Мы продолжаем изучать данные из источников. Когда мы начнем использовать их для дистрибьюции, будем делать это в соответствии с правилами и пожеланиями того или иного источника.
P. S. Конкретно этот источник очень классный — и за нами не заржавеет
Да, этот пример «на грани». По сути мы ищем раскрытие информации при помощи проверенного списка путей. Конечно, это очень отличается от Greybox-фаззинга приложений, но Blackbox часто работает именно так.
Мы постоянно анализируем и изучаем ВПО различных группировок. В данном случае мы решили опубликовать отчёт, потому что заметили нераскрытые интересные особенности. Например, использование уязвимых криптографических алгоритмов, а также некоторые неточности в изначальной статье.
Здравствуйте! В данном случае нам пришлось иметь дело с компрометацией пятилетней давности.
Согласно NDA мы можем делиться информацией о семплах — что мы и сделали в этой статье. Но мы не можем рассказывать даже о сфере, в которой работает компания-жертва(
В данном случае entry point действительно не удалось установить из-за давности заражения, но косвенные признаки указывают на то, что это был документ, распространяемый через электронную почту.
Medical imaging — обширная технология. ML-модели обучаются на множестве медицинских изображений, чтобы давать более точные результаты. Получить снимки можно с различного оборудования. Пример — дерматоскоп. Проконсультируемся со знакомыми врачами, насколько точные результаты показывают разные медицинские устройства :)
В статье приведена статистика по открытым серверам DICOM, которая показывает, что даже в России не все серверы находятся в закрытой сети. К тому же мы рассматриваем DICOM-протокол не только в контексте законодательства РФ.
Спасибо!
Извините, что задержались: ушли с головой в написание райтапов и итогового отчета по тренингу.
Спешим ответить на ваши вопросы:
1. Примерно половину: к сервисам участников производились обращения чекера как для проверки работоспособности стенда, так и для эксплуатации уязвимостей. Участники были осведомлены об атаке, поэтому сокрытие трафика намеренно не осуществлялось.
2. Участники должны были защищать свое веб-приложение полностью. Т.е. не только сайт, но и связанные с ним компоненты, например базу данных.
3. Атакующие подготовили несколько вариантов полезной нагрузки. Они все сводились к одному и отличались по большей части синтаксически. Целеноправленно полезная нагрузка не менялась: на наш взгляд, это затруднило бы подсчет баллов и снизило общую объективность оценки.
4. Да, участники могли применять средства фильтрации трафика и иные средства защиты. Блокировать все запросы, содержащие фразу «polygon», было бы не очень хорошей идеей, ведь данное слово встречается и в легитимных ответах от серверов. Во время проверки функциональности сервис участников был бы помечен как неработоспособный, что привело бы к падению SLA.
В статье описаны ситуации из реальных расследований хакерских атак, которые зачастую заканчивались запуском шифровальщиков из под имени доменного администратора на множестве систем во внутренней сети. И вы правы, не всегда похищенные учетные данные сразу давали локального администратора на системе, но получить эти привилегии для злоумышленников не составляло проблемы.
По железкам: производство самого текстолита обходится около 120 руб. за 1 шт., далее идут процессор — около 34 руб. за 1 шт., светодиоды по 4 рубля за 1 шт., Nrf модуль около 65-75 был с учётом затрат на все трудности. Но дороже всего — это разработка.
Мы делаем прототипы в Резоните, они классные ребята и очень нам помогают. В прошлом году бейдж мы тоже производили у них. В этом году были проблемы со сроками и загруженностью в связи с ситуацией в Китае.
Да, можно сделать и на плате. Если бы на складе не лежала куча китайских nrf, которые приехали в последний момент :) Мы всегда с опаской относились к антеннам на печатных платах, казалось, что есть тысяча вещей, которые могут пойти не так. Но на практике все завелось и это радует. RFID думали, но не докрутили идею, остановились на nrf.
Несмотря на то, что бейджики мы делаем тысячами, это все равно малая партия, а для малых партий в электронике действуют совсем другие законы. Нам бы очень хотелось дисплей или линукс на борт, но это выходит дороговато. Хотя, один инженер делал визитку с линуксом на дешевом камне, очень вдохновляюще habr.com/ru/post/482110
Привет, да, мы думаем над тем, чтобы как-то развить идею shitty connector и думаем примерно в этом же направлении. Время на разработку снова появилось, единственный нюанс с МК, это то, что они у нас уже на складе :)
Честным ответом будет то, что мы выбрали микроконтроллер, впритык по ресурсам, после чего уже появилась идея коннектора. Поэтому схожие мысли у нас есть, конечно, но реализовать без смены процессора мы их не можем, а смена процессора — это дополнительные расходы и проблемы с доставкой из Китая.
Опираясь на стандарт Shitty Add-On, требование к 1.1 милли л.с. относится к ревизии SAO.69. Однако мы рекомендуем вам делать свой аддон уже с учетом данного требования, чтобы переход на SAO.69 был для вас максимально безболезненным.
Мы используем подобные источники для сбора информации в рамках другой услуги.
В качестве сбора индикаторов компрометации на текущий момент — нет, но кейс хороший.
Спасибо!
Мы продолжаем изучать данные из источников. Когда мы начнем использовать их для дистрибьюции, будем делать это в соответствии с правилами и пожеланиями того или иного источника.
P. S. Конкретно этот источник очень классный — и за нами не заржавеет
Здравствуйте! Добавили список источников после третьего рисунка.
Да, этот пример «на грани». По сути мы ищем раскрытие информации при помощи проверенного списка путей. Конечно, это очень отличается от Greybox-фаззинга приложений, но Blackbox часто работает именно так.
Мы постоянно анализируем и изучаем ВПО различных группировок. В данном случае мы решили опубликовать отчёт, потому что заметили нераскрытые интересные особенности. Например, использование уязвимых криптографических алгоритмов, а также некоторые неточности в изначальной статье.
Согласно NDA мы можем делиться информацией о семплах — что мы и сделали в этой статье. Но мы не можем рассказывать даже о сфере, в которой работает компания-жертва(
В данном случае entry point действительно не удалось установить из-за давности заражения, но косвенные признаки указывают на то, что это был документ, распространяемый через электронную почту.
Извините, что задержались: ушли с головой в написание райтапов и итогового отчета по тренингу.
Спешим ответить на ваши вопросы:
1. Примерно половину: к сервисам участников производились обращения чекера как для проверки работоспособности стенда, так и для эксплуатации уязвимостей. Участники были осведомлены об атаке, поэтому сокрытие трафика намеренно не осуществлялось.
2. Участники должны были защищать свое веб-приложение полностью. Т.е. не только сайт, но и связанные с ним компоненты, например базу данных.
3. Атакующие подготовили несколько вариантов полезной нагрузки. Они все сводились к одному и отличались по большей части синтаксически. Целеноправленно полезная нагрузка не менялась: на наш взгляд, это затруднило бы подсчет баллов и снизило общую объективность оценки.
4. Да, участники могли применять средства фильтрации трафика и иные средства защиты. Блокировать все запросы, содержащие фразу «polygon», было бы не очень хорошей идеей, ведь данное слово встречается и в легитимных ответах от серверов. Во время проверки функциональности сервис участников был бы помечен как неработоспособный, что привело бы к падению SLA.
5. Со всеми итогами можно ознакомиться в нашем отчете по ссылке cyberpolygon.com/ru/results-2020
По поводу событий входа. Перечисленные вами события — это частные случаи, покрывающие не все сценарии. Лучше ориентироваться именно на перечисленные нами — они покрывают все описанные случаи. Про события 4624, 4625, 4778, 4634 в контексте RDP хорошо написано тут:
— ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation
— www.andreafortuna.org/2020/06/04/windows-forensic-analysis-some-thoughts-on-rdp-related-event-ids