Перейти к содержанию

«Снежная Королева». Отчет по кибербезопасности в семи историях

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Как вы думаете, о чем повествует сказка «Снежная Королева», написанная датским специалистом по кибербезопасности Гансом Христианом Андерсеном? О смелой девочке, которая ради чистой любви к своему другу победила воплощение зимы и смерти, как считают искусствоведы?

Да нет, конечно. На самом деле это достаточно подробный рассказ о расследовании начинающего ИБ-эксперта Герды инцидента с заражением Кая сложным вредоносом. Эта так называемая «сказка» написана в виде семи историй, которые достаточно четко соответствуют этапам расследования.

История первая, в которой рассказывается о зеркале и его осколках

Если вы когда-нибудь читали отчеты на нашем блоге для экспертов Securelist.ru, то, вероятно, знаете, что многие исследования часто начинаются с экскурса в историю вопроса. Так и Андерсен в первой истории рассказывает про дела давно минувших дней, которые служат первопричиной инцидента с Каем.

Согласно его данным, когда-то давно некий хобгоблин (в русском переводе — тролль) создал некое зеркало, в котором все доброе уменьшается, а внимание акцентируется на всем злом. Его ученики разбили это зеркало на миллиарды осколков, которые, во-первых, попадали людям в глаза и в сердца, а во-вторых, сохраняли свойство всего зеркала (искажали отображение реальности). Некоторые осколки люди вставляли в оконные рамы, так что искажалась вся картинка в окне. Некоторые использовали осколки в качестве линз в очках.

Мы уже знаем из сказки про Белоснежку, что под зеркалами сказочники обычно подразумевают экраны в широком смысле — телевизоры, компьютеры, планшеты, телефоны и так далее. Так что если перевести слова Андерсена с языка аллегорий на сухой научный язык, то получается, что изначально некий хакер создал некую систему, встроенный браузер которой намеренно искажал те сайты, на которые заходили пользователи этой системы.

Впоследствии же его ученики использовали куски исходного кода для заражения огромного числа пользователей, включая некие девайсы под Microsoft Windows и очки дополненной реальности.

Такое действительно уже неоднократно бывало: хрестоматийным примером можно считать эксплойт EternalBlue, утечка которого привела к эпидемиям WannaCry и NotPetya, а также нескольких других шифровальщиков. Впрочем, вернемся к нашей сказке.

История вторая: мальчик и девочка

Во второй истории Андерсен переходит к более подробному описанию одной из жертв и изначального вектора заражения. По его данным, Кай и Герда общались через расположенные рядом чердачные окошки (опять прямое указание на некий коммуникатор под Windows). Однажды зимой Кай увидел в своем окошке постороннего — прекрасную женщину, закутанную в тончайший белый тюль. Это была первая встреча Кая с хакером, который далее известен под кличкой «Снежная Королева».

Через некоторое время Кай почувствовал, что нечто кольнуло его прямо в сердце и что-то попало в глаз. Так Андерсен описал момент заражения. После того как вредоносный код попал в сердце (ядро ОС) и в глаз (устройство ввода), Кай, во-первых, резко меняет реакцию на внешние раздражители, а во-вторых, видит всю входящую информацию искаженной.

Через некоторое время он и вовсе уходит из дома, зацепившись веревкой от своих санок за сани Снежной Королевы. Проникнувшись к ней доверием, он рассказывает, что (цитата) «знает все четыре действия арифметики, да еще с дробями, знает, сколько в каждой стране квадратных миль и жителей». Казалось бы, мелкие детали. Но, как мы увидим дальше, именно это и интересовало злоумышленницу на самом деле.

История третья: цветник женщины, умевшей колдовать

Герда начинает собственное расследование и случайно сталкивается с женщиной, которая по каким-то своим причинам препятствует его ходу. По большому счету нам эта история интересна единственным моментом: колдунья расчесывает кудри девочки гребнем, после чего Герда забывает Кая.

То есть колдунья каким-то образом удаляет накопленные данные. Примечательно, что используемый старухой инструмент — гребень — нам уже знаком. В отчете братьев Гримм по инциденту с Белоснежкой мачеха использует аналогичный инструмент, чтобы заблокировать жертву. Совпадение? Или это указание на то, что данные инциденты связаны?

Как и в случае с Белоснежкой, блокировка данных с помощью гребня оказалась не перманентной — данные удается восстановить, и Герда продолжает свое расследование.

В конце третьей части отчета Герда спрашивает у разных цветов из сада колдуньи, не видели ли они Кая. Вероятно, это отсылка к старинному мессенджеру ICQ, логотипом которого (а заодно и индикатором статуса каждого пользователя) был цветок. То есть весь смысл общения с колдуньей заключался в том, что Герда пыталась через ее контакт-лист в ICQ найти дополнительную информацию по инциденту.

История четвертая: Принц и Принцесса

Этот этап расследования кажется не совсем релевантным. Герда пытается пробить Кая по государственной базе данных. Чтобы сделать это, она знакомится с какими-то воронами, которые предоставляют ей доступ в правительственное учреждение (королевский дворец).

Ни к каким результатам это не приводит, однако Герда ответственно извещает правительство о найденной уязвимости и ненадежности ворон. Принц и Принцесса закрывают уязвимость, дословно говоря воронам, что «ничуть не гневаются на них — только пусть они не делают этого впредь». Обратите внимание: не наказывают, а объясняют, что так делать не надо.

В качестве награды Принц и Принцесса снабжают Герду ресурсами (каретой, теплой одеждой, слугами). Отличный пример здоровой реакции организации на найденную исследователями уязвимость — будем надеяться, что награда не осталась единичным случаем, а превратилась в полноценную программу баг баунти.

История пятая: маленькая разбойница

В этой истории Герда предположительно попадает в лапы разбойников. На самом деле Андерсен иносказательно объясняет, что, зайдя в тупик на предыдущем этапе расследования, Герда была вынуждена воспользоваться помощью, скажем так, не совсем законопослушных сил.

Кибер-разбойники сводят Герду с ценными информаторами: голубями, которые знают, кто именно виноват в инциденте с Каем, а также с северным оленем, у которого есть адреса нужных контактов в даркнете. Однако эта помощь дорого ей стоит — она лишается большей части ресурсов, полученных в предыдущей истории.

Чтобы не подставлять исследовательницу в глазах властей, Андерсен пытается описать случившееся, как взаимодействие не по своей воле — якобы сперва разбойники ограбили Герду, и только потом, сжалившись, помогли информацией. Но получается не очень убедительно: более вероятно, что это была взаимовыгодная сделка.

История шестая: Лапландка и Финка

Далее следует финальный этап сбора необходимой для расследования информации через доставшуюся от разбойников цепочку странноватых контактов в даркнете. Олень сводит Герду с некой Лапландкой, которая пишет на сушеной треске рекомендательное послание следующему информатору — некой Финке.

Финка, в свою очередь, дает адрес командного сервера — «сад Снежной королевы». С практической же точки зрения в этой истории интересен один момент: прочтя послание от Лапландки, Финка кидает треску в суп. Потому что знает, как важно не оставлять лишних следов, и скрупулезно следует правилам OPSEC. Сразу видно опытного профессионала.

История седьмая: что случилось в чертогах Снежной королевы и что случилось потом

В седьмой истории объясняется, зачем Королеве понадобился Кай. Он сидит и переставляет обломки ледяного блока, чтобы получить красивое слово «вечность». Абсурд, скажете вы? Ничуть. Прочтите вот этот блогпост, где простыми словами рассказывают, что такое майнинг. Там говорится, что криптомайнеры, по сути, занимаются тем, что переставляют части блока информации, чтобы получить не какой попало хэш (свертку), а как можно более красивый.

То есть Кай пытается выстроить куски информации так, чтобы ее хэш сложился в слово «вечность». На этом этапе становится ясно, почему во второй истории Андерсен акцентировал внимание читателя на вычислительных мощностях Кая. Оказывается, именно они и интересовали Снежную Королеву — Кай был заражен исключительно ради майнинга. Заодно это объясняет и одержимость Снежной Королевы севером и холодом — производительная майнинговая ферма нуждается в серьезном охлаждении.

Далее Герда растапливает слезами ледяную корку в сердце Кая (то есть какими-то своими инструментами удаляет вредоносный код и возвращает контроль над ядром системы). А затем Кай сам заливается слезами, то есть активизирует встроенный антивирус, очевидно, ранее блокировавшийся зараженным модулем из ядра, и удаляет второй кусок вредоносного кода из глаза.

Концовка исследования немного смазана: вместо советов для потенциальных жертв, индикаторов компрометации системы и прочих полезных вещей Андерсен долго и нудно рассказывает, как герои возвращаются домой. Возможно, в XIX веке такой формат отчета был нормальным явлением.

Мы уже неоднократно писали, что сказочники, по сути, являются старейшими экспертами по информационной безопасности. Вот и еще одно доказательство: в сущности, «Снежная Королева» — не что иное, как подробное изложение хода расследования сложного инцидента. Также советуем ознакомиться с нашим анализом других популярных «сказок»:

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как решить проблему нехватки кадров в кибербезопасности
      От KL FC Bot
      Дефицит квалифицированных кадров в индустрии информационной безопасности — проблема, мягко говоря, не новая. Однако в последние годы она встала особенно остро. Триггером тут послужила эпидемия коронавируса, из-за которой произошла стремительная цифровизация всего на свете и не менее стремительный рост количества атак. Из-за этого быстро растет и спрос на профессионалов в сфере кибербезопасности. А вот предложение за ним категорически не поспевает.
      Одна из ведущих организаций, занимающихся сертификацией специалистов в области ИБ, — ISC2 — публикует ежегодные отчеты о состоянии дел с трудовыми ресурсами в кибербезопасности. Согласно последнему отчету, за период с 2022 по 2023 год количество специалистов в ИБ выросло на 8,7%. Звучит вроде бы внушительно. Однако проблема в том, что дефицит таких специалистов за тот же период вырос аж на 12,6%. Таким образом, на момент публикации отчета общемировая нехватка кадров в индустрии кибербезопасности достигала 4 миллионов сотрудников. Почему же так происходит?
      Кибербезопасность в высшем образовании
      Чтобы получить ответ на этот вопрос, мы провели масштабное исследование, в ходе которого опросили более 1000 профессионалов в сфере ИТ и кибербезопасности из 29 стран мира. Мы опрашивали сотрудников разного уровня — от начинающих специалистов до директоров и руководителей SOC.
      В результате выяснилось несколько интересных фактов. В частности, далеко не все специалисты, работающие в данной сфере, изучали информационную безопасность в рамках своего высшего образования. Цифры разнятся по регионам, но в среднем соответствующие курсы были лишь у каждого второго. При этом большинство респондентов считает, что доступность специализированных курсов по информационной безопасности в рамках высшего образования недостаточна.
      Доступность специализированных курсов по кибербезопасности в учреждениях высшего образования респонденты оценили как недостаточную. Источник
      В целом полезность высшего образования для карьеры в информационной безопасности опрошенные оценили невысоко: лишь половина респондентов считает, что оно крайне полезно или очень полезно, четверть оценивает его полезность нейтрально, а еще четверть и вовсе полагает, что оно полностью бесполезно.
      Основная проблема формального образования в сфере кибербезопасности состоит в том, что оно категорически не успевает за теми изменениями, которые происходят в реальном мире. Технологии, инструменты и ландшафт угроз сейчас меняются настолько быстро, что за время обучения полученные в процессе знания успевают устареть.
       
      View the full article
    • Ammorf
      Kaspersky Security Center: Не создается файл отчета в PDF
      От Ammorf
      OS - Windows Server 2012, установлены .NET Framework 3.5 и 4.8
      KSC - 14.2.0.26967

      При попытке выгрузки отчета в формате pdf возникает ошибка "Не удалось создать отчет. Unspecified error".
      Ошибка возникает только при попытке выгрузки на самом сервере, если делать через консоль на обычной win 10 машине - все ок.
      Однако из-за того, что он не может делать это на сервере - он так же не может их отправлять по почте или класть в папку в соответствии с расписанием. 
      В логах "Kaspersky Event log", "Kaspersky Security" и системных логах не создается ничего при воспроизведении такой ошибки.
      Правка реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage) со сменой локализации не помогает, к тому же изначально была установлена правильная  1251.
      .NET Framework 3.5 и 4.8 - установлен

    • kmscom
      Альбом "Клуб "Лаборатории Касперского" - история, повседневность, будущее.
      От kmscom
      Дорогие друзья.
      Вы все наверно помните о результатах конкурса по созданию фотоальбома 
       
      Эта тема посвящена одному из конкурсных альбомов.
      6-е издание
      добавлена информация о праздновании ДР Клуба 2024 в Республике Алтай Ссылки
      Для просмотра
      Для печати
       
      Компания Лаборатория Касперского может использовать данный альбом и его фрагменты без ограничений.
      Альбом будет в дальнейшем пополнятся минимум раз в год, соответственно и содержимое этого сообщения в шапке данное темы.
      Комментарии приветствуются и следите за новостями.
       
      Список изменений
       
      Если кто-то готов поделиться фотографиями с любой встречи клуба, обращайтесь к @andrew75
    • KL FC Bot
      Топ-5 самых крупных утечек данных в истории | Блог Касперского
      От KL FC Bot
      В последние годы количество скомпрометированных данных неуклонно растет. Практически каждый день в новостях появляются новые заметки об утечках и взломах, а мы все больше пишем о необходимости использования защиты — сейчас она актуальна как никогда.
      Сегодня погрузимся в историю и вспомним про самые громкие и крупные утечки данных. Сколько и какой информации было слито, как пострадали пользователи и многое другое — в этом материале.
      1. RockYou2024
      Коротко: хакеры собрали данные из старых утечек и выкатили самую большую компиляцию реальных пользовательских паролей — 10 млрд записей!
      Когда произошла утечка: в 2024 году.
      Кто пострадал: пользователи без надежной защиты по всему миру.
      RockYou2024 — король утечек и настоящий бич всех, кто думал, что он хакерам не интересен. В июле 2024 года киберпреступники на тематическом форуме выложили гигантскую подборку паролей: 9 948 575 739 уникальных записей. Даже несмотря на то, что RockYou2024 — это компиляция на основе старой утечки RockYou2021, результат все равно ошеломляет.
      Наш эксперт Алексей Антонов проанализировал эту утечку и выяснил, что 83% содержащихся в утечке паролей могли бы быть подобраны умным алгоритмом менее чем за час и лишь 4% утекших пользовательских паролей (328 млн) можно признать стойкими — их подбор займет более года с помощью умного алгоритма. Как работает умный алгоритм — мы писали в исследовании стойкости паролей, которое совместно с анализом новой утечки наглядно доказывает, что большинство пользователей по-прежнему крайне легкомысленно относятся к созданию паролей.
      При разборе новой утечки эксперт отфильтровал все нерелевантные записи и работал с оставшимся массивом из 8,2 млрд паролей, которые хранились в открытом виде, — это, конечно, не 10 млрд, но все еще много.
       
      View the full article
    • Auyr
      Синий экран с ошибкой DCP_WATCH, а также появление файла deafult.rpd, при сканировании обнаружен троян, постоянно возникают в большом количестве ссылки в истории браузера
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
×
×
  • Создать...