ‎имен‏ ‎функций, ‎связанных ‎с ‎Nim.

📌 Правила ‎YARA:‏ ‎Он‏ ‎включает‏ ‎правила ‎YARA‏ ‎для ‎идентификации‏ ‎двоичных ‎файлов‏ ‎ELF‏ ‎и ‎PE,‏ ‎скомпилированных ‎в ‎Nim.

📌Интерфейс ‎командной ‎строки‏ ‎(CLI): ‎Скрипт‏ ‎на‏ ‎Python: ‎Nimfilt ‎может‏ ‎быть ‎запущен‏ ‎как ‎скрипт ‎на ‎Python‏ ‎в‏ ‎командной ‎строке,‏ ‎предоставляя ‎часть‏ ‎своих ‎функциональных ‎возможностей ‎за ‎пределами‏ ‎IDA.

📌Организация‏ ‎функций: ‎ В‏ ‎IDA ‎Nimfilt‏ ‎создает ‎каталоги ‎в ‎окне ‎функций,‏ ‎чтобы‏ ‎упорядочить‏ ‎функции ‎в‏ ‎соответствии ‎с‏ ‎их ‎именем‏ ‎пакета‏ ‎или ‎путем‏ ‎к ‎нему, ‎улучшая ‎читаемость ‎и‏ ‎управляемость ‎анализа.

Сценарии

Nimfilt‏ ‎использовался‏ ‎в ‎различных ‎реальных‏ ‎сценариях, ‎в‏ ‎частности, ‎при ‎анализе ‎вредоносных‏ ‎программ,‏ ‎написанных ‎на‏ ‎языке ‎программирования‏ ‎Nim.

Sednit ‎Group:

📌Background: Группа ‎Sednit, ‎также ‎известная‏ ‎как‏ ‎APT28 ‎или‏ ‎Fancy ‎Bear,‏ ‎является ‎хорошо ‎известной ‎группой, ‎занимающейся‏ ‎кибершпионажем.‏ ‎Они‏ ‎действуют ‎по‏ ‎меньшей ‎мере‏ ‎с ‎2004‏ ‎года‏ ‎и ‎ответственны‏ ‎за ‎несколько ‎громких ‎атак, ‎включая‏ ‎взлом ‎Национального‏ ‎комитета‏ ‎Демократической ‎партии ‎(DNC)‏ ‎в ‎2016‏ ‎году.

📌Использование ‎Nim: ‎В ‎2019‏ ‎году‏ ‎было ‎замечено,‏ ‎что ‎Sednit‏ ‎использовал ‎вредоносный ‎загрузчик, ‎написанный ‎на‏ ‎Nim.‏ ‎Это ‎стало‏ ‎одним ‎из‏ ‎первых ‎случаев ‎использования ‎Nim ‎при‏ ‎разработке‏ ‎вредоносных‏ ‎программ.

📌 Роль ‎Nimfilt:‏ ‎Nimfilt ‎использовался‏ ‎для ‎реверса‏ ‎вредоносной‏ ‎программы, ‎скомпилированной‏ ‎с ‎помощью ‎Nim, ‎помогая ‎аналитикам‏ ‎понять ‎структуру‏ ‎и‏ ‎функциональность ‎загрузчика, ‎разбирая‏ ‎имена ‎функций‏ ‎и ‎пакетов ‎и ‎применяя‏ ‎соответствующие‏ ‎структуры ‎данных‏ ‎к ‎строкам.

Mustang‏ ‎Panda ‎APT ‎Group:

📌Background: ‎Mustang ‎Panda‏ ‎—‏ ‎это ‎китайская‏ ‎группа ‎Advanced‏ ‎Persistent ‎Threat ‎(APT), ‎известная ‎своей‏ ‎деятельностью‏ ‎в‏ ‎области ‎кибершпионажа.‏ ‎Они ‎использовали‏ ‎Nim ‎для‏ ‎создания‏ ‎пользовательских ‎загрузчиков‏ ‎для ‎своего ‎бэкдора ‎Korplug.

📌Конкретный ‎инцидент: В‏ ‎августе ‎2023‏ ‎года‏ ‎Mustang ‎Panda ‎использовала‏ ‎вредоносную ‎библиотеку‏ ‎DLL, ‎написанную ‎на ‎Nim,‏ ‎в‏ ‎рамках ‎своей‏ ‎кампании ‎против‏ ‎правительственной ‎организации ‎в ‎Словакии. ‎Эта‏ ‎библиотека‏ ‎была ‎частью‏ ‎их ‎классического‏ ‎загрузчика ‎trident ‎Korplug.

📌Роль ‎Nimfilt: Nimfilt ‎сыграл‏ ‎важную‏ ‎роль‏ ‎в ‎анализе‏ ‎этой ‎библиотеки‏ ‎DLL. ‎Разобрав‏ ‎названия‏ ‎и ‎распределив‏ ‎функции ‎по ‎каталогам, ‎Nimfilt ‎упростил‏ ‎исследователям ‎анализ‏ ‎вредоносного‏ ‎ПО ‎и ‎понимание‏ ‎его ‎поведения.

Общий‏ ‎анализ ‎вредоносных ‎программ:

📌 Популярность ‎Nim:‏ ‎Язык‏ ‎программирования ‎Nim‏ ‎становится ‎все‏ ‎более ‎привлекательным ‎для ‎разработчиков ‎вредоносных‏ ‎программ‏ ‎благодаря ‎своему‏ ‎надежному ‎компилятору‏ ‎и ‎способности ‎легко ‎работать ‎с‏ ‎другими‏ ‎языками,‏ ‎такими ‎как‏ ‎C, ‎С++‏ ‎и ‎JavaScript.‏ ‎Это‏ ‎привело ‎к‏ ‎росту ‎количества ‎вредоносных ‎программ, ‎написанных‏ ‎на ‎Nim.

📌Вклад‏ ‎Nimfilt:‏ ‎Для ‎исследователей, ‎занимающихся‏ ‎реверсом ‎двоичных‏ ‎файлов, ‎Nimfilt ‎предоставляет ‎мощный‏ ‎инструмент‏ ‎для ‎ускорения‏ ‎процесса ‎анализа.‏ ‎Это ‎помогает ‎устранить ‎путаницу ‎в‏ ‎именах,‏ ‎применить ‎структуры‏ ‎к ‎строкам‏ ‎и ‎упорядочить ‎функции, ‎тем ‎самым‏ ‎делая‏ ‎процесс‏ ‎реверса ‎более‏ ‎эффективным ‎и‏ ‎целенаправленным.