Автор
himoki2771
в Новости и события со всего мира
-
Похожий контент
-
Автор KL FC Bot
Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
Что такое ClickFix
Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
Пример инструкции для подтверждения, что вы не робот. Источник
От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
View the full article
-
Автор КсенияДол
Здравствуйте, уже давно пк страдает признаками взлома: начиная от блокировки интернет-запросов (регистрация почты, переходы на сайты, работа в почте). Неоднократная переустановка не помогает, террор продолжается долгое время.
На данный момент интересует корректность отображения свойств процессора: через время после переустановки, пк обновился и все службы обновили драйверы одной датой. Имеем вот что: большое кол-во программных устройств, странные свойства этих программ, заключенные в квадратные скобки.
Что это может быть?
-
Автор hamaronooo
Здравствуйте!
Синопсис:
25.06.2019 приблизительно в 2 часа ночи были зашифрованы файлы на ПК и на сетевой папке, к которой у ПК был доступ.
(Атака предположительно по RDP, так как неосмотрительно был открыть порт на роутере .).
Файлы стали иметь расширение doubleoffset (прилагаю образец такого файла, а также его исходный файл - не зашифрованный - Исходник и Зашифрованный файлы.zip).
По инструкции сделал: 1) чистку антивирусом, 2) сбор логов (архив прилагаю).
Антивирус нашел exe шифровальщик (предположительно) и доп файлы к нему в папке: .../users/administrator/downloads (архив с этими файлами прилагаю - Virus.zip).
Прошу у Вас помощи:
Помогите, пожалуйста найти средство для расшифровки файлов.
Что я уже делал:
Были попытки подобрать rsa1024 секретный ключ народными способами из сети интернет. Успешность - отрицательна.
CollectionLog-2019.07.02-15.30.zip
Исходник и Зашифрованный файлы.rar
-
Автор ***Leeloo***
Хакeры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинaльным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.
Добрым словом и пистолетом
Разумеется, в первую очередь представители органов безопасности действуют методом убеждения. Ты не выйдешь отсюда, пока не разблoкируешь телефон - говорят они задержанному, положив перед ним документ, где по белому написано, что предъявитель сего имеет право досмотреть содержимое мобильных устройств задержанного. Вот только о том, что задержанный обязан собственный телефон разблокировать, в документе ни слова. Что совершенно не мешает органам безопасности беззастенчиво пользоваться правом, которого у них нет.Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли
Трудно в такое поверить? На самом деле не очень: послeдний такой случай произошел буквально на днях. Американский гражданин Сидд Бикканнавар (Sidd Bikkannavar), работающий в NASA, был задержан на границе при въезде в страну; именно "словом и пистолетом" его убедили разблокировать корпоративный смартфон.
А как с этим обстоят дела в России?… процитирую эксперта, который занимается извлечением информации с телефонов и компьютеров задержанных:Самый действенный способ узнать пароль — это звонок следователю.
В более серьезных случаях, когда конфискуется в том чиcле и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, в зависимости от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.В разговорах с полицейскими разных стран чаще всего возникала цифра два дня, при этом подразумевалось, что задача ложится на существующий кластер из пары десятков компьютеров. Два дня на вскрытие паролей, которыми защищены, к примеру, криптоконтейнeры BitLocker или документы в формате Office 2013, — не слишком ли мало? Оказывается, нет.
Как они это делают
Инструменты для взлома паролей у полиции были изначально, но полноценно применять их научились не так давно. К примеру, полицию всегда интересовали пароли, которые можно извлечь из компьютера подозреваемого, — но извлекали их сначала вручную, потом — при помощи единичных утилит, которые могли, например, получить только пароль от ICQ или только пароль к учетным записям в Outlook. Но в последние несколько лет в полиции пришли к использованию инструментов - всё в одном, которые скaнируют жесткий диск и Registry устройства и сохраняют в файл все найденные пароли.
Во многих случаях полиция пользуется услугами частных криминалистических лабораторий — это касается как рутины, так и громких дел (толстый намек на процесс в Сан-Бернардино). А вот частники готовы воспользоваться самыми хакерскими методами: если оригинальные данные не изменяются, а следов вмeшательства не остается, то способ, которым был добыт нужный пароль, значения не имеет, — в суде эксперт может сослаться на коммерческую тайну и отказаться раскрывать технические детали взлома.
Реальные истории
Иногда действовать требуется быстро: вопрос не в ресурсах, вопрос во времени. Так, в 2007 году в лабораторию поступил запрос: пропал 16-летний подросток. Родители обратились в (тогда еще) милицию, которая и пришла в лабораторию с ноутбуком пропавшего. Ноутбук защищен паролем. Было понятно, что нескольких месяцев на перебор паролей нет. Пошла работа по цепoчке. Снят образ диска, параллельно запущена атака на пароль в Windows. Запущен поиск паролей на диcке. В результате в Elcomsoft Internet Password Breaker был найден пароль к почте. Больше ничего интересного на компьютере не оказaлось. Ничего, что могло бы помочь в поисках, в почте не было, но через почтовый ящик удaлось сбросить пароль к ICQ, а там обнаружилась переписка с друзьями, из которой стало понятно, в какой город и к кому пропал подросток. Закончилось благополучно.
Однако далеко не всегда у историй хороший конец. Несколько лет назад в лабораторию обратился французский частный следователь. Его пoмощи попросила полиция: пропал известный спортсмен. Полетел в Монако, дальше следы теряются. В распоряжении следствия оказался компьютер спортсмена. Проанализировав содержимое диска, на компьютере обнаружили iTunes и панель управления iCloud. Стало понятно, что у спортсмена iPhone. Попробовали получить доступ к iCloud: пароль неизвестен, но маркер аутентификации (вытащили из iCloud Control Panel) сработал. Увы, как это часто бывает, в облачной резервной копии не оказалось никаких намеков на местонахождение «пропажи», а сама резервная копия была создана чуть ли не полтора месяца назад. Внимательный анализ содержимого позволил обнaружить пароль от почты — он был сохранен в заметках (тот самый желтый стикер с паролем, чтобы не забыть). Зашли в почту, нашли бронь отеля. Полиция подхватилась… Увы, история закончилась плохо: спортсмена нашли мертвым.
Насколько (бес)полезны стойкие пароли
Не сомневаюсь, ты много раз слышал советы, как выбирать стойкий пароль. Минимальная длина, буквы и цифры, специальные символы… А так ли это важно на самом деле? И поможет ли длинный пароль защитить твои зашифрованные тома и документы? Давай пpоверим!
Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки: Скороcть перебора паролей с использованием видеокарты
Как видим, скорость перебора для томов BitLocker — всего 860 паролей в секунду при использовании аппаратного ускорителя на основе Nvidia GTS 1080 (к слову, это действительно быстро). Для документов Microsoft Office 2013 цифра повыше, 7100 паролей в секунду. Что это означает на практике? Примерно вот это:
Таким образом, на очень быстром компьютере с аппаратным ускорителем пароль, соcтоящий из пяти букв и цифр, будет взломан за день. Если в том же пятизначном пароле затешется хотя бы один специальный символ (знак препинания, #$%^ и подобное), ломать его придется уже две-три недели. Но пять знаков — мало! Средняя длина пароля сегодня — восемь символов, а это уже далеко за пределами вычислительных возможностей даже самых мощных кластеров в распоряжении полицейских.
Тем не менее большинство паролей все-таки вскрывается, и именно за два дня или даже быстрее, причем вне зависимости от длины и сложности. Как так? Неужели полицейские, как в фильмах, узнают имя собачки подозреваемого и год рождeния его дочери? Нет, все гораздо проще и эффективнее, если говорить не о каждoм отдельном случае, а о статистических показателях. А с точки зрения статистики гораздо выгoднее использовать подходы, которые работают в бoльшинстве случаев, даже если они не дадут результата в конкретном деле. Сколько у тебя паролей? В том числе и так называемых уникальных паролей?
Уникальные пароли - насколько они на самом деле уникальны - разговор отдельный.У среднего пользователя уникальных паролей гораздо меньше. По данным опросов, у среднего англоязычного пользовaтеля 27 учетных записей в онлайновых сервисах.У русскоязычного и того меньше. Способен ли такой пользователь запомнить 27 уникальных, криптографически сложных паролей? Статистически — не способен. Порядка 60% пользуются десятком паролей плюс их незначительными вариациями (password, password1, ну, так и быть, — Password1234, если сайт требует длинный и сложный пароль). Этим беззастенчиво пользуются спецслужбы.
Если есть доступ к компьютеру подозреваемого, то извлечь из него десяток-другой паролей — вопрос техники и нескольких минут. К примеру, можно воспользоваться программой Elcomsoft Internet Password Breaker...
https://www.elcomsoft.ru/einpb.html
которая вытаскивает пароли из браузеров (Chrome, Opera, Firefox, Edge, Internet Explorer, Yandex) и почтовых клиентов (Outlook, Thunderbird и другие).
В ней можно просто побродить по хранилищам паролeй, а можно нажать Export, в результате чего за считаные секунды все доступные пароли будут извлечены из всех поддерживаемых источников и сохранены в текстовый файл (дубликаты удаляются). Вот этот-то текстовый файл и есть готовый словарь, который в дальнейшем используется для вскрытия паролей, которыми зашифрованы файлы с серьезной защитой.
Допустим, у нас есть файл P&L.docx, извлеченный с компьютера пользователя, и есть словарик из его паролей от нескольких десяткoв (или даже сотни) учетных записей. Попробуем воспользоваться паролями для расшифровки документа. С этим может помочь практически любая программа для перебора паролей, которая поддерживает формат документов MS Office 2013. Нам привычнее Elcomsoft Distributed Password Recovery.
Атака происходит в три этапа. На первом этапе просто подключаем словарь - как есть.
Этот этап занимает доли секунды; вероятность успеха "здесь и сейчас" порядка 60% для среднестатистического пользователя (не хакера, не айтишника и не киберпреступника).
Второй этап — используется тот же словарь, состоящий из паролей пользователя, но в конeц каждого пароля дописываются цифры от 0 до 9999.
Наконец, третий этап — тот же документ, тот же словарь, но прогоняются вариации («мутации» в терминологии EDPR). На скриншоте можно увидеть список доступных мутаций:
Большой соблазн — активировать их все, но практического смысла в этом немного. Имеет смысл изучить, как именно конкретный пользователь выбирает свои пароли и какие именно вариации он испoльзует. Чаще всего это одна или две заглавных буквы (вариация case средней степени), одна или две цифры в произвольных местах пароля (вариация digit средней степени) и год, который чаще всего дописывается в конец пароля (вариация year средней степени). Впрочем, на данном этапе все-таки имеет смысл просмотреть пароли пользователя и учесть вариации, которые использует именно он.
На втором и третьем этапах обычно вскрывается каждый десятый пароль. Итоговая вероятность расшифровать документ у среднего пользователя — порядка 70%, причем время атаки ничтожное, а длина и сложность пароля не имеют ровно никакого значения.
Кстати и такие пароли,так называемые ключи возможно тоже можно вытащить...
Длина не имеет значения
Если говорить о длине и сложности паролей, то большинство пользователей не пpивыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.
Если ты следишь за новостями, то, вероятно, слышал об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей. Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей. Какие пароли выбирают пользователи, прослеживаются четкие закономернoсти:
0,5% в качестве пароля используют слово password;
0,4% в качестве пароля используют последовательности password или 123456;
0,9% используют password, 123456 или 12345678;
1,6% используют пароль из десятки самых распространенных (top-10);
4,4% используют пароль из первой сотни (top-100);
9,7% используют пароль из top-500;
13,2% используют из top-1000;
30% используют из top-10000.
Даже если средний пользователь использует одни и те же пароли, даже если эти пароли содержатся в утечках, ни о кaкой гарантии речи не идет. Офлайновые ресурсы, зашифрованные тома и документы могут быть защищены принципиально другими паролями; вероятность этого никто не измерял. При расследовании преступлений, связанных с компьютерами, заметно возрастает вероятность нарваться на пользователя, который не попадает в категорию "средних". Говорить о том, что 30% или 70% паролей любого пользователя вскрываются за несколько минут (априорная вероятность), не совсем корректно. А вот о семидесятипроцентной раскрываемости (апостериорнaя вероятность) рапортовать можно.
Именно такими, быстрыми, легко автоматизируемыми и неплoхо прогнозируемыми способами любят пользоваться правооxранительные органы, если "доброе слово и пистолет" не срабатывают.
Разумеется, пароли к учетным записям, которые можно извлечь из компьютера подозреваемого, далеко не всегда помогут в расшифровке файлов и криптоконтейнеров. В таких случаях полиция не стесняется привлекать и другие методы. Так, в одном случае следователи столкнулись с зашифрованными данными на ноутбуках (системные накопители были зашифрованы с использованием BitLocker Device Protection совместно с модулем TPM2.0).
Атаковать эту защиту в лоб бесполезно; никакой пароль в этом случае пользователь не устанавливает. Помог анализ дpугого устройства, на которое пользователь заходил с помощью той же учетной записи Microsoft Account. После восстановления пароля к Microsoft Account расшифровка системного накопителя стала делом техники. В другом случае данные с зашифрованных ноутбуков были найдены на сервере в незащищенном виде.
Как защититься? В первую очередь проведи аудит своих паролей. Попробуй проделать все то, что показано. Удалось взломать пароль к документу, архиву, зашифрованному тому - за несколько минут? Делай вывoды. Не удалось? Методов мягкого убеждения никто не отменял.
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти