Киберпреступления ФСБ и Роскомнадзора

Этот форум для Посвященных Сатанистов, которые активно сражаются с врагами Сатаны. Английская такая же группа была заблокирована 3 раза, а форум - 1 раз, потому что они представляют огромную угрозу для врага.

Этот форум предназначен для организации участия в онлайн образовании населения в интернет группах, соц. сетях, форумах, ответах mail.ru, и т.д., где мы активно просвещаем людей и распространяем правду. Христианство и ислам долгие века оставались без всякой оппозиции, и до сих пор агрессивно насаждают свою ложь онлайн. Мы даем им отпор.

За дальнейшей информацией посетите https://joyofsatan.deathofcommunism.com/ или он же https://web.archive.org/web/20180910122 ... n.ucoz.ru/
А именно:
https://joyofsatan.deathofcommunism.com ... %b4%d0%b0/
или
https://web.archive.org/web/20180826114 ... _ada/0-298

ОБРАТИТЕ ВНИМАНИЕ** ЭТОТ ФОРУМ ДЛЯ САТАНЫ. ОН ДЛЯ ТЕХ, КТО АКТИВНО РАБОТАЕТ, ЧТОБЫ УНИЧТОЖИТЬ ВРАГОВ САТАНЫ. ПОСТЫ, НЕ ИМЕЮЩИЕ ОТНОШЕНИЯ К ДУХОВНОЙ ВОЙНЕ, БУДУТ УДАЛЕНЫ.
Если Вы имеете личные проблемы, хотите поболтать или еще что-то, идите на другие форумы.

Модератор: Admin

Ответить
Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Вт мар 17, 2020 10:36 pm

"Вторая Поправка четко гласит, что «право народа хранить и носить оружие не должно нарушаться». Это заявление является широким и однозначным. Когда в нем говорится, что это право «не должно нарушаться», оно явно означает, что и любой закон, который ограничивает это право, явно является нарушением. Более 10 000 федеральных, штатных и местных законов об оружии, которые в настоящее время находятся в книгах, явно являются нарушениями Второй поправки. Поэтому мы считаем их нарушением наших конституционных и гражданских прав. Мы считаем их преступными деяниями против Верховного закона страны, и это справедливо. Мы считаем любого чиновника, который пытается обеспечить соблюдение таких неконституционных законов, частью преступного заговора, который занимается разоружением нас, порабощением нас и нарушением самой Конституции. Мы считаем любого «официального» участника, совершившего преступное деяние, соучастником преступления и, следовательно, самим преступником. Мы должны помнить, что Билль о правах* был в основном сформулирован для защиты людей от властного и тиранического правительства, и для самого правительства попытка аннулировать и нарушить эти меры защиты является не правовым актом, а преступлением против Конституции и самого народа.

Поэтому мы, СОЗДАТЕЛИ, считаем любое правительство, которое нарушает Конституцию и нарушает наши гражданские права, ничем иным нежели группой преступников. СВОБОДНЫЕ ЛЮДИ НИКОГДА НЕ БЕЗОРУЖНЫ, И БЕЗОРУЖНЫЕ ЛЮДИ НИКОГДА НЕ СВОБОДНЫ. Мы никогда не должны забывать, что любой компромисс, который ослабляет нас или ослабляет нашу способность защищать себя, только усугубит борьбу в будущем. Мы также должны помнить, что евреи не боятся ничего, кроме мобилизованной, объединенной и вооруженной Белой Расы. Оружие - наше последнее средство, если это необходимо.

Поэтому мы, СОЗДАТЕЛИ, никогда, никогда, никогда не должны отказываться от наших ружей или права нести их, каковы бы ни были обстоятельства. Военнизированное сопротивление - наша единственная защита."

- Бен Классен. Библия Белого Человека. Творческое Кредо № 65


*Билль о правах ПОДПИСАН и т. обр. обязателен для исполнения на территории бывшего СССР. Путин и его правительство - ПРЕСТУПНИКИ. Прим. перев.

В самой большой славянской стране запрещено мочь себя защитить. Почему? Потому что нам не доверяют? Потому что нас боятся? А что, у нас есть причина от них защищаться? Они собираются нападать на нас? Зачем им бояться наших ружей? Зачем вообще запрещать кому-то носить ЛЮБОЕ оружие в принципе? Ответ: затем, что это твои враги и ты собираешься на них нападать. Точка. Наша страна обезоружена, потому что она ЗАВОЕВАНА. В 1917. До этого любой - от т.н. крестьян до царя, от женщины до мужчины - носил оружие. Это факт. Никто не мог запретить оружие, потому что просто не было надобности. Преступность была и будет, и она никогда не зависела ни от каких законов, никогда им не подчинялась, в этом ее суть. Законы пишутся только для граждан, и только на них влияют. Поэтому любой запрет носить оружие или приказ сложить оружие - ЛЮБОЕ оружие - это военная оккупация. ВСЕ.

Что касается кибероружия. Разумеется, еврейские ублюдки ставят вне закона наши попытки себя защитить себя от их взлома, слежки, кражи наших данных, и тем более попытки кинуть страйк за это. Это как если бы насильники изнасиловали вашего ребенка, а затем полезли в юристы, чтобы начать вводить законы, оправдывающие изнасилование, чтобы закрыться ими. Им доставляет неудобство, что вы мешаете им вас насиловать и обворовывать. Вот их логика. Для этого они и создают законы. Вот пример:

Им не понравилось, что вы мешаете им вас проклинать и промывать мозги вашим близким на ваших глазах, поэтому они ввели закон о "защите чувств верующих":

https://rg.ru/2013/06/30/zashita-site-dok.html

Им не поравилось, что их описывают такими, какие они есть, и они ввели новый закон "о защите чувств чиновников":

Запрет на оскорблене чиновников https://www.klerk.ru/buh/articles/484431/

Что вам еще надо, чтобы понять, что вы находитесь в оккупации и что вам на самом деле надо делать??

АБСОЛЮТНО ВСЕ методы, используемые Роскомнадзором и ФСБ и под их дулом пистолета нашими провайдерами и хостерами, есть киберпреступления в прямом смысле слова, как оно преставлено в словаре. Как и все методы, используемые против нас силовыми структурами, являются "преступлениями", будучи используемы нами с целью самозащиты или ответного нападения.

Вплоть до того, что Роскомнадзор сам неоднократно оскорблял чувства верующих и нарушал т. обр. право человека на свободу совести и вероисповедания:

"З. Незаконное воспрепятствование деятельности религиозных организаций или проведению богослужений, других религиозных обрядов и церемоний -"
- https://rg.ru/2013/06/30/zashita-site-dok.html

Роскомнадзор потребовал от социальной сети Facebook удалить по требованию Генпрокуратуры изображение свастики на гербе РФ в рамках закона об оскорблении госсимволов.
- https://www.klerk.ru/buh/news/487721/

- блокировка сайта Радость Сатаны

Что такое малварь?

Вредоносная программа — любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путём копирования, искажения, удаления или подмены информации. - "Wikipedia (RU)"

ЭТО ИМЕННО ТО, ЧЕМ ЗАНИМАЕТСЯ РОСКОМНАДЗОР, ФСБ И ПОДКОНТРОЛЬНЫЕ ИМ ИНТЕРНЕТ ПРОВАЙДЕРЫ!


А именно, они пытаются получить доступ к нашему компьютеру (ЭВМ), считать оттуда всю информацию и совершить с ней противоправные действия - а именно выложить в интернет, продать, поделиться друг с другом, и использовать с целью вымогательства, и просто хранить, чтобы потом использовать против нас, БЕЗ НАШЕГО СОГЛАСИЯ, что потивоправно. Это поведения киберпреступника.

Разумеется, что для подобных действий они используют ПО, поведение которого полностью подпадает под описание вредоносного. В т.ч. подпадает под термины, такие как фишинг, а также копирование, подмена или искажение информации (так работает система DPI). Все примеры будут представлены ниже.

Все их законы о киберпреступности написаны исключительно для нас, чтобы мы не изучали контрудары и не могли представлять для них угрозы в случае их на нас нападения. Сами они используют все те методы, которые зарещены их же законами. Их заводские прошивки на роутеры, их "предустановленное отечественное ПО" суть вирусы и зловреды, которые будут получать несанкционированный доступ к нашей ЭВМ, информации на ней и совершать с ней различные противоправные с т. зр. их же законов действия.

Законы пишут для НАС. Себя же ставят вне закона под предлогом "особого положения", которое они получили силой и террором в 1917, за которое НИКТО НИКОГДА не голосовал, никто не избирал, ничье мнение абсолютно не было спрошено, хочет ли кто-то вообще видеть их в своей стране, не говоря уже о внедрении в нее своих законов. Народ, кому нужен ФСБ?

we need telegram.jpeg
we need telegram.jpeg (314.38 КБ) 4681 просмотр

Далее примеры программ-зловредов, самых настоящих киберпреступлений, которые, если вам не сказать, что их совершил Роскомнадзор или ваш собственный провайдер, вы бы решили, что это хакеры, вам бы просто не пришло в голову ничего другое.
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Вт мар 17, 2020 11:32 pm

Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну - Статья УК 13.14

Нормативные акты: Разглашение конфиденциальной информации
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ
(ред. от 27.12.2019)
(с изм. и доп., вступ. в силу с 01.02.2020)Статья 13.14. Разглашение информации с ограниченным доступом
"Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ
(ред. от 27.12.2019)Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
- Консультант-ПЛЮС
https://www.consultant.ru/law/podborki/ ... nformacii/

Программист нашел в открытом доступе номера телефонов, адреса и географические координаты сотен россиян. Вероятно, их опубликовало оборудование СОРМ
09:56, 27 августа 2019
Источник: Meduza


Изображение
Дата-центр «Ростелекома». Декабрь 2015 года
Андрей Рудаков / Bloomberg / Getty Images

rostelecom betrayal.png
rostelecom betrayal.png (196.17 КБ) 4678 просмотров

25 августа российский программист Леонид Евдокимов выступил на IT-конференции Chaos Constructions в Санкт-Петербурге. Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей.

В открытом доступе оказались почтовые адреса, телефоны, логины и географические координаты россиян

Как рассказал Евдокимов участникам конференции, в апреле 2018 года знакомый обратил его внимание на IP-адрес в сети «Ростелекома», на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес так называемого сниффера, который пытается отследить способы обхода мессенджером Telegram блокировок Роскомнадзора.

Однако прямых доказательств причастности оборудования к слежке за трафиком телеграма Евдокимов так и не обнаружил. Зато по характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера Zmap программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров.

На IP-адресах этих устройств Евдокимов обнаружил открытые FTP-серверы, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты, очевидно переданные недостаточно защищенными смартфонами с устаревшими прошивками. «Все эти данные предоставляют возможность определить, чей именно это трафик, что это за клиенты [провайдеров]», — заключил Евдокимов.

Евдокимов обнаружил доказательства того, что личные данные публиковало оборудование для государственной слежки за интернет-трафиком

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика СОРМ и системы „Ревизор“», — продолжил презентацию Евдокимов. Он показал зрителям фрагмент интернет-переписки с неназванным сотрудником одного из провайдеров. Собеседник программиста прямо указал, что речь идет о технике «МФИ Софт» — одного из крупнейших российских поставщиков оборудования СОРМ. Это произошло в мае 2018 года, уточнил Евдокимов «Медузе».

При этом сотрудник самой «МФИ Софт» в переписке с программистом отказался поверить, что утечки идут из оборудования его компании, предположив, что проблема в «корпоративных системах информационной безопасности» у клиентов провайдера. Однако «МФИ Софт» явным образом упоминалась в опубликованных оборудованием программных пакетах данных на двух адресах из 30, констатировал Евдокимов в разговоре с «Медузой».

letter.png
letter.png (330.82 КБ) 4678 просмотров
Фрагмент из презентации Евдокимова со скриншотом переписки с сотрудником провайдера
Леонид Евдокимов

«На этих адресах располагались FTP-серверы с публично доступными копиями некоторого комплекса компьютерных программ. Они были маркированы как программы от данного вендора [„МФИ Софт“]», — добавил он. Что касается остальных 28 адресов, то там производитель оборудования явно не упоминался, однако на них были доступны «довольно характерные шаблоны страниц статистики», отметил Евдокимов. Такие страницы не являются стандартизированными и поэтому несут почерк производителя оборудования, хотя «строгим доказательством это, конечно же, не является», добавил он. Евдокимов допустил, что теоретически это может быть оборудование «МФИ Софт» для сбора «какой-нибудь маркетинговой информации», однако он никогда не слышал, чтобы разработчик СОРМ создавал такое оборудование.

На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельского.
Были опубликованы даже данные жителей закрытого города Сарова

Другое устройство, расположенное в Москве, показывало всем желающим десятки номеров ICQ, несколько сотен IMEI телефонов и самих мобильных номеров. Скорее всего, это данные частных, а не корпоративных пользователей, поскольку в выходные и праздники открытая база продолжала пополняться так же активно, как и в будние дни, подчеркнул Евдокимов. Более того, в некоторых логах он обнаружил «что-то очень похожее на имена пользователей» провайдеров.

В логах московского оборудования Евдокимов также нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». А опубликованные оборудованием номера телефонов «порой появлялись в объявлениях газеты „Колючий Саров“ — „продам платье“, „куплю машину“ и все такое», добавил Евдокимов на презентации под хохот аудитории.

адреса.jpg
адреса.jpg (54.2 КБ) 4678 просмотров
Фрагмент из презентации Евдокимова с картой Сарова, на которую нанесены координаты пользователей
OpenStreetMap

Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова.

Обнаруженные Евдокимовым уязвимости не могли закрыть больше года

В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года, незакрытыми оставались шесть IP-адресов, подчеркнул он. Закрыли их только 26 августа — после того как телеграм-канал unkn0wnerror опубликовал презентацию c конференции Chaos Constructions.

«МФИ Софт» вместе еще с четырьмя организациями, поставляющими решения для СОРМ, входит в группу компаний «Цитадель». Та, в свою очередь, входит в структуры Антона Черепенникова — партнера миллиардера Алишера Усманова, писал РБК 7 августа (в пресс-службе Усманова «Медузе» уточнили, что Черепенников больше не является его партнером). «Цитадель» занимает от 60 до 80% на рынке СОРМ — по оценке ее крупнейшего конкурента, компании «Норси-Транс».

При этом именно «МФИ Софт» в 2018 году показала самый динамичный рост среди всех поставщиков СОРМ: ее выручка выросла на 294%, до 10,3 миллиарда рублей; а прибыль — на 298%, до 2,07 миллиарда.

«Медуза» отправила в группу компаний «Цитадель» запрос с просьбой прокомментировать содержание презентации Евдокимова. На момент публикации материала ответ на него не был получен. Сам Евдокимов сообщил «Медузе», что в июне 2019 года общался с одним из сотрудников «Цитадели» — и тот заверил, что в новых версиях софта для оборудования проблему устранили.

Другие истории про СОРМ и «Цитадель»

Крупнейший производитель средств прослушки «Цитадель» вложился в стартап «Бастион». Его создал сын начальника Службы экономической безопасности ФСБ
Разработчик СОРМ начал искать подрядчиков для расшифровки переписки в мессенджерах
ФСБ предложила усовершенствовать СОРМ для исполнения «пакета Яровой»
ФСБ, кажется, придумала, как расшифровать весь трафик в интернете. Это очень страшно? Отвечает IT-консультант Владислав Здольников

Петр Лохов
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Вт мар 17, 2020 11:42 pm

Атака "человек посередине"

ФСБ, кажется, придумала, как расшифровать весь трафик в интернете. Это очень страшно? Отвечает IT-консультант Владислав Здольников
17:08, 21 сентября 2016
Источник: Meduza

21 сентября «Коммерсант» сообщил, что ФСБ совместно с министерствами связи и промышленности пытается придумать, как расшифровать весь пользовательский трафик в интернете в режиме реального времени — и проанализировать его по ключевым параметрам. Нужда найти этот способ (в сети большая часть трафика шифруется автоматически) у спецслужб появилась в связи со вступлением в силу «пакета Яровой». В частности, по сведениям газеты, ФСБ для перехвата и расшифровки трафика планирует использовать так называемую MiTM-атаку (Man in the Middle), а для глубокого анализа — DPI-системы (Deep Packet Inspection), которые будут установлены у провайдеров. Что это может означать для обычных пользователей? Отвечает специалист в области шифрования, IT-консультант Фонда борьбы с коррупцией Владислав Здольников.
Владислав Здольников

IT-консультант Фонда борьбы с коррупцией, технический директор компании Newcaster.tv

60-70% популярных сайтов в интернете используют шифрование — это значит, что даже если вы перехватите трафик от пользователя к сайту, то не сможете его прочитать. Ключ шифрования есть в сертификате, их выдают специальные компании, которые называются удостоверяющими центрами (УЦ). Браузеры при обращении к ресурсам спрашивают удостоверяющий центр, действительно ли он выдал именно тот сертификат, который предлагает сайт. Если нет — браузер ругается и сообщает, что сертификат поддельный.

Суть атаки MiTM (Man-in-the-Middle) в том, что посередке на канале связи устанавливается оборудование, которое будет представляться сайту «пользователем», а пользователю — «сайтом». А чтобы браузеры не ругались и работали с сайтами, эфэсбэшники решили сделать свой УЦ.

Возможны два варианта. В первом УЦ выдает сертификат всем сайтам. Понятно, что его поставят, скажем, какие-нибудь 20 послушных ресурсов, и никто всерьез таким сертификатом пользоваться не будет. Компании, у которых бизнес сильно завязан на российском законодательстве, наверное, поставят — какие-нибудь «ВКонтакте» или «Одноклассники». Но сложно представить, чтобы Facebook или Twitter поставили себе сертификат, который им выписал УЦ ФСБ РФ.

Второй вариант: сам этот УЦ выдает сертификат пользователям, а они все должны будут установить его в браузеры на своих компьютерах.

До сих пор это пытались сделать в двух странах — Иране и Казахстане. Не скажу точно, чем закончилось в Иране, а в Казахстане «Кахазтелеком», один из крупных операторов, выпустил было сообщение: всем пользователям необходимо установить сертификат, который провайдер им выдаст — но потом эту новость очень быстро убрали, объяснив технической ошибкой. Очень сложно обязать всех пользователей взять сертификат. Можно только ввести ответственность за то, что человек его не использует.

Но главная проблема в том, что не все браузеры позволяют установить сертификат. А так как атака MiTM очень популярна, почти все браузеры скоро не позволят работать с сайтами с поддельным сертификатом. Например, в последнем Safari в операционной системе iOS 10 на странице с предупреждением уже нет кнопки «продолжить», браузер уже не ругается, а просто не дает работать с таким ресурсом.

Возможно, они попытаются пойти к владельцам браузеров, чтобы внедрить сертификаты, но это нереально. Представьте, ну как они пойдут в Apple и заставят их встроить сертификат в Safari?

В итоге совершить MiTM-атаку получится при обращении пользователя только к нескольким российским сайтам.

Дальше трафик анализируется с помощью оборудования DPI, его можно будет изучить вплоть до сообщений «ВКонтакте». Пока такой трафик видимо, будет складываться на систему СОРМ (Система оперативно-розыскных мероприятий — прим. «Медузы»), которая хранит его в течение 12 часов.

У крупных провайдеров типа «Ростелекома» (на них приходится около 60% пользовательского трафика) данные уже «дипиаятся». Им останется только настроить сертификаты. Более мелким провайдерами придется это внедрить, что очень накладно по деньгам — провайдеру с абонентской базой в 100 тысяч человек это будет стоить порядка 30 миллионов рублей. Хотя это все же дешевле, чем просто хранение данных («пакет Яровой» обязывает провайдеров с 1 июля 2018 года года хранить трафик в течение полугода — прим. «Медузы»), но все равно это — неподъемные суммы.

Вообще, все это адская чушь. Есть масса технических нюансов, из-за которых эта схема не заработает. Например, сейчас все чаще используется протокол HTTP/2, который создан для того, чтобы вообще исключить MiTM-атаки. То же самое с протоколом TLS, при его использовании клиент и сервер обмениваются новыми ключами несколько раз в секунду, атака тут невозможна. Есть и другие мелочи.

При этом ФСБ в последние полгода очень активно заставляет провайдеров «сормить» трафик — пропускать через систему СОРМ, которая по закону должна быть внедрена у всех операторов. Оборудование для этого подешевело раз в десять за последнее время. И если раньше ФСБ не придиралось к тому, что оператор «сормит» несколько процентов всего трафика, то сейчас они настаивают, чтобы закон выполнялся. Так что там есть очень серьезные намерения.

Но в конце концов, если ничего не изменится, я думаю, мы придем к «белому списку» сайтов. Спецслужбы разрешат, например, 10 тысяч зарубежных ресурсов, а потом будут исключать из этого списка то, что им не нравится. Как только какой-нибудь ресурс не идет на сотрудничество по любому вопросу, например, по тем же сертификатам, они его исключают.

Но пока ФСБ движется не в эту сторону, а в сторону перехвата трафика, и это очень хорошо. Потому что вся их схема технически маловероятна, и даже если им удастся поставить DPI-оборудование у большинства провайдеров, обычным пользователям спасаться от этого будет можно.

Источник https://meduza.io/feature/2016/09/21/fs ... n-strashno

__________________________

Атака посредника, или атака «человек посередине» (англ. Man in the middle (MITM)) — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Одним из примеров атак типа «человек посередине» является активное прослушивание, при котором злоумышленник устанавливает независимые связи с жертвами и передаёт сообщения между ними. Тем самым он заставляет жертв поверить, что они разговаривают непосредственно друг с другом через частную связь, фактически же весь разговор управляется злоумышленником. Злоумышленник должен уметь перехватывать все передаваемые между двумя жертвами сообщения, а также вводить новые. В большинстве случаев это довольно просто, например, злоумышленник может вести себя как «человек посередине» в пределах диапазона приёма беспроводной точки доступа (Wi-Fi)

Данная атака направлена на обход взаимной аутентификации или отсутствие таковой и может увенчаться успехом только тогда, когда злоумышленник имеет возможность выдать себя за каждую конечную точку либо оставаться незамеченным в качестве промежуточного узла. Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак. Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации.

Принцип атаки

Атака обычно начинается с прослушивания канала связи и заканчивается тем, что криптоаналитик пытается подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.

Предположим, объект A планирует передать объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, а также о факте планируемой передачи собственно информации, которую С планирует перехватить. Для совершения атаки С «представляется» объекту А как В, а объекту В — как А. Объект А, ошибочно полагая, что он направляет информацию В, посылает её объекту С. Объект С, получив информацию и совершив с ней некоторые действия (например, скопировав или модифицировав в своих целях), пересылает данные собственно получателю — В; объект В, в свою очередь, считает, что информация была получена им напрямую от А.
- википедия, статья Атака посредника

Власти могут узнать, что я сейчас читаю этот текст?

Да, теоретически могут, но это не очень просто. «Медуза», как и множество других сайтов, использует протокол HTTPS, обеспечивающий шифрование трафика. В данном случае трафик — это информация, которой обмениваются в интернете пользователи и сайты. Когда вы читаете «Медузу», ваш компьютер или смартфон обменивается информацией с нашими серверами, данные об этом обмене сохраняются у вашего провайдера. Но поскольку мы используем HTTPS, эти данные хранятся в зашифрованном виде. Так что власти или злоумышленники могут узнать, когда и сколько вы были на сайте «Медузы»; но какие именно тексты читали, им будет узнать гораздо сложнее; для этого нужно провести специальную хакерскую операцию (атака «человек посередине»). Сайты, использующие протокол HTTPS, легко опознать — эту аббревиатуру вы видите в начале адреса в браузерной строке.

Еще есть протокол HTTP, который не шифрует трафик. По нешифрованному трафику, который сохраняет провайдер, можно узнать куда больше о том, что вы делали на сайте: какие тексты читали, какие видео смотрели, что скачивали и что написали другому пользователю в чате.
- Медуза

Источник: https://meduza.io/feature/2018/04/17/ih ... -nu-i-chto
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Ср мар 18, 2020 12:20 am

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
(см. текст в предыдущей "редакции")

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
""3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
- Консультант-ПЛЮС
https://www.consultant.ru/document/cons ... f10476a76/

Ваш электронный шпион

Как «Ростелеком» совмещает прослушку клиентов с заботой об их безопасности

Еще совсем недавно пользователи российских соцсетей высмеивали неуклюжие попытки государства заблокировать доступ к сервисам Telegram, утверждая, что чиновникам, застрявшим в прошлом веке, недоступны современные цифровые технологии. Сегодня те же пользователи все чаще замечают, что их компьютеры перестали быть персональными, а личные папки сканируют не только хакеры-энтузиасты, но и окологосударственные структуры.

Корпорация «Росслежка»

На одном из тематических сайтов, где общаются представители российской IT-индустрии, пользователь выложил рассказ о том, как он обнаружил сканирование «Ростелекомом» его компьютера. Оказалось, что крупнейший в России провайдер через личный кабинет регулярно отсылает запросы на компьютер и пытается втайне собрать с него данные.

Как рассказал пользователь, он заподозрил неладное, когда случайно увидел, что кто-то пытается подключиться к одному из портов, который обычно использует протокол, предназначенный для удаленного доступа к рабочему столу компьютера.

«Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя, – пишет он. - Быстрый анализ показал, что долбежка идет каждые 10 минут и делается 11 попыток подключиться».

Кто же этот вредитель? Обычному «ламеру» разобраться в этом практически невозможно, но наш продвинутый пользователь выяснил, что через браузер Firefox запросы ему шлет личный кабинет «Ростелекома», сканируя как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы. Среди объектов внимания «Ростелекома» оказались система удаленного доступа к рабочему столу, протоколы удаленного управления рабочим столом и передачи произвольных данных, удаленного доступа к принтерам, файлам и другим сетевым ресурсам, а также порт, который обычно используют хакерские программы, созданные для удаленной слежки, сбора данных и управления зараженным компьютером.

Обескураженный пользователь сначала предположил, что его личный кабинет у «Ростелекома» взломан, а сделавшие это злоумышленники пытаются обнаружить уязвимые компьютеры и подсадить троян. Однако дальнейший анализ ситуации подсказал, что это было осознанным решением провайдера для сбора данных о пользователе.

Когда история стала известна журналистам, одно из изданий направило в «Ростелеком» запрос с просьбой прокомментировать ситуацию. Пресс-служба провайдера признала факт удаленного анализа компьютеров клиентов, но объяснила его... заботой о их безопасности: «Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов «Ростелекома». Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя».

Для любителей конспирологии поясним, что на самом деле стоит за такой заботой о безопасности. Суть антифрод-системы - когда пользователь заходит на сайт для совершения, например, банковских операций, этот сайт «вытягивает» всю информацию с компьютера, до которой он только может дотянуться, и рисует цифровой отпечаток конкретного устройства, связывая его с конкретным аккаунтом. С одной стороны это хорошо - если цифровой отпечаток устройства у данного аккаунта изменится, система это увидит и сообщит пользователю. Но, с другой стороны, цифровые отпечатки привязаны к реальным именам, адресам и телефонам людей, а, значит, ими можно выгодно распорядиться. Как думаете, откуда наши персональные данные у банков или кандидатов в депутаты, которые сдают в избиркомы подписи избирателей, даже не догадывающихся о том, что кого-то там поддерживают на выборах?

За нашу и вашу безопасность

Лет десять назад компакт-дисками с базами персональных данных торговали сомнительные личности на радиобарахолках. Теперь в возможности делать то же самое, только удаленно, уличили «Ростелеком». Что же это за структура? Оказывается, весьма серьезная. Начиная с 2000 года «Ростелеком» путем слияний и поглощений подчинил себе десятки региональных провайдеров и телефонных операторов. К примеру, он присоединил к себе «Связьинвест» и объединил активы с Tele2.

Это настоящая «акула бизнеса», правда, работающая под весьма солидным прикрытием в виде государства. Пять лет назад этот провайдер назначен единственным исполнителем федеральной программы ликвидации «цифрового неравенства». А в прошлом году российское правительство обязало Министерство связи использовать «Ростелеком» в качестве единственного поставщика услуги интернет-связи в государственных и муниципальных медицинских организациях и учреждениях. Кроме того, «Ростелеком» допущен к разработкам цифровых сервисов для образования, уличного видеонаблюдения и обеспечения кибербезопасности. Портал «Госуслуги» и национальная биометрическая система – это тоже «Ростелеком».

Столько богатый инструментарий делает его обладателя всемогущим. Конечно, можно предположить, что «Ростелеком» не пользуется своими возможностями для, так скажем, не совсем достойных целей, однако факты говорят об обратном. Недавно российский программист рассказал на IT-конференции Chaos Constructions в Санкт-Петербурге историю о том, как он обнаружил в открытом доступе номера телефонов, адреса и географические координаты сотен россиян.

По его словам, на IP-адресе в сети «Ростелекома» он нашел некую статистику пользовательского трафика. По характерному распределению трафика в зависимости от времени суток программист предположил, что это «часть живого оборудования, которое занимается прослушкой». Заинтересовавшись ситуацией, он откопал еще несколько десятков подобных «подозрительных снифферов» в сетях как минимум двадцати российских провайдеров.

По мнению программиста, личные данные публиковало оборудование для государственной слежки за интернет-трафиком.

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое, - сообщил он конференции. - Мне ответили, что это стандартная «коробка» от разработчика системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ), а также системы «Ревизор».

Ну а поскольку «Ревизор» разработан по госзаказу для поиска в сети запрещенного контента, можно только предположить, какие еще «коробки» приготовило государство для нашей «безопасности».


Роман Колесов
Опубликовано: 30.08.2019 16:51
Отредактировано: 30.08.2019 16:51

Источник https://versia.ru/kak-rostelekom-sovmes ... zopasnosti
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Ср мар 18, 2020 11:08 pm

DDoS атака

Россия хакит Тор? Хакерский слив 7,5 ТБ секретов ФСБ
опубликовано Ричи Дженнингсом 23 июля 2019 г.

Хакерская группа 0v1ru$ раскрыла огромный кэш данных, украденных у пресловутой российской федеральной службы безопасности - ФСБ. Спрятанный среди более скучных битов секретный проект по деанонимизации Тор.

"Луковый маршрутизатор" - это проект с открытым исходным кодом для анонимизации просмотра веб-страниц. Это заноза в глазу правительственных служб безопасности повсюду.

ФСБ Против Луковая

Что за крэк, Зак? Мистер Доффман сообщает: "Взломано российское секретное разведывательное управление":

 Хакеры успешно нацелились на ФСБ России. Им удалось украсть 7,5 терабайт данных.

ФСБ является основным российским агентством безопасности, которое имеет параллели с ФБР и МИ5, но сфера его деятельности выходит за рамки внутренней разведки и включает в себя электронное наблюдение за рубежом и значительный контроль за сбором разведданных... подчиняясь непосредственно президенту России. ... Хакерская группа под названием 0v1ru$ ... по сообщениям, нарушила SyTech, крупного подрядчика ФСБ.

BBC в России обнародовала новости ... и поделилась подробностями спорных киберпроектов: ... соскребание социальных сетей ("Наутилус"), целевая коллекция против интернет-пользователей, стремящихся обезличить свою деятельность ("Наутилус-С"), сбор данных, нацеленных на российские предприятия ("Наставник"), и проекты, которые, похоже, связаны с текущей инициативой России ... по отделению "русского интернета" ... ("Надежда и налог-3")".

Примечателен сам факт нарушения, его масштаб и очевидная легкость. ... Подрядчики остаются слабым звеном в цепочке спецслужб во всем мире.

Отвратительно. Каталин Симпану добавляет: "Хакеры нарушают работу подрядчика FSB":

 Нарушение произошло ... 13 июля, когда ... 0v1ru$ взломали сервер Active Directory компании SyTech, откуда они получили доступ ко всей ИТ-сети компании, включая экземпляр JIRA. ... И они испортили сайт компании "yoba face", популярным среди русских пользователей смайликом, который означает "троллинг".

Позже они поделились украденными данными с "Digital Revolution" ("Цифровая революция"), другой хакерской группой, которая поделилась украденными файлами... с российскими журналистами. ... В то время как большинство проектов выглядят просто исследованиями, [которые] проводят все спецслужбы, есть два, которые, похоже, были проверены в реальном мире.

Первый - "Наутилус-С"... для деанонимизации трафика "Тора". ... Второй проект - "Надежда", который проанализировал структуру и состав российского сегмента интернета.

С тех пор взломанная компания закрыла свой сайт ... и отказалась от запросов СМИ.

[Советую всем посмотреть фильм "Прошивка" / "Hardwired" - проект "Надежда" ну прямо скопирован с "корпорации Надежда" - основной группы негативных персонажей, что-то вроде коллективного разума в лице ее никогда не появляющегося в фильме хозяина, "Хоупа" (Hope / Хоуп по англ. надежда) - фильм описывает до боли похожие вымышленные события на цитируемую новость. Прим. перв..]

Звучит здорово, да? Зак Уиттакер в исступлении:

 Это просто безумие.

Тор сломан? Бипски отвечает сангвинически:

 Сеть [Tor] имеет более 6000 узлов, и вам нужно владеть как минимум 2 в цепочке из 3, чтобы деанонимировать кого-нибудь. ... Выбор ретранслятора в чьем-то туннеле исключительно случаен.

[Мы] не должны беспокоиться о людях, атакующих Тор. ... Если можно сломать Tor, то его взлом - это хорошо, потому что в долгосрочной перспективе это приводит к исправлениям и улучшениям ... (Политика проекта Tor, заключающаяся в том, что исследователи не должны атаковать сеть, вредна для всех).

Но dontbenebby отмечает, что это не новость:

Похоже, что атака не является необычной или неизвестной - они раскручивают вредоносные узлы, а затем пытаются прогнать трафик на эти узлы через DDoS. Это распространенная техника и, к сожалению ... с ней ничего не поделаешь.

Переведено с сайта https://securityboulevard.com/2019/07/r ... b-secrets/

_________________________________

Denial of Service (DoS) буквально означает "отказ в обслуживании". Distributed Denial of Service (DDoS) - "распределенный отказ в обслуживании". Ей часто подвергались сервера наших русских сайтов группы Радость Сатаны: Смерть коммунизма, этот форум и т.д. Помните случаи, когда у вас прекрасно работает интернет, но при заходе на конкретный сайт, браузер долго висит, а потом показывает ошибку, которая переводится на русский вроде "такой-то сервер требует слишком много времени для ответа" или "сервер не отвечает" или "[имя браузера] не может найти этот сайт, проверьте, что [имя браузера] разрешен вход в интернет"? Это как если бы вы в адресной строке набрали адрес с ошибкой, и он пытался бы искать несуществующий сайт. Т.е. любой "адрес", который не отвечает.

connection time out firefox.jpeg
connection time out firefox.jpeg (72.43 КБ) 4641 просмотр
connection time out.jpeg
connection time out.jpeg (8.32 КБ) 4640 просмотров

Это типичная ошибка при DDoS атаке. Вы видели такое при заходе на любой из наших сайтов? Это была атака DDoS. Менее года назад была последняя, с которой на протяжении дней ничего не могли поделать. Были случаи, когда это продолжалось неделями, и другие люди, чьи сайты хостились на тех серверах, пострадали от атаки на русские сайты Радость Сатаны. Это было несколько лет назад. По времени примерно совпадает с указанными атаками ФСБ на сеть Тор, которые стали известны в результате вышеупомянутого хакерского слива Digital Revolution. Вполне возможно, что в атаках на наи сайты виновны ФСБ. Сайты-то в основном русскоязычные, зачем они другим спецслужбам?

Цитата
DoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.[1] В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.


Изображение


Распределённая DoS-атака или DDoS

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке[2] (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.

Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме.[3] Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют коллективную DoS-атаку на целевой компьютер.

Существуют также программы для добровольного участия в DDoS-атаках.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.
Конец цтаты

- википедия
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Ср мар 18, 2020 11:37 pm

Далее подробнее о сливе, упомянутом выше. На нас проводят эксперименты как на подопытных кроликах. Мало того, все сливы подобной информации расценены и оклеймлены как "правонарушения", хотя по факту явлфются разблачением таковых со стороны ФСБ и ее картельного сговора в виде "Сайтэка", "Кванта" и многих других. После разоблачения конторка сразу прикрыта. В ФНС хакеры по заказу таких жидов как Мишустин и Путин, удалили информацию об их доходах. Зато нарушали кучу статей УК, на потяжении более десяти лет воруя персональные данные, читая чужую преписку, рассылая атаки на сеть и совершая множественные другие преступления против граждан России, США, Евросоюза и многих других стран. Обратте внимание, что сеть Тор в основном представлена выходными узлами не в России, и пользуются ею в основном российские пользователи, т.е. в основном это были атаки против собственных граждан в целях кражи их персональных данных. Я призываю всех распространять разоблачение этих мерзких преступлений, и огромная благодарность DigitalRevolution и 0v1ru$
!

Перевод новостей

Хакеры взломали SyTech, подрядчика ФСБ, национальной разведывательной службы России, откуда похитили информацию о внутренних проектах, над которыми компания работала по поручению агентства, в том числе о деанонимизации трафика Tor.

Нарушение произошло в минувшие выходные, 13 июля, когда группа хакеров по имени 0v1ru$ взломала сервер Active Directory компании SyTech, откуда получила доступ ко всей ИТ-сети компании, включая экземпляр JIRA.

Хакеры украли 7,5 ТБ данных из сети подрядчика и испортили сайт компании популярным среди российских пользователей смайликом, который расшифровывается как "троллинг".

Хакеры выложили скриншоты серверов компании в Twitter, а затем поделились украденными данными с Digital Revolution, еще одной хакерской группой, которая в прошлом году взломала Quantum, еще одного подрядчика FSB.

Эта вторая хакерская группа более подробно поделилась украденными файлами на своем аккаунте в "Твиттере", в четверг, 18 июля, и с российскими журналистами после этого.

sitech.jpeg
sitech.jpeg (16.7 КБ) 4634 просмотра

секретные проекты FSB

По разным сообщениям в российских СМИ, файлы показывают, что с 2009 года компания SyTech работала над множеством проектов для блока 71330 ФСБ и для коллеги-подрядчика Quantum. Проекты включают в себя:

Nautilus - проект по сбору данных о пользователях социальных сетей (таких как Facebook, MySpace, LinkedIn).
Nautilus-S - проект по деанонимизации трафика Tor с помощью неавторизованных Tor-серверов.
Reward - проект по тайному проникновению в P2P-сети, подобно тому, что используется для торрентов.
Ментор - проект по мониторингу и поиску почтовых сообщений на серверах российских компаний.
Надежда - проект по исследованию топологии российского интернета и способов его подключения к сети других стран.
Tax-3 - проект по созданию закрытой интранет-сети для хранения информации о высокочувствительных государственных деятелях, судьях и чиновниках местной администрации, отдельно от остальных IT-сети государства.

BBC Россия, получившая полный набор документов, утверждает, что существовали и другие старые проекты по исследованию других сетевых протоколов, таких как Jabber (обмен мгновенными сообщениями), ED2K (eDonkey), OpenFT (передача файлов предприятия).

В других файлах, размещенных на аккаунте Digital Revolution Twitter, утверждалось, что ФСБ также следит за студентами и пенсионерами.

Некоторые проекты, оказалось, были протестированы.

Но в то время как большинство проектов выглядят просто исследованиями современных технологий, которые проводят все разведывательные службы, есть два, которые, похоже, были испытаны в реальном мире.

Первый из них - Nautilus-S, деанонимизирующий трафик Tor. Би-Би-Си в России отметили, что работа над Nautilus-S началась в 2012 году. Два года спустя, в 2014 году, академики Карлстадского университета в Швеции опубликовали статью, в которой подробно рассказывали об использовании враждебных выходных узлов Tor, которые пытались расшифровать трафик Tor.

Исследователи обнаружили 25 вредоносных серверов, 18 из которых находились на территории России, и испльзовали Tor версии 0.2.2.37, все один и тот же, подробно описано в просочившихся файлах.

Второй проект - Hope - проанализировал структуру и топологию российского сегмента интернета.

Ранее в этом году Россия провела тесты, в ходе которых отключила свой национальный сегмент от остальной части интернета.

Взломанная компания SyTech демонтировала свой сайт после взлома и отказалась от запросов СМИ.

Источник https://www.zdnet.com/article/hackers-b ... n-project/

Подрядчик ФСБ России был взломан, а секретные проекты, которые разрабатывались для спецслужб, просочились в российские СМИ. В этих проектах подробно рассказывается о попытках России деанонимизировать пользователей в сети "Тор", собрать данные из социальных сетей, а также о том, как изолировать российскую часть Интернета от остального мира.

13 июля 2019 года от подрядчика ФСБ России под названием "Синтех" поступило заявление о том, что его взломала хакерская группа под названием 0v1ru$. В рамках этого взлома группа разместила на сайте подрядчика свое имя в названии страницы и смайлик "Yoba-face", который они разместили также в своей Twitter-ленте.

Yoba-face.jpg
Yoba-face.jpg (61.23 КБ) 4632 просмотра

Кроме того, по сообщению BBC Russia, хакеры украли 7,5 ТБ данных из сети подрядчика. Эти данные включают в себя информацию о многочисленных непубличных проектах, которые разрабатывались компанией Sytech по заказу российского правительства и ее спецслужб.

Чтобы доказать, что они получили доступ к серверам Sytech, 0v1ru$ разместили изображения внутренних страниц сайта Sytech, а также серверных дисков и пользователей в контроллере домена Windows.

Затем эти украденные данные были переданы другой хакерской группе под названием DigitalRevolution, которая поделилась ими с российскими СМИ. "Цифровая революция" утверждает, что в 2018 году взломала российский НИИ "Квант".

Украденные данные, которые видит BBC в России, рассказывают о различных проектах, разрабатываемых компанией Sytech. В их число входят следующие проекты:

Наставник или Ментор якобы разрабатывался для российской военной части № 71330, которая, как сообщается, является радиоэлектронной разведкой ФСБ России. В рамках этого проекта будет осуществляться мониторинг выбранных аккаунтов электронной почты через определенные промежутки времени с целью сбора информации, связанной с определенными фразами.

Надежда", или "Надежда" на английском языке, представляет собой проект, предназначенный для визуализации того, как Россия подключена к остальной части Интернета. Это исследование является частью попыток России создать "суверенный Интернет", в котором Россия сможет изолироваться от остальной части Интернета.

Наутилус" - это проект, разработанный в 2009-2010 годах для сбора информации о пользователях в таких социальных сетях, как Facebook, LinkedIn и MySpace.

Наутилус-С" проводит исследования по деанонимизации пользователей в сети "Тор" путем создания выходных узлов, которые контролировались российским правительством. Этот проект якобы был начат по заказу Российского научно-исследовательского института "Квант".

Награда предназначалась для проникновения и проведения тайных операций в одноранговых сетях. К ним относятся BitTorrent, Jabber, OpenFT и ED2K.

Проект "Налог-3" является последним и был реализован по заказу ОАО "Главный научно-инновационный центр", подотчетного Федеральной налоговой службе. Данный проект предоставит возможность вручную удалять из ФНС информацию о лицах, находящихся под защитой государства.
[Как вам это нравится, ФНС только для гоев, своих там нет]

Сайт компании "Сайтэк" (www.sytech.ru) с тех пор закрыт и не отвечает на запросы BBC.

Несмотря на то, что эта утечка данных не так актуальна, как утечка эксплойтов АНБ из Vault 7 WikiLeaks, Би-би-си заявило, что это самая крупная утечка данных за всю историю российских спецслужб.


Источник: https://www.bleepingcomputer.com/news/s ... Vzg.reddit

_____________________

Источники [крайне рекомендовано!!]

Все их каналы http://www.d1g1r3v.net/madskillz/2019/8/8/-

Официальный сайт https://www.d1g1r3v.net/

Досье на команию "Сайтэк" https://dosje.org/SyTech просто копируйте все оттуда и рапсространяйте с материалами на меге

Используйте их сайт, твиттер, телеграм и контакт каналы для сбора свежей информации для распространения Правды, скачивайте и выкладывайте на свои облака и распроcтраняйте их папки с материалами и доказательствами по всем, еще не заблокированным сетям или заблокированным но все еще крайне популярным, таким как телеграм и линкедн, делайте анонимные блоги, комментируйте youtube со ссылками. Папки с компроматами на различных подрядчиков ФСБ можно найти на сайте https://dosje.org/

Обратите внимание, они дублировали все это на меге и мега удалила папки с компроматом по атаке на Тор, мега также может предавать, храните там файы, которые вы не хотите, чтобы они были прочитаны (например, это ваши личные вещи не для распространения, книга теней и т.д.) в зашифрованном виде. Предназначенные же для распространения храните не только там, делайте бэкап в нескольких местах. Качайте сразу то, что хотите сохранить, т.к. оно может пропасть.
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Сб апр 18, 2020 10:33 pm

Гнилые луковицы от ФСБ:
Подробный разбор атаки на Тор - университет Карлштад.

Цитата сайта https://dosje.org/

Далее в массиве документов имеется несколько информационных брошюр о Наутилус-С - программно-аппаратном комплексе, разрабатывающемся, предположительно, в НИИ «КВАНТ», компании-партнёре SyTech, их связь будет описана ниже. Цель этого проекта уже куда конкретнее - осуществление сбора и хранение информации о пользователях Tor-сетей и их идентификации. Реализовать эту цель в КВАНТе собирались обычным поднятием выходного узла сети Tor на серверах у себя или у ФСБ РФ и дальнейшего его мониторинга и изучения. Из документов следует, что впервые идеей насчёт деанонимизации пользователей Тор в КВАНТе загорелись в 2011 году.

Однако в конце января 2014 года разработка была передана Сайтэку. С чем связана передача Наутилуса-С другой компании неизвестно, однако в конце 2013 года эксперты Университета Карлштад (Швеция) выявили 19 "враждебных" выходных узлов сети Тор, 18 из которых управлялись напрямую из РФ. Тот факт, что выявленные экзит-ноды являются разработкой НИИ «КВАНТ» подтверждает версия Тор-демона, установленного на враждебных выходных узлах - 0.2.2.37. Та же версия фигурировала в документах по Наутилус-С.

Расследование университета Карлштад вышло в начале января 2014 года, весь поиск проводился в конце 2013. И уже 24 января 2014 в Сайтэке выходит новая информацинонная брошюра под названием Наутилус-2. Тема НИР поставлена немного иначе - теперь это "исследование возможности создания автоматизированной системы выявления скрытых элементов инфраструктуры Tor-сети". Поставленные задачи работы воистину удивительны - в SyTech решили на полном серьёзе искать скрытые элементы инфраструктуры Tor, такие как внутренние web ресурсы или неопубликованные узлы связи. Это занятие априори бесполезно хотя бы потому, что о структуре сети Тор давно известно, она не скрыта и описана самими разработчиками, а также на Википедии. Так как в массиве акта приёма-передачи системы Наутилус-2 кому-либо не найдено, можно предположить, что и SyTech не совладали с выходными узлами Tor.

Из экзит-нодов планировалось собирать проходимую информацию, структурировать её и визуализировать на стороне спецслужб. В элементах инфраструктуры Тор планировалось искать уязвимости и вести их "паспорта", маркировать их по степени важности, применимости и актуальности.

Документы о ПАК (оригиналы и дупликации плейн-текстом):

ПРЕДЛОЖЕНИЯ НА ПОСТАНОВКУ НИР НАУТИЛУС
https://dosje.org/%D0%A4%D0%B0%D0%B9%D0 ... D0%A1).doc

Темкарточка - Наутилус2 23012014 v1
https://dosje.org/%D0%A4%D0%B0%D0%B9%D0 ... 4_v1).docx

Конец цитаты

Далее русский перевод расследования университета Карлштад,
Гнилые луковицы: разоблачение вредоносных выходных узлов тор сети
https://www.cs.kau.se/philwint/spoiled_ ... report.pdf

Цитата (Отрывок)
В 2011 г. Чакраварти (англ. Chakravarty) и др.[3] предприняли попытку обнаружить экзит-ноды*, мониторящие трафик пользователей Tor, систематически трансмитируя украденные ими учетные данные между всеми активными экзит-нодами. В течение десяти месяцев авторы обнаружили десять ретрансляторов, осуществляющих прослушивание трафика. Чакраварти и др. смогли проверить, что операторы мониторили выходной трафик, так как позже было обнаружено, что они вошли в систему с помощью украденных ими учетных данных. В то время как работа Chakravarty и др. представляет собой важный первый шаг к мониторингу сети Tor, их техника была сосредоточена только на SMTP и IMAP. На момент написания статьи только 20 из всех примерно 1,000 ретрансляторов выхода позволяют выйти на 25-й порт. HTTP кажется особенно популярным [13, 21].Также, подобно Мак-Кой и др., авторы сосредоточились только на пассивных** шпионских атаках на трафик. Активные атаки до сегодняшнего дня остаются полностью неисследованными, а Tor Project использовался для поддержки документирования веб-страниц с помощью ретрансляторов, которым был присвоен флаг BadExit [15]. По состоянию на январь 2014 года, на этой странице перечислены 35 выходных узлов (экзит-нод), которые были обнаружены в период с апреля 2010 года по июль 2013 года. Обратите внимание, что не все эти узлы подвергались атакам; почти половина из них работали с неправильно настроенными антивирусными сканерами или использовали нарушенные политики выхода

2. С того времени Chakravarty и др. не проводились систематические исследования для выявления вредоносных выходов. Появились только отдельные анекдотические данные [28]. Наша работа является первой, которая дает исчерпывающее представление об активных атаках. Далее мы публикуем наш код под бесплатной лицензией

3. Таким образом, мы включаем и поощряем непрерывное сканирование, а не одноразовое сканирование.
Конец цитаты

*Экзит-нода или выходной узел - последний в цепочке тор, из которого пользователь получает выход в клирнет. Как сказал Эллиот, кто владеет выходным узлом, тот владеет всем. Выходные узлы (экзит-ноды) могут шпионить, воровать данные, транслировать все, что вы делаете, на устройства ФСБ/ЦРУ в онлайн режиме и т.д.

**Пассивные атаки - значит, просто отслеживать в целях сбора информации или компромата, не мешая работе жертвы, активные - значит атаковать при помощи вредоносного ПО, непосредствнно нарушая работу оборудования жертвы.

Цитата (отрывок)
4 Результаты эксперимента

19 сентября мы провели первое полное сканирование по адресу all∼950 выходных узлов, которые в то время были частью сети Tor. С тех пор мы сканировали все выходные узлы несколько раз в неделю. Первоначально мы начали сканирование, вооружившись только модулем HTTPS, но со временем мы добавили дополнительные модули, которые позволили нам сканировать на наличие дополнительных атак. В этом разделе мы обсудим результаты, полученные при мониторинге сети Tor в течение нескольких месяцев.

4.2 Вредоносные узлы

В таблице 1 приведены 25 найденных вредоносных и неправильно настроенных выходных узлов. Первые два узла мы обнаружили "вручную" до того, как разработали exitmap. Все данные, проиллюстрированные в таблице, были собраны в день, когда была совершена соответствующая атака. Столбцы слева направо:

Fingerprint - первые 4 байта уникального 20-байтового SHA-1 отпечатка узла.

IP addresses - Все IPv4-адреса или нетблоки, которые узел, как выяснилось, использовался в течение всего срока службы.

Country - страна, в которой находилось узел. Страна была определена с помощью базы данных GeoIP lite компании Max-Mind.

Bandwidth - заявленная пропускная способность узла.

Attack - Атака, запущенная на узле или проблема его конфигурации.

Sampling rate - Частота дискретизации атаки, т.е. сколько соединений было затронуто.

First active - День, когда узел был настроен.

Discovery - День, когда мы обнаружили узел.

Таблица 1: Все 25 вредоносных и неправильно настроенных выходных узлов, которые мы обнаружили за 4 месяца. Данные были собраны сразу после обнаружения узлов. У нас есть основания полагать, что все узлы, отпечатки которых заканчиваются на † были запущены одним и тем же злоумышленником.

Fingerprint IP addresses Country Bandwidth Attack Sampling rate First active Discovery
F8FD29D0 † 176.99.12.246 Russia 7.16 MB/s HTTPS MitM unknown 2013-06-24 2013-07-13
8F9121BF † 64.22.111.168/29 U.S. 7.16 MB/s HTTPS MitM unknown 2013-06-11 2013-07-13
93213A1F † 176.99.9.114 Russia 290 KB/s HTTPS MitM 50% 2013-07-23 2013-09-19
05AD06E2 † 92.63.102.68 Russia 5.55 MB/s HTTPS MitM 33% 2013-08-01 2013-09-19
45C55E46 † 46.254.19.140 Russia 1.54 MB/s SSH & HTTPS MitM 12% 2013-08-09 2013-09-23
CA1BA219 † 176.99.9.111 Russia 334 KB/s HTTPS MitM 37.5% 2013-09-26 2013-10-01
1D70CDED † 46.38.50.54 Russia 929 KB/s HTTPS MitM 50% 2013-09-27 2013-10-14
EE215500 † 31.41.45.235 Russia 2.96 MB/s HTTPS MitM 50% 2013-09-26 2013-10-15
12459837 † 195.2.252.117 Russia 3.45 MB/s HTTPS MitM 26.9% 2013-09-26 2013-10-16
B5906553 † 83.172.8.4 Russia 850.9 KB/s HTTPS MitM 68% 2013-08-12 2013-10-16
EFF1D805 † 188.120.228.103 Russia 287.6 KB/s HTTPS MitM 61.2% 2013-10-23 2013-10-23
229C3722 121.54.175.51 Hong Kong 106.4 KB/s sslstrip unsampled 2013-06-05 2013-10-31
4E8401D7 † 176.99.11.182 Russia 1.54 MB/s HTTPS MitM 79.6% 2013-11-08 2013-11-09
27FB6BB0 † 195.2.253.159 Russia 721 KB/s HTTPS MitM 43.8% 2013-11-08 2013-11-09
0ABB31BD † 195.88.208.137 Russia 2.3 MB/s SSH & HTTPS MitM 85.7% 2013-10-31 2013-11-21
CADA00B9 † 5.63.154.230 Russia 187.62 KB/s HTTPS MitM unsampled 2013-11-26 2013-11-26
C1C0EDAD † 93.170.130.194 Russia 838.54 KB/s HTTPS MitM unsampled 2013-11-26 2013-11-27
5A2A51D4 111.240.0.0/12 Taiwan 192.54 KB/s HTML Injection unsampled 2013-11-23 2013-11-27
EBF7172E † 37.143.11.220 Russia 4.34 MB/s SSH MitM unsampled 2013-11-15 2013-11-27
68E682DF † 46.17.46.108 Russia 60.21 KB/s SSH & HTTPS MitM unsampled 2013-12-02 2013-12-02
533FDE2F † 62.109.22.20 Russia 896.42 KB/s SSH & HTTPS MitM 42.1% 2013-12-06 2013-12-08
E455A115 89.128.56.73 Spain 54.27 KB/s sslstrip unsampled 2013-12-17 2013-12-18
02013F48 117.18.118.136 Hong Kong 538.45 KB/s DNS censorship unsampled 2013-12-22 2014-01-01
2F5B07B2 178.211.39 Turkey 204.8 KB/s DNS censorship unsampled 2013-12-28 2014-01-06
4E2692FE 24.84.118.132 Canada 52.22 KB/s OpenDNS unsampled 2013-12-21 2014-01-06

Помимо всех явных HTTPS MitM*-атак, о которых мы поговорим позже, мы выставили на обозрение два узла с работающим вредоносным ПО nsslstrip на короткое время. Узел 5A2A51D4 вставляет пользовательский HTML-код в HTTP-трафик (см. приложение B). Еще два узла - 02013F48 и 2F5B07B2 - были подвергнуты DNS-цензуре своей страны. Турецкий узел блокировал многие порнографические веб-сайты и перенаправлял пользователя на государственный веб-сервер, который объяснил причину перенаправления. Вторая ретрансляция, казалось, стала жертвой Великого китайского файерволла и DNS-цензуры; возможно, ретрансляция использовала DNS-резонатор в Китае. Некоторые домены, такие как torproject.org, facebook.com и youtube.com возвращали недействительные IP-адреса, которые также были найдены в предыдущей работе [18]. И, наконец, 4E2692FE был неправильно настроен, потому что в нем использовалась политика OpenDNS, которая подвергала цензуре веб-сайты в категории "порнография".

[*NitM (Man In The Middle - человек посередине или "атака посредника") - проникновение между двумя узлами соединения с целью прослушивания их трафика, частьо используется на HTTPS с целью вскрыть его шифрование и читать передаваемые данные, как в незащищенном трафике HTTP. Прим. перев.]

Все остальные узлы участвовали в атаках HTTPS и/или SSH MitM. После установления соединения с целью приманки эти узлы обменяли сертификат назначения на свою собственную, самоподписанную версию. Поскольку эти сертификаты не были выданы доверенным центром, содержащимся в хранилище сертификатов Tor Browser, пользователь, попавший жертвой такой MitM-атаки, был перенаправлен на страницу по адресу about:certerror (ошибка сертификации)


certerror.png
certerror.png (41.71 КБ) 4434 просмотра


C=US
ST=Nevada
L=Newbury
O=Main Authority
OU=Certificate Management
CN=main.authority.com
EMAIL=cert@authority.com

Фигура 6: X.509 эта информация о вредоносных сертификатах, которые использовали в атаке человек-по-середине, подробнее расписанной выше. Полный список показан в приложении А.

Интересно, что у нас есть основания полагать, что все узлы, отпечатки которых заканчиваются на †, управлялись одним и тем же человеком или группой людей. Это становится очевидным при анализе самоподписанных сертификатов, которые были введены для атак MitM. В каждом случае цепочка сертификатов состояла только из двух узлов, оба из которых относились к "главному центру", а корневой сертификат, частично показанный на Рисунке 6, был идентичен. Это означает, что эти атаки могут быть прослежены до общего происхождения, даже если неясно, где и что это за происхождение, о чем мы поговорим позже.

Кроме идентичного корневого сертификата, эти узлы имеют и другие общие свойства. Во-первых, за исключением 8F9121BF, который был расположен в США, все они были расположены в России. Изучив их IP-адреса, мы обнаружили, что большинство российских ретрансляторов работают в сети провайдера виртуальных частных систем (VPS). Несколько IP-адресов также находились в одном сетевом блоке, а именно 176.99.12.246, 176.99.9.114, 176.99.9.111 и 176.99.11.182. Все эти IP-адреса являются частью нетблока GlobaTel-net, который охватывает 176.99.0.0/20. Более того, все вредоносные выходные реле используют Tor версии 0.2.2.37 Учитывая его возраст, это довольно необычный номер версии среди узлов. На самом деле, мы нашли только два доброкачественных выходных узла в Швейцарии и США, которые работают с такой версией. Мы подозреваем, что у злоумышленников может быть предварительно скомпилированная версия Tor, которую они просто копировали во вновь приобретаемые системы для создания новых выходных узлов. К сожалению, в последнее время у нас нет данных, которые позволили бы нам проверить, когда началась эта серия атак. Однако полный корневой сертификат, приведенный в Приложении А, указывает на то, что он был создан 12 февраля 2013 года.

4.3 Частота повторения атаки

Всякий раз, когда наша охота за вредоносными узлами давала еще один результат, мы попытались подтвердить атаку, запустив повторно сканирование недавно обнаруженного узла. Однако, в случае российских узлов, это не всегда приводило к ожидаемой атаке HTTPS MitM. Вместо этого мы обнаружили, что только каждое n-ое соединение, казалось, было атаковано. Мы смогли установить частоту проведения атаки только путем установки 50 соединений HTTPS на каждом реле. Мы использовали случайно определенные периоды сна в промежутках между сканированиями для маскировки нашей деятельности. Оценочная частота выборки для каждого узла показана в Таблице 1 в столбце Sampling rate ("Частота выборки"). Для всех российских узлов она колеблется от 12% до 68%. У нас нет объяснения мотивации злоумышленника к выборочным соединениям. Одна из теорий заключается в том, что выборка делает менее вероятным обнаружение вредоносного выходного узла, но за счет сбора меньшего количества MitM-жертв.

Интересно, что метод выборки был реализован неэффективно. Это связано с тем, как Firefox (и, как следствие, TorBrowser) реагирует на самоподписанные сертификаты. Когда вы сталкиваетесь с самоподписанным сертификатом X.509, Firefox отображает страницу about:certerror, которая предупреждает пользователя о риске безопасности. Если пользователь затем решит продолжить, то сертификат будет получен снова. Мы заметили, что вредоносные выходные узлы рассматривают повторное получение сертификата как отдельное соединение, успех которого зависит от частоты дискретизации узла. В результате, частота выборки n означает, что атака MitM будет успешной только с вероятностью n^2.

4.4 Кто атаковал сеть Тор?

Важный вопрос - где на пути от выходного узла к месту назначения находится атакующий. На первый взгляд, можно обвинить оператора выходного узла. Как бы то ни было, также возможно, что атака происходит после выходного узла, например, провайдером узла, сетевой магистралью или провайдером назначения. Фактически, такой инцидент был задокументирован в 2006 г. для узла, расположенного в Китае [5].

Что касается наших данных, мы не можем полностью исключить, что атаки HTTPS MitM на самом деле проводились провайдером российских выходных узлов. Однако мы считаем это маловероятным по следующим причинам:
1) узлы были расположены в различных блоках IP-адресов и было много других узлов в России, которые не проявляют такого поведения,
2) один из узлов даже находился в США,
3) в Интернете не было зарегистрировано ни одного другого случая с участием сертифицирующего органа, называемого "Main Authority", и
4) узлы часто исчезали после того, как им присваивался флаг BadExit.

Личность злоумышленника трудно установить. Узлы не публикуют никакой контактной информации, ни псевдонимов, ни других подсказок, которые могли бы позволить сделать обоснованные предположения о происхождении злоумышленника.

4,5 На кого была направлена атака

[Внимание! Атака на Тор была направлена с целью деанонимизировать посетителей каких-то редких ресурсов, которых не оказалось в списке популярных сайтов клирнета. Прим. перев.]

В то время как природа Tor как инструмента анонимности затрудняет нацеливание на отдельных лиц, злоумышленник может нацелиться на классы пользователей в зависимости от места их общения. Например, злоумышленник может решить взломать только соединения, идущие к вымышленному www.insecure-bank.com. Интересно, что мы нашли доказательства именно такого поведения, и в какой-то момент российские узлы стали нацеливаться как минимум на facebook.com. Мы протестировали https-версию топ-10 сайтов Alexa [1], но не смогли спровоцировать MitM-атаки, несмотря на многочисленные попытки подключения. Популярные российские сайты, такие как почтовый провайдер mail.ru и социальная сеть vk.com также остались незатронутыми. Отметим, что вполне возможно, что ретрансляторы были нацелены на дополнительные сайты, которые мы не тестировали. Полный ответ на этот вопрос будет означать, что мы проверяли тысячи различных сайтов, и у нас нет никаких объяснений, какова была цель. Это может быть еще одной попыткой замедлить обнаружение бдительных пользователей. Однако, согласно предыдущим исследованиям [13], социальные сети кажутся столь же популярными в сети Tor, как и в чистом Интернете. В результате, ограничение атаки на facebook.com может совсем ненадолго задержать обнаружение.

Приложение А

Вредоносный корневой сертификат X.509

Далее представлен самописный корневой сертификат, который был предложен всеми российскими узлами и одним американским. В то время как домен authority.com существует, он не имеет никакого отошения к CA “Main Authority”, организации, предположитеьно подписавшей этот сертификат.

[см. полный код сертификата]
https://www.cs.kau.se/philwint/spoiled_ ... appendix.A

Читайте, скачивайте и распространяйте полный текст в PDF исследования Университета Карлштад, Швеция:
Гнилые луковицы: разоблачение вредоносных выходных узлов тор сети
https://www.cs.kau.se/philwint/spoiled_ ... report.pdf
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Вс апр 19, 2020 2:17 am

РУТКИТЫ

ФСБ ЛОМАЕТ ЯДРО LINUX!
Что, гои, отняли семерку, а с десяткой противно, да?

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Руткит (англ. rootkit, то есть «набор root-а») — набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), обеспечивающих:

маскировку объектов (процессов, файлов, каталогов, драйверов);
управление (событиями, происходящими в системе);
сбор данных (параметров системы).

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые злоумышленник устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае не ядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём скрытия файлов, процессов, а также самого присутствия руткита в системе.
- википедия

_______________________________________

Далее следует неполный перевод доклада ФБР о руткитах ФСБ под Unix системы. Некоторые фрагменты опущены по причине и без того совершенной невозможности читать для пользователя, но могут быть переведены в подробностях *и обсуждены* в этой теме если кому-то это нужно. Я настоятельно советую дочитать хотя бы резюме и введение. ФБР разумеется мелет чушь про то, что это якобы "для вмешательства в выборы", это полная чушь. Linux не принадлежит ни Штатам, ни их кандидатам. И знаменитые участники зверских педофильных оргий pizzafate не отдавали никакого особого предпочтения Unix системам. Это то же самое, как говорить, что бесконечные заказы на госзакупках на оказание услуг по деанонимизации пользователей тор направлены на "слежку за американцами". Если это ПО попадает в руки не обычных приколистов, а евреев ФСБ, от него страдаем мы, а не какие-то другие евреи.

От себя хочу добавить.

НИКОГДА не пренебрегайте обновлениями Unix-подобной системы. Выучите команды для конкретно вашей Unix обновления и полного апгрейда системы и набирайте их каждый день перед тем, как начать работу. Для тех, кому сложно писать, напишите их один раз и сохраните в .sh скрипт, запускайте его и выполняйте в терминале каждый раз перед тем, как начать любую работу на компьютере.


Агентство национальной безопасности
Федеральное бюро расследований

Российская ГРУ 85 ГЦСДеплои Ранее Неизвестные вредоносные программы Дроворуб

"
Резюме

Российский генеральный штаб Главного разведывательного управления (ГРУ) 85-го Главного спецсервисного центра (ГЦСС) войсковой части 26165 в рамках шпионских операций в среде Linux®systems, называемого "Дроворуб", занимается развёртыванием ранее не раскрытых вредоносных программ для Linux®-систем. Вредоносная кибернетическая деятельность в рамках GTsSS ранее приписывалась частному сектору с использованием имен Fancy Bear, APT28, Strontium и ряда других идентификаторов. (Министерство юстиции, 2018) (Washington Post, 2018) (CrowdStrike, 2016) В данной публикации приведена справочная информация о Drovorub, атрибуция его использования в GTsSS, подробная техническая информация о вредоносном ПО Drovorub, руководство по обнаружению Drovorub на зараженных системах, а также рекомендации по его снижению. ...

Drovorub - это инструментарий вредоносного программного обеспечения для Linux, состоящий из имплантата в сочетании с руткитом модуля ядра, инструмента для передачи и перенаправления файлов и сервера командования и управления (C2). При развертывании на машине-жертве имплант (клиент) Дроворуб обеспечивает возможность прямого взаимодействия с инфраструктурой С2, контролируемой агентами; возможность загрузки и выгрузки файлов; выполнение произвольных команд от имени пользователя "root"; и переадресацию сетевого трафика на другие хосты в сети.

Ряд технологий комплементарного обнаружения эффективно выявляют активность вредоносного ПО "Дроворуб". Однако модуль "Дроворуб-ядро" представляет проблему для крупномасштабного обнаружения на хосте, поскольку скрывает артефакты Дроворуба от средств, обычно используемых для реагирования в реальном времени. В то время как проверка пакетов на границах сети может быть использована для обнаружения Drovorub в сетях, методы на базе хоста включают зондирование, продукты безопасности, реагирование в реальном времени, анализ памяти и анализ носителей (образов дисков). Специальное руководство по запуску Volatility®, зондированию поведения при скрытии файлов, Snort®rules и Yara®rules включено в описание данного руководства.

Чтобы предотвратить заражение системы с невозможностью последующего обнаружения Дроворуба, системные администраторы должны обновить ядро Linux 3.7 или более позднюю версию, чтобы в полной мере воспользоваться преимуществами принудительного применения подписей ядра. Кроме того, владельцам систем рекомендуется настроить системы так, чтобы в них загружались только модули с действительной цифровой подписью, что затруднит внедрение в систему вредоносного модуля ядра.

Введение

Что такое Дроворуб? Дроворуб - это инструментарий вредоносного ПО для Linux, состоящий из имплантата в сочетании с руткитом модуля ядра, инструмента для передачи файлов и переадресации портов, а также сервера для команд и управления (C2). При развертывании на машине-жертве имплант (клиент) Дроворуб предоставляет возможность прямого взаимодействия с управляемой агентом инфраструктурой C2 (T1071.0011); возможность загрузки и выгрузки файлов (T1041); выполнение произвольных команд от имени пользователя "root" (T1059.004); а также переадресацию сетевого трафика на другие хосты в сети (T1090). Модуль ядра rootkit использует различные средства для сокрытия себя и имплантата на зараженных устройствах (T1014), и продолжает работу через перезагрузку зараженной машины, если только в режиме "Full" или "Thorough" не включена безопасная загрузка по UEFI. Несмотря на это укрытие, эффективные методы обнаружения и стратегии смягчения последствий описываются ниже.

Пакет вредоносных программ Drovorub состоит из четырех отдельных исполняемых компонентов: Дроворуб-агент, Дроворуб-клиент, Дроворуб-сервер и модуль Дроворуб-ядро. Связь между компонентами осуществляется через JSON через WebSockets. (Fette & Melnikov, 2011)

Дроворуб-агент, Дроворуб-клиент и Дроворуб-сервер требуют конфигурационные файлы и открытый ключ RSA (для Дроворуб-агента и U/OO/160679-20| PP-20-0714| август 2020 Rev 1.02Rev 1.02Rev 85th GTsSS представляет изначально открытый Drovorub Malware Дроворуб-клиент) или закрытый ключ (для Дроворуб-сервера) для связи. Краткий обзор каждого компонента представлен ниже.

Дроворуб-сервер

Дроворуб-сервер, установленный на инфраструктуре, управляемой актерами, обеспечивает С2 для Дроворуб-клиента и Дроворуб-агента. Дроворуб-сервер использует базу данных MySQL для управления соединением Дроворуб-клиента(ов) и Дроворуб-агента(ов). В базе данных хранятся данные, используемые для регистрации, аутентификации и постановки задач Drovorub-агента и Drovorub-клиента.

Дроворуб-клиент .

Компонент "Дроворуб-клиент" устанавливается на целевые конечные точки агентом. Этот компонент получает команды со своего удаленного Drovorub-сервера и предлагает передачу файлов к/от жертвы, переадресацию портов и возможности удаленного управления shell. Кроме того, Drovorub-клиент упакован с модулем ядра Drovorub, который обеспечивает скрытую функциональность на основе руткитов для скрытия клиента и модуля ядра.

Модуль ядра Drovorub

Модуль Drovorub-kernel реализует базовый функционал для сокрытия себя и различных артефактов из пользовательского пространства, включая заданные файлы и каталоги, сетевые порты и сеансы, процесс Дроворуб-клиент и дочерние процессы Дроворуб-клиента.

Дроворуб-агент

Дроворуб-агент, скорее всего, будет установлен на хостах с доступом в Интернет или на управляемой актерами инфраструктуре. Исполняемый модуль Drovorub-agent получает команды от сконфигурированного сервера Drovorub. Этот компонент включает в себя большую часть той же функциональности, что и Drovorub-клиент, за исключением возможности удаленного доступа к shell. Кроме того, Drovorub-agent идет без дополнительного руткита модуля ядра Drovorub. Очевидными целями Дроворуб-агента являются: загрузка файлов на конечные станции Дроворуб-клиента, а также переадресация сетевого трафика через портовые ретрансляторы.

Атрибуция

Дроворуб - проприетарная вредоносная программа, разработанная для использования Главным разведывательным управлением (ГРУ) 85-го Главного спеццентра (ГЦСС) войсковой части 26165. Вредоносная кибернетическая активность GTsSS ранее приписывалась частному сектору с использованием имен Fancy Bear, APT28, Strontium и ряда других идентификаторов. (Министерство юстиции, 2018)(Washington Post, 2018)(CrowdStrike, 2016) В дополнение к атрибуции АНБ и ФБР в GTsSS, оперативная инфраструктура командования и управления Дроворуба была связана с общеизвестной операционной киберинфраструктурой GTsSS. Например, 5 августа 2019 года Центр реагирования на угрозы безопасности компании "Майкрософт" опубликовал информацию, связывающую IP-адрес 82.118.242.171 с инфраструктурой "Стронтьюмин" в связи с эксплуатацией устройств "Интернет вещей" (IoT) в апреле 2019 года. (Microsoft Security Response Center, 2019) (Microsoft, 2019) АНБ и ФБР подтвердили, что этот же IP-адрес использовался также для доступа к IP-адресу Drovorub C2 185.86.149.125 в апреле 2019 г. Почему вредоносная программа называется "Drovorub" и что она означает? Название "Дроворуб" происходит от множества артефактов, обнаруженных в файлах Дроворуба, а также от операций, выполняемых GTsSS с помощью этой вредоносной программы; это имя используется самими акторами GTsSS. С русского переводится как "дровосек" или "рубить дрова".

Дроворуб Технические характеристики

Следующие разделы содержат технические детали Дроворуба, в том числе функциональность компонентов и инструментальное взаимодействие. Все IP-адреса, порты, крипто-ключи, переданные файлы, пути к файлам и туннелированные данные, использованные в примерах, были сгенерированы в лабораторной среде и не должны предполагаться как фактически используемые агентом. Даты и время, указанные в примерах, были либо отредактированы, либо изменены. Кроме того, в примеры JSON были добавлены новые строки и вкладки для удобства чтения.

Drovorub Конфигурация компонентов

Дроворуб-сервер Конфигурация

Конфигурационный файл Drovorub-сервера представляет собой текстовый файл в формате JSON. Он должен присутствовать при запуске исполняемого файла Drovorub-server и его путь указан в качестве аргумента командной строки. Он содержит IP-адрес, порт, имя БД, имя пользователя и пароль для своей бэкэндной БД MySQL. Он также содержит путь к своему приватному RSA ключу, IP-адрес прослушивающего хоста или домена и порта, а также интервал, через который WebSocket будет посылать "ping" сообщения подключенным Дроворуб-клиентам и Дроворуб-агентам. Пример конфигурационного файла Drovorub-сервера показан ниже. Использование поля "Фраза" в конфигурационном файле неизвестно.

{"db_host" : "<DB_IP_ADDR>",
"db_port": "<DB_PORT>",
"db_db": "<DB_NAME>",
"db_user" : "<DB_USER>",
"db_password" : "<DB_PASS>",
"lport": "<LHOST>",
"lhost": "<LPORT>",
"ping_sec": "<SEC>",
"priv_key_file" : "<PRIVATE_KEY_FILE>",
"phrase": "<PHRASE>"}

Дроворуб-клиент Конфигурация

Первоначальная конфигурация для Drovorub-клиента встроена в его исполняемый файл. Он включает в себя URL2 обратного вызова Drovorub-сервера, имя пользователя и пароль, а также открытый ключ RSA. Как пара имя пользователя/пароль, так и открытый ключ RSA используются для аутентификации сервером Drovorub. После успешной регистрации на сервере Дроворуб клиент записывает на диск отдельный конфигурационный файл, который будет скрыт модулем Drovorub-kernel. Этот послеинсталляционный конфигурационный файл представляет собой текстовый файл в формате JSON. Первоначальное содержимое файла включает в себя значения "id" и "key", используемые для идентификации экземпляра Drovorub-клиента и будущих попыток аутентификации с Drovorub-сервером. Смотрите раздел Network Communications section для получения подробной информации о процессе аутентификации Дроворуба. Дополнительное содержимое конфигурационного файла добавляется для сохранения текущего скрытия произвольных модулей ядра, сетевых портов, файлов, каталогов и процессов, выполняемых модулем ядра Дроворуба, а также любых узлов сетевых портов, настроенных внутри целевого. Ниже приведен пример содержимого исходного конфигурационного файла Drovorub-клиента:

{"id" : "cbcf6abc-466b-11e9-853b-000c29cb9f6f",
"key": "Y2xpZW50a2V5"}

Значение для "id" - это 128-битная временная UUID-строка, которую сервер Дроворуб генерирует для Дроворуб-клиента при первом подключении. Этот UUID генерируется статически связанными библиотеками POCO C++ с открытым исходным кодом. Последние 48 бит (6 байт) UUID - это MAC-адрес одного из Ethernet-адаптеров Drovorub-сервера. Поэтому ожидается, что последние 6 байт значения "id" будут одинаковыми для Дроворуб-клиентов и Дроворуб-агентов, подключающихся к одному и тому же Дроворуб-серверу. Значение "key" по умолчанию является кодировкой base64 для ASCII-строки "clientkey". ASCII-строка "ключ клиента" жестко закодирована в двоичном файле Дроворуб-сервера. Значение "ключ" возвращается клиенту с Drovorub-сервера во время начального квитирования (См. процесс аутентификации "signin", описанный в разделе Network Communications section).

Ниже приведен пример конфигурационного файла Drovorub-клиента с некоторой информацией о сокрытии файлов, модулей и сетевых портов. Если файл, модуль или сетевой порт скрыт модулем Drovorub-kernel, то поле "активен" будет установлено в "true". Иначе оно будет "ложным". Для файлов и модулей полем "маска" является имя скрываемого файла или модуля. Каждому файлу, модулю или сетевому порту также присваивается UUID (поле "id"), с помощью которого отслеживается запись.

{"id" : "6fa41616-aff1-11ea-acd5-000c29283bbc",
"key": "Y2xpZW50a2V5",
"monitor" : {"file" : [{"active" : "true",
"id" : "d9dc492b-5a32-8e5f-0724-845aa13fff98",
"mask" : "testfile1"}],
"module" : [{"active" : "true",
"id" : "48a5e9d0-74c7-cc17-2966-0ea17a1d997a",
"mask" : "testmodule1"}],
"net" : [{"active" : "true",
"id" : "4f355d5d-9753-76c7-161e-7ef051654a2b",
"port" : "12345",
"protocol" : "tcp"}]}}

Дроворуб-агент Конфигурация

Конфигурационный файл Drovorub-agent представляет собой текстовый файл в формате JSON. Он должен присутствовать при запуске исполняемого файла Drovorub-agent и его путь указан в качестве аргумента командной строки. Изначально он содержит URL обратного вызова, имя пользователя и пароль, а также открытый ключ RSA. Ниже приведен пример начального конфигурационного файла Drovorub-agent:

{"client_login" : "user123",
"client_pass" : "pass4567",
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" : "/ws"}

После того, как Дроворуб-агенты впервые успешно зарегистрировались на своем Дроворуб-сервере, в конфигурационный файл добавляются два дополнительных поля: "clientid" и "clientkey_base64". Так же, как и значение "id" Дроворуб-клиента, "clientid" Дроворуб-агента - это 128-битная UUID-строка, сгенерированная Дроворуб-сервером и отправленная Дроворуб-агенту во время первоначальной аутентификации. Он используется для идентификации уникального экземпляра Drovorub-agent. Дроворуб-агент "clientkey_base64" также по умолчанию является кодировкой base64 для ASCII-строки "clientkey". Ниже приведен пример конфигурационного файла Drovorub-agent после успешного соединения с его сервером:

{"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
"clientkey_base64" : "Y2xpZW50a2V5",
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" : "/ws"}

Операция по имплантации Дровораба

Установка клиента и модуля ядра Дроворуба

При установке и выполнении модуля Drovorub-клиент и модуля Drovorub-ядра выполняются следующие действия по настройке:

модуль Drovorub-kernel устанавливает все схемы системных вызовов, необходимые для его работы с руткитом (подробнее см. в разделе Evasionsection)

Drovorub-клиент регистрируется в модуле Drovorub-kernel (о том, как Drovorub-клиент и модуль Drovorub-kernel взаимодействуют друг с другом, см. в разделе Communicationssection (Связь на базе хоста)).

модуль Drovorub-kernel скрывает запущенные процессы Дроворуб-клиента и исполняемый файл Дроворуб-клиента на диске (подробнее см. в разделе Evasionsection).

Если Drovorub-клиент не сможет связаться с модулем Drovorub-ядро, он остановит выполнение. После того, как Drovorub-клиент и модуль Drovorub-ядро завершат свои действия по настройке, Drovorub-клиент попытается аутентифицироваться на сконфигурированном им Drovorub-сервере. После успешной регистрации на Drovorub-сервере, Drovorub-клиент немедленно запрашивает списки любых дополнительных файлов, модулей или сетевых портов, чтобы скрыть их, а затем ждет команды от Drovorub-сервера.

Сохранение модулей ядра Linux

Кибер-программа GTsSS использует широкий спектр запатентованных и общеизвестных методов для получения доступа к целевым сетям и сохранения своих вредоносных программ на зараженных устройствах.

Независимо от конкретного кибер-актора или инструментария, модули ядра могут сохраняться, используя возможности, встроенные в Linux для загрузки модулей ядра при загрузке.В дистрибутивах на базе Red Hat® это может включать, но не ограничиваться, размещение исполняемого скрипта .modules в /etc/sysconfig/modules/, добавлением модуля ядра в /etc/modules.conf или размещением файла .conf в /etc/modules-load.d/. В дистрибутивах, основанных на Debian, это может включать, но не ограничиваться добавлением модуля ядра в /etc/modules/, или помещением .conf файла в /etc/modules-load.d/. Модули ядра обычно размещаются в /lib/modules/<KERNEL_RELEASE>/kernel/drivers/, где <KERNEL_RELEASE> - это релиз ядра Linux на целевой машине. (Настройка системы > Грунтовка ядра, 2016)

Сетевые коммуникации

Все сетевое взаимодействие между компонентами Drovorub (т.е. клиентом, агентом и сервером) использует протокол WebSocket, реализованный в публично доступной библиотеке POCOC++, которая статически связана с каждым компонентом. Протокол WebSocket, определенный в RFC 6455, является протоколом прикладного уровня, который работает по протоколу TCP и состоит из начального квитирования, за которым следуют кадры сообщений для передачи данных. Drovorub может быть настроен на использование нестандартных TCP-портов для связи WebSocket. Все сетевые коммуникации Дроворуба проходят через сервер Дроворуба. Дроворуб-клиенты и Дроворуб-агенты не разговаривают напрямую друг с другом, а общаются через Дроворуб-сервер. Это означает, что Дроворуб-клиенты и Дроворуб-агенты могут общаться только с другими клиентами и агентами, которые подключены к тому же Дроворуб-серверу.

Дроворуб использует JSON в качестве формата сообщений для своих WebSocket полезных нагрузок. Все полезные нагрузки Дроворуб JSON имеют базовую структуру, показанную на рисунке 7 ниже [в оригинальном тексте]. Полезная нагрузка представляет собой один JSON-объект, содержащий один член по имени "дочерние", значением которого является массив JSON-объектов. Фактический порядок расположения JSON-объектов в массиве "дочерних" может отличаться от приведенного ниже. Каждый объект в "дочернем" массиве всегда содержит два элемента с именами "name" и "value". Значение члена "value" всегда base64 закодировано в каждом объекте, за одним исключением, которое подробно описано в разделе Command Taskingsection. Каждая полезная нагрузка JSON Drovorub будет содержать как минимум два объекта в "дочернем" массиве. Эти объекты имеют "имя" член-значение "модуль" и "действие". Объекты "модуль" и "действие" обозначают, в общем случае, конкретную команду или ответ С2. Дополнительные JSON-объекты, обозначаемые "...", представляют собой потенциальные параметры, связанные с конкретными перечисленными "модулем" и "действием". Команды С2 Дроворуба далее рассматриваются в разделе Задания команд. Этот формат полезной нагрузки применим ко всем сетевым коммуникациям между компонентами Drovorub.

{"children":
[
{"name":"module","value":"<BASE64 VALUE>"},
{"name":"action","value":"<BASE64 VALUE>"},...
]
}

Особенно важно, что протокол WebSocket реализует функцию, называемую "маскировкой "3 , которая влияет на то, как трафик появляется в сети. Согласно RFC 6455, каждое клиентское сообщение WebSocket, отправленное на сервер WebSocket, имеет "маскировку" XOR со случайным 4-байтовым значением, которое является уникальным для каждого сообщения. Значение XOR передается в заголовке фрейма сообщения, поэтому данные о полезной нагрузке могут быть удалены сервером WebSocket. Трафик между сервером и клиентом WebSocket не является XOR "замаскированным". В случае Дроворуба, серверы Дроворуба выступают в качестве серверов WebSocket, в то время как клиенты Дроворуба и агенты Дроворуба выступают в качестве клиентов WebSocket. Поэтому весь трафик, отправляемый с сервера Дроворуб клиенту или Дроворуб-агенту, будет читаться как простые текстовые JSON сообщения, в то время как трафик на сервер Дроворуб будет выглядеть как случайные данные из-за маскировки XOR. Следующая диаграмма [в ориг. тексте], взятая из RFC 6455, показывает структуру фрейма сообщений WebSocket. (Fette & Melnikov, 2011).

Аутентификация

Ниже приводится описание процесса, используемого как Дроворуб-клиентом, так и Дроворуб-агентом для подключения и аутентификации к Дроворуб-серверу. В этом описании термин "клиент" будет использоваться для обозначения либо Дроворуб-клиента, либо Дроворуб-агента, если не указано иначе, так как оба следуют одному и тому же процессу.

Клиент инициирует взаимодействие с сервером Дроворуб, сначала устанавливая соединение WebSocket через запрос на обновление HTTP, как показано на рисунке 10, ниже. Для клиента Drovorub, IP адрес и информация о портах Drovorub-сервера встроена в исполняемый файл, в то время как для Drovorub-агента она содержит файл конфигурации Drovorub-agent.

GET /ws HTTP/1.0
Connection: Upgrade
Host: 192.168.1.2:12345Sec-Web
Socket-Key: Ui/SCrtEKS/BaslV9vSMUw==
Sec-WebSocket-Version: 13
Upgrade: websocket

Дроворуб-сервер отвечает ответом протокола HTTP 101 Switching Protocols, как показано на рисунке 11 ниже.

HTTP/1.0 101 Switching Protocols
Connection: UpgradeContent-Length: 0
Date: Thu, 05 Nov 2020 13:07:00 GMT
Sec-WebSocket-Accept: SeoYykqncmS/fWcGFIHcv3AR26k=
Upgrade: websocket

Подробности о том, как клиенты и серверы WebSocket проверяют соединение в процессе квитирования WebSocket, можно найти в RFC 6455 и не обсуждается здесь. (Fette & Melnikov, 2011)

Как только клиент устанавливает WebSocketconnection, он пытается аутентифицироваться на Drovorub-сервере. Для аутентификации Drovorub существует два процесса: "авторизация" и "вход в систему". Процесс "авторизации" используется для первой регистрации клиента на Drovorub-сервере. Процесс "входа" используется для последующих попыток аутентификации после того, как клиент уже зарегистрировался на Дроворуб-сервере. На диаграмме ниже показаны команды C2, используемые в процессе аутентификации, как "signin", так и "login".

Оба процесса начинаются с запроса на аутентификацию от клиента к Drovorub-серверу, как показано в примере ниже (до "маскировки" WebSocket). Модулем", используемым для аутентификации Дроворуба, является "Y2xvdWQuYXV0aA==", который декодируется в "cloud.auth". В запросе содержится объект "action" с членом "value", который base64 декодирует в "auth.hello". Действие "auth.hello" принимает один параметр - объект "token". Токен представляет собой случайно сгенерированное 16-байтовое значение, которое шифруется открытым ключом RSA клиента, а затем кодируется base64. (ЗАМЕЧАНИЕ: значение "token" содержит возвраты каретки и символы новой строки "\r\n". Дроворуб-сервер удалит эти символы до декодирования "токена" в base64).

{"children":[
{"name":"module","value":"Y2xvdWQuYXV0aA=="},
{"name":"action","value":"YXV0aC5oZWxsbw=="},{"name":"token","value":"AIzX7mWtXtkJOBPeiVtC/0Nyofzgs+GZjZbwi0dd8Ak6/RtktfYjUltekzJXNt+CrGvG+ClA\r\n7Hmq772qrvUUjI/8g9MlDRN8vy+ZBcclCSv6KtBZ1+nxV285tquowBIEsEiYGX+ULzdhaG3I\r\nvHO/R8Me5xQqkRoS51LadZUY8SzEZ/0Eyg5Dtcu9ESzA3mldahqt0gVNExpcr7RfcrlDcfC2\r\nkdEzvckIlSDaHbcVT3y9GAp6IUgpmZuSFBkgXHfslUFmNvoAl/Tl5qFzi40woEU2f9kC6JWJ\r\n3zCBj+dvCL/oyaoXu7qBOf5hm32/ZjYP+N9AXJI0Jj8zLVb/rjiKoA=="}
]}

Когда Drovorub-сервер получает запрос на аутентификацию, он расшифровывает значение "токена" с помощью соответствующего закрытого ключа RSA. Для доказательства успешной расшифровки токена Дроворуб-сервер генерирует "serverid" (идентификатор сервера). Этот сервер ID генерируется сначала случайным 16-байтовым значением, добавляя расшифрованный клиентский токен, а затем генерирует SHA1 дайджест байтовых значений. Случайное 16-байтовое значение, генерируемое сервером Дроворуба, используется в качестве "токена" в его ответе клиенту. Дроворуб-сервер строит сообщение "auth.hello" с "сервером" и его незашифрованным токеном и отправляет его клиенту. (ПРИМЕЧАНИЕ: Токен Дроворуб-сервера не зашифрован, так как он будет использоваться клиентом для генерации того же "сервера", по сути доказывая, что Дроворуб-сервер расшифровал значение клиентского токена). Ниже приведен пример ответа Дроворуб-сервера на запрос на аутентификацию клиента.

{"children":[{"name":"module","value":"Y2xvdWQuYXV0aA=="},{"name":"action","value":"YXV0aC5sb2dpbg=="},{"name":"mode","value":"bG9naW4="},{"name":"clientid","value":"4h0fm4AffQntf0O7hhdhIlZUmbZvsk31jU08OwgomXsVf+HIKaPWpWwcYJ9cS493"},{"name":"token","value":"axCTGMUnr2v9FhRQmf2wYQ=="}]}

[Далее большой фрагмент с примерами и подробностями пропущен, см. оригинальный текст, полный перевод возможен в будущем, тогда этот пост будет расширен.]

[...]

Уклонение

Модуль Drovorub-kernel реализует базовый функционал для сокрытия различных артефактов из пользовательского пространства, включая указанные файлы и каталоги, процессы и свидетельства этих процессов в файловой системе "/proc", сетевые порты и сеансы, а также указанные загруженные модули ядра, чтобы включить себя. Что сщественно для реализации своих скрывающих возможностей, функции настоящего ядра оказываются взломаны либо путем непосредственного исправления ("патча") функций, либо путем перезаписи указателей, которые указывают на функции. Используя эту технику, модуль ядра Дроворуб вводит: сокрытие процесса, сокрытие файлов, сокрытие сокета, сокрытие сетевого фильтра и сокрытие от приема raw сокета.

Скрытие процесса

Модуль Drovorub-kernel может скрывать процессы от системных вызовов и от файловой системы proc (/proc). В зависимости от версии ядра Linux, модуль ядра Дроворуба может перехватывать либо функцию find_pid_ns(), find_pid(), либо функцию find_task_by_pid_type() для сокрытия процессов от системных вызовов. Скрытие процессов от файловой системы proc достигается перехватом нескольких функций ядра, которые могут включать d_lookup(), iterate_dir() или vfs_readdir() в зависимости от версии ядра Linux. Модуль Drovorub-kernel также перехватывает функцию поиска, хранящуюся в файле f_path.dentry->d_inode->i_op-> lookup файла "/proc". Наконец, модуль Drovorub-kernel перехватывает функцию ядра do_fork(), чтобы скрыть порожденные дочерние процессы от скрытого процесса.

Скрытие файлов

Для сокрытия файлов модуль Drovorub-kernel перехватывает либо функции ядра iterate_dir(), либо vfs_readdir(), в зависимости от версии ядра. Скрытые файлы отфильтровываются из списка каталогов, но скрытые файлы все равно доступны по имени файла, если имя известно.

Скрытие сокетов

Для сокрытия сетевых сокетов модуль ядра Drovorub перехватывает соответствующую функцию ядра и отфильтровывает скрытые сокеты. Он определяет, какую функцию следует подключить, открыв соответствующий интерфейс в каталоге /proc/net в файловой системе proc. Для TCP-соединений модуль ядра Drovorub обращается к /proc/net/tcp и /proc/net/tcp6. Для UDP-соединений модуль обращается к /proc/net/udp и /proc/net/udp6. После подключения соответствующей функции модуль Drovorub-kernel сравнивает записи о соединениях с сконфигурированным скрытым списком и отфильтровывает скрытые соединения. Модуль Дроворуб-ядро отфильтровывает TCP соединения, основанные на портах источника или назначения, UDP соединения, основанные только на портах источника, или любые соединения, принадлежащие скрытому процессу.

Скрытие сетевого фильтра

В Linux Netfilter - это компонент, позволяющий фильтровать пакеты в ядре. Он обычно используется брандмауэрами для выполнения фильтрации пакетов. Модуль Drovorub-kernel регистрирует Netfilter hook (термин hook здесь не подразумевает патч, а скорее является обычным термином для регистрации функции обратного вызова Netfilter) по номерам LOCAL_IN и LOCAL_OUT.Модуль Drovorub-kernel также скрытно перехватывает функцию nf_register_hook() кернела, которая используется для регистрации Netfilter hook. При вызове nf_register_hook() модуль ядра Дроворуб сначала вызывает оригинальную функцию nf_register_hook(), позволяющую добавить новый хук Netfilter. Затем с помощью функции ядра nf_unregister_hook() отменяет регистрацию любого перехвата, который ранее был зарегистрирован под тем же номером перехвата. Наконец, модуль ядра Дроворуб перерегистрирует свой перехват Netfilter, используя функцию nf_register_hook(). Целью удаления и перерегистрации перехвата Netfilter модуля ядра Дроворуба является обеспечение того, чтобы его Netfilter перехват был вызван перед любым другим, не зарегистрированным модулем Дроворуба, перехватом на том же номере перехвата. При вызове перехвата Netfilter модуля ядра Дроворуба модуль определяет, является ли пакет частью скрытого TCP соединения, или частью TCP соединения к или от скрытого процесса. Если это так, то его Netfilter hook возвращает NF_STOP, не позволяя никаким другим зарегистрированным Netfilter hooks вызывать этотpacket. Для облегчения идентификации пакетов к или от скрытых процессов, модуль ядра Drovorub тайно перехватывает функции сокета ядра для установления или приема соединений, а также для удаления соединений. Он находит эти функции, создавая сокет ядра с помощью функции ядра sock_create() и просматривая структуру возвращаемого сокета (предположим, что здесь он называется "s") в s->ops->accept, s->ops->connect и s->ops->release. Всякий раз, когда делается вызов на прием (входящие соединения) или вызов на подключение (исходящие соединения), модуль Drovorub-kernel проверяет, не скрыт ли вызывающий процесс. Если да, то сокет сохраняется в глобальном списке, который проверяется хуками модуля Drovorub-kernel Netfilter для каждого пакета.(ПРИМЕЧАНИЕ:UDP не поддерживается Netfilter-крюком модуля ядра, только TCP).

Прячась от raw сокета, модуль ядра Дроворуба перехватывает функцию ядра skb_recv_datagram(). Любой пакет, являющийся частью скрытой сетевой сессии, отфильтровывается из получаемого raw сокета. Сетевой сеанс должен быть явно скрыт, чтобы его пакеты отфильтровывались. Пакеты из сетевых сессий со скрытыми процессами не фильтруются автоматически.

Обнаружение

Методологии обнаружения

Ряд дополнительных методов детектирования эффективно идентифицирует активность вредоносного ПО Дроворуб. Однако, модуль ядра Дроворуба представляет собой сложную задачу для крупномасштабного обнаружения, поскольку он скрывает артефакты Дроворуба от инструментов, обычно используемых для реагирования в реальном масштабе времени. Ниже обсуждаются преимущества и недостатки различных методик обнаружения, доступных для вредоносного ПО Дроворуб.

ПРИМЕЧАНИЕ: Некоторые из методов, определенных в этом разделе, могут повлиять на доступность или стабильность системы. Защитники должны следовать организационной политике и лучшим практикам реагирования на инциденты, чтобы минимизировать риск для операций во время охоты на вредоносное ПО Дроворуб.

Обнаружение на основе сети

Системы обнаружения вторжений в сеть (NIDS) могут реально идентифицировать командные и контрольные сообщения между Дроворуб-клиентом или Дроворуб-агентом и Дроворуб-сервером. В частности, некоторые NIDS (например, Suricata®, Zeek®, Snort и т.д.), которые могут динамически дезактивировать "замаскированные" сообщения протокола WebSocket с помощью скриптовых возможностей. Использование TLSproxy на границе сети позволило бы обнаруживать командные и контрольные сообщения даже по зашифрованному TLS каналу.

В частности, некоторые NIDS (например, Snort, Suricata, Zeek и т.д.) могут динамически деобфускатировать "замаскированные" сообщения протокола WebSocket с помощью скриптовых возможностей.

Преимущества: Высокая степень уверенности, крупномасштабное (по всей сети) обнаружение сетевых команд и управления.

Недостатки: Возможность уклонения по TLS или изменения формата сообщений.

Обнаружение на основе хоста
Зондирование

Ниже приведен скрипт для взаимодействия с модулем Drovorub-kernel вредоносной программы. Этот скрипт пытается проверить, скрывает ли модуль Drovorub-kernel определенный файл, основываясь на известном предустановленном префиксе файла.

Преимущества: Быстрое, масштабируемое развертывание детекторов на конечных точках для обнаружения известных образцов, с относительно небольшим риском влияния на стабильность системы.

Недостатки: Возможность уклонения, если файловый префикс отличается от известного значения.

Продукты безопасности (например, антивирус, обнаружение и реагирование конечных точек и т.д.) и ведение журналов.

Продукты безопасности могут обеспечить видимость различных артефактов вредоносного ПО Drovorub, включая детектирование функциональности руткита. Оценка детектирования конкретных продуктов выходит за рамки данной публикации, однако, защитники должны учитывать, могут ли какие-либо продукты безопасности в их среде быть эффективными в обнаружении вредоносного ПО Drovorub.

Правильно настроенная система аудита ядра Linux может дополнительно выявить артефакты первоначального компрометации и установки вредоносного ПО Drovorub.

Живой отклик

Специалисты по реагированию на инциденты обычно используют техники реагирования в реальном времени, такие как поиск определенных имён файлов, путей, хэшей и правил Yara на работающих системах, использующих исполняемые файлы и библиотеки собственной системы (которые используют системные вызовы, предоставляемые ядром), для обнаружения вредоносной активности в масштабах предприятия. Модуль ядра Дроворуб скрывает себя и связанные с ним файлы, процессы и сетевые соединения путем перехвата (изменения логики и вывода) определенных функций ядра, что значительно снижает или полностью исключает эффективность данной методики обнаружения. Таким образом, данный метод обнаружения подвержен повышенному риску ложноотрицательных срабатываний (неспособность обнаружить скомпрометированную конечную точку).

Анализ памяти

Захват и анализ оперативной памяти конечной точки является наиболее эффективным подходом в обнаружении модуля Drovorub-kernel, так как он предлагает наибольшее понимание поведения, которое руткит берет, чтобы скрыть себя и другие артефакты в системе. Для получения и анализа памяти можно использовать такие общедоступные инструменты, как Linux Memory Grabber (LMG), LiME и Volatility, или Rekall. Подробное руководство по выявлению поведения модулей ядра Дроворуба представлено в разделе Анализ памяти с волатильностью ниже.

Преимущества: Обеспечивает полную видимость специфического поведения руткитов и артефактов, таких как файлы, другие процессы и сетевые соединения, скрытые вредоносной программой.

Недостатки: Более высокое потенциальное влияние на стабильность системы (во время приобретения), а не настолько масштабируемое для большого количества конечных точек.

Анализ носителей (изображений диска)

Несколько файловых артефактов Drovorub присутствуют и постоянно присутствуют на скомпрометированных конечных дисковых носителях, хотя и скрыты от обычных системных двоичных файлов и системных вызовов руткитом. Приобретение необработанных образов носителей является жизнеспособным методом обнаружения для известных образцов Дроворуба с использованием IOCs (например, имена файлов и пути к ним) или правил Yara.

Преимущества: Обеспечивает видимость файлов Дроворуба на диске, включая данные конфигурации.

Недостатки: Потеря артефактов памяти-резидента, более сильное потенциальное влияние на стабильность системы (во время сбора данных), и не настолько масштабируемая для большого количества конечных точек.

Анализ памяти с Volatility

Используя программное обеспечение Volatility для анализа памяти, можно обнаружить присутствие вредоносной программы Дроворуб на зараженных хостах. Volatility требует соответствующего профиля Linux для операционной системы, в которой память была захвачена, для корректной работы. Многие профили Linux доступны для скачивания с GitHub®website Volatility.

[С этого места подробнее о работе Volatility см. в оригинальном тексте]

Другой инструмент, который может быть использован для изучения памяти - Bulk Extractor. Одной из его функций является извлечение сетевого трафика из изображения. Это полезно, так как он может обеспечить некоторый сетевой трафик, генерируемый вредоносной программой в формате pcap. После того, как Bulk Extractor закончит анализ образа памяти, найдите файл в формате pcap в выходном каталоге и откройте его с помощью Wireshark. Используя фильтры отображения на некоторых терминах в связях C2, описанных в начале этой рекомендации, результаты могут идентифицировать хост как скомпрометированный.

[Подробнее с примерами, открытыми в Wireshark и разобранными, см. в оригинальном тексте]

Метод обнаружения модулей ядра Дроворуба

Если следующие команды выполняются в командной строке и "тестовый файл" исчезает, система заражается Дроворубом. Если "тестовый файл" не исчезнет, система все равно может быть заражена Дроворубом. Может быть изменена подпись "ASDFZXCV" или псевдо-устройство, используемое для связи на хосте между Дроворубом-клиентом и модулем ядра Дроворуба, может быть чем-то отличным от /dev/zero.

Правила Snort

Следующие правилаSnort могут быть использованы для обнаружения сетевых взаимодействий между Дроворуб-сервером и Дроворуб-клиентом (или Дроворуб-агентом). Правило #1 также может обнаруживать незамаскированные соединения Drovorub-клиента (или Drovorub-агента) с сервером Drovorub-клиента (или Drovorub-агента).

alert tcp any any -> any any (msg: "Drovorub WebSocket JSON Comms"; content:"{|22|children|22|:[{|22|name|22|:"; pcre: "/\x81.{1,4}\{\x22children\x22:\[\{\x22name\x22:\x22[a-z0-9_]{1,32}\x22,\x22value\x22:\x22[a-zA-Z0-9+\/]{1,256}={0,2}\x22\}/"; sid: 1; rev: 1;)

alert tcp any any -> any any (msg:"Drovorub WebSocket Ping";flow:established,from_server; dsize:18; content:"|89 10 7b 22 70 69 6e 67 22 3a 22 70 69 6e 67 22 7d 0a|";depth:18; sid: 2; rev: 1;)

Правила Яры

Это правило Яры может быть использовано для обнаружения компонентов Дроворуба. Так как модуль ядра Дроворуба активно скрывает себя и Дроворуб-клиента, эти правила наиболее эффективны, если запускать их в ходе криминалистического образа.

[Правила Yara подробнее см. в оригинале стр. 41-43]

[Обнаружение при помощи Yara и Snort с примерами см. в оригнальном тексте]

Меры предотвращения

ПРИМЕЧАНИЕ: эти меры не предназначены для защиты от первоначального вектора доступа. Ограничения по смыванию предназначены только для предотвращения сперфитизма Дроворуба и его укрытия.

Постоянно обновлять Linux

Системные администраторы должны постоянно проверять и запускать последнюю версию программного обеспечения, поставляемого поставщиком для компьютерных систем, с тем чтобы воспользоваться преимуществами усовершенствованного программного обеспечения и самыми последними мерами по обнаружению и смягчению последствий нарушения безопасности (Агентство национальной безопасности, 2018). Системным администраторам следует обновить ядро Linux Kernel 3.7 или более позднюю версию, чтобы в полной мере воспользоваться преимуществами внедрения подписей на ядре.

Предотвращение недоверенных модулей ядра

Владельцам системы рекомендуется настроить систему так, чтобы в нее загружались только модули с действительной цифровой подписью, что затруднит внедрение в систему вредоносного модуля ядра. Противник может использовать вредоносный модуль ядра для контроля над системой, скрытия или продолжения перезагрузок (Агентство национальной безопасности, 2017).

Оригинал https://media.defense.gov/2020/Aug/13/2 ... G_2020.PDF
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Admin
Site Admin
Сообщения: 723
Зарегистрирован: Вт сен 26, 2017 3:32 pm
Контактная информация:

Re: Киберпреступления ФСБ и Роскомнадзора

Сообщение Admin » Сб авг 29, 2020 3:01 am

РУТКИТЫ

ФСБ ЛОМАЕТ ЯДРО LINUX!
Что, гои, отняли семерку, а с десяткой противно, да?

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Руткит (англ. rootkit, то есть «набор root-а») — набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), обеспечивающих:

маскировку объектов (процессов, файлов, каталогов, драйверов);
управление (событиями, происходящими в системе);
сбор данных (параметров системы).

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые злоумышленник устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае не ядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём скрытия файлов, процессов, а также самого присутствия руткита в системе.
- википедия

_______________________________________

Далее следует неполный перевод доклада ФБР о руткитах ФСБ под Unix системы. Некоторые фрагменты опущены по причине и без того совершенной невозможности читать для пользователя, но могут быть переведены в подробностях *и обсуждены* в этой теме если кому-то это нужно. Я настоятельно советую дочитать хотя бы резюме и введение. ФБР разумеется мелет чушь про то, что это якобы "для вмешательства в выборы", это полная чушь. Linux не принадлежит ни Штатам, ни их кандидатам. И знаменитые участники зверских педофильных оргий pizzafate не отдавали никакого особого предпочтения Unix системам. Это то же самое, как говорить, что бесконечные заказы на госзакупках на оказание услуг по деанонимизации пользователей тор направлены на "слежку за американцами". Если это ПО попадает в руки не обычных приколистов, а евреев ФСБ, от него страдаем мы, а не какие-то другие евреи.

От себя хочу добавить.

НИКОГДА не пренебрегайте обновлениями Unix-подобной системы. Выучите команды для конкретно вашей Unix обновления и полного апгрейда системы и набирайте их каждый день перед тем, как начать работу. Для тех, кому сложно писать, напишите их один раз и сохраните в .sh скрипт, запускайте его и выполняйте в терминале каждый раз перед тем, как начать любую работу на компьютере.


Агентство национальной безопасности
Федеральное бюро расследований

Российская ГРУ 85 ГЦСДеплои Ранее Неизвестные вредоносные программы Дроворуб

"
Резюме

Российский генеральный штаб Главного разведывательного управления (ГРУ) 85-го Главного спецсервисного центра (ГЦСС) войсковой части 26165 в рамках шпионских операций в среде Linux®systems, называемого "Дроворуб", занимается развёртыванием ранее не раскрытых вредоносных программ для Linux®-систем. Вредоносная кибернетическая деятельность в рамках GTsSS ранее приписывалась частному сектору с использованием имен Fancy Bear, APT28, Strontium и ряда других идентификаторов. (Министерство юстиции, 2018) (Washington Post, 2018) (CrowdStrike, 2016) В данной публикации приведена справочная информация о Drovorub, атрибуция его использования в GTsSS, подробная техническая информация о вредоносном ПО Drovorub, руководство по обнаружению Drovorub на зараженных системах, а также рекомендации по его снижению. ...

Drovorub - это инструментарий вредоносного программного обеспечения для Linux, состоящий из имплантата в сочетании с руткитом модуля ядра, инструмента для передачи и перенаправления файлов и сервера командования и управления (C2). При развертывании на машине-жертве имплант (клиент) Дроворуб обеспечивает возможность прямого взаимодействия с инфраструктурой С2, контролируемой агентами; возможность загрузки и выгрузки файлов; выполнение произвольных команд от имени пользователя "root"; и переадресацию сетевого трафика на другие хосты в сети.

Ряд технологий комплементарного обнаружения эффективно выявляют активность вредоносного ПО "Дроворуб". Однако модуль "Дроворуб-ядро" представляет проблему для крупномасштабного обнаружения на хосте, поскольку скрывает артефакты Дроворуба от средств, обычно используемых для реагирования в реальном времени. В то время как проверка пакетов на границах сети может быть использована для обнаружения Drovorub в сетях, методы на базе хоста включают зондирование, продукты безопасности, реагирование в реальном времени, анализ памяти и анализ носителей (образов дисков). Специальное руководство по запуску Volatility®, зондированию поведения при скрытии файлов, Snort®rules и Yara®rules включено в описание данного руководства.

Чтобы предотвратить заражение системы с невозможностью последующего обнаружения Дроворуба, системные администраторы должны обновить ядро Linux 3.7 или более позднюю версию, чтобы в полной мере воспользоваться преимуществами принудительного применения подписей ядра. Кроме того, владельцам систем рекомендуется настроить системы так, чтобы в них загружались только модули с действительной цифровой подписью, что затруднит внедрение в систему вредоносного модуля ядра.

Введение

Что такое Дроворуб? Дроворуб - это инструментарий вредоносного ПО для Linux, состоящий из имплантата в сочетании с руткитом модуля ядра, инструмента для передачи файлов и переадресации портов, а также сервера для команд и управления (C2). При развертывании на машине-жертве имплант (клиент) Дроворуб предоставляет возможность прямого взаимодействия с управляемой агентом инфраструктурой C2 (T1071.0011); возможность загрузки и выгрузки файлов (T1041); выполнение произвольных команд от имени пользователя "root" (T1059.004); а также переадресацию сетевого трафика на другие хосты в сети (T1090). Модуль ядра rootkit использует различные средства для сокрытия себя и имплантата на зараженных устройствах (T1014), и продолжает работу через перезагрузку зараженной машины, если только в режиме "Full" или "Thorough" не включена безопасная загрузка по UEFI. Несмотря на это укрытие, эффективные методы обнаружения и стратегии смягчения последствий описываются ниже.

Пакет вредоносных программ Drovorub состоит из четырех отдельных исполняемых компонентов: Дроворуб-агент, Дроворуб-клиент, Дроворуб-сервер и модуль Дроворуб-ядро. Связь между компонентами осуществляется через JSON через WebSockets. (Fette & Melnikov, 2011)

Дроворуб-агент, Дроворуб-клиент и Дроворуб-сервер требуют конфигурационные файлы и открытый ключ RSA (для Дроворуб-агента и U/OO/160679-20| PP-20-0714| август 2020 Rev 1.02Rev 1.02Rev 85th GTsSS представляет изначально открытый Drovorub Malware Дроворуб-клиент) или закрытый ключ (для Дроворуб-сервера) для связи. Краткий обзор каждого компонента представлен ниже.

Дроворуб-сервер

Дроворуб-сервер, установленный на инфраструктуре, управляемой актерами, обеспечивает С2 для Дроворуб-клиента и Дроворуб-агента. Дроворуб-сервер использует базу данных MySQL для управления соединением Дроворуб-клиента(ов) и Дроворуб-агента(ов). В базе данных хранятся данные, используемые для регистрации, аутентификации и постановки задач Drovorub-агента и Drovorub-клиента.

Дроворуб-клиент .

Компонент "Дроворуб-клиент" устанавливается на целевые конечные точки агентом. Этот компонент получает команды со своего удаленного Drovorub-сервера и предлагает передачу файлов к/от жертвы, переадресацию портов и возможности удаленного управления shell. Кроме того, Drovorub-клиент упакован с модулем ядра Drovorub, который обеспечивает скрытую функциональность на основе руткитов для скрытия клиента и модуля ядра.

Модуль ядра Drovorub

Модуль Drovorub-kernel реализует базовый функционал для сокрытия себя и различных артефактов из пользовательского пространства, включая заданные файлы и каталоги, сетевые порты и сеансы, процесс Дроворуб-клиент и дочерние процессы Дроворуб-клиента.

Дроворуб-агент

Дроворуб-агент, скорее всего, будет установлен на хостах с доступом в Интернет или на управляемой актерами инфраструктуре. Исполняемый модуль Drovorub-agent получает команды от сконфигурированного сервера Drovorub. Этот компонент включает в себя большую часть той же функциональности, что и Drovorub-клиент, за исключением возможности удаленного доступа к shell. Кроме того, Drovorub-agent идет без дополнительного руткита модуля ядра Drovorub. Очевидными целями Дроворуб-агента являются: загрузка файлов на конечные станции Дроворуб-клиента, а также переадресация сетевого трафика через портовые ретрансляторы.

Атрибуция

Дроворуб - проприетарная вредоносная программа, разработанная для использования Главным разведывательным управлением (ГРУ) 85-го Главного спеццентра (ГЦСС) войсковой части 26165. Вредоносная кибернетическая активность GTsSS ранее приписывалась частному сектору с использованием имен Fancy Bear, APT28, Strontium и ряда других идентификаторов. (Министерство юстиции, 2018)(Washington Post, 2018)(CrowdStrike, 2016) В дополнение к атрибуции АНБ и ФБР в GTsSS, оперативная инфраструктура командования и управления Дроворуба была связана с общеизвестной операционной киберинфраструктурой GTsSS. Например, 5 августа 2019 года Центр реагирования на угрозы безопасности компании "Майкрософт" опубликовал информацию, связывающую IP-адрес 82.118.242.171 с инфраструктурой "Стронтьюмин" в связи с эксплуатацией устройств "Интернет вещей" (IoT) в апреле 2019 года. (Microsoft Security Response Center, 2019) (Microsoft, 2019) АНБ и ФБР подтвердили, что этот же IP-адрес использовался также для доступа к IP-адресу Drovorub C2 185.86.149.125 в апреле 2019 г. Почему вредоносная программа называется "Drovorub" и что она означает? Название "Дроворуб" происходит от множества артефактов, обнаруженных в файлах Дроворуба, а также от операций, выполняемых GTsSS с помощью этой вредоносной программы; это имя используется самими акторами GTsSS. С русского переводится как "дровосек" или "рубить дрова".

Дроворуб Технические характеристики

Следующие разделы содержат технические детали Дроворуба, в том числе функциональность компонентов и инструментальное взаимодействие. Все IP-адреса, порты, крипто-ключи, переданные файлы, пути к файлам и туннелированные данные, использованные в примерах, были сгенерированы в лабораторной среде и не должны предполагаться как фактически используемые агентом. Даты и время, указанные в примерах, были либо отредактированы, либо изменены. Кроме того, в примеры JSON были добавлены новые строки и вкладки для удобства чтения.

Drovorub Конфигурация компонентов

Дроворуб-сервер Конфигурация

Конфигурационный файл Drovorub-сервера представляет собой текстовый файл в формате JSON. Он должен присутствовать при запуске исполняемого файла Drovorub-server и его путь указан в качестве аргумента командной строки. Он содержит IP-адрес, порт, имя БД, имя пользователя и пароль для своей бэкэндной БД MySQL. Он также содержит путь к своему приватному RSA ключу, IP-адрес прослушивающего хоста или домена и порта, а также интервал, через который WebSocket будет посылать "ping" сообщения подключенным Дроворуб-клиентам и Дроворуб-агентам. Пример конфигурационного файла Drovorub-сервера показан ниже. Использование поля "Фраза" в конфигурационном файле неизвестно.

{"db_host" : "<DB_IP_ADDR>",
"db_port": "<DB_PORT>",
"db_db": "<DB_NAME>",
"db_user" : "<DB_USER>",
"db_password" : "<DB_PASS>",
"lport": "<LHOST>",
"lhost": "<LPORT>",
"ping_sec": "<SEC>",
"priv_key_file" : "<PRIVATE_KEY_FILE>",
"phrase": "<PHRASE>"}

Дроворуб-клиент Конфигурация

Первоначальная конфигурация для Drovorub-клиента встроена в его исполняемый файл. Он включает в себя URL2 обратного вызова Drovorub-сервера, имя пользователя и пароль, а также открытый ключ RSA. Как пара имя пользователя/пароль, так и открытый ключ RSA используются для аутентификации сервером Drovorub. После успешной регистрации на сервере Дроворуб клиент записывает на диск отдельный конфигурационный файл, который будет скрыт модулем Drovorub-kernel. Этот послеинсталляционный конфигурационный файл представляет собой текстовый файл в формате JSON. Первоначальное содержимое файла включает в себя значения "id" и "key", используемые для идентификации экземпляра Drovorub-клиента и будущих попыток аутентификации с Drovorub-сервером. Смотрите раздел Network Communications section для получения подробной информации о процессе аутентификации Дроворуба. Дополнительное содержимое конфигурационного файла добавляется для сохранения текущего скрытия произвольных модулей ядра, сетевых портов, файлов, каталогов и процессов, выполняемых модулем ядра Дроворуба, а также любых узлов сетевых портов, настроенных внутри целевого. Ниже приведен пример содержимого исходного конфигурационного файла Drovorub-клиента:

{"id" : "cbcf6abc-466b-11e9-853b-000c29cb9f6f",
"key": "Y2xpZW50a2V5"}

Значение для "id" - это 128-битная временная UUID-строка, которую сервер Дроворуб генерирует для Дроворуб-клиента при первом подключении. Этот UUID генерируется статически связанными библиотеками POCO C++ с открытым исходным кодом. Последние 48 бит (6 байт) UUID - это MAC-адрес одного из Ethernet-адаптеров Drovorub-сервера. Поэтому ожидается, что последние 6 байт значения "id" будут одинаковыми для Дроворуб-клиентов и Дроворуб-агентов, подключающихся к одному и тому же Дроворуб-серверу. Значение "key" по умолчанию является кодировкой base64 для ASCII-строки "clientkey". ASCII-строка "ключ клиента" жестко закодирована в двоичном файле Дроворуб-сервера. Значение "ключ" возвращается клиенту с Drovorub-сервера во время начального квитирования (См. процесс аутентификации "signin", описанный в разделе Network Communications section).

Ниже приведен пример конфигурационного файла Drovorub-клиента с некоторой информацией о сокрытии файлов, модулей и сетевых портов. Если файл, модуль или сетевой порт скрыт модулем Drovorub-kernel, то поле "активен" будет установлено в "true". Иначе оно будет "ложным". Для файлов и модулей полем "маска" является имя скрываемого файла или модуля. Каждому файлу, модулю или сетевому порту также присваивается UUID (поле "id"), с помощью которого отслеживается запись.

{"id" : "6fa41616-aff1-11ea-acd5-000c29283bbc",
"key": "Y2xpZW50a2V5",
"monitor" : {"file" : [{"active" : "true",
"id" : "d9dc492b-5a32-8e5f-0724-845aa13fff98",
"mask" : "testfile1"}],
"module" : [{"active" : "true",
"id" : "48a5e9d0-74c7-cc17-2966-0ea17a1d997a",
"mask" : "testmodule1"}],
"net" : [{"active" : "true",
"id" : "4f355d5d-9753-76c7-161e-7ef051654a2b",
"port" : "12345",
"protocol" : "tcp"}]}}

Дроворуб-агент Конфигурация

Конфигурационный файл Drovorub-agent представляет собой текстовый файл в формате JSON. Он должен присутствовать при запуске исполняемого файла Drovorub-agent и его путь указан в качестве аргумента командной строки. Изначально он содержит URL обратного вызова, имя пользователя и пароль, а также открытый ключ RSA. Ниже приведен пример начального конфигурационного файла Drovorub-agent:

{"client_login" : "user123",
"client_pass" : "pass4567",
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" : "/ws"}

После того, как Дроворуб-агенты впервые успешно зарегистрировались на своем Дроворуб-сервере, в конфигурационный файл добавляются два дополнительных поля: "clientid" и "clientkey_base64". Так же, как и значение "id" Дроворуб-клиента, "clientid" Дроворуб-агента - это 128-битная UUID-строка, сгенерированная Дроворуб-сервером и отправленная Дроворуб-агенту во время первоначальной аутентификации. Он используется для идентификации уникального экземпляра Drovorub-agent. Дроворуб-агент "clientkey_base64" также по умолчанию является кодировкой base64 для ASCII-строки "clientkey". Ниже приведен пример конфигурационного файла Drovorub-agent после успешного соединения с его сервером:

{"client_login" : "user123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
"clientkey_base64" : "Y2xpZW50a2V5",
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" : "45122",
"server_uri" : "/ws"}

Операция по имплантации Дровораба

Установка клиента и модуля ядра Дроворуба

При установке и выполнении модуля Drovorub-клиент и модуля Drovorub-ядра выполняются следующие действия по настройке:

модуль Drovorub-kernel устанавливает все схемы системных вызовов, необходимые для его работы с руткитом (подробнее см. в разделе Evasionsection)

Drovorub-клиент регистрируется в модуле Drovorub-kernel (о том, как Drovorub-клиент и модуль Drovorub-kernel взаимодействуют друг с другом, см. в разделе Communicationssection (Связь на базе хоста)).

модуль Drovorub-kernel скрывает запущенные процессы Дроворуб-клиента и исполняемый файл Дроворуб-клиента на диске (подробнее см. в разделе Evasionsection).

Если Drovorub-клиент не сможет связаться с модулем Drovorub-ядро, он остановит выполнение. После того, как Drovorub-клиент и модуль Drovorub-ядро завершат свои действия по настройке, Drovorub-клиент попытается аутентифицироваться на сконфигурированном им Drovorub-сервере. После успешной регистрации на Drovorub-сервере, Drovorub-клиент немедленно запрашивает списки любых дополнительных файлов, модулей или сетевых портов, чтобы скрыть их, а затем ждет команды от Drovorub-сервера.

Сохранение модулей ядра Linux

Кибер-программа GTsSS использует широкий спектр запатентованных и общеизвестных методов для получения доступа к целевым сетям и сохранения своих вредоносных программ на зараженных устройствах.

Независимо от конкретного кибер-актора или инструментария, модули ядра могут сохраняться, используя возможности, встроенные в Linux для загрузки модулей ядра при загрузке.В дистрибутивах на базе Red Hat® это может включать, но не ограничиваться, размещение исполняемого скрипта .modules в /etc/sysconfig/modules/, добавлением модуля ядра в /etc/modules.conf или размещением файла .conf в /etc/modules-load.d/. В дистрибутивах, основанных на Debian, это может включать, но не ограничиваться добавлением модуля ядра в /etc/modules/, или помещением .conf файла в /etc/modules-load.d/. Модули ядра обычно размещаются в /lib/modules/<KERNEL_RELEASE>/kernel/drivers/, где <KERNEL_RELEASE> - это релиз ядра Linux на целевой машине. (Настройка системы > Грунтовка ядра, 2016)

Сетевые коммуникации

Все сетевое взаимодействие между компонентами Drovorub (т.е. клиентом, агентом и сервером) использует протокол WebSocket, реализованный в публично доступной библиотеке POCOC++, которая статически связана с каждым компонентом. Протокол WebSocket, определенный в RFC 6455, является протоколом прикладного уровня, который работает по протоколу TCP и состоит из начального квитирования, за которым следуют кадры сообщений для передачи данных. Drovorub может быть настроен на использование нестандартных TCP-портов для связи WebSocket. Все сетевые коммуникации Дроворуба проходят через сервер Дроворуба. Дроворуб-клиенты и Дроворуб-агенты не разговаривают напрямую друг с другом, а общаются через Дроворуб-сервер. Это означает, что Дроворуб-клиенты и Дроворуб-агенты могут общаться только с другими клиентами и агентами, которые подключены к тому же Дроворуб-серверу.

Дроворуб использует JSON в качестве формата сообщений для своих WebSocket полезных нагрузок. Все полезные нагрузки Дроворуб JSON имеют базовую структуру, показанную на рисунке 7 ниже [в оригинальном тексте]. Полезная нагрузка представляет собой один JSON-объект, содержащий один член по имени "дочерние", значением которого является массив JSON-объектов. Фактический порядок расположения JSON-объектов в массиве "дочерних" может отличаться от приведенного ниже. Каждый объект в "дочернем" массиве всегда содержит два элемента с именами "name" и "value". Значение члена "value" всегда base64 закодировано в каждом объекте, за одним исключением, которое подробно описано в разделе Command Taskingsection. Каждая полезная нагрузка JSON Drovorub будет содержать как минимум два объекта в "дочернем" массиве. Эти объекты имеют "имя" член-значение "модуль" и "действие". Объекты "модуль" и "действие" обозначают, в общем случае, конкретную команду или ответ С2. Дополнительные JSON-объекты, обозначаемые "...", представляют собой потенциальные параметры, связанные с конкретными перечисленными "модулем" и "действием". Команды С2 Дроворуба далее рассматриваются в разделе Задания команд. Этот формат полезной нагрузки применим ко всем сетевым коммуникациям между компонентами Drovorub.

{"children":
[
{"name":"module","value":"<BASE64 VALUE>"},
{"name":"action","value":"<BASE64 VALUE>"},...
]
}

Особенно важно, что протокол WebSocket реализует функцию, называемую "маскировкой "3 , которая влияет на то, как трафик появляется в сети. Согласно RFC 6455, каждое клиентское сообщение WebSocket, отправленное на сервер WebSocket, имеет "маскировку" XOR со случайным 4-байтовым значением, которое является уникальным для каждого сообщения. Значение XOR передается в заголовке фрейма сообщения, поэтому данные о полезной нагрузке могут быть удалены сервером WebSocket. Трафик между сервером и клиентом WebSocket не является XOR "замаскированным". В случае Дроворуба, серверы Дроворуба выступают в качестве серверов WebSocket, в то время как клиенты Дроворуба и агенты Дроворуба выступают в качестве клиентов WebSocket. Поэтому весь трафик, отправляемый с сервера Дроворуб клиенту или Дроворуб-агенту, будет читаться как простые текстовые JSON сообщения, в то время как трафик на сервер Дроворуб будет выглядеть как случайные данные из-за маскировки XOR. Следующая диаграмма [в ориг. тексте], взятая из RFC 6455, показывает структуру фрейма сообщений WebSocket. (Fette & Melnikov, 2011).

Аутентификация

Ниже приводится описание процесса, используемого как Дроворуб-клиентом, так и Дроворуб-агентом для подключения и аутентификации к Дроворуб-серверу. В этом описании термин "клиент" будет использоваться для обозначения либо Дроворуб-клиента, либо Дроворуб-агента, если не указано иначе, так как оба следуют одному и тому же процессу.

Клиент инициирует взаимодействие с сервером Дроворуб, сначала устанавливая соединение WebSocket через запрос на обновление HTTP, как показано на рисунке 10, ниже. Для клиента Drovorub, IP адрес и информация о портах Drovorub-сервера встроена в исполняемый файл, в то время как для Drovorub-агента она содержит файл конфигурации Drovorub-agent.

GET /ws HTTP/1.0
Connection: Upgrade
Host: 192.168.1.2:12345Sec-Web
Socket-Key: Ui/SCrtEKS/BaslV9vSMUw==
Sec-WebSocket-Version: 13
Upgrade: websocket

Дроворуб-сервер отвечает ответом протокола HTTP 101 Switching Protocols, как показано на рисунке 11 ниже.

HTTP/1.0 101 Switching Protocols
Connection: UpgradeContent-Length: 0
Date: Thu, 05 Nov 2020 13:07:00 GMT
Sec-WebSocket-Accept: SeoYykqncmS/fWcGFIHcv3AR26k=
Upgrade: websocket

Подробности о том, как клиенты и серверы WebSocket проверяют соединение в процессе квитирования WebSocket, можно найти в RFC 6455 и не обсуждается здесь. (Fette & Melnikov, 2011)

Как только клиент устанавливает WebSocketconnection, он пытается аутентифицироваться на Drovorub-сервере. Для аутентификации Drovorub существует два процесса: "авторизация" и "вход в систему". Процесс "авторизации" используется для первой регистрации клиента на Drovorub-сервере. Процесс "входа" используется для последующих попыток аутентификации после того, как клиент уже зарегистрировался на Дроворуб-сервере. На диаграмме ниже показаны команды C2, используемые в процессе аутентификации, как "signin", так и "login".

Оба процесса начинаются с запроса на аутентификацию от клиента к Drovorub-серверу, как показано в примере ниже (до "маскировки" WebSocket). Модулем", используемым для аутентификации Дроворуба, является "Y2xvdWQuYXV0aA==", который декодируется в "cloud.auth". В запросе содержится объект "action" с членом "value", который base64 декодирует в "auth.hello". Действие "auth.hello" принимает один параметр - объект "token". Токен представляет собой случайно сгенерированное 16-байтовое значение, которое шифруется открытым ключом RSA клиента, а затем кодируется base64. (ЗАМЕЧАНИЕ: значение "token" содержит возвраты каретки и символы новой строки "\r\n". Дроворуб-сервер удалит эти символы до декодирования "токена" в base64).

{"children":[
{"name":"module","value":"Y2xvdWQuYXV0aA=="},
{"name":"action","value":"YXV0aC5oZWxsbw=="},{"name":"token","value":"AIzX7mWtXtkJOBPeiVtC/0Nyofzgs+GZjZbwi0dd8Ak6/RtktfYjUltekzJXNt+CrGvG+ClA\r\n7Hmq772qrvUUjI/8g9MlDRN8vy+ZBcclCSv6KtBZ1+nxV285tquowBIEsEiYGX+ULzdhaG3I\r\nvHO/R8Me5xQqkRoS51LadZUY8SzEZ/0Eyg5Dtcu9ESzA3mldahqt0gVNExpcr7RfcrlDcfC2\r\nkdEzvckIlSDaHbcVT3y9GAp6IUgpmZuSFBkgXHfslUFmNvoAl/Tl5qFzi40woEU2f9kC6JWJ\r\n3zCBj+dvCL/oyaoXu7qBOf5hm32/ZjYP+N9AXJI0Jj8zLVb/rjiKoA=="}
]}

Когда Drovorub-сервер получает запрос на аутентификацию, он расшифровывает значение "токена" с помощью соответствующего закрытого ключа RSA. Для доказательства успешной расшифровки токена Дроворуб-сервер генерирует "serverid" (идентификатор сервера). Этот сервер ID генерируется сначала случайным 16-байтовым значением, добавляя расшифрованный клиентский токен, а затем генерирует SHA1 дайджест байтовых значений. Случайное 16-байтовое значение, генерируемое сервером Дроворуба, используется в качестве "токена" в его ответе клиенту. Дроворуб-сервер строит сообщение "auth.hello" с "сервером" и его незашифрованным токеном и отправляет его клиенту. (ПРИМЕЧАНИЕ: Токен Дроворуб-сервера не зашифрован, так как он будет использоваться клиентом для генерации того же "сервера", по сути доказывая, что Дроворуб-сервер расшифровал значение клиентского токена). Ниже приведен пример ответа Дроворуб-сервера на запрос на аутентификацию клиента.

{"children":[{"name":"module","value":"Y2xvdWQuYXV0aA=="},{"name":"action","value":"YXV0aC5sb2dpbg=="},{"name":"mode","value":"bG9naW4="},{"name":"clientid","value":"4h0fm4AffQntf0O7hhdhIlZUmbZvsk31jU08OwgomXsVf+HIKaPWpWwcYJ9cS493"},{"name":"token","value":"axCTGMUnr2v9FhRQmf2wYQ=="}]}

[Далее большой фрагмент с примерами и подробностями пропущен, см. оригинальный текст, полный перевод возможен в будущем, тогда этот пост будет расширен.]

[...]

Уклонение

Модуль Drovorub-kernel реализует базовый функционал для сокрытия различных артефактов из пользовательского пространства, включая указанные файлы и каталоги, процессы и свидетельства этих процессов в файловой системе "/proc", сетевые порты и сеансы, а также указанные загруженные модули ядра, чтобы включить себя. Что сщественно для реализации своих скрывающих возможностей, функции настоящего ядра оказываются взломаны либо путем непосредственного исправления ("патча") функций, либо путем перезаписи указателей, которые указывают на функции. Используя эту технику, модуль ядра Дроворуб вводит: сокрытие процесса, сокрытие файлов, сокрытие сокета, сокрытие сетевого фильтра и сокрытие от приема raw сокета.

Скрытие процесса

Модуль Drovorub-kernel может скрывать процессы от системных вызовов и от файловой системы proc (/proc). В зависимости от версии ядра Linux, модуль ядра Дроворуба может перехватывать либо функцию find_pid_ns(), find_pid(), либо функцию find_task_by_pid_type() для сокрытия процессов от системных вызовов. Скрытие процессов от файловой системы proc достигается перехватом нескольких функций ядра, которые могут включать d_lookup(), iterate_dir() или vfs_readdir() в зависимости от версии ядра Linux. Модуль Drovorub-kernel также перехватывает функцию поиска, хранящуюся в файле f_path.dentry->d_inode->i_op-> lookup файла "/proc". Наконец, модуль Drovorub-kernel перехватывает функцию ядра do_fork(), чтобы скрыть порожденные дочерние процессы от скрытого процесса.

Скрытие файлов

Для сокрытия файлов модуль Drovorub-kernel перехватывает либо функции ядра iterate_dir(), либо vfs_readdir(), в зависимости от версии ядра. Скрытые файлы отфильтровываются из списка каталогов, но скрытые файлы все равно доступны по имени файла, если имя известно.

Скрытие сокетов

Для сокрытия сетевых сокетов модуль ядра Drovorub перехватывает соответствующую функцию ядра и отфильтровывает скрытые сокеты. Он определяет, какую функцию следует подключить, открыв соответствующий интерфейс в каталоге /proc/net в файловой системе proc. Для TCP-соединений модуль ядра Drovorub обращается к /proc/net/tcp и /proc/net/tcp6. Для UDP-соединений модуль обращается к /proc/net/udp и /proc/net/udp6. После подключения соответствующей функции модуль Drovorub-kernel сравнивает записи о соединениях с сконфигурированным скрытым списком и отфильтровывает скрытые соединения. Модуль Дроворуб-ядро отфильтровывает TCP соединения, основанные на портах источника или назначения, UDP соединения, основанные только на портах источника, или любые соединения, принадлежащие скрытому процессу.

Скрытие сетевого фильтра

В Linux Netfilter - это компонент, позволяющий фильтровать пакеты в ядре. Он обычно используется брандмауэрами для выполнения фильтрации пакетов. Модуль Drovorub-kernel регистрирует Netfilter hook (термин hook здесь не подразумевает патч, а скорее является обычным термином для регистрации функции обратного вызова Netfilter) по номерам LOCAL_IN и LOCAL_OUT.Модуль Drovorub-kernel также скрытно перехватывает функцию nf_register_hook() кернела, которая используется для регистрации Netfilter hook. При вызове nf_register_hook() модуль ядра Дроворуб сначала вызывает оригинальную функцию nf_register_hook(), позволяющую добавить новый хук Netfilter. Затем с помощью функции ядра nf_unregister_hook() отменяет регистрацию любого перехвата, который ранее был зарегистрирован под тем же номером перехвата. Наконец, модуль ядра Дроворуб перерегистрирует свой перехват Netfilter, используя функцию nf_register_hook(). Целью удаления и перерегистрации перехвата Netfilter модуля ядра Дроворуба является обеспечение того, чтобы его Netfilter перехват был вызван перед любым другим, не зарегистрированным модулем Дроворуба, перехватом на том же номере перехвата. При вызове перехвата Netfilter модуля ядра Дроворуба модуль определяет, является ли пакет частью скрытого TCP соединения, или частью TCP соединения к или от скрытого процесса. Если это так, то его Netfilter hook возвращает NF_STOP, не позволяя никаким другим зарегистрированным Netfilter hooks вызывать этотpacket. Для облегчения идентификации пакетов к или от скрытых процессов, модуль ядра Drovorub тайно перехватывает функции сокета ядра для установления или приема соединений, а также для удаления соединений. Он находит эти функции, создавая сокет ядра с помощью функции ядра sock_create() и просматривая структуру возвращаемого сокета (предположим, что здесь он называется "s") в s->ops->accept, s->ops->connect и s->ops->release. Всякий раз, когда делается вызов на прием (входящие соединения) или вызов на подключение (исходящие соединения), модуль Drovorub-kernel проверяет, не скрыт ли вызывающий процесс. Если да, то сокет сохраняется в глобальном списке, который проверяется хуками модуля Drovorub-kernel Netfilter для каждого пакета.(ПРИМЕЧАНИЕ:UDP не поддерживается Netfilter-крюком модуля ядра, только TCP).

Прячась от raw сокета, модуль ядра Дроворуба перехватывает функцию ядра skb_recv_datagram(). Любой пакет, являющийся частью скрытой сетевой сессии, отфильтровывается из получаемого raw сокета. Сетевой сеанс должен быть явно скрыт, чтобы его пакеты отфильтровывались. Пакеты из сетевых сессий со скрытыми процессами не фильтруются автоматически.

Обнаружение

Методологии обнаружения

Ряд дополнительных методов детектирования эффективно идентифицирует активность вредоносного ПО Дроворуб. Однако, модуль ядра Дроворуба представляет собой сложную задачу для крупномасштабного обнаружения, поскольку он скрывает артефакты Дроворуба от инструментов, обычно используемых для реагирования в реальном масштабе времени. Ниже обсуждаются преимущества и недостатки различных методик обнаружения, доступных для вредоносного ПО Дроворуб.

ПРИМЕЧАНИЕ: Некоторые из методов, определенных в этом разделе, могут повлиять на доступность или стабильность системы. Защитники должны следовать организационной политике и лучшим практикам реагирования на инциденты, чтобы минимизировать риск для операций во время охоты на вредоносное ПО Дроворуб.

Обнаружение на основе сети

Системы обнаружения вторжений в сеть (NIDS) могут реально идентифицировать командные и контрольные сообщения между Дроворуб-клиентом или Дроворуб-агентом и Дроворуб-сервером. В частности, некоторые NIDS (например, Suricata®, Zeek®, Snort и т.д.), которые могут динамически дезактивировать "замаскированные" сообщения протокола WebSocket с помощью скриптовых возможностей. Использование TLSproxy на границе сети позволило бы обнаруживать командные и контрольные сообщения даже по зашифрованному TLS каналу.

В частности, некоторые NIDS (например, Snort, Suricata, Zeek и т.д.) могут динамически деобфускатировать "замаскированные" сообщения протокола WebSocket с помощью скриптовых возможностей.

Преимущества: Высокая степень уверенности, крупномасштабное (по всей сети) обнаружение сетевых команд и управления.

Недостатки: Возможность уклонения по TLS или изменения формата сообщений.

Обнаружение на основе хоста
Зондирование

Ниже приведен скрипт для взаимодействия с модулем Drovorub-kernel вредоносной программы. Этот скрипт пытается проверить, скрывает ли модуль Drovorub-kernel определенный файл, основываясь на известном предустановленном префиксе файла.

Преимущества: Быстрое, масштабируемое развертывание детекторов на конечных точках для обнаружения известных образцов, с относительно небольшим риском влияния на стабильность системы.

Недостатки: Возможность уклонения, если файловый префикс отличается от известного значения.

Продукты безопасности (например, антивирус, обнаружение и реагирование конечных точек и т.д.) и ведение журналов.

Продукты безопасности могут обеспечить видимость различных артефактов вредоносного ПО Drovorub, включая детектирование функциональности руткита. Оценка детектирования конкретных продуктов выходит за рамки данной публикации, однако, защитники должны учитывать, могут ли какие-либо продукты безопасности в их среде быть эффективными в обнаружении вредоносного ПО Drovorub.

Правильно настроенная система аудита ядра Linux может дополнительно выявить артефакты первоначального компрометации и установки вредоносного ПО Drovorub.

Живой отклик

Специалисты по реагированию на инциденты обычно используют техники реагирования в реальном времени, такие как поиск определенных имён файлов, путей, хэшей и правил Yara на работающих системах, использующих исполняемые файлы и библиотеки собственной системы (которые используют системные вызовы, предоставляемые ядром), для обнаружения вредоносной активности в масштабах предприятия. Модуль ядра Дроворуб скрывает себя и связанные с ним файлы, процессы и сетевые соединения путем перехвата (изменения логики и вывода) определенных функций ядра, что значительно снижает или полностью исключает эффективность данной методики обнаружения. Таким образом, данный метод обнаружения подвержен повышенному риску ложноотрицательных срабатываний (неспособность обнаружить скомпрометированную конечную точку).

Анализ памяти

Захват и анализ оперативной памяти конечной точки является наиболее эффективным подходом в обнаружении модуля Drovorub-kernel, так как он предлагает наибольшее понимание поведения, которое руткит берет, чтобы скрыть себя и другие артефакты в системе. Для получения и анализа памяти можно использовать такие общедоступные инструменты, как Linux Memory Grabber (LMG), LiME и Volatility, или Rekall. Подробное руководство по выявлению поведения модулей ядра Дроворуба представлено в разделе Анализ памяти с волатильностью ниже.

Преимущества: Обеспечивает полную видимость специфического поведения руткитов и артефактов, таких как файлы, другие процессы и сетевые соединения, скрытые вредоносной программой.

Недостатки: Более высокое потенциальное влияние на стабильность системы (во время приобретения), а не настолько масштабируемое для большого количества конечных точек.

Анализ носителей (изображений диска)

Несколько файловых артефактов Drovorub присутствуют и постоянно присутствуют на скомпрометированных конечных дисковых носителях, хотя и скрыты от обычных системных двоичных файлов и системных вызовов руткитом. Приобретение необработанных образов носителей является жизнеспособным методом обнаружения для известных образцов Дроворуба с использованием IOCs (например, имена файлов и пути к ним) или правил Yara.

Преимущества: Обеспечивает видимость файлов Дроворуба на диске, включая данные конфигурации.

Недостатки: Потеря артефактов памяти-резидента, более сильное потенциальное влияние на стабильность системы (во время сбора данных), и не настолько масштабируемая для большого количества конечных точек.

Анализ памяти с Volatility

Используя программное обеспечение Volatility для анализа памяти, можно обнаружить присутствие вредоносной программы Дроворуб на зараженных хостах. Volatility требует соответствующего профиля Linux для операционной системы, в которой память была захвачена, для корректной работы. Многие профили Linux доступны для скачивания с GitHub®website Volatility.

[С этого места подробнее о работе Volatility см. в оригинальном тексте]

Другой инструмент, который может быть использован для изучения памяти - Bulk Extractor. Одной из его функций является извлечение сетевого трафика из изображения. Это полезно, так как он может обеспечить некоторый сетевой трафик, генерируемый вредоносной программой в формате pcap. После того, как Bulk Extractor закончит анализ образа памяти, найдите файл в формате pcap в выходном каталоге и откройте его с помощью Wireshark. Используя фильтры отображения на некоторых терминах в связях C2, описанных в начале этой рекомендации, результаты могут идентифицировать хост как скомпрометированный.

[Подробнее с примерами, открытыми в Wireshark и разобранными, см. в оригинальном тексте]

Метод обнаружения модулей ядра Дроворуба

Если следующие команды выполняются в командной строке и "тестовый файл" исчезает, система заражается Дроворубом. Если "тестовый файл" не исчезнет, система все равно может быть заражена Дроворубом. Может быть изменена подпись "ASDFZXCV" или псевдо-устройство, используемое для связи на хосте между Дроворубом-клиентом и модулем ядра Дроворуба, может быть чем-то отличным от /dev/zero.

Правила Snort

Следующие правилаSnort могут быть использованы для обнаружения сетевых взаимодействий между Дроворуб-сервером и Дроворуб-клиентом (или Дроворуб-агентом). Правило #1 также может обнаруживать незамаскированные соединения Drovorub-клиента (или Drovorub-агента) с сервером Drovorub-клиента (или Drovorub-агента).

alert tcp any any -> any any (msg: "Drovorub WebSocket JSON Comms"; content:"{|22|children|22|:[{|22|name|22|:"; pcre: "/\x81.{1,4}\{\x22children\x22:\[\{\x22name\x22:\x22[a-z0-9_]{1,32}\x22,\x22value\x22:\x22[a-zA-Z0-9+\/]{1,256}={0,2}\x22\}/"; sid: 1; rev: 1;)

alert tcp any any -> any any (msg:"Drovorub WebSocket Ping";flow:established,from_server; dsize:18; content:"|89 10 7b 22 70 69 6e 67 22 3a 22 70 69 6e 67 22 7d 0a|";depth:18; sid: 2; rev: 1;)

Правила Яры

Это правило Яры может быть использовано для обнаружения компонентов Дроворуба. Так как модуль ядра Дроворуба активно скрывает себя и Дроворуб-клиента, эти правила наиболее эффективны, если запускать их в ходе криминалистического образа.

[Правила Yara подробнее см. в оригинале стр. 41-43]

[Обнаружение при помощи Yara и Snort с примерами см. в оригнальном тексте]

Меры предотвращения

ПРИМЕЧАНИЕ: эти меры не предназначены для защиты от первоначального вектора доступа. Ограничения по смыванию предназначены только для предотвращения сперфитизма Дроворуба и его укрытия.

Постоянно обновлять Linux

Системные администраторы должны постоянно проверять и запускать последнюю версию программного обеспечения, поставляемого поставщиком для компьютерных систем, с тем чтобы воспользоваться преимуществами усовершенствованного программного обеспечения и самыми последними мерами по обнаружению и смягчению последствий нарушения безопасности (Агентство национальной безопасности, 2018). Системным администраторам следует обновить ядро Linux Kernel 3.7 или более позднюю версию, чтобы в полной мере воспользоваться преимуществами внедрения подписей на ядре.

Предотвращение недоверенных модулей ядра

Владельцам системы рекомендуется настроить систему так, чтобы в нее загружались только модули с действительной цифровой подписью, что затруднит внедрение в систему вредоносного модуля ядра. Противник может использовать вредоносный модуль ядра для контроля над системой, скрытия или продолжения перезагрузок (Агентство национальной безопасности, 2017).


Оригинал https://media.defense.gov/2020/Aug/13/2 ... G_2020.PDF
Радость Сатаны https://joyofsatan.deathofcommunism.com/
Разоблачение христианства http://seethetruth.ucoz.ru/
Разоблачение ислама https://exposingthelieofislam.deathofcommunism.com/
Черное Солнце 666 https://blacksun.deathofcommunism.com/

Ответить