Проект ‎BiTE‏ ‎на ‎GitHub — это ‎дизассемблер ‎с ‎поддержкой‏ ‎Rust.

Цель

BiTE ‎разработан‏ ‎как‏ ‎кросс-платформенный ‎инструмент ‎анализа‏ ‎исполняемых ‎файлов.‏ ‎Его ‎основная ‎цель ‎—‏ ‎предоставить‏ ‎среду ‎для‏ ‎проверки ‎содержимого‏ ‎двоичных ‎файлов ‎и ‎их ‎отладочной‏ ‎информации.‏ ‎Инструмент ‎предназначен‏ ‎для ‎поддержки‏ ‎различных ‎архитектур, ‎что ‎делает ‎его‏ ‎универсальным‏ ‎для‏ ‎различных ‎исполняемых‏ ‎форматов.

Особенности

📌 Просмотр ‎списка‏ ‎сборок: позволяет ‎пользователям‏ ‎просматривать‏ ‎результат ‎разбора‏ ‎двоичного ‎файла ‎вместе ‎с ‎соответствующим‏ ‎исходным ‎кодом.

📌 Интерактивные‏ ‎элементы: включает‏ ‎заголовок ‎с ‎кнопками‏ ‎и ‎параметрами,‏ ‎просмотр ‎списка ‎сборок ‎и‏ ‎интерактивный‏ ‎терминал.

📌 Исправление ‎байтовых‏ ‎инструкций: позволяет ‎пользователям‏ ‎напрямую ‎изменять ‎двоичный ‎файл.

📌 Программа ‎просмотра‏ ‎двоичных‏ ‎файлов ‎в‏ ‎hex-формате: предоставляет ‎шестнадцатеричное‏ ‎представление ‎двоичных ‎файлов ‎для ‎детальной‏ ‎проверки.

📌 Интерфейсы‏ ‎для‏ ‎отладки: поддерживает ‎front-end‏ ‎интерфейсы ‎для‏ ‎отладки.

📌 Поддерживаемые ‎архитектуры: Включает‏ ‎поддержку‏ ‎нескольких ‎архитектур,‏ ‎таких ‎как ‎X86-64, ‎AArch64/Armv7, ‎Riscv64gc/Riscv32gc‏ ‎и ‎MIPS-V.

📌 Поддержка‏ ‎целевых‏ ‎систем: Обеспечивает ‎разборку ‎для‏ ‎различных ‎целевых‏ ‎систем, ‎включая ‎MSVC, ‎Itanium‏ ‎и‏ ‎Rust.

📌 Декодирование ‎структур‏ ‎данных: Позволяет ‎декодировать‏ ‎структуры ‎данных ‎на ‎основе ‎каждого‏ ‎раздела‏ ‎двоичного ‎файла.

📌 Обновление‏ ‎списка ‎сборок: Преобразует‏ ‎списки ‎сборок ‎в ‎представление ‎более‏ ‎высокого‏ ‎уровня.

📌 Определение‏ ‎адресов: помогает ‎в‏ ‎определении ‎адресов‏ ‎в ‎двоичном‏ ‎коде.

📌 Интерпретация‏ ‎данных, ‎не‏ ‎связанных ‎с ‎кодом: Позволяет ‎интерпретировать ‎данные‏ ‎в ‎двоичном‏ ‎коде,‏ ‎которые ‎не ‎являются‏ ‎исполняемым ‎кодом.

📌 Создание‏ ‎меток ‎для ‎относительных ‎переходов: Облегчает‏ ‎создание‏ ‎меток ‎для‏ ‎инструкций ‎по‏ ‎относительному ‎переходу ‎в ‎процессе ‎разборки.

Репозиторий ‎AttackGen‏ ‎на ‎GitHub предоставляет ‎инструмент ‎тестирования ‎реагирования‏ ‎на ‎инциденты‏ ‎в‏ ‎области ‎кибербезопасности, ‎который‏ ‎объединяет ‎большие‏ ‎языковые ‎модели ‎с ‎платформой‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎для ‎создания‏ ‎индивидуальных ‎сценариев ‎реагирования ‎на ‎инциденты

Особенности

📌 Формирование‏ ‎сценариев: AttackGen‏ ‎может ‎генерировать‏ ‎уникальные ‎сценарии‏ ‎реагирования ‎на ‎инциденты ‎на ‎основе‏ ‎выбранных‏ ‎групп‏ ‎участников ‎угроз

📌 Настройка: пользователи‏ ‎могут ‎указывать‏ ‎размер ‎организации‏ ‎и‏ ‎отрасль ‎для‏ ‎сценариев, ‎адаптированных ‎к ‎их ‎конкретному‏ ‎контексту

📌 Интеграция ‎MITRE‏ ‎ATT&‏ ‎CK: Инструмент ‎отображает ‎подробный‏ ‎список ‎методов,‏ ‎используемых ‎выбранной ‎группой ‎участников‏ ‎угроз,‏ ‎в ‎соответствии‏ ‎с ‎платформой‏ ‎MITRE ‎ATT& ‎CK

📌 Пользовательские ‎сценарии: Есть ‎возможность‏ ‎создавать‏ ‎пользовательские ‎сценарии‏ ‎на ‎основе‏ ‎выбранных ‎методов ‎ATT& ‎CK

📌 Сбор ‎отзывов: в‏ ‎AttackGen‏ ‎включена‏ ‎функция ‎сбора‏ ‎отзывов ‎пользователей‏ ‎о ‎качестве‏ ‎создаваемых‏ ‎сценариев

📌 Контейнер ‎Docker: Инструмент‏ ‎доступен ‎в ‎виде ‎образа ‎контейнера‏ ‎Docker ‎для‏ ‎упрощения‏ ‎развертывания

Использование

📌 Запуск ‎инструмента: приведены ‎инструкции‏ ‎по ‎запуску‏ ‎программы ‎AttackGen ‎и ‎переходу‏ ‎к‏ ‎указанному ‎URL-адресу‏ ‎в ‎веб-браузере

📌 Выбор‏ ‎сценария: Пользователи ‎могут ‎выбрать ‎отрасль ‎компании,‏ ‎размер‏ ‎и ‎желаемую‏ ‎группу ‎участников‏ ‎угроз ‎для ‎создания ‎сценариев

Требования

📌 Python: Требуется ‎последняя‏ ‎версия‏ ‎Python

📌 Пакеты‏ ‎Python: Зависимости ‎включают‏ ‎pandas, ‎streamlit‏ ‎и ‎другие‏ ‎пакеты,‏ ‎необходимые ‎для‏ ‎пользовательских ‎библиотек ‎(langchain ‎и ‎mitreattack)

📌 Ключи‏ ‎API: Необходим ‎ключ‏ ‎OpenAI‏ ‎API, ‎а ‎ключ‏ ‎LangChain ‎API‏ ‎является ‎необязательным

В ‎статье сообщается‏ ‎о ‎существенной ‎ошибке ‎в ‎системе‏ ‎безопасности, ‎связанной‏ ‎с‏ ‎командиром ‎израильского ‎подразделения‏ ‎8200, ‎возникшей‏ ‎ввиду ‎публикации ‎его ‎книги‏ ‎Amazon.

📌 Раскрытие‏ ‎личности: Йоси ‎Сариэль,‏ ‎командир ‎израильского‏ ‎подразделения ‎8200, ‎непреднамеренно ‎раскрыл ‎свою‏ ‎настоящую‏ ‎личность ‎в‏ ‎Интернете. ‎Подразделение‏ ‎8200 ‎— ‎это ‎очень ‎засекреченная‏ ‎часть‏ ‎израильских‏ ‎вооруженных ‎сил,‏ ‎которую ‎часто‏ ‎сравнивают ‎с‏ ‎АНБ‏ ‎США ‎по‏ ‎возможностям ‎ведения ‎наблюдения

📌 Цифровой ‎след: Разоблачение ‎произошло‏ ‎из-за ‎цифрового‏ ‎следа,‏ ‎оставленного ‎книгой ‎Сариэль,‏ ‎опубликованной ‎на‏ ‎Amazon ‎под ‎названием ‎«Человеко-машинная‏ ‎команда».‏ ‎Книга, ‎в‏ ‎которой ‎обсуждается‏ ‎интеграция ‎ИИ ‎в ‎военные ‎операции,‏ ‎была‏ ‎привязана ‎к‏ ‎личному ‎аккаунту‏ ‎автора ‎в ‎Google, ‎что ‎позволило‏ ‎раскрыть‏ ‎его‏ ‎уникальный ‎идентификатор‏ ‎и ‎ссылки‏ ‎на ‎его‏ ‎карты‏ ‎и ‎приложения.‏ ‎профили ‎календаря

📌 Критика: Пребывание ‎Сариэля ‎на ‎посту‏ ‎главы ‎подразделения‏ ‎8200‏ ‎было ‎неоднозначным, ‎поскольку‏ ‎подразделение ‎не‏ ‎смогло ‎предсказать ‎и ‎предотвратить‏ ‎крупную‏ ‎атаку ‎ХАМАСА‏ ‎на ‎юг‏ ‎Израиля ‎7 ‎октября, ‎в ‎результате‏ ‎которой‏ ‎погибло ‎около‏ ‎1200 ‎израильтян‏ ‎и ‎было ‎захвачено ‎240 ‎заложников.‏ ‎Подразделение‏ ‎также‏ ‎подверглось ‎критике‏ ‎за ‎его‏ ‎роль ‎в‏ ‎войне‏ ‎в ‎Газе,‏ ‎где ‎в ‎военных ‎операциях ‎использовались‏ ‎системы ‎искусственного‏ ‎интеллекта

📌 Общественный‏ ‎резонанс: Раскрытие ‎личности ‎Сариэля‏ ‎произошло ‎в‏ ‎то ‎время, ‎когда ‎он‏ ‎уже‏ ‎находился ‎под‏ ‎пристальным ‎вниманием‏ ‎общественности ‎в ‎Израиле. ‎Армия ‎обороны‏ ‎Израиля‏ ‎(ЦАХАЛ) ‎отреагировала‏ ‎на ‎сообщение,‏ ‎заявив, ‎что ‎адрес ‎электронной ‎почты,‏ ‎связанный‏ ‎с‏ ‎книгой, ‎не‏ ‎был ‎личным‏ ‎аккаунтом ‎Сариэля‏ ‎и‏ ‎был ‎посвящен‏ ‎книге. ‎Армия ‎обороны ‎Израиля ‎признала‏ ‎ошибку ‎и‏ ‎заявила,‏ ‎что ‎этот ‎вопрос‏ ‎будет ‎расследован,‏ ‎чтобы ‎предотвратить ‎подобные ‎случаи‏ ‎в‏ ‎будущем

📌 Репутация ‎подразделения: Подразделение‏ ‎8200 ‎известно‏ ‎своим ‎опытом ‎сбора ‎радио-разведывательных ‎данных‏ ‎и‏ ‎оказывает ‎значительное‏ ‎влияние ‎на‏ ‎технологическую ‎индустрию ‎Израиля. ‎Раскрытие ‎личности‏ ‎Сариэля‏ ‎рассматривается‏ ‎как ‎удар‏ ‎по ‎репутации‏ ‎подразделения ‎и‏ ‎привело‏ ‎к ‎обвинениям‏ ‎в ‎высокомерии ‎и ‎потенциальному ‎компромиссу‏ ‎в ‎сборе‏ ‎разведданных

What2Log — блог, ‎посвященный‏ ‎обсуждению ‎различных ‎аспектов ‎управления ‎журналами‏ ‎и ‎их‏ ‎анализа,‏ ‎где ‎публикуются ‎обновления‏ ‎инструмента ‎What2Log,‏ ‎информация ‎о ‎конкретных ‎функциях‏ ‎ведения‏ ‎журнала ‎и‏ ‎обсуждения ‎проблем,‏ ‎связанных ‎с ‎управлением ‎журналами:

📌 Раздел ‎обновлений: В‏ ‎блоге‏ ‎представлены ‎подробные‏ ‎сведения ‎о‏ ‎новых ‎версиях ‎инструмента ‎What2Log.

📌 EventRecordID: В ‎одной‏ ‎из‏ ‎записей‏ ‎блога ‎упоминается‏ ‎EventRecordID ‎—‏ ‎скрытый ‎XML-тег‏ ‎в‏ ‎журналах ‎событий‏ ‎Windows, ‎который ‎расширяет ‎информацию ‎журнала.

📌 Идентификатор‏ ‎события ‎4672: В‏ ‎одной‏ ‎из ‎записей ‎блога‏ ‎обсуждается ‎значение‏ ‎идентификатора ‎события ‎4672 ‎в‏ ‎Windows,‏ ‎который ‎регистрирует‏ ‎специальные ‎привилегии,‏ ‎назначенные ‎новым ‎пользователям ‎для ‎входа‏ ‎в‏ ‎систему.

📌 Проблемы ‎управления‏ ‎журналами: В ‎нескольких‏ ‎публикациях ‎из ‎серии ‎блогов ‎рассматриваются‏ ‎различные‏ ‎проблемы‏ ‎управления ‎журналами,‏ ‎включая ‎управление‏ ‎объемом ‎журналов,‏ ‎анализ‏ ‎журналов, ‎корреляцию‏ ‎событий ‎и ‎агрегацию ‎журналов. ‎В‏ ‎этих ‎публикациях‏ ‎рассматриваются‏ ‎сложности ‎и ‎необходимые‏ ‎соображения ‎для‏ ‎эффективного ‎управления ‎журналами ‎и‏ ‎их‏ ‎анализа.

В ‎целом,‏ ‎блог ‎служит‏ ‎ресурсом ‎для ‎людей, ‎интересующихся ‎техническими‏ ‎аспектами‏ ‎ведения ‎журналов,‏ ‎предлагая ‎как‏ ‎образовательный ‎контент, ‎так ‎и ‎обновления‏ ‎по‏ ‎инструменту‏ ‎What2Log ‎на‏ ‎Github

В ‎статье обсуждается‏ ‎значительный ‎инцидент ‎с ‎кибербезопасностью, ‎связанный‏ ‎с ‎программным‏ ‎пакетом‏ ‎XZ ‎Utils, ‎который‏ ‎широко ‎используется‏ ‎в ‎операционных ‎системах ‎Linux‏ ‎для‏ ‎сжатия ‎данных.

📌 Расследование: Об‏ ‎инциденте ‎стало‏ ‎известно, ‎когда ‎инженер ‎Microsoft ‎Андрес‏ ‎Фройнд‏ ‎заметил ‎необычное‏ ‎замедление ‎при‏ ‎использовании ‎SSH, ‎инструмента ‎для ‎безопасного‏ ‎удаленного‏ ‎входа‏ ‎в ‎систему.‏ ‎Его ‎расследование‏ ‎привело ‎к‏ ‎обнаружению‏ ‎вредоносного ‎кода,‏ ‎встроенного ‎в ‎пакет ‎XZ ‎Utils‏ ‎в ‎его‏ ‎системе

📌 Вредоносный‏ ‎код ‎в ‎XZ‏ ‎Utils: Вредоносный ‎код‏ ‎был ‎представлен ‎в ‎двух‏ ‎последних‏ ‎обновлениях ‎XZ‏ ‎Utils. ‎Он‏ ‎был ‎разработан ‎для ‎нарушения ‎процесса‏ ‎аутентификации‏ ‎по ‎SSH,‏ ‎создания ‎бэкдора,‏ ‎который ‎мог ‎бы ‎обеспечить ‎несанкционированный‏ ‎удаленный‏ ‎доступ‏ ‎к ‎уязвимым‏ ‎системам.

📌 Влияние ‎и‏ ‎значимость: Учитывая, ‎что‏ ‎XZ‏ ‎Utils ‎необходим‏ ‎для ‎многих ‎операций ‎в ‎системах‏ ‎Linux, ‎на‏ ‎которых‏ ‎работает ‎подавляющее ‎большинство‏ ‎интернет-серверов, ‎потенциальное‏ ‎воздействие ‎этого ‎бэкдора ‎могло‏ ‎бы‏ ‎быть ‎катастрофическим,‏ ‎затронув ‎бесчисленное‏ ‎множество ‎компьютеров ‎по ‎всему ‎миру

📌 Реагирование‏ ‎и‏ ‎предотвращение: Инцидент ‎подчеркивает‏ ‎важность ‎бдительности‏ ‎и ‎оперативных ‎действий ‎в ‎области‏ ‎кибербезопасности‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎нарушений

📌 Последствия: Эта ‎ситуация‏ ‎подчеркивает ‎серьёзные‏ ‎проблемы,‏ ‎связанные ‎с‏ ‎безопасностью ‎ПО ‎с ‎открытым ‎исходным‏ ‎кодом, ‎и‏ ‎необходимость‏ ‎постоянного ‎мониторинга ‎и‏ ‎обновления ‎такого‏ ‎ПО ‎для ‎защиты ‎от‏ ‎угроз

Здравствуйте, ‎уважаемые‏ ‎друзья!

Подошла ‎к ‎концу ‎история ‎взлёта‏ ‎и ‎падения‏ ‎одного‏ ‎из ‎самых ‎известных‏ ‎криптомагнатов ‎мира.

• Федеральный‏ ‎судья ‎приговорил ‎Бэнкмана-Фрида ‎к‏ ‎двадцати‏ ‎пяти ‎годам‏ ‎тюремного ‎заключения.‏ ‎История ‎очень ‎шумная ‎и ‎неприятная.‏ ‎Крупнейший‏ ‎финансовый ‎скандал.‏ ‎Чем-то ‎это‏ ‎напомнило ‎мне ‎историю ‎Бернарда ‎Медоффа.‏ ‎По‏ ‎крайней‏ ‎мере, ‎суммы‏ ‎сопоставимы.

Приговор ‎был‏ ‎вынесен ‎спустя‏ ‎пять‏ ‎месяцев ‎после‏ ‎признания ‎вины ‎присяжными. ‎Даже ‎для‏ ‎тридцатидвухлетнего ‎человека‏ ‎срок‏ ‎весьма ‎серьёзный. ‎Так‏ ‎же, ‎ему‏ ‎предписано ‎выплатить ‎11 ‎миллиардов‏ ‎долларов.

Всего‏ ‎несколько ‎лет‏ ‎назад ‎Сэм‏ ‎был ‎крупнейшим ‎воротилой ‎финансовых ‎рынков,‏ ‎финансировал‏ ‎предвыборные ‎кампании,‏ ‎привлекал ‎десятки‏ ‎миллионов ‎долларов ‎от ‎инвесторов ‎Кремниевой‏ ‎долины,‏ ‎и‏ ‎даже ‎говорил‏ ‎о ‎том,‏ ‎что ‎в‏ ‎ближайшее‏ ‎время ‎станет‏ ‎владельцем ‎Goldman ‎Sachs.

«Любой, ‎кто ‎считает,‏ ‎что ‎может‏ ‎скрыть‏ ‎свои ‎финансовые ‎преступления‏ ‎за ‎богатством‏ ‎и ‎властью ‎или ‎за‏ ‎блестящей‏ ‎новой ‎вещью,‏ ‎которую, ‎по‏ ‎их ‎утверждению, ‎никто ‎другой ‎не‏ ‎достаточно‏ ‎умен, ‎чтобы‏ ‎понять, ‎должен‏ ‎подумать ‎дважды», ‎— ‎заявил ‎генеральный‏ ‎прокурор‏ ‎Меррик‏ ‎Гарланд ‎в‏ ‎заявлении ‎после‏ ‎вынесения ‎приговора.

После‏ ‎краха‏ ‎криптовалютной ‎биржи‏ ‎FTX ‎Bankman-Fried ‎федеральные ‎власти ‎усилили‏ ‎репрессии ‎в‏ ‎отрасли,‏ ‎выдвинув ‎обвинения ‎против‏ ‎нескольких ‎других‏ ‎видных ‎руководителей ‎и ‎фирм‏ ‎в‏ ‎мошенничестве ‎и‏ ‎содействии ‎отмыванию‏ ‎денег, ‎в ‎том ‎числе ‎для‏ ‎целей‏ ‎терроризма ‎и‏ ‎незаконного ‎оборота‏ ‎наркотиков.

• Бэнкман-Фрид ‎был ‎признан ‎виновным ‎по‏ ‎семи‏ ‎пунктам‏ ‎обвинения ‎в‏ ‎мошенничестве ‎и‏ ‎заговоре, ‎связанных‏ ‎с‏ ‎операциями ‎ныне‏ ‎несуществующей ‎FTX. ‎Прокуроры ‎утверждали, ‎среди‏ ‎прочего, ‎что‏ ‎он‏ ‎перекачал ‎миллиарды ‎долларов‏ ‎денег ‎клиентов‏ ‎для ‎финансирования ‎своего ‎образа‏ ‎жизни,‏ ‎масштабной ‎кампании‏ ‎политического ‎влияния‏ ‎и ‎рискованных ‎ставок ‎Alameda ‎Research,‏ ‎фирмы‏ ‎по ‎торговле‏ ‎криптовалютами, ‎которую‏ ‎он ‎основал ‎до ‎FTX.

Резюмирую.

Морализировать ‎не‏ ‎буду.‏ ‎Никто‏ ‎не ‎застрахован‏ ‎от ‎таких‏ ‎жизненных ‎поворотов.‏ ‎«От‏ ‎тюрьмы ‎и‏ ‎сумы ‎не ‎зарекайся», ‎как ‎говорится.‏ ‎Как ‎вы‏ ‎знаете,‏ ‎я ‎не ‎сторонник‏ ‎реальных ‎сроков‏ ‎по ‎финансовым ‎преступлениям, ‎если‏ ‎можно‏ ‎компенсировать ‎украденное‏ ‎и ‎заплатить‏ ‎штраф. ‎Кому ‎будет ‎легче ‎от‏ ‎того,‏ ‎что ‎он‏ ‎сядет?

Что ‎касается‏ ‎всей ‎ситуации, ‎финансовые ‎рынки ‎—‏ ‎это‏ ‎то‏ ‎место, ‎где‏ ‎такого ‎рода‏ ‎события ‎происходят‏ ‎с‏ ‎завидной ‎регулярностью.

Будьте‏ ‎бдительны. ‎Не ‎лезьте ‎в ‎проекты‏ ‎с ‎«гарантированной»‏ ‎доходностью‏ ‎в ‎десятки-сотни ‎процентов‏ ‎в ‎месяц.‏ ‎Бесплатный ‎сыр ‎только ‎в‏ ‎мышеловке.‏ ‎Поверьте, ‎ничего‏ ‎не ‎изменилось‏ ‎со ‎времён ‎царя ‎Гороха.

Исследователи ‎в‏ ‎области ‎ИБ ‎недавно ‎обнаружили ‎сложную‏ ‎операцию ‎по‏ ‎скиммингу‏ ‎кредитных ‎карт, ‎которая‏ ‎умело ‎маскируется‏ ‎под ‎безобидный ‎Facebook-трекер, ‎а‏ ‎именно‏ ‎поддельный ‎скрипт‏ ‎Meta ‎Pixel‏ ‎tracker.

Механизм ‎атаки

Злоумышленники ‎пользуются ‎доверием ‎к‏ ‎широко‏ ‎известным ‎скриптам,‏ ‎таким ‎как‏ ‎Google ‎Analytics ‎или ‎jQuery, ‎называя‏ ‎свои‏ ‎вредоносные‏ ‎скрипты ‎так,‏ ‎чтобы ‎они‏ ‎имитировали ‎эти‏ ‎легитимные‏ ‎сервисы. ‎Поддельный‏ ‎скрипт ‎Meta ‎Pixel ‎tracker ‎при‏ ‎ближайшем ‎рассмотрении‏ ‎обнаруживает‏ ‎код ‎JavaScript, ‎который‏ ‎заменяет ‎ссылки‏ ‎на ‎законный ‎домен ‎«connect.facebook[.]net»‏ ‎на‏ ‎«b-connected[.]com», ‎законный‏ ‎веб-сайт ‎электронной‏ ‎коммерции, ‎который ‎был ‎взломан ‎для‏ ‎размещения‏ ‎кода ‎скиммера.‏ ‎Такая ‎подмена‏ ‎является ‎ключевой, ‎поскольку ‎позволяет ‎вредоносному‏ ‎коду‏ ‎выполняться‏ ‎под ‎видом‏ ‎легитимного ‎сервиса

Схема‏ ‎процесса

Как ‎только‏ ‎вредоносный‏ ‎скрипт ‎загружается‏ ‎на ‎взломанный ‎веб-сайт, ‎он ‎отслеживает‏ ‎определенные ‎действия,‏ ‎например,‏ ‎переход ‎посетителя ‎на‏ ‎страницу ‎оформления‏ ‎заказа. ‎На ‎этом ‎этапе‏ ‎он‏ ‎служит ‎для‏ ‎мошеннического ‎наложения,‏ ‎предназначенного ‎для ‎перехвата ‎данных ‎кредитной‏ ‎карты,‏ ‎введенных ‎жертвой.‏ ‎Затем ‎украденная‏ ‎информация ‎передается ‎на ‎другой ‎взломанный‏ ‎сайт»,‏ ‎http://www.donjuguetes [.]es,‏ ‎что ‎демонстрирует‏ ‎многоуровневый ‎характер‏ ‎этой ‎атаки

Последствия

Этот‏ ‎инцидент‏ ‎подчеркивает ‎важность‏ ‎бдительности ‎и ‎надежных ‎методов ‎обеспечения‏ ‎безопасности ‎для‏ ‎владельцев‏ ‎веб-сайтов, ‎особенно ‎для‏ ‎тех, ‎кто‏ ‎использует ‎платформы ‎электронной ‎коммерции.‏ ‎Использование‏ ‎поддельных ‎скриптов,‏ ‎имитирующих ‎законные‏ ‎сервисы, ‎является ‎хитрой ‎стратегией, ‎которая‏ ‎может‏ ‎легко ‎обмануть‏ ‎даже ‎самых‏ ‎осторожных ‎пользователей. ‎Таким ‎образом, ‎для‏ ‎обнаружения‏ ‎и‏ ‎устранения ‎таких‏ ‎угроз ‎важно‏ ‎применять ‎комплексные‏ ‎меры‏ ‎безопасности, ‎включая‏ ‎использование ‎систем ‎обнаружения ‎вторжений ‎и‏ ‎мониторинг ‎веб-сайтов

Событие ‎дня:‏ ‎Чешская ‎Республика, ‎доблестно ‎стоящая ‎на‏ ‎переднем ‎крае,‏ ‎утверждает,‏ ‎что ‎Россия ‎неустанно‏ ‎работает ‎изо‏ ‎всех ‎сил, ‎проводя ‎«тысячи»‏ ‎кибератак‏ ‎на ‎их‏ ‎железнодорожные ‎системы‏ ‎с ‎февраля ‎2022 ‎года, ‎потому‏ ‎что‏ ‎невозможно ‎завоевать‏ ‎мир, ‎не‏ ‎взломав ‎сначала ‎чешские ‎системы ‎продажи‏ ‎железнодорожных‏ ‎билетов.

Министр‏ ‎транспорта ‎Мартин‏ ‎Купка, ‎выступающий‏ ‎в ‎качестве‏ ‎«лучшего»‏ ‎аналитика ‎кибервойн,‏ ‎распевал ‎байки ‎о ‎том, ‎как‏ ‎эти ‎кибератаки‏ ‎потенциально‏ ‎могут ‎привести ‎к‏ ‎несчастным ‎случаям,‏ ‎вызывая ‎беспорядок ‎и ‎неразбериху‏ ‎среди‏ ‎проводников ‎поездов

Агентство‏ ‎ЕС ‎по‏ ‎кибербезопасности ‎выступило ‎в ‎поддержку ‎Чехии‏ ‎со‏ ‎своим ‎отчетом,‏ ‎в ‎котором‏ ‎отметило ‎всплеск ‎кибератак ‎на ‎железные‏ ‎дороги‏ ‎в‏ ‎Латвии, ‎Литве,‏ ‎Румынии ‎и‏ ‎Эстонии.

После ‎этого‏ ‎чешское‏ ‎агентство ‎кибербезопасности‏ ‎NUKIB ‎стало ‎свидетелем ‎всплеска ‎кибератак,‏ ‎направленных ‎не‏ ‎только‏ ‎на ‎железные ‎дороги,‏ ‎но ‎и‏ ‎на ‎энергетический ‎сектор. ‎Объяснение‏ ‎почему:‏ ‎все ‎это‏ ‎является ‎частью‏ ‎грандиозного ‎плана ‎по… ‎ну, ‎мы‏ ‎не‏ ‎совсем ‎уверены,‏ ‎но ‎это‏ ‎звучит ‎слишком ‎коварно ‎и ‎кто-то‏ ‎должен‏ ‎быть‏ ‎виноват ‎и‏ ‎мы ‎уже‏ ‎знаем ‎кто‏ ‎именно‏ ‎(поэтому ‎дайте‏ ‎денег).

В ‎ответ ‎на ‎эти ‎выдуманные‏ ‎действия ‎Прага‏ ‎заняла‏ ‎решительную ‎позицию ‎и‏ ‎приняла ‎закон,‏ ‎позволяющий ‎принимать ‎меры ‎против‏ ‎иностранных‏ ‎организаций, ‎подозреваемых‏ ‎в ‎киберпреступлениях.‏ ‎Потому ‎что ‎ничто ‎так ‎не‏ ‎говорит‏ ‎«попались, ‎хакеры!»‏ ‎как ‎законодательный‏ ‎акт. ‎Они ‎также ‎устанавливают ‎ограничения‏ ‎для‏ ‎участия‏ ‎иностранных ‎операторов‏ ‎в ‎тендерах‏ ‎на ‎критически‏ ‎важные‏ ‎проекты, ‎потому‏ ‎что ‎ничто ‎так ‎не ‎кричит‏ ‎о ‎безопасности,‏ ‎как‏ ‎бюрократия

Чешская ‎Республика, ‎вооруженная‏ ‎законами ‎и‏ ‎тендерными ‎ограничениями, ‎решительно ‎противостоит‏ ‎кибератаке,‏ ‎направленной ‎на‏ ‎ее ‎железные‏ ‎дороги, ‎потому ‎что ‎на ‎большой‏ ‎шахматной‏ ‎доске ‎международной‏ ‎политики ‎действительно‏ ‎имеет ‎значение ‎только ‎расписание ‎чешских‏ ‎поездов.

Проект направлен ‎на‏ ‎отслеживание ‎и ‎сравнение ‎функций ‎телеметрии,‏ ‎реализованных ‎в‏ ‎различных‏ ‎системах ‎EDR ‎для‏ ‎Windows. ‎Документ‏ ‎представляет ‎собой ‎сравнительную ‎таблицу‏ ‎телеметрии,‏ ‎в ‎которой‏ ‎подробно ‎описаны‏ ‎возможности ‎различных ‎продуктов ‎EDR ‎по‏ ‎сбору‏ ‎определенных ‎типов‏ ‎телеметрических ‎данных,‏ ‎имеющих ‎отношение ‎к ‎кибербезопасности.

📌 В ‎CrowdStrike‏ ‎и‏ ‎Microsoft‏ ‎Defender ‎реализованы‏ ‎комплексные ‎функции‏ ‎в ‎нескольких‏ ‎категориях.‏ ‎В ‎обоих‏ ‎продуктах ‎большое ‎количество ‎функций, ‎отмеченных‏ ‎как ‎полностью‏ ‎реализованные‏ ‎(✅), ‎в ‎различных‏ ‎категориях ‎функций‏ ‎телеметрии. ‎Это ‎указывает ‎на‏ ‎широкий‏ ‎охват ‎с‏ ‎точки ‎зрения‏ ‎возможностей ‎сбора ‎телеметрических ‎данных, ‎что‏ ‎имеет‏ ‎решающее ‎значение‏ ‎для ‎эффективного‏ ‎обнаружения ‎конечных ‎точек ‎и ‎реагирования‏ ‎на‏ ‎них.

📌 С‏ ‎другой ‎стороны,‏ ‎WatchGuard ‎и‏ ‎Harfanglab ‎обладают‏ ‎значительным‏ ‎количеством ‎функций,‏ ‎помеченных ‎как ‎не ‎реализованные ‎(❌)‏ ‎или ‎частично‏ ‎реализованные‏ ‎(⚠️). ‎Это ‎говорит‏ ‎о ‎том,‏ ‎что ‎у ‎этих ‎продуктов‏ ‎могут‏ ‎быть ‎пробелы‏ ‎в ‎возможностях‏ ‎сбора ‎телеметрических ‎данных ‎по ‎сравнению‏ ‎с‏ ‎другими ‎продуктами‏ ‎EDR, ‎перечисленными‏ ‎в ‎документе.

Несколько ‎случаев‏ ‎нарушения ‎доверия ‎и ‎безопасности ‎в‏ ‎ВВС ‎США:

📌 Подрядчик‏ ‎ВМС‏ ‎США, ‎который ‎в‏ ‎2007 ‎году‏ ‎внедрил ‎вредоносный ‎код ‎в‏ ‎программное‏ ‎обеспечение ‎системы‏ ‎обнаружения ‎угроз‏ ‎на ‎подводной ‎лодке. ‎Этот ‎акт‏ ‎был‏ ‎преднамеренным ‎саботажем,‏ ‎который ‎мог‏ ‎поставить ‎под ‎угрозу ‎безопасность ‎и‏ ‎эксплуатационные‏ ‎возможности‏ ‎подводной ‎лодки.‏ ‎Вредоносный ‎код‏ ‎в ‎таких‏ ‎критически‏ ‎важных ‎системах‏ ‎потенциально ‎мог ‎отключить ‎обнаружение ‎угроз,‏ ‎что ‎привело‏ ‎бы‏ ‎к ‎необнаруженным ‎навигационным‏ ‎опасностям ‎или‏ ‎действиям ‎противника.

📌Роберт ‎Бирчам, ‎офицер‏ ‎разведки‏ ‎ВВС ‎США‏ ‎в ‎отставке,‏ ‎который ‎был ‎приговорен ‎к ‎трем‏ ‎годам‏ ‎заключения ‎в‏ ‎федеральной ‎тюрьме‏ ‎за ‎незаконное ‎хранение ‎секретных ‎документов.‏ ‎Бирчам,‏ ‎вышедший‏ ‎в ‎отставку‏ ‎в ‎2018‏ ‎году ‎в‏ ‎звании‏ ‎подполковника, ‎проработал‏ ‎29 ‎лет ‎на ‎различных ‎должностях‏ ‎в ‎разведке,‏ ‎включая‏ ‎должности, ‎которые ‎требовали‏ ‎от ‎него‏ ‎работы ‎с ‎секретной ‎разведывательной‏ ‎информацией‏ ‎для ‎Объединенного‏ ‎командования ‎специальных‏ ‎операций,

📌Гарольд ‎Мартин, ‎бывший ‎сотрудник ‎Агентства‏ ‎национальной‏ ‎безопасности, ‎был‏ ‎арестован ‎в‏ ‎августе ‎2016 ‎года ‎за ‎кражу‏ ‎и‏ ‎хранение‏ ‎особо ‎секретных‏ ‎документов, ‎которые‏ ‎хранились ‎в‏ ‎течение‏ ‎20 ‎лет.‏ ‎Мартин ‎хранил ‎эти ‎документы ‎в‏ ‎своем ‎доме‏ ‎и‏ ‎автомобиле. ‎Украденные ‎документы‏ ‎содержали ‎конфиденциальную‏ ‎информацию ‎о ‎планировании ‎АНБ,‏ ‎сборе‏ ‎разведданных, ‎возможностях‏ ‎киберкомандования ‎США‏ ‎и ‎проблемах ‎в ‎кибервозможностях ‎США.

📌Джерри‏ ‎Чун‏ ‎Шинг ‎Ли,‏ ‎бывший ‎сотрудник‏ ‎ЦРУ, ‎был ‎арестован ‎в ‎январе‏ ‎2018‏ ‎года‏ ‎по ‎обвинению‏ ‎в ‎незаконном‏ ‎хранении ‎информации‏ ‎о‏ ‎национальной ‎обороне.‏ ‎У ‎Ли ‎были ‎записные ‎книжки,‏ ‎в ‎которых‏ ‎содержались‏ ‎рукописные ‎записи ‎с‏ ‎секретной ‎информацией,‏ ‎включая ‎настоящие ‎имена ‎и‏ ‎номера‏ ‎телефонов ‎сотрудников‏ ‎и ‎секретные‏ ‎оперативные ‎заметки ‎ЦРУ.

📌Джек ‎Тейшейра, ‎военнослужащий‏ ‎Национальной‏ ‎гвардии ‎ВВС‏ ‎Массачусетса, ‎признал‏ ‎себя ‎виновным ‎в ‎утечке ‎секретных‏ ‎военных‏ ‎документов‏ ‎в ‎социальные‏ ‎сети.

Хакерская ‎группа‏ ‎«Handala» ‎во ‎второй ‎раз ‎взяла‏ ‎на ‎себя‏ ‎ответственность‏ ‎за ‎взлом ‎радарных‏ ‎систем ‎неустановленной‏ ‎цели. ‎Группа ‎предупредила, ‎что‏ ‎у‏ ‎цели ‎есть‏ ‎всего ‎несколько‏ ‎часов ‎на ‎ремонт ‎систем, ‎и‏ ‎предложила‏ ‎сбежать.

Инженеры ‎разработали‏ ‎способ ‎заставить‏ ‎автомобильные ‎радарные ‎системы ‎«галлюцинировать», ‎посылая‏ ‎поддельные‏ ‎сигналы‏ ‎на ‎радар‏ ‎цели. ‎Исследователи‏ ‎продемонстрировали ‎этот‏ ‎способ‏ ‎на ‎реальных‏ ‎радарных ‎системах ‎в ‎реальных ‎автомобилях,‏ ‎движущихся ‎на‏ ‎высокой‏ ‎скорости. ‎Они ‎смогли‏ ‎заставить ‎целевую‏ ‎машину ‎воспринимать ‎другую ‎машину‏ ‎там,‏ ‎где ‎ее‏ ‎на ‎самом‏ ‎деле ‎не ‎было, ‎обмануть ‎радар‏ ‎цели,‏ ‎заставив ‎ее‏ ‎думать, ‎что‏ ‎проезжающей ‎машины ‎нет, ‎хотя ‎на‏ ‎самом‏ ‎деле‏ ‎она ‎существовала,‏ ‎и ‎создать‏ ‎впечатление, ‎что‏ ‎существующая‏ ‎машина ‎внезапно‏ ‎изменила ‎курс.

Результаты ‎исследований, ‎проведённых ‎инженерами,‏ ‎публично ‎были‏ ‎поддержаны‏ ‎различными ‎организациями, ‎включая‏ ‎Управление ‎военно-морских‏ ‎исследований, ‎Управление ‎научных ‎исследований‏ ‎ВВС‏ ‎и ‎Национальный‏ ‎научный ‎фонд.

В ‎статье обсуждается‏ ‎интеграция ‎Evilginx ‎3.3 ‎с ‎GoPhish,‏ ‎который ‎с‏ ‎очередным‏ ‎обновлением ‎расширяет ‎возможности‏ ‎для ‎целей‏ ‎фишинговых ‎кампаний. ‎Эти ‎обновления‏ ‎Evilginx‏ ‎и ‎его‏ ‎интеграция ‎с‏ ‎GoPhish ‎представляют ‎собой ‎значительный ‎прогресс‏ ‎в‏ ‎технологии ‎фишинговых‏ ‎кампаний, ‎предлагая‏ ‎пользователям ‎более ‎совершенные ‎инструменты ‎для‏ ‎создания‏ ‎попыток‏ ‎фишинга ‎и‏ ‎управления ‎ими‏ ‎с ‎расширенными‏ ‎возможностями‏ ‎настройки ‎и‏ ‎отслеживания.

Ключевые ‎моменты ‎и ‎новые ‎функции,‏ ‎которые ‎были‏ ‎представлены:

📌 Интеграция‏ ‎с ‎GoPhish: Evilginx ‎теперь‏ ‎официально ‎интегрируется‏ ‎с ‎GoPhish. ‎Это ‎позволяет‏ ‎пользователям‏ ‎создавать ‎фишинговые‏ ‎кампании, ‎которые‏ ‎отправляют ‎электронные ‎письма ‎с ‎URL-адресами‏ ‎Evilginx,‏ ‎используя ‎пользовательский‏ ‎интерфейс ‎GoPhish‏ ‎для ‎мониторинга ‎эффективности ‎кампании, ‎включая‏ ‎открытие‏ ‎электронной‏ ‎почты, ‎переходы‏ ‎по ‎URL-адресу‏ ‎и ‎успешные‏ ‎перехваты‏ ‎сеансов.

📌 Усовершенствования ‎API: В‏ ‎обновлении ‎добавлены ‎дополнительные ‎API ‎в‏ ‎GoPhish, ‎позволяющие‏ ‎изменять‏ ‎статус ‎результатов ‎для‏ ‎каждого ‎отправленного‏ ‎электронного ‎письма. ‎Это ‎улучшение‏ ‎способствует‏ ‎более ‎эффективному‏ ‎управлению ‎кампанией.

📌 Формирование‏ ‎URL-адреса ‎(«приманки»): При ‎создании ‎кампании ‎в‏ ‎GoPhish‏ ‎пользователи ‎больше‏ ‎не ‎выбирают‏ ‎«Целевую ‎страницу». ‎Вместо ‎этого ‎они‏ ‎формируют‏ ‎URL-адрес‏ ‎в ‎Evilginx‏ ‎и ‎вводят‏ ‎его ‎в‏ ‎текстовое‏ ‎поле ‎«URL-адрес‏ ‎приманки ‎Evilginx». ‎Этот ‎процесс ‎упрощает‏ ‎создание ‎фишинговых‏ ‎кампаний.

📌 Пользовательские‏ ‎параметры ‎и ‎персонализация: GoPhish‏ ‎автоматически ‎формирует‏ ‎зашифрованные ‎пользовательские ‎параметры ‎с‏ ‎персонализированным‏ ‎содержанием ‎для‏ ‎каждой ‎ссылки,‏ ‎встроенной ‎в ‎сгенерированные ‎сообщения ‎электронной‏ ‎почты.‏ ‎Эти ‎параметры‏ ‎включают ‎ФИО‏ ‎и ‎адрес ‎электронной ‎почты ‎получателя.‏ ‎Эта‏ ‎функция‏ ‎позволяет ‎настраивать‏ ‎фишинговые ‎страницы‏ ‎с ‎помощью‏ ‎скриптов‏ ‎js_inject, ‎повышая‏ ‎эффективность ‎попыток ‎фишинга.

📌 Расширенная ‎поддержка ‎TLD: Evilginx‏ ‎расширила ‎поддержку‏ ‎новых‏ ‎доменов ‎верхнего ‎уровня‏ ‎(TLD), ‎чтобы‏ ‎повысить ‎эффективность ‎обнаружения ‎URL-адресов‏ ‎в‏ ‎прокси-пакетах. ‎Обновленный‏ ‎список ‎включает‏ ‎в ‎себя ‎множество ‎доменов ‎верхнего‏ ‎уровня,‏ ‎таких ‎как‏ ‎.aero, ‎.arpa,‏ ‎.biz, ‎.cloud, ‎.gov, ‎.info, ‎.net,‏ ‎.org‏ ‎и‏ ‎многие ‎другие,‏ ‎включая ‎все‏ ‎известные ‎двухсимвольные‏ ‎домены‏ ‎верхнего ‎уровня.

**

Evilginx‏ ‎и ‎GoPhish ‎— ‎это ‎инструменты,‏ ‎используемые ‎в‏ ‎сфере‏ ‎кибербезопасности, ‎в ‎частности,‏ ‎в ‎контексте‏ ‎моделирования ‎фишинга ‎и ‎платформ‏ ‎для‏ ‎атак ‎типа‏ ‎«человек ‎посередине»‏ ‎(MitM). ‎Они ‎служат ‎разным ‎целям,‏ ‎но‏ ‎могут ‎использоваться‏ ‎вместе ‎для‏ ‎улучшения ‎фишинговых ‎кампаний ‎и ‎тестирования‏ ‎безопасности.

📌 Evilginx‏ ‎— это‏ ‎платформа ‎для‏ ‎атак ‎типа‏ ‎«человек ‎посередине»,‏ ‎которая‏ ‎может ‎обходить‏ ‎механизмы ‎двухфакторной ‎аутентификации ‎(2FA).

• Он ‎работает‏ ‎путем ‎обмана‏ ‎пользователя,‏ ‎заставляя ‎его ‎перейти‏ ‎на ‎прокси-сайт,‏ ‎который ‎выглядит ‎как ‎легитимный‏ ‎сайт,‏ ‎который ‎он‏ ‎намеревается ‎посетить.‏ ‎Когда ‎пользователь ‎входит ‎в ‎систему‏ ‎и‏ ‎передаёт ‎учётные‏ ‎и ‎MFA‏ ‎данные, ‎Evilginx ‎получает ‎эти ‎данные‏ ‎пользователя‏ ‎и‏ ‎токен ‎аутентификации.
• Этот‏ ‎метод ‎позволяет‏ ‎злоумышленнику ‎повторно‏ ‎использовать‏ ‎токен ‎и‏ ‎получить ‎доступ ‎к ‎целевому ‎сервису‏ ‎в ‎качестве‏ ‎пользователя,‏ ‎эффективно ‎обходя ‎защиту‏ ‎2FA.

📌 GoPhish ‎— это‏ ‎набор ‎инструментов ‎для ‎фишинга‏ ‎с‏ ‎открытым ‎исходным‏ ‎кодом, ‎предназначенный‏ ‎для ‎предприятий ‎и ‎специалистов ‎по‏ ‎безопасности‏ ‎для ‎проведения‏ ‎тренингов ‎по‏ ‎повышению ‎уровня ‎безопасности ‎и ‎моделирования‏ ‎фишинга,‏ ‎который‏ ‎позволяет ‎создавать‏ ‎и ‎отслеживать‏ ‎эффективность ‎фишинговых‏ ‎кампаний,‏ ‎включая ‎открытие‏ ‎электронной ‎почты, ‎переходы ‎по ‎ссылкам‏ ‎и ‎отправку‏ ‎данных‏ ‎на ‎фишинговые ‎страницы.

В ‎статье‏ ‎«Экспертные ‎оценки ‎проблем ‎безопасности ‎Интернета‏ ‎вещей ‎в‏ ‎2024‏ ‎году» рассматривается ‎эволюционирующий ‎ландшафт‏ ‎безопасности ‎Интернета‏ ‎вещей ‎(IoT) ‎по ‎мере‏ ‎того,‏ ‎как ‎технология‏ ‎продолжает ‎интегрироваться‏ ‎в ‎различные ‎аспекты ‎бизнеса ‎и‏ ‎жизни‏ ‎потребителей. ‎В‏ ‎статье ‎освещаются‏ ‎важнейшие ‎проблемы ‎безопасности, ‎с ‎которыми‏ ‎столкнется‏ ‎Интернет‏ ‎вещей ‎в‏ ‎2024 ‎году,‏ ‎подчеркивается ‎необходимость‏ ‎тщательного‏ ‎мониторинга, ‎надежных‏ ‎мер ‎безопасности ‎и ‎соблюдения ‎нормативных‏ ‎требований ‎для‏ ‎снижения‏ ‎рисков, ‎связанных ‎с‏ ‎расширением ‎использования‏ ‎устройств ‎Интернета ‎вещей ‎в‏ ‎различных‏ ‎секторах.

📌Рост ‎рынка‏ ‎и ‎зависимость‏ ‎от ‎Интернета ‎вещей: По ‎прогнозам, ‎в‏ ‎2024‏ ‎году ‎объем‏ ‎мирового ‎рынка‏ ‎интернета ‎вещей ‎составит ‎1,1 ‎трлн‏ ‎долларов,‏ ‎а‏ ‎совокупный ‎годовой‏ ‎темп ‎роста‏ ‎(CAGR) ‎составит‏ ‎13%.‏ ‎На ‎долю‏ ‎корпоративного ‎интернета ‎вещей ‎приходится ‎более‏ ‎75% ‎общего‏ ‎дохода,‏ ‎что ‎подчеркивает ‎значительную‏ ‎зависимость ‎предприятий‏ ‎от ‎систем ‎Интернета ‎вещей‏ ‎в‏ ‎своей ‎операционной‏ ‎деятельности.

📌Риски ‎для‏ ‎безопасности, ‎связанные ‎с ‎чрезмерной ‎зависимостью: Растущая‏ ‎зависимость‏ ‎от ‎систем‏ ‎Интернета ‎вещей‏ ‎создает ‎ряд ‎рисков ‎для ‎безопасности.‏ ‎Предприятия‏ ‎могут‏ ‎не ‎замечать‏ ‎предупреждающих ‎признаков‏ ‎кибератак ‎из-за‏ ‎автономного‏ ‎характера ‎систем‏ ‎Интернета ‎вещей.

📌Распространенные ‎проблемы ‎безопасности ‎Интернета‏ ‎вещей ‎в‏ ‎2024‏ ‎году:

➡️➡️Расширение ‎возможностей ‎для‏ ‎атак: Взаимосвязанный ‎характер‏ ‎систем ‎Интернета ‎вещей ‎создает‏ ‎множество‏ ‎точек ‎входа‏ ‎для ‎киберпреступников,‏ ‎что ‎затрудняет ‎эффективный ‎мониторинг ‎и‏ ‎защиту‏ ‎этих ‎систем.

➡️➡️Риски‏ ‎в ‎сети‏ ‎общего ‎пользования: Сотрудникам ‎рекомендуется ‎не ‎подключать‏ ‎рабочие‏ ‎устройства‏ ‎к ‎небезопасным‏ ‎сетям ‎общего‏ ‎пользования ‎для‏ ‎снижения‏ ‎рисков ‎безопасности.

📌Решение‏ ‎проблем ‎безопасности ‎Интернета ‎вещей:

➡️➡️Статистика ‎показывает,‏ ‎что ‎только‏ ‎4%‏ ‎компаний ‎уверены ‎в‏ ‎своей ‎безопасности,‏ ‎при ‎этом ‎менее ‎5%‏ ‎считают,‏ ‎что ‎их‏ ‎подключенные ‎устройства‏ ‎защищены ‎от ‎кибератак.

➡️➡️Кибератаки ‎происходят ‎каждые‏ ‎39‏ ‎секунд, ‎что‏ ‎подчеркивает ‎необходимость‏ ‎принятия ‎надежных ‎мер ‎безопасности.

➡️➡️Ключевые ‎шаги‏ ‎для‏ ‎решения‏ ‎проблем ‎безопасности‏ ‎Интернета ‎вещей‏ ‎включают ‎мониторинг‏ ‎уязвимостей,‏ ‎обеспечение ‎безопасных‏ ‎подключений ‎и ‎внедрение ‎регулярных ‎обновлений‏ ‎и ‎патчей.

📌Нормативно-правовая‏ ‎база: В‏ ‎статье ‎также ‎рассматривается‏ ‎меняющаяся ‎нормативно-правовая‏ ‎база, ‎связанная ‎с ‎кибербезопасностью‏ ‎Интернета‏ ‎вещей, ‎в‏ ‎связи ‎со‏ ‎значительными ‎изменениями ‎в ‎законодательстве ‎ЕС,‏ ‎США‏ ‎и ‎Великобритании,‏ ‎направленными ‎на‏ ‎повышение ‎устойчивости ‎подключенных ‎устройств ‎к‏ ‎киберугрозам‏ ‎и‏ ‎защиту ‎конфиденциальности‏ ‎личной ‎информации.

📌Финансовые‏ ‎последствия ‎и‏ ‎управление‏ ‎рисками: Финансовые ‎последствия‏ ‎угроз ‎Интернета ‎вещей ‎значительны, ‎что‏ ‎настоятельно ‎требует‏ ‎от‏ ‎руководителей ‎служб ‎информационной‏ ‎безопасности ‎(CISO)‏ ‎разработки ‎стратегии ‎предотвращения, ‎включая‏ ‎учет‏ ‎финансовых ‎последствий‏ ‎этих ‎угроз‏ ‎и ‎соответствующее ‎планирование.

📌Природа ‎IoT-атак: устройства ‎Интернета‏ ‎вещей,‏ ‎зачастую ‎из-за‏ ‎более ‎слабых‏ ‎мер ‎безопасности, ‎являются ‎главной ‎мишенью‏ ‎для‏ ‎киберпреступников.‏ ‎В ‎статье‏ ‎прогнозируется ‎широкий‏ ‎спектр ‎угроз‏ ‎IoT,‏ ‎включая ‎вредоносное‏ ‎ПО, ‎DDoS-атаки ‎и ‎угрозы ‎с‏ ‎использованием ‎ИИ.

📌Тенденции‏ ‎и‏ ‎цифры: Ожидается ‎значительный ‎рост‏ ‎рынка ‎IoT-безопасности‏ ‎— ‎с ‎3,35 ‎млрд‏ ‎долларов‏ ‎в ‎2022‏ ‎году ‎до‏ ‎13,36 ‎млрд ‎долларов ‎в ‎2028‏ ‎году,‏ ‎что ‎свидетельствует‏ ‎о ‎растущем‏ ‎внимании ‎к ‎кибербезопасности ‎в ‎сфере‏ ‎Интернета‏ ‎вещей.

Firebase ‎—‏ ‎это ‎платформа, ‎которая ‎как ‎и‏ ‎другие, ‎требует‏ ‎от‏ ‎разработчиков ‎использования ‎механизмов‏ ‎защиты. ‎Однако,‏ ‎похоже, ‎что ‎разработчики ‎либо‏ ‎не‏ ‎прошли ‎необходимого‏ ‎обучения ‎по‏ ‎безопасности, ‎либо ‎не ‎выделили ‎достаточно‏ ‎времени‏ ‎на ‎протяжении‏ ‎жизненного ‎цикла‏ ‎разработки, ‎чтобы ‎применить ‎правильные ‎средства‏ ‎контроля‏ ‎безопасности

Причины‏ ‎неправильных ‎настроек‏ ‎Firebase

Неправильные ‎настройки‏ ‎экземпляров ‎Firebase,‏ ‎которые‏ ‎привели ‎к‏ ‎раскрытию ‎19 ‎миллионов ‎паролей ‎в‏ ‎виде ‎открытого‏ ‎текста‏ ‎и ‎конфиденциальных ‎пользовательских‏ ‎данных, ‎в‏ ‎основном ‎были ‎вызваны ‎двумя‏ ‎факторами:

📌Отсутствие‏ ‎настроек ‎безопасности: В‏ ‎некоторых ‎экземплярах‏ ‎Firebase ‎не ‎были ‎включены ‎механизмы‏ ‎защиты,‏ ‎которые ‎должны‏ ‎были ‎выступать‏ ‎в ‎качестве ‎первой ‎линии ‎защиты‏ ‎от‏ ‎несанкционированного‏ ‎доступа.

📌Неправильная ‎настройка: настройки‏ ‎были ‎настроены‏ ‎неправильно, ‎что‏ ‎позволила‏ ‎сделать ‎общедоступными‏ ‎данные, ‎которые ‎должны ‎были ‎быть‏ ‎конфиденциальными.

Отрасли:

📌Розничная ‎торговля‏ ‎и‏ ‎гостиничный ‎бизнес: сети ‎быстрого‏ ‎питания ‎и‏ ‎другие ‎предприятия ‎розничной ‎торговли‏ ‎оказались‏ ‎в ‎числе‏ ‎пострадавших, ‎в‏ ‎частности, ‎в ‎результате ‎внедрения ‎Firebase‏ ‎в‏ ‎Chattr, ‎данные‏ ‎пользователей ‎были‏ ‎раскрыты.

📌Здравоохранение: приложения ‎для ‎здравоохранения ‎«публиковали» ‎личные‏ ‎семейные‏ ‎фотографии‏ ‎и ‎ID‏ ‎токены.

📌Электронная ‎коммерция: на‏ ‎платформах ‎электронной‏ ‎коммерции‏ ‎произошла ‎утечка‏ ‎данных ‎с ‎платформ ‎обмена ‎криптовалютами.

📌Образование: Система‏ ‎управления ‎обучением‏ ‎для‏ ‎преподавателей ‎и ‎студентов‏ ‎подверглась ‎утечке‏ ‎27 ‎миллионах ‎пользовательских ‎данных.

📌Разработка‏ ‎технологий‏ ‎и ‎приложений: также‏ ‎проблема ‎затронула‏ ‎широкий ‎спектр ‎мобильных ‎и ‎веб-приложений‏ ‎в‏ ‎различных ‎секторах,‏ ‎т. ‎к.‏ ‎Firebase ‎используется ‎как ‎составной ‎компонент‏ ‎в‏ ‎составе‏ ‎многих ‎решений

Инструмент ‎Terminator‏ ‎является ‎частью ‎класса ‎атак, ‎известного‏ ‎как ‎«Принеси‏ ‎собственный‏ ‎уязвимый ‎драйвер» ‎(BYOVD).‏ ‎Эта ‎стратегия‏ ‎предполагает ‎использование ‎легитимных, ‎но‏ ‎уязвимых‏ ‎драйверов ‎для‏ ‎обхода ‎мер‏ ‎безопасности, ‎прерывания ‎процессов ‎защиты ‎от‏ ‎вирусов‏ ‎и ‎EDR‏ ‎и ‎выполнения‏ ‎вредоносных ‎действий ‎без ‎обнаружения.

Особенности ‎угрозы‏ ‎эксплуатации‏ ‎инструмента

Инструмент‏ ‎Terminator ‎представляет‏ ‎собой ‎серьезную‏ ‎угрозу ‎из-за‏ ‎своей‏ ‎способности ‎отключать‏ ‎защитные ‎решения, ‎тем ‎самым ‎способствуя‏ ‎целому ‎ряду‏ ‎вредоносных‏ ‎действий. ‎Эти ‎действия‏ ‎могут ‎варьироваться‏ ‎от ‎развертывания ‎дополнительных ‎вредоносных‏ ‎программ‏ ‎до ‎масштабной‏ ‎компрометации ‎системы‏ ‎и ‎сбоев ‎в ‎работе.

Техническая ‎сложность‏ ‎и‏ ‎проблемы ‎с‏ ‎оценкой ‎рисков

Оценить‏ ‎риск, ‎связанный ‎с ‎инструментарием ‎Terminator,‏ ‎сложно‏ ‎по‏ ‎ряду ‎причин.‏ ‎К ‎ним‏ ‎относятся ‎эволюционирующий‏ ‎характер‏ ‎инструмента, ‎разнообразие‏ ‎и ‎масштаб ‎применения, ‎а ‎также‏ ‎диапазон ‎потенциальных‏ ‎целей.‏ ‎Точный ‎процент ‎успеха‏ ‎Terminator ‎в‏ ‎компрометации ‎организаций ‎трудно ‎оценить‏ ‎количественно.‏ ‎Однако ‎его‏ ‎техническая ‎сложность‏ ‎в ‎сочетании ‎с ‎растущей ‎популярностью‏ ‎методов‏ ‎BYOVD ‎среди‏ ‎участников ‎угроз‏ ‎свидетельствует ‎о ‎растущей ‎угрозе

Кибератака ‎с‏ ‎использованием‏ ‎Terminator‏ ‎может ‎иметь‏ ‎серьезные ‎последствия‏ ‎для ‎организации.‏ ‎С‏ ‎точки ‎зрения‏ ‎операционной ‎деятельности, ‎финансовые ‎последствия ‎могут‏ ‎включать ‎значительные‏ ‎расходы‏ ‎на ‎реагирование ‎на‏ ‎инциденты, ‎восстановление‏ ‎системы, ‎судебные ‎издержки ‎и‏ ‎возможные‏ ‎штрафы ‎за‏ ‎нарушение ‎нормативных‏ ‎требований. ‎Более ‎того, ‎репутационный ‎ущерб‏ ‎от‏ ‎успешного ‎взлома‏ ‎может ‎привести‏ ‎к ‎потере ‎доверия ‎клиентов, ‎истощению‏ ‎ресурсов‏ ‎и‏ ‎невыгодному ‎положению‏ ‎в ‎конкурентной‏ ‎борьбе, ‎особенно‏ ‎в‏ ‎случае ‎утечки‏ ‎конфиденциальных ‎данных ‎или ‎их ‎фальсификации

Эволюция‏ ‎и ‎варианты‏ ‎Terminator

С‏ ‎момента ‎своего ‎первоначального‏ ‎выпуска ‎было‏ ‎разработано ‎множество ‎вариантов ‎инструмента‏ ‎Terminator,‏ ‎включая ‎версии‏ ‎с ‎открытым‏ ‎исходным ‎кодом ‎и ‎написанные ‎на‏ ‎разных‏ ‎языках ‎программирования,‏ ‎таких ‎как‏ ‎C# ‎(SharpTerminator) ‎и ‎Nim ‎(Ternimator).‏ ‎Эти‏ ‎варианты‏ ‎нацелены ‎на‏ ‎воспроизведение ‎оригинальной‏ ‎технологии ‎или‏ ‎предлагают‏ ‎кроссплатформенную ‎поддержку,‏ ‎что ‎потенциально ‎позволяет ‎обойти ‎статические‏ ‎средства ‎обнаружения‏ ‎или‏ ‎эвристические ‎модели.

Атаки ‎и‏ ‎их ‎последствия

Использование‏ ‎инструмента ‎Terminator ‎и ‎его‏ ‎разновидностей‏ ‎известно, ‎например‏ ‎заметная ‎атака‏ ‎на ‎организацию ‎здравоохранения ‎15 ‎декабря‏ ‎2023‏ ‎года. ‎В‏ ‎ходе ‎этой‏ ‎атаки ‎злоумышленники ‎попытались ‎выполнить ‎команду‏ ‎PowerShell‏ ‎для‏ ‎загрузки ‎текстового‏ ‎файла ‎с‏ ‎сервера ‎C2,‏ ‎который‏ ‎был ‎предназначен‏ ‎для ‎установки ‎XMRig ‎cryptominer ‎в‏ ‎целевой ‎системе.

Распространенные‏ ‎методы,‏ ‎используемые ‎злоумышленниками ‎для‏ ‎злоупотребления ‎инструментом‏ ‎Terminator:

1. Использование ‎легитимных, ‎но ‎уязвимых‏ ‎драйверов

Злоумышленники‏ ‎внедряют ‎легитимный‏ ‎драйвер, ‎который‏ ‎является ‎уязвимым, ‎в ‎целевую ‎систему,‏ ‎а‏ ‎затем ‎используют‏ ‎уязвимый ‎драйвер‏ ‎для ‎выполнения ‎вредоносных ‎действий. ‎Это‏ ‎основной‏ ‎принцип‏ ‎атак ‎BYOVD,‏ ‎при ‎которых‏ ‎инструмент ‎Terminator‏ ‎использует‏ ‎уязвимости ‎в‏ ‎таких ‎драйверах, ‎как ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger) ‎или‏ ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware), ‎чтобы‏ ‎получить ‎привилегии‏ ‎ядра ‎и ‎выполнить ‎предоставленный‏ ‎злоумышленником‏ ‎код ‎в‏ ‎контексте ‎ядра

2. Повышение‏ ‎привилегий ‎на ‎уровне ‎ядра

Успешная ‎эксплуатация‏ ‎позволяет‏ ‎злоумышленникам ‎добиться‏ ‎повышения ‎привилегий‏ ‎на ‎уровне ‎ядра, ‎предоставляя ‎им‏ ‎наивысший‏ ‎уровень‏ ‎доступа ‎и‏ ‎контроля ‎над‏ ‎системными ‎ресурсами.‏ ‎Эти‏ ‎повышенные ‎привилегии‏ ‎используются ‎путем ‎отключения ‎программного ‎обеспечения‏ ‎endpoint ‎security‏ ‎или‏ ‎уклонения ‎от ‎его‏ ‎обнаружения, ‎что‏ ‎позволяет ‎злоумышленникам ‎беспрепятственно ‎выполнять‏ ‎вредоносные‏ ‎действия

3. Отключение ‎защитных‏ ‎решений ‎

Как‏ ‎только ‎защита ‎endpoint ‎security ‎взломана,‏ ‎злоумышленники‏ ‎могут ‎отключить‏ ‎антивирус ‎и‏ ‎процессы ‎обнаружения ‎и ‎реагирования ‎на‏ ‎конечные‏ ‎точки‏ ‎(EDR), ‎развернуть‏ ‎дополнительное ‎вредоносное‏ ‎ПО ‎или‏ ‎выполнить‏ ‎другие ‎вредоносные‏ ‎действия ‎без ‎обнаружения. ‎Инструмент ‎Terminator‏ ‎специально ‎нацелен‏ ‎на‏ ‎процессы, ‎связанные ‎с‏ ‎решениями ‎для‏ ‎обеспечения ‎безопасности, ‎и ‎завершает‏ ‎их,‏ ‎эффективно ‎скрывая‏ ‎их ‎от‏ ‎текущих ‎атак

4. Использование ‎IOCTL-кодов

Инструмент ‎Terminator ‎и‏ ‎его‏ ‎варианты ‎используют‏ ‎коды ‎IOCTL‏ ‎(управление ‎вводом/выводом) ‎для ‎запроса ‎функциональных‏ ‎возможностей‏ ‎у‏ ‎уязвимого ‎драйвера,‏ ‎таких ‎как‏ ‎попытка ‎завершить‏ ‎целевые‏ ‎процессы. ‎Это‏ ‎включает ‎в ‎себя ‎отправку ‎определенных‏ ‎IOCTL-кодов ‎вместе‏ ‎с‏ ‎параметрами, ‎такими ‎как‏ ‎идентификатор ‎запущенного‏ ‎процесса, ‎чтобы ‎манипулировать ‎поведением‏ ‎драйвера‏ ‎в ‎интересах‏ ‎злоумышленника

5. Административные ‎привилегии‏ ‎и ‎обход ‎контроля ‎учетных ‎записей

Чтобы‏ ‎эффективно‏ ‎использовать ‎драйвер,‏ ‎злоумышленнику ‎потребуются‏ ‎административные ‎привилегии ‎и ‎возможность ‎обхода‏ ‎контроля‏ ‎учетных‏ ‎записей ‎пользователей‏ ‎(UAC), ‎или‏ ‎же ‎ему‏ ‎потребуется‏ ‎убедить ‎пользователя‏ ‎принять ‎запрос ‎UAC. ‎Это ‎требование‏ ‎подчеркивает ‎важность‏ ‎тактики‏ ‎повышения ‎привилегий ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎успешного ‎развертывания ‎средства‏ ‎Terminator

6. Предотвращение‏ ‎обнаружения

Злоумышленники ‎разработали‏ ‎свои ‎методы,‏ ‎позволяющие ‎избежать ‎обнаружения ‎с ‎помощью‏ ‎средств‏ ‎защиты. ‎Например,‏ ‎инструмент ‎Terminator‏ ‎пытается ‎эмулировать ‎легитимные ‎заголовки ‎протоколов/файлов,‏ ‎чтобы‏ ‎обойти‏ ‎меры ‎безопасности,‏ ‎хотя ‎это‏ ‎и ‎не‏ ‎увенчалось‏ ‎успехом. ‎Использование‏ ‎легитимных ‎протоколов ‎и ‎служб ‎в‏ ‎качестве ‎серверов‏ ‎управления‏ ‎и ‎контроля ‎(C&‏ ‎C) ‎или‏ ‎каналов ‎связи ‎является ‎еще‏ ‎одной‏ ‎тактикой ‎для‏ ‎сокрытия ‎своих‏ ‎следов

7. Использование ‎общедоступных ‎платформ ‎и ‎протоколов

Злоумышленники‏ ‎также‏ ‎используют ‎общедоступные‏ ‎платформы ‎и‏ ‎протоколы, ‎такие ‎как ‎мессенджеры ‎(IMs)‏ ‎и‏ ‎бесплатные‏ ‎почтовые ‎сервисы,‏ ‎для ‎взаимодействия‏ ‎со ‎взломанными‏ ‎системами‏ ‎и ‎поддержания‏ ‎контроля ‎над ‎своими ‎целями. ‎Этот‏ ‎метод ‎помогает‏ ‎сочетать‏ ‎вредоносный ‎трафик ‎с‏ ‎законной ‎сетевой‏ ‎активностью, ‎что ‎усложняет ‎обнаружение