Комментарии 15
Третий вариант означает неограниченные возможности удаленного управления
"Смешались в кучу кони козлы, люди"
Я извиняюсь, Вы взрослым давали это читать до публикации?
Многие термины и понятия используются без понимания их смысла.
Я давно в теме, но даже у меня от "вирусов" и "вредоносов" глаз начинает дергаться.
Нет смысла расписывать детально что не так в статье, статья в целом плоха.
Скажу только, что шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки. Нельзя бороться с пожаром, дождавшийсь, когда он разгорится полностью
Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки".
Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.
Часть контактов указана в моем профиле, можно и погуглить по нику, я не скрываюсь :-)
Почитайте для начала книгу моего друга и коллеги
Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство.
По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.
Ради Бога, пожалуйста, не пишите, что вы "Эксперт по информационной безопасности", иначе нас всех измажут кое-чем. Слегка по пунктам:
1) Раз и навсегда - со времён как минимум Ms-dos: Вирус - файловый инфектор. (Или файлово-загрузочный/загрузочный в то время). Вы можете называть какое-то впо вирусом только после того, как как вы увидели код, инфицирующий (заражающий чужеродным кодом) объекты файловой системы (в большинстве случаев исполняемые). Либо код, либо поведение. Всë остальное - не вирусы
2) APT- группировки уже давно атаковали и транснациональные компании и целые службы и органы разных стран. И известная группа на корейском полуострове, и Moonlight Maze (о котором мало кто помнит. Ещё в 90-ых). Это не появилось сегодня
3) Локеры появились не в 2012 году и это не новая технология. От тех же троянов-винлокеров (Trojan.Winlock) страдали пользователи и компании ещё с середины-конца нулевых
4) Вайперы - не являются вымогателями! Это разновидность троянских программ (в широкой интерпретации троянского по), которые уничтожают данные. Напрямую, они не относятся к той же категории, что и ransomware. Да, они могут использоваться совместно или заменять последний stage в killchain, но... Стоять рядом с красной машиной ! = быть непосредственно красной машиной
Давайте будем хоть как-то уважать ИБ... Профессионал от непрофессионала отличается в том числе и тем, что может сказать: "В этой области у меня недостаточно компетенций. Я не буду выдавать своë заключение/комментировать". Давайте также подумаем о том, что в Википедии не всегда всë правильно и хорошо написано. После всего этого назвать себя экспертом... Мне трудно это понять. Не превращайте эту область в сплошное инфоцыганство. Мир вам за это спасибо не скажет...
Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что
Компьютерный вирус (Computer Virus)
программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам
ГОСТ Р 51188-98
Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова)
(3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. )
(4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.
"Давайте будем хоть как-то уважать ИБ..."
Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.
1) У вас: "вирус-вымогатель и проявляется в двух видах". " Вирус блокировал компьютер". В том же определении из ГОСТ (Вы его привели сами) есть фрагмент: "внедрять их в файлы, системные области компьютера" + "копии сохраняют способность дальнейшего распространения". Если вы хотите опираться на данное определение, то приведите код условного вымогателя, который заразил файл на диске (в котором имеется код, который позволяет заражать файловые объекты) и заражение по файлам затем пошло дальше. Приведите пример кода Trojan.Winlock или MbrLocker, который заражает другие файлы, или чьи копии способны самостоятельно распространяться, заражая файловые объекты. Если бы вы сказали, что условный Win32.Virut может распространяться - проблем нет. Можно было бы даже рассмотреть фрагмент машинного кода с данной процедурой/функцией. Однако же, мы говорим про рансомварь и локеры (win/mbr), притом почему-то называя их вирусами... Среди подавляющего большинства вендоров и специалистов принято 2 подхода: относить ransomware к отдельному классу ВПО, либо же отнести его к классу троянов (второй подход мне ближе по определённым личным причинам, однако и к первому варианту я отношусь с пониманием). Подходы к классификации сформировались задолго до ГОСТа. Задателями системы тогда были не российские организации по стандартизации, а вендора СЗИ + учëные. Обратитесь к той же самой классификации CARO, которая для многих стала основой. Затем, многие стали разрабатывать свои, но ни в одной нормальной классификации я не видел ransomware/троян-шифровальщик в категории "вирус". Ради справедливости вопросами только одной классификации я занимался несколько лет.
2) Прогнозы должны строиться на объëмной аналитике. Данные из дарквеб'а, данные T.I. Общение с лицами по ту сторону баррикад. Отслеживание эксплуатации уязвимостей и их продажи. Финансовая целесообразность для применения подобных решений для киберпреступников. Изменения психологической состовляющей киберпреступных групп/кластеров активности. Распространëнность и доступность методов и инструментов для киберпреступников. И десятки (как минимум) других факторов. Есть у вас материалы/аналитика по вашему выводу "2 года"? Если всë сводится к тому, что стали распространены IOT устройства и электромобили и их будут павнить. Ну... Хорошо. Хотя, это очевидно и детям и людям лишь слегка знакомым с ИБ. Серьëзная аналитика на таком не строится
3) Я опирался на данные исследований, данные своих коллег, а ещё на свой опыт вылеченных сотен компов от винлокеров. Немалая часть из которых (десятки-сотня) были мной происследованы/разревершены лично (в них и их внутренностях было мало интересного).
4) Жаль, что кто-то отнëс их к вымогателем. Честно, сказать мне поэтому нечего.
Хотелось бы, чтобы пулемëт не называли штурмовой винтовкой, а "грязную бомбу" термоядерной :)
Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы?
по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся
Строить прогнозы можно на чужих статьях, отчëтах, на общедоступных данных (в большинстве случаев). Это - если у вас нет своих систем, которые собирают данные (если грубо и на пальцах). Есть сенсоры/edr/почтовые фильтры/av/песочницы/данные от криминалистических исследований и. Т. Д. И прочее - собирайте оттуда. Есть аналитики по darkweb/onion/телеге, осинтеры с уклоном и прочие специалисты по ИБ - будут они добывать данные. Если у вас нет абсолютно никаких средств и ресурсов и, как следствие, самих данных, то вам придётся учиться на чужих публичных общедоступных данных. Приходящие специалисты-новички учатся на том, что имеется. К чему имеется доступ и какими ресурсами владеет организация.с кем есть каналы обмена информацией. Поставщики данных публичные и непубличные. Вне зависимости от того госструктура это или частная компания. Иногда данные приходится и покупать, такое встречается (пусть и не часто), но имеет место быть. Это уже ближе к вопросам мироздания и бытия - нет аналитиков, специалистов T.I.? Нет третхантеров, нет криминалистов/респондеров? Нет сока? Нет доступа к фидам? Нет СЗИ которые загребают данные как акула загребает ртом криль? Нет каналов взаимодействия с другими? Ну, тогда остаются только публичная инфа и поисковик) дальше не вижу смысла дискутировать. Большинство молодых специалистов, оказавшись на госслужбе или в частной организации в той или иной мере будут обеспечены ресурсами для выполнения задач/работы
Тогда по этой логике специалисты есть только в Groub IB (FACCT)? Печаль, а мы то в РФ остались все бессильные и не опытные. Хорошо, что на вас можно всегда положиться.
На кого "на вас" и какое я имею отношение к Group-IB? Логику вы мою неправильно истолковали. Перечитайте ещё раз последнее моë сообщение (даже точнее последнее предложение). Не бессильные, просто есть лидеры рынка, топы и к ним всегда будут обращаться за помощью, за аналитикой, за приобретением их продуктов и услуг, за экспертизой. Что-то по мере сил могут сделать все, а топы в головном вагоне этого поезда. Так было всегда и не только в IT отрасли. Всего хорошего)
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Кстати, пропущен весьма продуктивный шифровальщик BAT.encoder, который атаковал российских пользователей с 2014 по 2015 включительно. НЕвозможно не помнить эти расширения: paycrypt@gmail.com, keybtc@gmail.com, *.vault.
Шифровальщики – волшебные твари и где они обитают