Перейти к содержанию

«Снежная Королева». Отчет по кибербезопасности в семи историях

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Как вы думаете, о чем повествует сказка «Снежная Королева», написанная датским специалистом по кибербезопасности Гансом Христианом Андерсеном? О смелой девочке, которая ради чистой любви к своему другу победила воплощение зимы и смерти, как считают искусствоведы?

Да нет, конечно. На самом деле это достаточно подробный рассказ о расследовании начинающего ИБ-эксперта Герды инцидента с заражением Кая сложным вредоносом. Эта так называемая «сказка» написана в виде семи историй, которые достаточно четко соответствуют этапам расследования.

История первая, в которой рассказывается о зеркале и его осколках

Если вы когда-нибудь читали отчеты на нашем блоге для экспертов Securelist.ru, то, вероятно, знаете, что многие исследования часто начинаются с экскурса в историю вопроса. Так и Андерсен в первой истории рассказывает про дела давно минувших дней, которые служат первопричиной инцидента с Каем.

Согласно его данным, когда-то давно некий хобгоблин (в русском переводе — тролль) создал некое зеркало, в котором все доброе уменьшается, а внимание акцентируется на всем злом. Его ученики разбили это зеркало на миллиарды осколков, которые, во-первых, попадали людям в глаза и в сердца, а во-вторых, сохраняли свойство всего зеркала (искажали отображение реальности). Некоторые осколки люди вставляли в оконные рамы, так что искажалась вся картинка в окне. Некоторые использовали осколки в качестве линз в очках.

Мы уже знаем из сказки про Белоснежку, что под зеркалами сказочники обычно подразумевают экраны в широком смысле — телевизоры, компьютеры, планшеты, телефоны и так далее. Так что если перевести слова Андерсена с языка аллегорий на сухой научный язык, то получается, что изначально некий хакер создал некую систему, встроенный браузер которой намеренно искажал те сайты, на которые заходили пользователи этой системы.

Впоследствии же его ученики использовали куски исходного кода для заражения огромного числа пользователей, включая некие девайсы под Microsoft Windows и очки дополненной реальности.

Такое действительно уже неоднократно бывало: хрестоматийным примером можно считать эксплойт EternalBlue, утечка которого привела к эпидемиям WannaCry и NotPetya, а также нескольких других шифровальщиков. Впрочем, вернемся к нашей сказке.

История вторая: мальчик и девочка

Во второй истории Андерсен переходит к более подробному описанию одной из жертв и изначального вектора заражения. По его данным, Кай и Герда общались через расположенные рядом чердачные окошки (опять прямое указание на некий коммуникатор под Windows). Однажды зимой Кай увидел в своем окошке постороннего — прекрасную женщину, закутанную в тончайший белый тюль. Это была первая встреча Кая с хакером, который далее известен под кличкой «Снежная Королева».

Через некоторое время Кай почувствовал, что нечто кольнуло его прямо в сердце и что-то попало в глаз. Так Андерсен описал момент заражения. После того как вредоносный код попал в сердце (ядро ОС) и в глаз (устройство ввода), Кай, во-первых, резко меняет реакцию на внешние раздражители, а во-вторых, видит всю входящую информацию искаженной.

Через некоторое время он и вовсе уходит из дома, зацепившись веревкой от своих санок за сани Снежной Королевы. Проникнувшись к ней доверием, он рассказывает, что (цитата) «знает все четыре действия арифметики, да еще с дробями, знает, сколько в каждой стране квадратных миль и жителей». Казалось бы, мелкие детали. Но, как мы увидим дальше, именно это и интересовало злоумышленницу на самом деле.

История третья: цветник женщины, умевшей колдовать

Герда начинает собственное расследование и случайно сталкивается с женщиной, которая по каким-то своим причинам препятствует его ходу. По большому счету нам эта история интересна единственным моментом: колдунья расчесывает кудри девочки гребнем, после чего Герда забывает Кая.

То есть колдунья каким-то образом удаляет накопленные данные. Примечательно, что используемый старухой инструмент — гребень — нам уже знаком. В отчете братьев Гримм по инциденту с Белоснежкой мачеха использует аналогичный инструмент, чтобы заблокировать жертву. Совпадение? Или это указание на то, что данные инциденты связаны?

Как и в случае с Белоснежкой, блокировка данных с помощью гребня оказалась не перманентной — данные удается восстановить, и Герда продолжает свое расследование.

В конце третьей части отчета Герда спрашивает у разных цветов из сада колдуньи, не видели ли они Кая. Вероятно, это отсылка к старинному мессенджеру ICQ, логотипом которого (а заодно и индикатором статуса каждого пользователя) был цветок. То есть весь смысл общения с колдуньей заключался в том, что Герда пыталась через ее контакт-лист в ICQ найти дополнительную информацию по инциденту.

История четвертая: Принц и Принцесса

Этот этап расследования кажется не совсем релевантным. Герда пытается пробить Кая по государственной базе данных. Чтобы сделать это, она знакомится с какими-то воронами, которые предоставляют ей доступ в правительственное учреждение (королевский дворец).

Ни к каким результатам это не приводит, однако Герда ответственно извещает правительство о найденной уязвимости и ненадежности ворон. Принц и Принцесса закрывают уязвимость, дословно говоря воронам, что «ничуть не гневаются на них — только пусть они не делают этого впредь». Обратите внимание: не наказывают, а объясняют, что так делать не надо.

В качестве награды Принц и Принцесса снабжают Герду ресурсами (каретой, теплой одеждой, слугами). Отличный пример здоровой реакции организации на найденную исследователями уязвимость — будем надеяться, что награда не осталась единичным случаем, а превратилась в полноценную программу баг баунти.

История пятая: маленькая разбойница

В этой истории Герда предположительно попадает в лапы разбойников. На самом деле Андерсен иносказательно объясняет, что, зайдя в тупик на предыдущем этапе расследования, Герда была вынуждена воспользоваться помощью, скажем так, не совсем законопослушных сил.

Кибер-разбойники сводят Герду с ценными информаторами: голубями, которые знают, кто именно виноват в инциденте с Каем, а также с северным оленем, у которого есть адреса нужных контактов в даркнете. Однако эта помощь дорого ей стоит — она лишается большей части ресурсов, полученных в предыдущей истории.

Чтобы не подставлять исследовательницу в глазах властей, Андерсен пытается описать случившееся, как взаимодействие не по своей воле — якобы сперва разбойники ограбили Герду, и только потом, сжалившись, помогли информацией. Но получается не очень убедительно: более вероятно, что это была взаимовыгодная сделка.

История шестая: Лапландка и Финка

Далее следует финальный этап сбора необходимой для расследования информации через доставшуюся от разбойников цепочку странноватых контактов в даркнете. Олень сводит Герду с некой Лапландкой, которая пишет на сушеной треске рекомендательное послание следующему информатору — некой Финке.

Финка, в свою очередь, дает адрес командного сервера — «сад Снежной королевы». С практической же точки зрения в этой истории интересен один момент: прочтя послание от Лапландки, Финка кидает треску в суп. Потому что знает, как важно не оставлять лишних следов, и скрупулезно следует правилам OPSEC. Сразу видно опытного профессионала.

История седьмая: что случилось в чертогах Снежной королевы и что случилось потом

В седьмой истории объясняется, зачем Королеве понадобился Кай. Он сидит и переставляет обломки ледяного блока, чтобы получить красивое слово «вечность». Абсурд, скажете вы? Ничуть. Прочтите вот этот блогпост, где простыми словами рассказывают, что такое майнинг. Там говорится, что криптомайнеры, по сути, занимаются тем, что переставляют части блока информации, чтобы получить не какой попало хэш (свертку), а как можно более красивый.

То есть Кай пытается выстроить куски информации так, чтобы ее хэш сложился в слово «вечность». На этом этапе становится ясно, почему во второй истории Андерсен акцентировал внимание читателя на вычислительных мощностях Кая. Оказывается, именно они и интересовали Снежную Королеву — Кай был заражен исключительно ради майнинга. Заодно это объясняет и одержимость Снежной Королевы севером и холодом — производительная майнинговая ферма нуждается в серьезном охлаждении.

Далее Герда растапливает слезами ледяную корку в сердце Кая (то есть какими-то своими инструментами удаляет вредоносный код и возвращает контроль над ядром системы). А затем Кай сам заливается слезами, то есть активизирует встроенный антивирус, очевидно, ранее блокировавшийся зараженным модулем из ядра, и удаляет второй кусок вредоносного кода из глаза.

Концовка исследования немного смазана: вместо советов для потенциальных жертв, индикаторов компрометации системы и прочих полезных вещей Андерсен долго и нудно рассказывает, как герои возвращаются домой. Возможно, в XIX веке такой формат отчета был нормальным явлением.

Мы уже неоднократно писали, что сказочники, по сути, являются старейшими экспертами по информационной безопасности. Вот и еще одно доказательство: в сущности, «Снежная Королева» — не что иное, как подробное изложение хода расследования сложного инцидента. Также советуем ознакомиться с нашим анализом других популярных «сказок»:

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Loc
      Отчет об инцидентах
      Автор Loc
      Добрый день.
       
      В Kaspersky Security Center 11 была возможность сформировать Отчет об инцидентах. Во вложении скриншот с отчетом. 
      Вопрос: Как сформировать такой отчет в Kaspersky Security Center 15.2? Среди готовых отчетов я его не нашел. Может он теперь называется по другому?
      Смотрел отчет об угрозах, но это не совсем то.
       

    • Hendehog
      Расшифровка Отчета
      Автор Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • KL FC Bot
      Защита истории посещений в браузерах | Блог Касперского
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      Автор KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Тенденции кибербезопасности в 2025 году | Блог Касперского
      Автор KL FC Bot
      Уходящий 2024 год принес несколько рекордно крупных и серьезных инцидентов с утечками данных — от билетов на концерты Тейлор Свифт до всей информации о лечении 100 млн американцев. Весь год бурно развивались технологии ИИ и эволюционировала киберпреступность. Как учесть все это, чтобы обеспечить свою личную информационную безопасность? Дайте себе эти семь обещаний — и выполняйте их весь 2025 год.
      1. Освоить безопасное применение ИИ-ассистентов
      За год применение ИИ постепенно превратилось из модного развлечения в повседневное действие, особенно после того, как ИИ-помощника внедрили в обычные функции смартфонов. Учитывая, что ИИ теперь всегда под рукой, включая самые интимные моменты жизни, стоит внимательно изучить правила безопасного применения чат-ботов и прочих помощников, чтобы не навредить себе и окружающим. Если привести их очень кратко, то это примерно такой список.
      Перепроверять советы ИИ. Особенно если запрашиваете рецепты, медицинскую информацию, инвестиционные советы и любые другие данные с высокой ценой ошибки. Чат-боты иногда «галлюцинируют», поэтому никогда не следуйте их советам слепо. Отключать ИИ-функции, если не понимаете четко, зачем они нужны. Мода на ИИ побуждает крупные компании интегрировать ИИ даже там, где это не требуется. Наиболее яркий пример — внедрение неоднозначной функции Recall в Windows 11, где она постоянно делает скриншоты всего экрана для ИИ-анализа. Отключите ИИ, если не пользуетесь им активно. Не отправлять в ИИ личную информацию. Фото документов, паспортные данные, финансовые и медицинские документы почти никогда не нужны для эффективной работы ИИ. Учитывая, что эти данные могут храниться длительное время, использоваться для дообучения ИИ и в результате утекать на сторону, лучше их просто не отправлять. Не перекладывать на ИИ общение с близкими. Такая автоматизация приносит мало пользы и просто вас отдаляет друг от друга.  
      View the full article
×
×
  • Создать...