Comments 35
Странно что в подобных статьях нет бурного обсуждения :)
И обнаружение такого бага не похоже на случайность.
И обнаружение такого бага не похоже на случайность.
много кода :)
но интересно
но интересно
Неплохо было бы создать независимое комьюнити, которое бы создавало код под новые известные эксплоиты и запускало бы там простой, недеструктивный код, основной целью которого был бы сбор статистики. Крупные ресурсы заливали бы туда 0.00001% своего трафика и таким образом бы создавалась адекватная картина критичности известных уязвимостей, чтобы разработчики больше обращали на это внимания.
Вам не кажется, что даже единичный случай такого «залива трафика» со стороны любого крупного (и не очень) ресурса грозит большим скандалом и потерей аудитории?
Если все под контролем, то не кажется. Тем более можно спрашивать согласия пользователя
UFO just landed and posted this here
Это конечно хороший взгляд с точки зрения критики, но давайте согласимся, что я все-таки не предлагал заражать людей гриппом, а предлагал контролируемый и известный способ обхода защиты с гарантированной безопасностью, так как этот код явно известен людям, которые как раз заражают «гриппом», то ничего нового тут нет и все направлено исключительно на то, чтобы привлечь внимание к проблеме.
В моем примере я не предлагаю слепо использовать пользователя, а делать все с его согласия (тем более можно сообщить ему о проблеме с безопасностью в его системе), но массовость поможет привлечь крупные компании к решению проблемы. Если все будет под контролем открытой и общедоступной системы, то это принесет только пользу, на мой взгляд.
В моем примере я не предлагаю слепо использовать пользователя, а делать все с его согласия (тем более можно сообщить ему о проблеме с безопасностью в его системе), но массовость поможет привлечь крупные компании к решению проблемы. Если все будет под контролем открытой и общедоступной системы, то это принесет только пользу, на мой взгляд.
Непонятно причём тут «русские хакеры»
Только коственно — накапливая семплы, вытаскивается много мета информации, такой как: время работы над документами, язык системы, часовой пояс и прочее.
На основании этого делаются предположения, и собирая все больше семплов от одной группы атакующих, накапливается определенная статистика.
В конце концов из предположений делается вывод — часовые пояса мск/спб, время работы с 9:00 до 18:00, скорее всего «русские хакеры».
www.fireeye.com/content/dam/legacy/resources/pdfs/apt28.pdf
www.recordedfuture.com/russian-malware-analysis
На основании этого делаются предположения, и собирая все больше семплов от одной группы атакующих, накапливается определенная статистика.
В конце концов из предположений делается вывод — часовые пояса мск/спб, время работы с 9:00 до 18:00, скорее всего «русские хакеры».
www.fireeye.com/content/dam/legacy/resources/pdfs/apt28.pdf
www.recordedfuture.com/russian-malware-analysis
Спасибо, понятно. ИМХО бред.
Да, метод спорный, допускает погрешности или тупо саботаж мета данных, но ресерчеры опираются на принцип бритвы Оккама.
Если это бред, то какое ваше объяснение — что китайцы 10 лет подряд ставили русское время и локаль перед тем как билдить малварь?
ИМХО вот это скорее бред.
ИМХО вот это скорее бред.
В часовом поясе «мск/спб» находятся также Ирак, Саудовская Аравия и целая куча африканских стран.
К слову сказать, в России больше всего часовых поясов, чем в любой другой стране. Поэтому с использованием привязки к местному времени можно свалить на Россию все прибалтийские и скандинавские вирусы («русские хакеры из Калининграда!»), все китайские трояны («русские хакеры из Иркутска!») и даже всех австралийских сумчатых червей («русские хакеры из Владивостока!»).
Та же ерунда про «использование русского языка» в комментариях и названиях файлов. Это все равно что приписывать Испании все испаноязычные файлы, найденные в Интернете.
В общем, нужны более вменяемые сигнатуры для подобных обвинений. Выводы, которые приводит FireEye, годятся для болотовни в форуме (как у нас с вами), но всерьез воспринимать это «исследование» не стоит. Пропаганды там гораздо больше, чем аналитики.
К слову сказать, в России больше всего часовых поясов, чем в любой другой стране. Поэтому с использованием привязки к местному времени можно свалить на Россию все прибалтийские и скандинавские вирусы («русские хакеры из Калининграда!»), все китайские трояны («русские хакеры из Иркутска!») и даже всех австралийских сумчатых червей («русские хакеры из Владивостока!»).
Та же ерунда про «использование русского языка» в комментариях и названиях файлов. Это все равно что приписывать Испании все испаноязычные файлы, найденные в Интернете.
В общем, нужны более вменяемые сигнатуры для подобных обвинений. Выводы, которые приводит FireEye, годятся для болотовни в форуме (как у нас с вами), но всерьез воспринимать это «исследование» не стоит. Пропаганды там гораздо больше, чем аналитики.
Кроме времени там еще и русская локаль выставлена в OS.
Тут два варианта, или это были реально русские хакеры, которые не подумали о таких мелочах.
Или это ставили специально, для прикрытия, но если кто-то настолько умный, кто следит за такими мелочами, то он бы менял локаль на разные страны, а не 10 лет пользовался бы одним паттерном поведения. Потому что паттерн позволяет анализировать деятельность группы.
Тут два варианта, или это были реально русские хакеры, которые не подумали о таких мелочах.
Или это ставили специально, для прикрытия, но если кто-то настолько умный, кто следит за такими мелочами, то он бы менял локаль на разные страны, а не 10 лет пользовался бы одним паттерном поведения. Потому что паттерн позволяет анализировать деятельность группы.
По таблице на стр. 27 в pdf получается, что «русские хакеры» © работают с 7:00 до 15:00 по MSK.
Будь я китайцем, тоже локалес поставил русские.
Вряд ли китайцы 7 лет постоянно ставили русскую локаль.
если товарищу майору сказали «а вот твоя группа будет маскироваться под русских», то они еще и комментарии матерные оставлять будут, не только локаль ставить.
В таком прикрытии мало смысла. Ведь если паттерн поведения не меняется (прикрытие одно и то же), то у оппонента все равно есть возможность собирать и связывать данные на протяжении многих лет и связывать обнаруженные эпизоды с деятельностью вашей конкретной группы.
То есть если бы уделяли внимание таким мелочам как локаль и сознательно выставляли чужую, то прикрытие периодичесски бы менялось под разные страны и часовые пояса, чтобы затруднить связывание разных эпизодов и анализ вашей общей деятельности.
То есть если бы уделяли внимание таким мелочам как локаль и сознательно выставляли чужую, то прикрытие периодичесски бы менялось под разные страны и часовые пояса, чтобы затруднить связывание разных эпизодов и анализ вашей общей деятельности.
Вот кстати исходник с использованием CVE-2015-1701 для получения системного токена:
github.com/hfiref0x/CVE-2015-1701
github.com/hfiref0x/CVE-2015-1701
Хакеры и санкции — сущности взаимоисключающие.
Хакер — это религия, философия и идеология, а не хороший IT специалист.
Называйте вещи своими именами =)
Хакер — это религия, философия и идеология, а не хороший IT специалист.
Называйте вещи своими именами =)
UFO just landed and posted this here
Как в анекдоте:
Один программист пишет вирусы
Второй антивирусы
А третий ОС, под которым это все работает
— ИМХО: я конечно склоняюсь к тому что этот баг обнаружили случайно, но череда совпадений как то высока
Один программист пишет вирусы
Второй антивирусы
А третий ОС, под которым это все работает
— ИМХО: я конечно склоняюсь к тому что этот баг обнаружили случайно, но череда совпадений как то высока
Интересно почему микрософт у себя в корпоратовном блоге не пишет такие статьи
Only those users with full accounts are able to leave comments. Log in, please.
Как «русские хакеры» пытались узнать о новых санкциях против России: изучаем CVE-2015-1701