Все верно, QBot так же известен как Qakbot. Конечно же он не единственный, просто на данный момент он один из самых часто распространяемых и популярных среди атакующих.
все так: малейшая неестественность во внешнем виде и поведении объекта вызывает у зрителей тревогу и неприязнь — это так называемый эффект «зловещей долины» (uncanny valley)))
После получения атакующими учетных данных на завершающих стадиях атаки шифровальщики загружаются на Unix-сервера и запускаются вручную самими атакующими.
В шифровальщиках Hive реализация шифрования достаточно самобытная, разработчик Hive поставил перед собой цель не менять размер файла поcле шифрования. Корреляции между этими семействами мы не видим. Кроме того, партнерка RagnarLocker в настоящее время также параллельно работает.
Спасибо за вопрос, но на него есть довольно простой ответ: нарушение личных прав гражданина (например, проведение обыска сотрудником СБ) недопустимо с точки зрения закона. Выдача паролей может повлечь нарушение другого охраняемого Конституцией права — права частной жизни.
Про какие сигнатуры вы говорите? Я на всякий случай повторю, что цель статьи не в написании сигнатур. Это во-первых.
Во-вторых, чем плох тот подход, который вы почему-то назвали сигнатурой? Он что не в состоянии ловить часть атак, которые используют именно такой метод (сохранение файла в директорию автозагрузки)? В состоянии. Таких атак нет? Есть. Он плох тем, что он не ловит ВСЕ возможные методы атак? Да, а что «серебряную пулю» изобрели уже?
Я ещё раз обращаю внимание, что написание сигнатур и советы по разработке защитных решений — это не есть цель написания статьи. А вы, как будто, упрекаете, что в статье не раскрыты все возможные вектора атаки. За «серебряной пулей» точно не сюда, извините. А то ваша логика выглядит, как будто если ты не можешь написать ИДЕАЛЬНУЮ сигнатуру, не надо писать никакую…
Вы сейчас просто пытаетесь доказать, что на любые защитные решения злоумышленники рано или поздно найдут свои собственные атакующие решения? Никто с этим не спорит. Только вот VectorEDK слили в 2015, а злоумышленники не удосужились даже поменять имя переменной, являющейся индикатором компрометации. Это так, для демонстрации того, что злоумышленники часто ленивы и поэтому даже самые простые решения для защиты вполне себе могут работать.
На всякий случай ещё раз мысль, а то вы куда-то в сторону уводите — описанный способ (гипотетический, просто размышления на тему, смысл статьи не в том, чтобы рассказать всем как строить ИДЕАЛЬНЫЕ защитные решения для подобных угроз) защиты от конкретного, самого простого способа запуска через размещение вредоносного файла в директории автозапуска. Нужно ли думать о том, что делать с подобными угрозами и усложнением используемых злоумышленниками техник? Да, нужно. Статья про то, как построить решение, которое защитит раз и навсегда от ВСЕХ возможных способов заражения через UEFI и должна включать все возможные действия, которыми злоумышленники могут запустить полезную нагрузку через UEFI-имплант? Нет, не про это, нет, не должна
В данном случае подразумевалось детектирование создания файлов из UEFI-имплантов, а не всех файлов.
Предлагаемая концепция достаточно проста — создаётся некий модуль ядра, который занимается мониторингом определённых директорий (в данном случае — директории Startup).
Перед завершением работы ОС он получает управление и сохраняет либо контрольную сумму, либо список файлов, данная концепция обсуждаема. Этот же модуль получает управление после загрузки ОС, но до того, как запустятся программы из директории Startup.
Таким образом получаем возможность получить информацию о наличии файла, созданного до загрузки ОС до того, как он будет удалён.
Есть такая идея — на Насте один из тестовых образцов. Еще в компании введена система ачивок — наградных знаков, которые торжественно вручаются сотрудникам за успешные спецоперации, исследования, изобретения, победу на соревнованиях и во внутренних конкурсах, а также «выслугу лет».
В этом экземпляре не были использованы ни техники обфускации кода, ни другое противодействие анализу, кроме описанных в статье. Но —и в этом главная угроза — даже такое примитивное шпионское ПО способно похитить важные данные!
Потенциально вредоносные файлы лучше всего проверять в безопасном окружении, например на виртуальной машине. Но большая часть ВПО определяет наличие отладки или виртуального окружения и просто не будет работать. В этой связи можем порекомендовать Polygon — модуль продукта Group-IB Threat Hunting Framework, позволяющий осуществлять поведенческий анализ файлов, извлекаемых из электронных писем, сетевого трафика, файловых хранилищ,
персональных компьютеров и автоматизированных систем посредством
интеграции через API или загружаемых вручную. Подробнее тут: www.group-ib.ru/brochures/Group-IB_THF_Datasheet_Polygon.pdf
Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он
Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.
О каких мессенджерах пойдет речь?
Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.
По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:
Signal — некоммерческий проект Open Whisper Systems
Telegram — некоммерческий проект Telegram FZ-LLC
Wickr Me — коммерческий проект Wickr Inc с бесплатной версией
Тут такое дело: 100% гарантии защиты не даст ни один даже самый популярный антивирус. Наш многолетний опыт расследования компьютерных преступлений показывает, что антивирусы не спасают от целевой атаки. Приезжая на инцидент в банк или компанию, откуда украли деньги, наши криминалисты, обращают внимание, что на многих зараженных машинах сотрудников установлены самые популярные антивирусы.
justhabrauser, ну тут все просто: 1) потому что автор утилиты их выложил, как сорцы утилиты. 2) Потому что исследуемую утилиту загрузил на GitHub некто под ником faca5. Об этом тоже сказано в статье. Полная ссылка частично видна на 1 скриншоте.
Все верно, QBot так же известен как Qakbot. Конечно же он не единственный, просто на данный момент он один из самых часто распространяемых и популярных среди атакующих.
майби
все так: малейшая неестественность во внешнем виде и поведении объекта вызывает у зрителей тревогу и неприязнь — это так называемый эффект «зловещей долины» (uncanny valley)))
Нет, не атакуются.
Спасибо за вопросы. Отвечаем:
После получения атакующими учетных данных на завершающих стадиях атаки шифровальщики загружаются на Unix-сервера и запускаются вручную самими атакующими.
В шифровальщиках Hive реализация шифрования достаточно самобытная, разработчик Hive поставил перед собой цель не менять размер файла поcле шифрования. Корреляции между этими семействами мы не видим. Кроме того, партнерка RagnarLocker в настоящее время также параллельно работает.
Во-вторых, чем плох тот подход, который вы почему-то назвали сигнатурой? Он что не в состоянии ловить часть атак, которые используют именно такой метод (сохранение файла в директорию автозагрузки)? В состоянии. Таких атак нет? Есть. Он плох тем, что он не ловит ВСЕ возможные методы атак? Да, а что «серебряную пулю» изобрели уже?
Я ещё раз обращаю внимание, что написание сигнатур и советы по разработке защитных решений — это не есть цель написания статьи. А вы, как будто, упрекаете, что в статье не раскрыты все возможные вектора атаки. За «серебряной пулей» точно не сюда, извините. А то ваша логика выглядит, как будто если ты не можешь написать ИДЕАЛЬНУЮ сигнатуру, не надо писать никакую…
На всякий случай ещё раз мысль, а то вы куда-то в сторону уводите — описанный способ (гипотетический, просто размышления на тему, смысл статьи не в том, чтобы рассказать всем как строить ИДЕАЛЬНЫЕ защитные решения для подобных угроз) защиты от конкретного, самого простого способа запуска через размещение вредоносного файла в директории автозапуска. Нужно ли думать о том, что делать с подобными угрозами и усложнением используемых злоумышленниками техник? Да, нужно. Статья про то, как построить решение, которое защитит раз и навсегда от ВСЕХ возможных способов заражения через UEFI и должна включать все возможные действия, которыми злоумышленники могут запустить полезную нагрузку через UEFI-имплант? Нет, не про это, нет, не должна
Предлагаемая концепция достаточно проста — создаётся некий модуль ядра, который занимается мониторингом определённых директорий (в данном случае — директории Startup).
Перед завершением работы ОС он получает управление и сохраняет либо контрольную сумму, либо список файлов, данная концепция обсуждаема. Этот же модуль получает управление после загрузки ОС, но до того, как запустятся программы из директории Startup.
Таким образом получаем возможность получить информацию о наличии файла, созданного до загрузки ОС до того, как он будет удалён.
персональных компьютеров и автоматизированных систем посредством
интеграции через API или загружаемых вручную. Подробнее тут: www.group-ib.ru/brochures/Group-IB_THF_Datasheet_Polygon.pdf
Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.
О каких мессенджерах пойдет речь?
Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.
По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:
Signal — некоммерческий проект Open Whisper Systems
Telegram — некоммерческий проект Telegram FZ-LLC
Wickr Me — коммерческий проект Wickr Inc с бесплатной версией
Подробнее: habr.com/ru/company/group-ib/blog/522178
GitHub — это крупный и очень полезный проект, кто же спорит, но малвару и там можно словить