Хакер — это святое, а мы тут вообще про другое.
В этой статье мы описываем криминалистические артефакты WhatsApp, которые можно найти в разных операционных системах. А в проекте, на который вы ссылаетесь, приводится программа, которая расшифровывает ТОЛЬКО резервные копии WhatsApp и ТОЛЬКО под ОС Андроид.
Мы про это тоже расскажем чуть позже и с нашей колокольни — в части «Расшифровка зашифрованных баз WhatsApp». Оставайтесь с нами.
Добрый вечер! Курс стартует 4 октября. Занятия будут проходить на базе НОЦ ИУ-8 МГТУ им.Баумана еженедельно по четвергам с 19:10 по 20:45. Продолжительность — два месяца.
Верно, если поменять 1 байт — то алгоритм, описанный в данном посте, не будет работать.
Для решения этой проблемы нужно использовать перцептивные функции хеширования.
Но это тема отдельной статьи.
1) Каждая построенная группа проверяется вручную, поэтому точность кластеризации оценивается так: количество утвержденных групп, разделённое на общее количество построенный групп. Что касается качества классификации, то оно, очевидно 100%, т.к. все работающие группы утверждены вручную.
2) Конечно. После построения группы, она начинает использоваться «в боевом режиме». Все новые URL, попавшие под утвержденную группу отправляются на дальнейшую обработку в CERT.
3) Верно, Spark, Dask тут совсем не применимы. Объем данных — по 10 000-20 000 новых урлов. При этом для каждого урла свои ресурсы. Если создавать матрицу наличия или отсутствия ресурсов, то она даже в оперативную память не поместиться. Прикидывали (на бумаге, естественно), примерно около 1 ТБ будет ;)
Добрый день, спасибо за вопросы. Давайте попорядку.
1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
Обходим очень просто — мы не собираем банковскую тайну. И для гарантии мы передаем js-код заказчику для размещения и распространения в составе веб-приложения с его ресурсов. Так же заказчик имеет возможность самостоятельно ознакомиться с содержимым передаваемых данных. Часть данных может быть отнесена к пользовательским данным, поэтому мы рекомендуем внесение собираемого перечня данных в соглашение с пользователем. Часто это делается в форме оферты.
Отличный вопрос. Во-первых, JavaScript-код обфусцирован и в нем не так-то просто разобраться. Во-вторых, запросы закодированы и содержат код проверки целостности. Очевидно, что можно потратить время и разреверсить обфусцированный js-код. Для того, чтобы отбить аппетит делать это, в арсенале есть динамическая обфускация с переменными параметрами кодирования и вычисления кода целостности отправляемых данных.
Нет, не мешают. Использование KeePass или иных менеджеров паролей детектируется, и отличается от использования копирования из буфера обмена мышкой или клавиатурой. Это все так же учитывается в индивидуальном профиле пользователя и используется при выявлении аномалий в поведении.
Андрей Зосимов: «Антивирусы используют сигнатурный и эвристические методы обнаружения вредоносных файлов. С сигнатурным вроде как всё понятно — злоумышленники изменили документ, пусть и незначительно, и этого хватило. В этом, как мне кажется, их главная ошибка здесь, необходимо было изучить уязвимость и правильно написать сигнатуру. Другой, эвристический, разделяется на два — статический и динамический. Статический анализ тут осуществить довольно проблематично, так как сам по себе документ не является исполняемым, поэтому сложно определить к чему в конечном итоге приведет запуск файла. Остается динамический — но тут, как я полагаю, антивирусы не умеют исполнять документы ввиду некоторых особенностей своей песочницы.
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».
Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.
В этой статье мы описываем криминалистические артефакты WhatsApp, которые можно найти в разных операционных системах. А в проекте, на который вы ссылаетесь, приводится программа, которая расшифровывает ТОЛЬКО резервные копии WhatsApp и ТОЛЬКО под ОС Андроид.
Мы про это тоже расскажем чуть позже и с нашей колокольни — в части «Расшифровка зашифрованных баз WhatsApp». Оставайтесь с нами.
Для решения этой проблемы нужно использовать перцептивные функции хеширования.
Но это тема отдельной статьи.
2) Конечно. После построения группы, она начинает использоваться «в боевом режиме». Все новые URL, попавшие под утвержденную группу отправляются на дальнейшую обработку в CERT.
3) Верно, Spark, Dask тут совсем не применимы. Объем данных — по 10 000-20 000 новых урлов. При этом для каждого урла свои ресурсы. Если создавать матрицу наличия или отсутствия ресурсов, то она даже в оперативную память не поместиться. Прикидывали (на бумаге, естественно), примерно около 1 ТБ будет ;)
1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».