![S3 Ep114: A kiberfenyegetések megelőzése – állítsd meg őket, mielőtt megállítanának téged! [Hang + szöveg] PlatoBlockchain adatintelligencia. Függőleges keresés. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits.png "S3 Ep114: A kiberfenyegetések megelőzése – állítsd meg őket, mielőtt megállítanának téged! [Hang + szöveg]")
MEGÁLLÍTJÁK A CSINÁLÓKAT, MIELŐTT MEGÁLLÍTANAK TÉGED!
Paul Ducklin világhírű kiberbiztonsági szakértővel beszélget Fraser Howard, a SophosLabs kutatási igazgatója, ebben a lenyűgöző epizódban, amelyet a közelmúltban rögzítettünk Biztonsági SOS Hét 2022.
Ha a számítástechnikai bûnözés elleni küzdelemrõl van szó, Fraser valóban „mindenben jártas”, és azt is tudja, hogy ezt a trükkös és alattomos témát magyar nyelven magyarázza el.
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.
Intro és outro zene szerzője Edith Mudge.
Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.
OLVASSA EL AZ ÍRÁST
[ROBOT HANG: Sophos Security SOS]
PÁL DUCKLIN. Helló mindenki.
Üdvözöljük a Sophos Security SOS héten.
A mai téma a következő: A kiberfenyegetések megelőzése – állítsa le őket, mielőtt megállítanának téged!
Mai vendégünk pedig nem más, mint Mr. Fraser Howard, a SophosLabs kutatási igazgatója.
Most azok, akik korábban hallgatták az SOS Week-et, tudni fogják, hogy szeretem Frasert „minden specialistának” nevezni, mert tudása nem csak széles, hanem hihetetlenül mély is.
Mondhatni minden cellát kipipál a táblázatban.
Szóval, Fraser, üdvözöljük újra az SOS Héten.
Azzal akartam kezdeni, hogy valamire összpontosítok, ami a LOLBIN névre hallgat, ami szerintem a „living-off-the-land binary” rövidítése, ami a szakzsargon a már meglévő szoftverekre vonatkozik, amelyeket a szakácsok szeretnek használni.
FRASER HOWARD. Pontosan azt.
KACSA. És jelenleg az a nagy probléma, hogy a legvalószínűbb LOLBIN, vagy a legvalószínűbb előre telepített program, amelyen a szélhámosok étkeznek, jobb kifejezés híján nem más, mint a Windowsba beépített PowerShell. .
A Windows minden verzióján elérhető, amint telepíti.
És ez manapság magának a Windowsnak a menedzsment eszköze.
Szóval hogyan élsz nélküle?
FRASER. Pontosan – ahogy leírtad, a támadók szemszögéből nézve a LOLBIN zseniális.
Vagy a saját késüket hozzák magukkal a harcba, és a késük nagyon másképp nézhet ki, mint minden más, ami a rendszerben van…
…vagy olyan kést használnak, amely történetesen eleve jelen van a rendszerben.
És ez nyilvánvaló okokból előnyös a támadó számára.
Egyik biztonsági szoftver sem fogja látni, hogy egy teljesen új, fényes, ismeretlen alkalmazás hirtelen fut és kerül felhasználásra a támadás részeként.
De az olyan eszközök, mint a PowerShell, már rendelkezésre állnak – ekkor kezdődnek a játékok azzal, hogy megpróbálják kitalálni: „Jó, vagy rossz?”
Bárcsak lenne egysoros válasz arra, hogyan észleljük a rosszindulatú PowerShellt a jóindulatúakkal szemben, de valójában ez egy meglehetősen összetett helyzet.
Mit csinál pontosan a PowerShell folyamat?
A spektrum egyik végén olyan technológiát használhat, mint például az alkalmazásvezérlés.
Adminisztrátorként pedig a következőt választhatja: „PowerShell, nem szabad futtatnia a környezetemben.”
Ez egyfajta csodaszer, ha úgy tetszik, és megakadályozná a PowerShell visszaélést, de számos jogszerű tevékenységet is megszakítana, beleértve a legtöbb mai Windows-gép alapvető kezelését.
KACSA. Rendben alkalmazásvezérlés a Sophos neve a nem rosszindulatú szoftverek észlelésének és adott esetben blokkolásának a képessége, amelyet egy jól tájékozott rendszergazda esetleg nem szeretne támogatni a környezetében?
FRASER. Pontosan.
És ez nem csak az adminisztrátorokról és az általuk választott „Melyik alkalmazást használhatják a felhasználók?”
Az alapokról szól.
Ha a biztonságra gondol, mi volt az egyik dolog, amit elmondtunk az embereknek az elmúlt 5 vagy 10 évben?
"Tapasz!"
Ha Ön rendszergazda, és bárkinek megengedi, hogy bármilyen alkalmazást használjon a böngészőjében, akkor ez 5-10 különböző böngészőt jelenthet, amelyeket ki kell javítania.
Valójában az adminisztrátorok számára az olyan technológiák, mint az alkalmazásvezérlés, lehetővé teszik a fenyegetési felület szűkítését.
KACSA. De a PowerShell… egyesek azt mondják: „Ó, csak blokkolja a PowerShellt. Az összes letiltása .PS1 fájlokat. Kész a munka."
FRASER. Ez nem ilyen egyszerű!
KACSA. Egy rendszergazda képes lenne PowerShell nélkül kezelni egy modern Windows hálózatot?
FRASER. [SZÜNET] Nem.
[NEVETÉS]
Úgy értem, vannak olyan házirend-beállítások, amelyeket úgy dönthetnek, hogy például csak bizonyos aláírt szkriptek futtatását engedélyezik.
A támadók azonban számos tippet és technikát ismernek, amelyek megpróbálják ezeket a mechanizmusokat is megkerülni.
Néhány régebbi szkriptmotor… a legjobb példa a Windows Scripting Host – a legtöbb ember nem tudja, hogy ott van.
A PowerShell nem az adminisztrátorok egyablakos ügyintézője, hanem WSCRIPT és a CSCRIPT...
…ezek a binárisok ismét minden egyes Windows dobozban megtalálhatók.
Sokkal megvalósíthatóbb a teljes blokkolása, és visszaélnek velük, ismét rosszindulatú programokkal.
KACSA. Tehát a Windows Scripting Host olyan dolgokat tartalmaz, mint a JavaScript (nem fut a böngészőben, a böngészőn kívül), és a jó öreg Visual Basic Script?
FRASER. Egy egész sereg van belőlük.
KACSA. Most a Visual Basic szkriptet leállította a Microsoft, nem igaz?
De még mindig támogatott és még mindig nagyon széles körben használják?
FRASER. Igen, nagyon népszerű a Rosszfiúk körében.
És ez nem csak a szkriptmotorok.
Nem emlékszem pontosan, hány bináris van a fő LOLBIN listákon.
A kapcsolók megfelelő kombinációjával hirtelen egy bináris fájl, amelyet például a tanúsítványok helyi kezelésére használhat...
…valójában bármilyen tartalom letöltésére használható egy távoli szerverről, és helyileg mentheti lemezre.
KACSA. Az, hogy a CERTUTIL.EXE?
FRASER. Igen, CERTUTIL, Például.
KACSA. Mert ez olyan dolgokra is használható, mint például a fájlkivonatok kiszámítása.
FRASER. Használható például base64 kódolású futtatható tartalom letöltésére, helyi mentésére és dekódolására.
És akkor ez a tartalom futtatható – például a webes átjárókon való átjutás módjaként.
KACSA. És ez még rosszabb a PowerShellnél, nem?
Mert vehet egy base64 kódolású karakterláncot, és betáplálhatja a PowerShellbe bemeneti szkriptként, és az csendben dekódolja azt.
És még egy parancssori opciót is beállíthat, ugye, hogy azt mondja: "Hé, ha a felhasználó azt mondta, hogy "ne engedje, hogy parancssorok futhassanak a parancssorból", akkor figyelmen kívül hagyja – ezt szeretném felülbírálni"?
FRASER. Említetted .PS1 fájlokat.
Ez egy fizikai szkriptfájl, amely létezhet a lemezen.
Valójában a PowerShell elég ügyes a dolgok fájl nélküli végrehajtásában, így csak maga a parancssor tartalmazhatja a teljes PowerShell-parancsot.
KACSA. Nos, úgy tudom, a legtöbb úgynevezett „fájl nélküli rosszindulatú program” fájlokat foglal magában, valószínűleg elég sok fájlt a működése során…
…de lesz egy kulcsfontosságú pont, amikor valami, amit észlelhetsz, *csak a memóriában létezik*.
Tehát az a biztonsági szoftver, amely csak a lemezelérést figyeli, kimarad.
Hogyan kezeli az ilyen helyzeteket, amikor a szélhámosok megkapták ezt a félig-meddig gyanús cuccot, aztán ezzel a fájl nélküli, csak memóriát használó trükkel leplezték az igazán veszélyes dolgot?
Hogyan kezeled ezt?
FRASER. Ennek egyik módja, különösen a PowerShell esetében az, hogy a Microsoft olyan felületet biztosít, amely betekintést nyújt a PowerShell viselkedésébe.
Tehát az AMSI egy olyan interfész, amelyet a gyártók, biztonsági gyártók használhatnak arra, hogy bepillantást nyerjenek a rosszindulatú programokba.
KACSA. Az AMSI… Anti-Malware szkennelési felület?
FRASER. Pontosan.
Ez egy ablakot ad a PowerShell viselkedésére bármely időpontban.
Tehát, mivel lehet, hogy fájlmentesen csinálja a dolgokat… minden hagyományos elfogási pont, amely fájlokat keres a lemezen, nem fog megjelenni.
De maga a PowerShell viselkedése is generál tevékenységet, ha úgy tetszik, az AMSI felületen belül, amely lehetővé teszi számunkra, hogy felismerjünk és blokkoljunk bizonyos típusú rosszindulatú PowerShell-tevékenységeket.
A másik dolog az, hogy bár a „fájl nélküli” egy kis csodaszer a rosszfiúk számára…
…valójában az egyik dolog, amit a legtöbb támadó valamikor keres, az az, amit mi úgy hívunk kitartás.
Rendben, valami kód fut a gépen… de mi történik, ha a gépet újraindítják?
Így a fájl nélküli rosszindulatú programjaik általában arra törekszenek, hogy bizonyos szintű kitartást biztosítsanak.
Tehát a legtöbb fájl nélküli támadás, amelyet láttunk, ténylegesen interakcióba lép, jellemzően a Windows rendszerleíró adatbázisával – a rendszerleíró adatbázist használják a tartósság elérésére.
Általában valamilyen BLOB [bináris nagy objektum] adatot helyeznek el a rendszerleíró adatbázisban, és úgy módosítanak néhány beállításkulcsot, hogy a gép újraindításakor a BLOB dekódolásra kerüljön, és a rosszindulatú viselkedés újra folytatódjon.
Napjaink termékei a technológia egész soráról szólnak, az egyszerűtől egészen a rendkívül bonyolultig.
KACSA. That also helps to explain why people take files that are kind-of the precursors of malware, but not overtly malicious themselves, upload them to an online service like, say, Virus Total…
…és mondd: „Hé, ezt senki sem észleli. Minden biztonsági termék használhatatlan.”
De ez nem jelenti azt, hogy a fájl életre kelhet, és rossz dolgokat kezdhet el anélkül, hogy leállítanák…
FRASER. Ez egy nagyon jó pont.
Azt hiszem, a biztonsági ipar megpróbálta ezt, de az a tény, hogy még mindig beszélünk róla, valószínűleg nem sikerült megértenünk:
Mi a védelem?
Mit is értünk valójában?
Mit jelent általában megvédeni valakit egy fenyegetés ellen?
A legtöbb ember hajlamos erre így gondolni… OK, fenyegetés van; olyan fájlt szeretnének, ami „fenyegetés”; és látni akarják, hogy a fájl észlelhető-e.
De az a bizonyos támadás… tegyük fel, hogy egy bot.
10,000 XNUMX ilyen fájl lehet *minden egyes nap*, mivel a rosszfiúk elfordítják a fogantyújukat, és sok különböző replikát készítenek, amelyek lényegében ugyanazok az alapvető dolgok.
És így az a tény, hogy 1, 10 vagy 100 ilyen fájlt észlel…
…nem igazán árul el sokat arról, hogy egy termék mennyire védhet e fenyegetés ellen.
KACSA. A „bot” azt jelenti szoftveres robot?.
Lényegében ez olyasvalami, ami rendszeresen ül a számítógépén, otthon hív vagy lekérdez valamilyen véletlenszerű szervert?
FRASER. Pontosan.
KACSA. That server may change from day to day… and the bot will frequently download a list of instructions, such as “Here’s a list of email addresses to spam.”
Következő lehet, hogy „Itt van a fájlkiterjesztések listája, amiket össze akarok keverni”, vagy lehet „Kapcsolja be a billentyűnaplót”?
FRASER. Pontosan.
KACSA. Vagy „Készítsen képernyőképet most, a banki alkalmazásban vannak”.
Ez lényegében egy aktív hátsó ajtó…
FRASER. Ez egy hátsó ajtó, igen.
És 20 évvel ezelőtt beszéltünk a hátsó ajtókról… Emlékszem, 20 évvel ezelőtt prezentációkat tartottam az ügyfeleknek, és a hátsó ajtókról beszéltem.
KACSA. „Hátsó nyílás”, ha emlékszel…
FRASER. Igen igen!
Megpróbáltuk meggyőzni az ügyfeleket, hogy valójában sok hátsó ajtó fontosabb, mint a korabeli nagy horderejű rosszindulatú programok.
Amivel nem akarsz megfertőződni, az a hátsó ajtók, amelyek lehetővé teszik, hogy valahol egy gonosztevő irányítsa a gépedet, és rossz dolgokat tegyen, például átnézzen a fájlrendszeren, vagy módosítsa a rendszeren lévő adatokat.
Ez sokkal ijesztőbb fenyegetés, mint például egy önmagát replikáló féreg, amely számítógépről számítógépre terjed.
Ez elkaphatja a sajtót, és önmagában is problémákat okozhat…
…de valójában, ha valaki hozzáfér a rendszeréhez, az vitathatatlanul sokkal nagyobb veszélyt jelent.
KACSA. És visszagondolva a Back Orifice-ra… mi volt az 1999-ben? 2000?
Ez híresen az 13337-es porton hallgatott, nem?
FRASER. Jó a memóriád [NEVETÉS]… igen, „elit”!
KACSA. És amint az emberek elkezdtek otthon DSL-kapcsolatra csatlakozni, és otthoni útválasztójuk volt, a Back Orifice használhatatlan volt, mert a bejövő kapcsolatok nem működtek.
Ezért az emberek azt gondolták: „Ó, hát a hátsó ajtók a bejövő hálózati kapcsolatokra támaszkodnak – alapértelmezés szerint az internetszolgáltatóm védi, így nem kell aggódnom miatta.”
De a mai zombik, a mai robotok – valami titkosított vagy titkos csatornán hívnak haza, és *letöltik* az utasításokat…
FRASER. És mivel HTTPS-en működik, alapvetően elrejtik ezt a hálózati tevékenységet a millió és egy másik webes csomag között, amelyek percenként mennek ki a legtöbb otthoni kapcsolaton.
KACSA. Tehát ez egy másik ok, amiért szeretne mélyreható vagy réteges védelmet?
FRASER. Igen.
KACSA. Nyilvánvalóan új fájlok – meg akarja vizsgálni őket; nem szeretne lemaradni a rosszindulatú programokról, amelyeket észlelhetett volna.
De lehet, hogy a fájl jelenleg ártatlan, és betöltés után kiderülhet, hogy gazember; miután manipulálta magát a memóriában; miután kihívták és letöltöttek dolgokat…
FRASER. És így, hogy visszatérjünk az eredeti ponthoz: a biztonsági termékek mérése ma bonyolultabb, mint valaha.
KACSA. Mert néhány embernek még mindig az a gondolata, hogy ha valóban tesztelni akar egy terméket, akkor csak egy hatalmas vödröt kap, tele rosszindulatú programokkal, minden fájlban…
FRASER. Általában „állatkertnek” hívják.
KACSA. …és ezt valahol elszigetelten feltetted egy szerverre.
Ezután beszkenneli egy statikus szkennerrel, és megtudja, hányat észlel, és ez megmondja, hogyan viselkedik a termék.
A „Virus Total” megközelítés.
De ez: [A] hajlamos alábecsülni a jó termékeket, és [B] túlbecsüli a rossz termékeket.
FRASER. Vagy olyan termékek, amelyek csak a fájlok észlelésére specializálódtak, elsősorban azért, hogy jól nézzenek ki az ilyen típusú állatkert-alapú tesztekben.
Ez nem azt jelenti, hogy a való világban olyan termékről van szó, amely valóban jó szintű védelmet nyújt!
A valóságban letiltjuk a fájlokat… természetesen megtesszük – a fájl továbbra is nagyon fontos pénznem, ha úgy tetszik, a védelem szempontjából.
De sok más dolog is létezik, például az AMSI felület, amely lehetővé teszi a rosszindulatú PowerShell-tevékenységek blokkolását és magát a program viselkedését.
Tehát a termékünkön belül a viselkedési motor a folyamatok viselkedését, a hálózatot, a forgalmat, a regisztrációs tevékenységet vizsgálja…
…és ez a kombinált kép lehetővé teszi számunkra, hogy észleljünk olyan potenciálisan rosszindulatú viselkedést, amelynek célja nem feltétlenül egy adott család, vagy akár egy bizonyos típusú fenyegetés blokkolása, hanem csak *rosszindulatú tevékenység*.
Ha vannak bizonyos típusú viselkedések, amelyekről megállapíthatjuk, hogy kifejezetten rosszindulatúak, gyakran megpróbáljuk blokkolni ezt.
Ma már blokkolhatunk egy bizonyos típusú rosszindulatú viselkedést, majd egy még meg sem írt fenyegetéscsaládot – három hónap múlva előfordulhat, hogy ugyanezt a viselkedést alkalmazza, és proaktívan észleljük.
Tehát ez a Szent Grál, amit csinálunk: proaktív védelem.
Az a képesség, hogy ma írjunk valamit, ami a jövőben sikeresen blokkolja a rosszindulatú viselkedést.
KACSA. Azt hiszem, jó példa erre, hogy visszatérjünk az előbb említettekhez CERTUTIL.EXE – az a tanúsítványérvényesítő segédprogram.
Lehet, hogy ezt használja a saját szkriptjeiben, saját rendszeradminisztrációs eszközeiben, de vannak olyan viselkedések, amelyekre nem számítana, bár ez a program alkalmas arra, hogy megtegye ezeket a dolgokat.
Kiállnának.
FRASER. Pontosan kitűnnének.
KACSA. Tehát nem mondhatja azt, hogy „rossz a program”, de viselkedésének egy pontján azt mondhatja, hogy „Aha, most túl messzire ment!”
FRASER. És ez érinti a mai táj egy másik érdekes aspektusát.
történelmileg, EVIL.EXE fut; észlelhetjük a fájlt; rosszindulatú viselkedést észlelhetünk; kitisztítjuk a rendszeréből.
Ön a LOLBIN-ekről beszélt… nyilvánvalóan nem távolítjuk el, ha azt észleljük, hogy a PowerShell valami rosszindulatú. POWERSHELL.EXE abból a rendszerből.
KACSA. „Ó, azt találtam, hogy a Windows valami rosszat csinál – törölje le az egész rendszert!”
[NEVETÉS]
FRASER. Alapvetően blokkoljuk ezt a folyamatot; leállítjuk ezt a folyamatot, és azt csináljuk, amit tenni készült; és megszüntetjük.
A PowerShell azonban továbbra is létezik a fizikai rendszeren.
Valójában a mai támadók nagyon különböznek a tegnapi támadóktól.
A mai támadók arról szólnak, hogy legyen góljuk; amelynek célja van.
A régi modell inkább permetezős volt, ha úgy tetszik.
Ha valaki blokkolja a támadást… balszerencse, feladja – ott nincs emberi jelenlét.
Ha a támadás működik, adatokat lopnak el, egy gép kompromittálódik, bármi legyen is az, de ha a támadást blokkolták, semmi más nem történik a rendszeren.
A mai támadásokban valójában sokkal több az emberi elem.
Tehát jellemzően sok támadást látunk manapság – ezt a sok ransomware támadás jellemzi, ahol a szélhámosok kifejezetten bizonyos szervezeteket próbálnak megcélozni ransomware alkotásaikkal…
…ha valami blokkolva van, újra próbálkoznak, és tovább próbálkoznak.
Mivel blokkolunk dolgokat, és blokkoljuk a különböző típusú rosszindulatú viselkedéseket, van valami a színfalak mögött; néhány *személy* a színfalak mögött; valami fenyegető csoport a színfalak mögött, újra próbálkozik.
KACSA. Tehát 10 vagy 15 évvel ezelőtt ez volt: „Ó, megtaláltuk ezt a vadonatúj, korábban ismeretlen Word kártevőt. A fájlt töröltük, megtisztítottuk, és beírtuk a naplóba”.
És mindenki bemegy a találkozóra, kipipálja, és megveregeti egymást: „Remek! Kész a munka! Készen áll a következő hónapra.”
FRASER. Most nagyon más.
KACSA. Ma *nem ez volt a támadás*.
FRASER. Nem!
KACSA. Ez csak egy előzmény volt, egy „Kíváncsi vagyok, milyen márkájú füstérzékelőket használnak?” egyfajta teszt.
FRASER. Pontosan.
KACSA. És nem tervezik ezt a rosszindulatú programot használni.
Csak azt próbálják kitalálni, hogy pontosan milyen védelmet kapott?
Mi van bekapcsolva; mely könyvtárakat tartalmazza; mely könyvtárakat zárja ki a vizsgálatból; milyen környezeti beállítások vannak?
FRASER. És amiről ma beszélünk, az aktív ellenfelek.
Aktív ellenfelek… sok sajtót kapnak.
Ez az egész MITER ATT&CK keretrendszer koncepciója – ez lényegében egy biblia, egy szótár, ha úgy tetszik, taktikai kombinációk.
A taktika a vertikális; a vízszintesek a technikák.
I think there are 14 tactics but I don’t know how many techniques… hundreds?
KACSA. Kicsit szédítő lehet az a MITER rács!
FRASER. Ez lényegében egy szótár a különböző típusú dolgokról, a különböző típusú technikákról, amelyek alapvetően jóra vagy rosszra használhatók egy rendszeren.
De alapvetően a támadókhoz és az aktív ellenfelekhez igazodik.
Ha úgy tetszik, ez egy taxonómia annak, amit egy aktív ellenfél tehet, ha a rendszerben van.
KACSA. Igaz, mert régen (te és én emlékezni fogunk erre, mert mindketten időt töltöttünk azzal, hogy átfogó kártevő-leírásokat írjunk, olyan dolgokat, amelyekre 15 vagy 20 évvel ezelőtt szükség volt – erről beszéltek EVIL.EXE) ...
…mert akkoriban a legtöbb fenyegetés vírus volt, más szóval önmaguk terjedtek, és önállóak voltak.
Egyszer nálunk volt…
FRASER. …dokumentálhatná A-tól Z-ig, hogy pontosan mit csinált a rendszeren.
KACSA. Szóval sok rosszindulatú program akkoriban, ha megnézzük, hogyan rejtőzködtek; hogyan mentek az emlékezetbe; polimorfizmus; mindezt – sok közülük sokkal bonyolultabb volt ma ezeket a dolgokat elemezni.
De ha már tudta, hogyan működik, akkor tudta, hogyan nézhet ki minden generáció, és írhat egy teljes leírást.
FRASER. Igen.
KACSA. Most egyszerűen nem teheti meg.
"Nos, ez a rosszindulatú program letölt más rosszindulatú programot."
Milyen rosszindulatú program?
"Nem tudom."
FRASER. For example, consider a simple loader: it runs; it periodically connects out.
The attacker has the ability to fire in some sort of encoded BLOB – for example, let’s suppose it’s a DLL, a dynamic link library, a module… essentially, some executable code.
Szóval: "Mit csinál ez a fenyegetés?"
Nos, ez pontosan és teljes mértékben attól függ, hogy a támadó mit küld a vezetéken.
KACSA. És ez napról napra változhat.
A forrás IP-címe változhat: „Németországban tartózkodik? Svédországban vagy? Nagy-Britanniában vagy?”
FRASER. Ó, igen, ezt elég gyakran látjuk.
KACSA. Azt is mondhatná: „Hé, már csatlakoztál, úgyhogy mi megetetünk NOTEPAD vagy valami ártatlan aktát legközelebb.”
FRASER. Igen.
A támadók általában rendelkeznek olyan technikákkal, amelyekkel megpróbálják kiszúrni, mikor mi [azaz a SophosLabs] próbáljuk futtatni az alkotásukat.
Tehát nem adnak enni, ami a legnagyobb hasznos teher lehet.
Nem akarják, hogy lássuk a rakományt – csak azt akarják, hogy az áldozatok lássák a rakományt.
Néha a dolgok csak csendben megszűnnek; néha csak futnak CALCvagy NOTEPAD, vagy valami nyilvánvalóan butaság; néha durva üzenetet kaphatunk.
De általában megpróbálják visszatartani a végső hasznos terhet, és fenntartják azt áldozataik számára.
KACSA. És ez azt is jelenti…
…a „polimorfizmus” szót korábban könnyeden használtam; ez nagyon gyakori volt a vírusoknál régen, ahol minden alkalommal, amikor a vírus átmásolta magát egy új fájlba, alapvetően permutálta a kódját, gyakran nagyon bonyolult módon, még a saját algoritmusát is átírva.
De megkaphatná azt a motort, amelyik a kódolást végezte.
FRASER. Igen.
KACSA. Nos, a szélhámosok ezt megtartják maguknak.
FRASER. Ez egy másik szerveren van.
KACSA. És a háttérben forgatják a kilincset.
FRASER. Igen.
KACSA. És említetted a rakodókat is – az emberek talán hallottak olyan dolgokról, mint a BuerLoader, a BazaarLoader, ezek amolyan jól ismert „márkanevek”…
..egyes esetekben szélhámos bandák működnek, és csak ezt teszik.
Nem írják a következő rosszindulatú programokat.
Csak azt mondják: „Mit szeretnél, ha betöltünk? Adja meg nekünk az URL-t, és mi beadjuk Önnek.”
FRASER. Az eredeti botkezelők 15 vagy 20 évvel ezelőttről – hogyan kerestek pénzt?
Kompromittálták a gépek hálózatait – lényegében ez az, amit a botnet az, hogy rengeteg gép áll a parancsnokságuk alatt – és akkor alapvetően ki tudnák bérelni azt a „hálózatot”.
Ez lehet az elosztott szolgáltatásmegtagadás – például érje el az összes fertőzött gépet egy webszerverrel, és vegye ki azt.
Amint azt már említetted, meglehetősen gyakori lehet a spam.
És így ennek természetes fejlődése bizonyos értelemben a mai rakodó.
Ha valakinek a rendszere megfertőződött egy betöltővel, és ez a betöltő hazahív, akkor lényegében van egy botja.
Lehetőséged van dolgokat futtatni azon a gépen…
… szóval, ahogy mondod, azoknak a kiberbűnözőknek nem kell azzal foglalkozniuk, hogy mi a végső hasznos teher.
Ez ransomware?
Ez adatlopás?
Van egy járművük… és a zsarolóprogramok szinte a végső kifizetés.
– Mindent megtettünk, amit szerettünk volna. (Vagy minden másban kudarcot vallottunk, amit reméltünk.)
„Próbáljuk meg a ransomware-t…”
KACSA. "Most már naplóztuk az összes jelszót, nincs több információnk." [NEvet]
FRASER. Nincs máshova menni!
KACSA. – Elloptuk az összes adatot.
FRASER. Pontosan… a végső kifizetés a ransomware!
Ekkor a felhasználó és a rendszergazdák is tudatában vannak annak, hogy adatvesztésről van szó.
Tehát a mai betöltő szinte a tegnapi bot kiterjesztése, továbbfejlesztése.
KACSA. Fraser, tisztában vagyok az idővel…
Tehát, tekintettel arra, hogy olyan képet festett, amely egyértelműen teljes munkaidős munkát, teljes munkaidős megértést igényel – Ön szakértő kutató, évek óta ezt csinálja.
Nem mindenki adhatja fel napi munkáját az informatikában vagy a rendszeradminisztrációban, hogy *egy másik* napi munkája legyen, hogy olyan legyen, mint te a szervezetben.
If you had to give three simple tips for what you should do (or what you should not do) today to deal with what is a more complicated, more fragmented way of attacking from the crooks – one that gives us many more planes on which we need to defend…
… mi lenne ez a három dolog?
FRASER. Ez nehéz kérdés.
Szerintem az elsőnek a következőnek kell lennie: tudatosság és láthatóság a szervezetében.
Egyszerűen hangzik, de gyakran látunk olyan támadásokat, ahol a támadás kiindulópontja egy védetlen doboz volt.
Tehát van egy szervezeted…
…nagyszerű informatikai politikájuk van; termékeik vannak telepítve a hálózaton, megfelelően konfigurálva; lehet, hogy van egy csapatuk, akik figyelik az összes kis érzékelőt, és az összes adatot, amely ezekből a termékekből jön vissza.
De van egy tartományvezérlőjük, amely nem volt védve, és a rosszfiúknak sikerült rákerülniük.
Aztán az egész MITER ATT&CK keretrendszeren belül van egy technika, az úgynevezett oldalirányú mozgás...
…amint a támadások egy dobozt érnek, továbbra is megpróbálnak oldalirányban mozogni onnan a szervezeten keresztül.
És ez a kezdeti támpont megadja nekik azt a pontot, ahonnan ezt megtehetik.
Tehát a láthatóság az első szempont.
KACSA. Azt is tudnod kell, amit nem tudsz!
FRASER. Igen – a hálózaton lévő összes eszköz láthatósága.
A második szám: konfigurációs.
Ez egy kicsit tüskés, mert senki sem szeret irányelvekről és konfigurációról beszélni – őszintén szólva elég unalmas.
KACSA. Azért ez egy kicsit fontos!
FRASER. Abszolút döntő.
KACSA. „Ha nem tudod mérni, nem tudod kezelni” – tartja a régi mondás.
FRASER. Azt hiszem, az egyik ajánlásom a következő lenne: ha lehetséges, használja az ajánlott alapértelmezett értékeket.
Amint eltér az ajánlott alapértelmezett értékektől, általában vagy kikapcsol (rossz!), vagy kizár bizonyos dolgokat.
KACSA. Igen.
FRASER. Például egy adott mappa kizárása.
Nos, ez teljesen elfogadható – lehet, hogy van benne valamilyen egyéni alkalmazás, egy egyéni adatbázis-alkalmazás, ahol azt mondja: „Nem akarok fájlokat szkennelni ebben a mappában.”
Nem egészen jó, ha kizárod például a Windows mappát!
KACSA. „Kizárni C:*.* és az összes alkönyvtárat.” [NEvet]
FRASER. Ez.
KACSA. Hozzáad egyet, hozzáad egy másikat, aztán nem megy és nem nézi át…
… ott végez, ahol gyakorlatilag minden ajtó és ablak nyitva van.
FRASER. Kicsit olyan, mint egy tűzfal.
Mindent blokkolsz; kiszúrsz néhány lyukat: rendben.
A következő három évben folyamatosan lyukakat szúrsz, és mielőtt megtudnád, hol vagy…
…a tűzfal a svájci sajt.
[NEVETÉS]
Nem fog menni!
Szóval, A konfiguráció nagyon fontos, és ha lehetséges, ragaszkodjon az alapértelmezett beállításokhoz.
KACSA. Igen.
FRASER. Ragaszkodjon az alapértelmezett értékekhez, mert… ezek az ajánlott alapértelmezett értékek – okkal ajánlottak!
A saját termékeinken belül például, ha eltér az alapértelmezett értékektől, gyakran kap egy piros sáv figyelmeztetést, hogy alapvetően letiltja a védelmet.
KACSA. Ha pályán kívülre készülsz, győződj meg róla, hogy tényleg ezt akartad!
FRASER. Győződjön meg róla, hogy jó a látása.
És azt hiszem, a harmadik pont a következő: ismerje el a szükséges készségkészletet.
KACSA. Ne féljen segítséget hívni?
FRASER. Igen: Ne féljen segítséget hívni!
A biztonság összetett.
Szeretjük azt gondolni, hogy ez egyszerű: „Milyen három dolgot tehetünk? Milyen egyszerű dolgokat tehetünk?”
Valójában a valóság az, hogy a mai biztonság nagyon bonyolult.
Products might try to package that up in a fairly simple way, and provide good levels of protection and good levels of visibility into different types of behaviour happening in a network.
De ha nincs megfelelő készségkészleted vagy erőforrásod ahhoz, hogy a beérkező és az irányítópultját érő eseményeket ledolgozd…
…keress valakit, aki igen!
Például egy felügyelt szolgáltatás használata nagymértékben javíthatja a biztonságot, és egyszerűen megszüntetheti a fejfájást.
KACSA. Ez nem a vereség beismerése, ugye?
Nem azt mondod: "Ó, én nem tudom megcsinálni."
FRASER. 24 x 7 x 365-ről beszélünk.
Tehát, ha valaki ezt házon belül csinálja, az hatalmas vállalkozás.
És beszélünk összetett adatokról is – és beszéltünk aktív ellenfelekről és az ilyen jellegű támadásokról.
We know the Bad Guys, even when we block stuff, will continue to retry: they’ll change things up.
Egy jó csapat, amely megvizsgálja ezeket az adatokat, felismeri az ilyen típusú viselkedést, és nem csak azt fogják tudni, hogy valami blokkolva van, hanem azt is gondolják majd: „Rendben, valaki többször is megpróbál bejutni azon az ajtón.”
Ez nagyon hasznos mutató számukra, és intézkednek, és megoldják a támadást.
[SZÜNET]
Három nagyon jó tanács!
KACSA. Kiváló, Fraser!
Nagyon köszönöm, és köszönöm, hogy megosztotta velünk tapasztalatait és szakértelmét.
Mindenkinek, aki hallgat, nagyon köszönöm.
És most már csak azt kell mondanom: "A következő alkalomig maradjatok biztonságban."
[MORZE KÓD]
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- a számítógépes bűnözés
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- fraser howard
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- podcast
- Biztonsági vezetés
- Biztonsági SOS hét
- sophoslabs
- SOS hét
- fenyegetésmegelőzés
- VPN
- A honlap biztonsága
- zephyrnet
![S3 Ep94: Ez a fajta kriptográfia (grafika), és a másik fajta kriptográfia (valuta!) [Audio + szöveg] PlatoBlockchain Data Intelligence. Függőleges keresés. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "S3 Ep94: Ez a fajta kriptográfia (grafika), és a másik fajta titkosítás (valuta!) [Hang + szöveg]")
