Полина ЭЙСМОНТ | Как читать новостной текст?
Лекция филолога Полины Эйсмонт об особенностях работы с информацией в цифровую эпоху. Ко Дню Журналиста.
Обзор экономических новостей ФРГ — 17/24
📌 Обзор важнейших экономических новостей Германии за семнадцатую неделю 2024: 💡 Растёт доля энергии из возобновляемых источников 💡 Немецкие промышленники страдают, но не все 💡 Рост безработицы и нехватка персонала 💡 Розничная торговля увядает 💡
Bite
Проект BiTE на GitHub — это дизассемблер с поддержкой Rust.
Цель
BiTE разработан как кросс-платформенный инструмент анализа исполняемых файлов. Его основная цель — предоставить среду для проверки содержимого двоичных файлов и их отладочной информации. Инструмент предназначен для поддержки различных архитектур, что делает его универсальным для различных исполняемых форматов.
Особенности
📌 Просмотр списка сборок: позволяет пользователям просматривать результат разбора двоичного файла вместе с соответствующим исходным кодом.
📌 Интерактивные элементы: включает заголовок с кнопками и параметрами, просмотр списка сборок и интерактивный терминал.
📌 Исправление байтовых инструкций: позволяет пользователям напрямую изменять двоичный файл.
📌 Программа просмотра двоичных файлов в hex-формате: предоставляет шестнадцатеричное представление двоичных файлов для детальной проверки.
📌 Интерфейсы для отладки: поддерживает front-end интерфейсы для отладки.
📌 Поддерживаемые архитектуры: Включает поддержку нескольких архитектур, таких как X86-64, AArch64/Armv7, Riscv64gc/Riscv32gc и MIPS-V.
📌 Поддержка целевых систем: Обеспечивает разборку для различных целевых систем, включая MSVC, Itanium и Rust.
📌 Декодирование структур данных: Позволяет декодировать структуры данных на основе каждого раздела двоичного файла.
📌 Обновление списка сборок: Преобразует списки сборок в представление более высокого уровня.
📌 Определение адресов: помогает в определении адресов в двоичном коде.
📌 Интерпретация данных, не связанных с кодом: Позволяет интерпретировать данные в двоичном коде, которые не являются исполняемым кодом.
📌 Создание меток для относительных переходов: Облегчает создание меток для инструкций по относительному переходу в процессе разборки.
AttackGen
Репозиторий AttackGen на GitHub предоставляет инструмент тестирования реагирования на инциденты в области кибербезопасности, который объединяет большие языковые модели с платформой MITRE ATT& CK для создания индивидуальных сценариев реагирования на инциденты
Особенности
📌 Формирование сценариев: AttackGen может генерировать уникальные сценарии реагирования на инциденты на основе выбранных групп участников угроз
📌 Настройка: пользователи могут указывать размер организации и отрасль для сценариев, адаптированных к их конкретному контексту
📌 Интеграция MITRE ATT& CK: Инструмент отображает подробный список методов, используемых выбранной группой участников угроз, в соответствии с платформой MITRE ATT& CK
📌 Пользовательские сценарии: Есть возможность создавать пользовательские сценарии на основе выбранных методов ATT& CK
📌 Сбор отзывов: в AttackGen включена функция сбора отзывов пользователей о качестве создаваемых сценариев
📌 Контейнер Docker: Инструмент доступен в виде образа контейнера Docker для упрощения развертывания
Использование
📌 Запуск инструмента: приведены инструкции по запуску программы AttackGen и переходу к указанному URL-адресу в веб-браузере
📌 Выбор сценария: Пользователи могут выбрать отрасль компании, размер и желаемую группу участников угроз для создания сценариев
Требования
📌 Python: Требуется последняя версия Python
📌 Пакеты Python: Зависимости включают pandas, streamlit и другие пакеты, необходимые для пользовательских библиотек (langchain и mitreattack)
📌 Ключи API: Необходим ключ OpenAI API, а ключ LangChain API является необязательным
Amazon, Israel и Секретность
В статье сообщается о существенной ошибке в системе безопасности, связанной с командиром израильского подразделения 8200, возникшей ввиду публикации его книги Amazon.
📌 Раскрытие личности: Йоси Сариэль, командир израильского подразделения 8200, непреднамеренно раскрыл свою настоящую личность в Интернете. Подразделение 8200 — это очень засекреченная часть израильских вооруженных сил, которую часто сравнивают с АНБ США по возможностям ведения наблюдения
📌 Цифровой след: Разоблачение произошло из-за цифрового следа, оставленного книгой Сариэль, опубликованной на Amazon под названием «Человеко-машинная команда». Книга, в которой обсуждается интеграция ИИ в военные операции, была привязана к личному аккаунту автора в Google, что позволило раскрыть его уникальный идентификатор и ссылки на его карты и приложения. профили календаря
📌 Критика: Пребывание Сариэля на посту главы подразделения 8200 было неоднозначным, поскольку подразделение не смогло предсказать и предотвратить крупную атаку ХАМАСА на юг Израиля 7 октября, в результате которой погибло около 1200 израильтян и было захвачено 240 заложников. Подразделение также подверглось критике за его роль в войне в Газе, где в военных операциях использовались системы искусственного интеллекта
📌 Общественный резонанс: Раскрытие личности Сариэля произошло в то время, когда он уже находился под пристальным вниманием общественности в Израиле. Армия обороны Израиля (ЦАХАЛ) отреагировала на сообщение, заявив, что адрес электронной почты, связанный с книгой, не был личным аккаунтом Сариэля и был посвящен книге. Армия обороны Израиля признала ошибку и заявила, что этот вопрос будет расследован, чтобы предотвратить подобные случаи в будущем
📌 Репутация подразделения: Подразделение 8200 известно своим опытом сбора радио-разведывательных данных и оказывает значительное влияние на технологическую индустрию Израиля. Раскрытие личности Сариэля рассматривается как удар по репутации подразделения и привело к обвинениям в высокомерии и потенциальному компромиссу в сборе разведданных
What2Log
What2Log — блог, посвященный обсуждению различных аспектов управления журналами и их анализа, где публикуются обновления инструмента What2Log, информация о конкретных функциях ведения журнала и обсуждения проблем, связанных с управлением журналами:
📌 Раздел обновлений: В блоге представлены подробные сведения о новых версиях инструмента What2Log.
📌 EventRecordID: В одной из записей блога упоминается EventRecordID — скрытый XML-тег в журналах событий Windows, который расширяет информацию журнала.
📌 Идентификатор события 4672: В одной из записей блога обсуждается значение идентификатора события 4672 в Windows, который регистрирует специальные привилегии, назначенные новым пользователям для входа в систему.
📌 Проблемы управления журналами: В нескольких публикациях из серии блогов рассматриваются различные проблемы управления журналами, включая управление объемом журналов, анализ журналов, корреляцию событий и агрегацию журналов. В этих публикациях рассматриваются сложности и необходимые соображения для эффективного управления журналами и их анализа.
В целом, блог служит ресурсом для людей, интересующихся техническими аспектами ведения журналов, предлагая как образовательный контент, так и обновления по инструменту What2Log на Github
XZ Инцидент
В статье обсуждается значительный инцидент с кибербезопасностью, связанный с программным пакетом XZ Utils, который широко используется в операционных системах Linux для сжатия данных.
📌 Расследование: Об инциденте стало известно, когда инженер Microsoft Андрес Фройнд заметил необычное замедление при использовании SSH, инструмента для безопасного удаленного входа в систему. Его расследование привело к обнаружению вредоносного кода, встроенного в пакет XZ Utils в его системе
📌 Вредоносный код в XZ Utils: Вредоносный код был представлен в двух последних обновлениях XZ Utils. Он был разработан для нарушения процесса аутентификации по SSH, создания бэкдора, который мог бы обеспечить несанкционированный удаленный доступ к уязвимым системам.
📌 Влияние и значимость: Учитывая, что XZ Utils необходим для многих операций в системах Linux, на которых работает подавляющее большинство интернет-серверов, потенциальное воздействие этого бэкдора могло бы быть катастрофическим, затронув бесчисленное множество компьютеров по всему миру
📌 Реагирование и предотвращение: Инцидент подчеркивает важность бдительности и оперативных действий в области кибербезопасности для предотвращения подобных нарушений
📌 Последствия: Эта ситуация подчеркивает серьёзные проблемы, связанные с безопасностью ПО с открытым исходным кодом, и необходимость постоянного мониторинга и обновления такого ПО для защиты от угроз
Крах криптомагната.
Здравствуйте, уважаемые друзья!
Подошла к концу история взлёта и падения одного из самых известных криптомагнатов мира.
- Федеральный судья приговорил Бэнкмана-Фрида к двадцати пяти годам тюремного заключения. История очень шумная и неприятная. Крупнейший финансовый скандал. Чем-то это напомнило мне историю Бернарда Медоффа. По крайней мере, суммы сопоставимы.
Приговор был вынесен спустя пять месяцев после признания вины присяжными. Даже для тридцатидвухлетнего человека срок весьма серьёзный. Так же, ему предписано выплатить 11 миллиардов долларов.
Всего несколько лет назад Сэм был крупнейшим воротилой финансовых рынков, финансировал предвыборные кампании, привлекал десятки миллионов долларов от инвесторов Кремниевой долины, и даже говорил о том, что в ближайшее время станет владельцем Goldman Sachs.
«Любой, кто считает, что может скрыть свои финансовые преступления за богатством и властью или за блестящей новой вещью, которую, по их утверждению, никто другой не достаточно умен, чтобы понять, должен подумать дважды», — заявил генеральный прокурор Меррик Гарланд в заявлении после вынесения приговора.
После краха криптовалютной биржи FTX Bankman-Fried федеральные власти усилили репрессии в отрасли, выдвинув обвинения против нескольких других видных руководителей и фирм в мошенничестве и содействии отмыванию денег, в том числе для целей терроризма и незаконного оборота наркотиков.
- Бэнкман-Фрид был признан виновным по семи пунктам обвинения в мошенничестве и заговоре, связанных с операциями ныне несуществующей FTX. Прокуроры утверждали, среди прочего, что он перекачал миллиарды долларов денег клиентов для финансирования своего образа жизни, масштабной кампании политического влияния и рискованных ставок Alameda Research, фирмы по торговле криптовалютами, которую он основал до FTX.
Резюмирую.
Морализировать не буду. Никто не застрахован от таких жизненных поворотов. «От тюрьмы и сумы не зарекайся», как говорится. Как вы знаете, я не сторонник реальных сроков по финансовым преступлениям, если можно компенсировать украденное и заплатить штраф. Кому будет легче от того, что он сядет?
Что касается всей ситуации, финансовые рынки — это то место, где такого рода события происходят с завидной регулярностью.
Будьте бдительны. Не лезьте в проекты с «гарантированной» доходностью в десятки-сотни процентов в месяц. Бесплатный сыр только в мышеловке. Поверьте, ничего не изменилось со времён царя Гороха.
Обзор экономических новостей ФРГ — 16/24
📌 Обзор важнейших экономических новостей Германии за шестнадцатую неделю 2024: 💡 Правительство прогнозирует ВВП 💡 Китай во всём виноват 💡 Немцы работают много, но недостаточно 💡 У немцев много денег 💡 Темпы строительства снижаются 💡 Цены на энергоносители снижались 💡
Meta Pixel tracker
Исследователи в области ИБ недавно обнаружили сложную операцию по скиммингу кредитных карт, которая умело маскируется под безобидный Facebook-трекер, а именно поддельный скрипт Meta Pixel tracker.
Механизм атаки
Злоумышленники пользуются доверием к широко известным скриптам, таким как Google Analytics или jQuery, называя свои вредоносные скрипты так, чтобы они имитировали эти легитимные сервисы. Поддельный скрипт Meta Pixel tracker при ближайшем рассмотрении обнаруживает код JavaScript, который заменяет ссылки на законный домен «connect.facebook[.]net» на «b-connected[.]com», законный веб-сайт электронной коммерции, который был взломан для размещения кода скиммера. Такая подмена является ключевой, поскольку позволяет вредоносному коду выполняться под видом легитимного сервиса
Схема процесса
Как только вредоносный скрипт загружается на взломанный веб-сайт, он отслеживает определенные действия, например, переход посетителя на страницу оформления заказа. На этом этапе он служит для мошеннического наложения, предназначенного для перехвата данных кредитной карты, введенных жертвой. Затем украденная информация передается на другой взломанный сайт», http://www.donjuguetes [.]es, что демонстрирует многоуровневый характер этой атаки
Последствия
Этот инцидент подчеркивает важность бдительности и надежных методов обеспечения безопасности для владельцев веб-сайтов, особенно для тех, кто использует платформы электронной коммерции. Использование поддельных скриптов, имитирующих законные сервисы, является хитрой стратегией, которая может легко обмануть даже самых осторожных пользователей. Таким образом, для обнаружения и устранения таких угроз важно применять комплексные меры безопасности, включая использование систем обнаружения вторжений и мониторинг веб-сайтов
Чешская Республика и атаки на ЖД
Событие дня: Чешская Республика, доблестно стоящая на переднем крае, утверждает, что Россия неустанно работает изо всех сил, проводя «тысячи» кибератак на их железнодорожные системы с февраля 2022 года, потому что невозможно завоевать мир, не взломав сначала чешские системы продажи железнодорожных билетов.
Министр транспорта Мартин Купка, выступающий в качестве «лучшего» аналитика кибервойн, распевал байки о том, как эти кибератаки потенциально могут привести к несчастным случаям, вызывая беспорядок и неразбериху среди проводников поездов
Агентство ЕС по кибербезопасности выступило в поддержку Чехии со своим отчетом, в котором отметило всплеск кибератак на железные дороги в Латвии, Литве, Румынии и Эстонии.
После этого чешское агентство кибербезопасности NUKIB стало свидетелем всплеска кибератак, направленных не только на железные дороги, но и на энергетический сектор. Объяснение почему: все это является частью грандиозного плана по… ну, мы не совсем уверены, но это звучит слишком коварно и кто-то должен быть виноват и мы уже знаем кто именно (поэтому дайте денег).
В ответ на эти выдуманные действия Прага заняла решительную позицию и приняла закон, позволяющий принимать меры против иностранных организаций, подозреваемых в киберпреступлениях. Потому что ничто так не говорит «попались, хакеры!» как законодательный акт. Они также устанавливают ограничения для участия иностранных операторов в тендерах на критически важные проекты, потому что ничто так не кричит о безопасности, как бюрократия
Чешская Республика, вооруженная законами и тендерными ограничениями, решительно противостоит кибератаке, направленной на ее железные дороги, потому что на большой шахматной доске международной политики действительно имеет значение только расписание чешских поездов.
Таблица EDR
Проект направлен на отслеживание и сравнение функций телеметрии, реализованных в различных системах EDR для Windows. Документ представляет собой сравнительную таблицу телеметрии, в которой подробно описаны возможности различных продуктов EDR по сбору определенных типов телеметрических данных, имеющих отношение к кибербезопасности.
📌 В CrowdStrike и Microsoft Defender реализованы комплексные функции в нескольких категориях. В обоих продуктах большое количество функций, отмеченных как полностью реализованные (✅), в различных категориях функций телеметрии. Это указывает на широкий охват с точки зрения возможностей сбора телеметрических данных, что имеет решающее значение для эффективного обнаружения конечных точек и реагирования на них.
📌 С другой стороны, WatchGuard и Harfanglab обладают значительным количеством функций, помеченных как не реализованные (❌) или частично реализованные (⚠️). Это говорит о том, что у этих продуктов могут быть пробелы в возможностях сбора телеметрических данных по сравнению с другими продуктами EDR, перечисленными в документе.
Короткие истории о проблемах безопасности и доверия
Несколько случаев нарушения доверия и безопасности в ВВС США:
📌 Подрядчик ВМС США, который в 2007 году внедрил вредоносный код в программное обеспечение системы обнаружения угроз на подводной лодке. Этот акт был преднамеренным саботажем, который мог поставить под угрозу безопасность и эксплуатационные возможности подводной лодки. Вредоносный код в таких критически важных системах потенциально мог отключить обнаружение угроз, что привело бы к необнаруженным навигационным опасностям или действиям противника.
📌Роберт Бирчам, офицер разведки ВВС США в отставке, который был приговорен к трем годам заключения в федеральной тюрьме за незаконное хранение секретных документов. Бирчам, вышедший в отставку в 2018 году в звании подполковника, проработал 29 лет на различных должностях в разведке, включая должности, которые требовали от него работы с секретной разведывательной информацией для Объединенного командования специальных операций,
📌Гарольд Мартин, бывший сотрудник Агентства национальной безопасности, был арестован в августе 2016 года за кражу и хранение особо секретных документов, которые хранились в течение 20 лет. Мартин хранил эти документы в своем доме и автомобиле. Украденные документы содержали конфиденциальную информацию о планировании АНБ, сборе разведданных, возможностях киберкомандования США и проблемах в кибервозможностях США.
📌Джерри Чун Шинг Ли, бывший сотрудник ЦРУ, был арестован в январе 2018 года по обвинению в незаконном хранении информации о национальной обороне. У Ли были записные книжки, в которых содержались рукописные записи с секретной информацией, включая настоящие имена и номера телефонов сотрудников и секретные оперативные заметки ЦРУ.
📌Джек Тейшейра, военнослужащий Национальной гвардии ВВС Массачусетса, признал себя виновным в утечке секретных военных документов в социальные сети.
Радио-атаки
Хакерская группа «Handala» во второй раз взяла на себя ответственность за взлом радарных систем неустановленной цели. Группа предупредила, что у цели есть всего несколько часов на ремонт систем, и предложила сбежать.
Инженеры разработали способ заставить автомобильные радарные системы «галлюцинировать», посылая поддельные сигналы на радар цели. Исследователи продемонстрировали этот способ на реальных радарных системах в реальных автомобилях, движущихся на высокой скорости. Они смогли заставить целевую машину воспринимать другую машину там, где ее на самом деле не было, обмануть радар цели, заставив ее думать, что проезжающей машины нет, хотя на самом деле она существовала, и создать впечатление, что существующая машина внезапно изменила курс.
Результаты исследований, проведённых инженерами, публично были поддержаны различными организациями, включая Управление военно-морских исследований, Управление научных исследований ВВС и Национальный научный фонд.
Обзор экономических новостей ФРГ — 15/24
📌 Обзор важнейших экономических новостей Германии за пятнадцатую неделю 2024: 💡 Проблемы с оплатой инфраструктуры 💡 Снижение инфляции 💡 Подорожание интернета 💡 Возможное подорожание мяса 💡 Падение экспорта 💡 Китай виновен 💡 Рост числа банкротств 💡 Но есть и хорошие новости
Evilginx + GoPhish
В статье обсуждается интеграция Evilginx 3.3 с GoPhish, который с очередным обновлением расширяет возможности для целей фишинговых кампаний. Эти обновления Evilginx и его интеграция с GoPhish представляют собой значительный прогресс в технологии фишинговых кампаний, предлагая пользователям более совершенные инструменты для создания попыток фишинга и управления ими с расширенными возможностями настройки и отслеживания.
Ключевые моменты и новые функции, которые были представлены:
📌 Интеграция с GoPhish: Evilginx теперь официально интегрируется с GoPhish. Это позволяет пользователям создавать фишинговые кампании, которые отправляют электронные письма с URL-адресами Evilginx, используя пользовательский интерфейс GoPhish для мониторинга эффективности кампании, включая открытие электронной почты, переходы по URL-адресу и успешные перехваты сеансов.
📌 Усовершенствования API: В обновлении добавлены дополнительные API в GoPhish, позволяющие изменять статус результатов для каждого отправленного электронного письма. Это улучшение способствует более эффективному управлению кампанией.
📌 Формирование URL-адреса («приманки»): При создании кампании в GoPhish пользователи больше не выбирают «Целевую страницу». Вместо этого они формируют URL-адрес в Evilginx и вводят его в текстовое поле «URL-адрес приманки Evilginx». Этот процесс упрощает создание фишинговых кампаний.
📌 Пользовательские параметры и персонализация: GoPhish автоматически формирует зашифрованные пользовательские параметры с персонализированным содержанием для каждой ссылки, встроенной в сгенерированные сообщения электронной почты. Эти параметры включают ФИО и адрес электронной почты получателя. Эта функция позволяет настраивать фишинговые страницы с помощью скриптов js_inject, повышая эффективность попыток фишинга.
📌 Расширенная поддержка TLD: Evilginx расширила поддержку новых доменов верхнего уровня (TLD), чтобы повысить эффективность обнаружения URL-адресов в прокси-пакетах. Обновленный список включает в себя множество доменов верхнего уровня, таких как .aero, .arpa, .biz, .cloud, .gov, .info, .net, .org и многие другие, включая все известные двухсимвольные домены верхнего уровня.
**
Evilginx и GoPhish — это инструменты, используемые в сфере кибербезопасности, в частности, в контексте моделирования фишинга и платформ для атак типа «человек посередине» (MitM). Они служат разным целям, но могут использоваться вместе для улучшения фишинговых кампаний и тестирования безопасности.
📌 Evilginx — это платформа для атак типа «человек посередине», которая может обходить механизмы двухфакторной аутентификации (2FA).
- Он работает путем обмана пользователя, заставляя его перейти на прокси-сайт, который выглядит как легитимный сайт, который он намеревается посетить. Когда пользователь входит в систему и передаёт учётные и MFA данные, Evilginx получает эти данные пользователя и токен аутентификации.
- Этот метод позволяет злоумышленнику повторно использовать токен и получить доступ к целевому сервису в качестве пользователя, эффективно обходя защиту 2FA.
📌 GoPhish — это набор инструментов для фишинга с открытым исходным кодом, предназначенный для предприятий и специалистов по безопасности для проведения тренингов по повышению уровня безопасности и моделирования фишинга, который позволяет создавать и отслеживать эффективность фишинговых кампаний, включая открытие электронной почты, переходы по ссылкам и отправку данных на фишинговые страницы.
Экспертные оценки проблем безопасности Интернета вещей в 2024 году
В статье «Экспертные оценки проблем безопасности Интернета вещей в 2024 году» рассматривается эволюционирующий ландшафт безопасности Интернета вещей (IoT) по мере того, как технология продолжает интегрироваться в различные аспекты бизнеса и жизни потребителей. В статье освещаются важнейшие проблемы безопасности, с которыми столкнется Интернет вещей в 2024 году, подчеркивается необходимость тщательного мониторинга, надежных мер безопасности и соблюдения нормативных требований для снижения рисков, связанных с расширением использования устройств Интернета вещей в различных секторах.
📌Рост рынка и зависимость от Интернета вещей: По прогнозам, в 2024 году объем мирового рынка интернета вещей составит 1,1 трлн долларов, а совокупный годовой темп роста (CAGR) составит 13%. На долю корпоративного интернета вещей приходится более 75% общего дохода, что подчеркивает значительную зависимость предприятий от систем Интернета вещей в своей операционной деятельности.
📌Риски для безопасности, связанные с чрезмерной зависимостью: Растущая зависимость от систем Интернета вещей создает ряд рисков для безопасности. Предприятия могут не замечать предупреждающих признаков кибератак из-за автономного характера систем Интернета вещей.
📌Распространенные проблемы безопасности Интернета вещей в 2024 году:
➡️➡️Расширение возможностей для атак: Взаимосвязанный характер систем Интернета вещей создает множество точек входа для киберпреступников, что затрудняет эффективный мониторинг и защиту этих систем.
➡️➡️Риски в сети общего пользования: Сотрудникам рекомендуется не подключать рабочие устройства к небезопасным сетям общего пользования для снижения рисков безопасности.
📌Решение проблем безопасности Интернета вещей:
➡️➡️Статистика показывает, что только 4% компаний уверены в своей безопасности, при этом менее 5% считают, что их подключенные устройства защищены от кибератак.
➡️➡️Кибератаки происходят каждые 39 секунд, что подчеркивает необходимость принятия надежных мер безопасности.
➡️➡️Ключевые шаги для решения проблем безопасности Интернета вещей включают мониторинг уязвимостей, обеспечение безопасных подключений и внедрение регулярных обновлений и патчей.
📌Нормативно-правовая база: В статье также рассматривается меняющаяся нормативно-правовая база, связанная с кибербезопасностью Интернета вещей, в связи со значительными изменениями в законодательстве ЕС, США и Великобритании, направленными на повышение устойчивости подключенных устройств к киберугрозам и защиту конфиденциальности личной информации.
📌Финансовые последствия и управление рисками: Финансовые последствия угроз Интернета вещей значительны, что настоятельно требует от руководителей служб информационной безопасности (CISO) разработки стратегии предотвращения, включая учет финансовых последствий этих угроз и соответствующее планирование.
📌Природа IoT-атак: устройства Интернета вещей, зачастую из-за более слабых мер безопасности, являются главной мишенью для киберпреступников. В статье прогнозируется широкий спектр угроз IoT, включая вредоносное ПО, DDoS-атаки и угрозы с использованием ИИ.
📌Тенденции и цифры: Ожидается значительный рост рынка IoT-безопасности — с 3,35 млрд долларов в 2022 году до 13,36 млрд долларов в 2028 году, что свидетельствует о растущем внимании к кибербезопасности в сфере Интернета вещей.
Firebase
Firebase — это платформа, которая как и другие, требует от разработчиков использования механизмов защиты. Однако, похоже, что разработчики либо не прошли необходимого обучения по безопасности, либо не выделили достаточно времени на протяжении жизненного цикла разработки, чтобы применить правильные средства контроля безопасности
Причины неправильных настроек Firebase
Неправильные настройки экземпляров Firebase, которые привели к раскрытию 19 миллионов паролей в виде открытого текста и конфиденциальных пользовательских данных, в основном были вызваны двумя факторами:
📌Отсутствие настроек безопасности: В некоторых экземплярах Firebase не были включены механизмы защиты, которые должны были выступать в качестве первой линии защиты от несанкционированного доступа.
📌Неправильная настройка: настройки были настроены неправильно, что позволила сделать общедоступными данные, которые должны были быть конфиденциальными.
Отрасли:
📌Розничная торговля и гостиничный бизнес: сети быстрого питания и другие предприятия розничной торговли оказались в числе пострадавших, в частности, в результате внедрения Firebase в Chattr, данные пользователей были раскрыты.
📌Здравоохранение: приложения для здравоохранения «публиковали» личные семейные фотографии и ID токены.
📌Электронная коммерция: на платформах электронной коммерции произошла утечка данных с платформ обмена криптовалютами.
📌Образование: Система управления обучением для преподавателей и студентов подверглась утечке 27 миллионах пользовательских данных.
📌Разработка технологий и приложений: также проблема затронула широкий спектр мобильных и веб-приложений в различных секторах, т. к. Firebase используется как составной компонент в составе многих решений
Обзор экономических новостей ФРГ — 14/24
📌 Обзор важнейших экономических новостей Германии за четырнадцатую неделю 2024: 💡
Terminator / BYOVD
Инструмент Terminator является частью класса атак, известного как «Принеси собственный уязвимый драйвер» (BYOVD). Эта стратегия предполагает использование легитимных, но уязвимых драйверов для обхода мер безопасности, прерывания процессов защиты от вирусов и EDR и выполнения вредоносных действий без обнаружения.
Особенности угрозы эксплуатации инструмента
Инструмент Terminator представляет собой серьезную угрозу из-за своей способности отключать защитные решения, тем самым способствуя целому ряду вредоносных действий. Эти действия могут варьироваться от развертывания дополнительных вредоносных программ до масштабной компрометации системы и сбоев в работе.
Техническая сложность и проблемы с оценкой рисков
Оценить риск, связанный с инструментарием Terminator, сложно по ряду причин. К ним относятся эволюционирующий характер инструмента, разнообразие и масштаб применения, а также диапазон потенциальных целей. Точный процент успеха Terminator в компрометации организаций трудно оценить количественно. Однако его техническая сложность в сочетании с растущей популярностью методов BYOVD среди участников угроз свидетельствует о растущей угрозе
Кибератака с использованием Terminator может иметь серьезные последствия для организации. С точки зрения операционной деятельности, финансовые последствия могут включать значительные расходы на реагирование на инциденты, восстановление системы, судебные издержки и возможные штрафы за нарушение нормативных требований. Более того, репутационный ущерб от успешного взлома может привести к потере доверия клиентов, истощению ресурсов и невыгодному положению в конкурентной борьбе, особенно в случае утечки конфиденциальных данных или их фальсификации
Эволюция и варианты Terminator
С момента своего первоначального выпуска было разработано множество вариантов инструмента Terminator, включая версии с открытым исходным кодом и написанные на разных языках программирования, таких как C# (SharpTerminator) и Nim (Ternimator). Эти варианты нацелены на воспроизведение оригинальной технологии или предлагают кроссплатформенную поддержку, что потенциально позволяет обойти статические средства обнаружения или эвристические модели.
Атаки и их последствия
Использование инструмента Terminator и его разновидностей известно, например заметная атака на организацию здравоохранения 15 декабря 2023 года. В ходе этой атаки злоумышленники попытались выполнить команду PowerShell для загрузки текстового файла с сервера C2, который был предназначен для установки XMRig cryptominer в целевой системе.
Распространенные методы, используемые злоумышленниками для злоупотребления инструментом Terminator:
1. Использование легитимных, но уязвимых драйверов
Злоумышленники внедряют легитимный драйвер, который является уязвимым, в целевую систему, а затем используют уязвимый драйвер для выполнения вредоносных действий. Это основной принцип атак BYOVD, при которых инструмент Terminator использует уязвимости в таких драйверах, как zam64.sys (Zemana Anti-Logger) или zamguard64.sys (Zemana Anti-Malware), чтобы получить привилегии ядра и выполнить предоставленный злоумышленником код в контексте ядра
2. Повышение привилегий на уровне ядра
Успешная эксплуатация позволяет злоумышленникам добиться повышения привилегий на уровне ядра, предоставляя им наивысший уровень доступа и контроля над системными ресурсами. Эти повышенные привилегии используются путем отключения программного обеспечения endpoint security или уклонения от его обнаружения, что позволяет злоумышленникам беспрепятственно выполнять вредоносные действия
3. Отключение защитных решений
Как только защита endpoint security взломана, злоумышленники могут отключить антивирус и процессы обнаружения и реагирования на конечные точки (EDR), развернуть дополнительное вредоносное ПО или выполнить другие вредоносные действия без обнаружения. Инструмент Terminator специально нацелен на процессы, связанные с решениями для обеспечения безопасности, и завершает их, эффективно скрывая их от текущих атак
4. Использование IOCTL-кодов
Инструмент Terminator и его варианты используют коды IOCTL (управление вводом/выводом) для запроса функциональных возможностей у уязвимого драйвера, таких как попытка завершить целевые процессы. Это включает в себя отправку определенных IOCTL-кодов вместе с параметрами, такими как идентификатор запущенного процесса, чтобы манипулировать поведением драйвера в интересах злоумышленника
5. Административные привилегии и обход контроля учетных записей
Чтобы эффективно использовать драйвер, злоумышленнику потребуются административные привилегии и возможность обхода контроля учетных записей пользователей (UAC), или же ему потребуется убедить пользователя принять запрос UAC. Это требование подчеркивает важность тактики повышения привилегий и социальной инженерии для успешного развертывания средства Terminator
6. Предотвращение обнаружения
Злоумышленники разработали свои методы, позволяющие избежать обнаружения с помощью средств защиты. Например, инструмент Terminator пытается эмулировать легитимные заголовки протоколов/файлов, чтобы обойти меры безопасности, хотя это и не увенчалось успехом. Использование легитимных протоколов и служб в качестве серверов управления и контроля (C& C) или каналов связи является еще одной тактикой для сокрытия своих следов
7. Использование общедоступных платформ и протоколов
Злоумышленники также используют общедоступные платформы и протоколы, такие как мессенджеры (IMs) и бесплатные почтовые сервисы, для взаимодействия со взломанными системами и поддержания контроля над своими целями. Этот метод помогает сочетать вредоносный трафик с законной сетевой активностью, что усложняет обнаружение