Академический Документы
Профессиональный Документы
Культура Документы
Chronicles Security. Digest. 2024-06
Chronicles Security. Digest. 2024-06
НЕ ГОВОРИТ
О ИБ, КАК
СОТНИ ИБ-
ПРОДУКТОВ
И
БИОМЕТРИ
ЧЕСКИЙ
СКАНЕР
Больше контента:
BOOSTY ХРОНИКИ БЕЗОПАСНИКА
SPONSR
TELEGRAM ДАЙДЖЕСТ. 2024 / 06
Рубрика: Ключевые факты Добро пожаловать в очередной выпуск ежемесячного сборника материалов,
сжатая редакция других разделов для который является вашим универсальным ресурсом для получения информации о
быстрого и всестороннего обзора. самых последних разработках, аналитических материалах и лучших практиках в
Рубрика: Разбор постоянно развивающейся области безопасности. В этом выпуске мы подготовили
разнообразную подборку статей, новостей и результатов исследований,
критические обзоры и анализ статей,
включая научно-практические статьи рассчитанных как на профессионалов, так и на обычных любителей. Цель нашего
и отраслевые отчёты дайджеста - сделать наш контент интересным и доступным. Приятного чтения!
Рубрика: Исследование
оригинальные исследования, отчёты и
выводы, способствующие пониманию
проблем кибербезопасности
Больше материалов: Boosty | Sponsr | TG
Больше материалов: Boosty | Sponsr | TG
НОВОСТИ
3
Больше материалов: Boosty | Sponsr | TG
4
Больше материалов: Boosty | Sponsr | TG
том, как эффективно использовать QEMU для исследований и �Представлена практическая демонстрация поиска и
тестирования безопасности. использования уязвимости, связанной с внедрением команд, в
Обзор QEMU эмулируемом микропрограммном обеспечении,
демонстрирующая, как QEMU можно использовать для
�QEMU используется для эмуляции различных аппаратных тестирования и разработки доказательств концепции уязвимостей
архитектур, что делает его ценным инструментом для ИБ- в системе безопасности.
исследователей, которым необходимо тестировать программное
обеспечение в контролируемой среде без физического
оборудования. УЯЗВИМОСТЬ TP-
�В руководстве особое внимание уделяется использованию LINK TDDP (BUFFER
Ubuntu 18.04 для настройки QEMU из-за простоты управления OVERFLOW)
интерфейсами в этом конкретном дистрибутиве.
В статье представлен
Первоначальная настройка и установка подробный анализ конкретной
уязвимости в устройствах TP-
�В документе описаны начальные шаги по установке Link, о которой сообщалось в
QEMU и его зависимостей от Ubuntu 18.04, включая установку 2020 году, но которой до
библиотек и инструментов, необходимых для создания сетевых настоящего момента не был
мостов и отладки с помощью pwndbg. присвоен индикатор и статус
Анализ и подготовка встроенного ПО CVE.
�Причины возникновения уязвимости переполнения
�Binwalk используется для анализа и извлечения
буфера TDDP в TP-Link: Уязвимость TDDP-протокола TP-Link
содержимого встроенного ПО. В руководстве подробно описано, (протокол отладки устройств TP-LINK), связанная с
как использовать Binwalk для идентификации и распаковки переполнением буфера, в первую очередь связана с обработкой
компонентов встроенного ПО, уделяя особое внимание файловой протоколом UDP-пакетов. TDDP, двоичный протокол,
системе squashfs, которая имеет решающее значение для процесса используемый для целей отладки, обрабатывает пакеты с
эмуляции. помощью одного UDP-пакета, который при неправильной
обработке может представлять угрозу безопасности. Конкретной
Процесс эмуляции
причиной переполнения буфера является отсутствие надлежащей
�Среда Chroot: Для этого необходимо скопировать проверки длины данных во время анализа этих UDP-пакетов. Эта
двоичный файл qemu-mips-static в каталог встроенного ПО и приводит к переполнению памяти, что приводит к повреждению
структуры памяти устройства
использовать chroot для непосредственного запуска веб-сервера
встроенного ПО. �Последствия уязвимости: Основной причиной
уязвимости, связанной с переполнением буфера TDDP в TP-Link,
�Эмуляция системного режима: Этот метод использует является отказ в обслуживании (DoS). Это происходит, когда
скрипт и дополнительные загрузки (например, vmlinux и образ переполнение приводит к повреждению структуры памяти, в
Debian) для создания более стабильной и интегрированной среды результате чего устройство выходит из строя или перестаёт
эмуляции. отвечать на запросы. Кроме того, существует вероятность
Отладка и настройка сети удалённого выполнения кода, что может позволить
злоумышленнику выполнить произвольный код на устройстве.
�Приведены подробные инструкции по настройке сетевых Это может привести к несанкционированному доступу к сети,
мостов и интерфейсов, которые позволят эмулируемому краже данных или дальнейшему использованию сетевых
микропрограммному обеспечению взаимодействовать с хост- ресурсов
системой. �Методы использования: Использование уязвимости
переполнения буфера TDDP в TP-Link связано с отправкой
�В руководстве также описывается установка различных созданных UDP-пакетов, которые превышают установленные
каталогов (/dev, /proc, /sys) для обеспечения доступа эмулируемой протоколом пределы буфера. Этого можно достичь, манипулируя
системы к необходимым ресурсам. длиной данных пакета, чтобы она превышала то, что может
Запуск и взаимодействие с эмулируемым встроенным ПО обработать буфер, что приводит к переполнению. Такие
инструменты, как Shambles, могут использоваться для выявления,
�После завершения настройки микропрограммное устранения, эмуляции и проверки таких условий переполнения
обеспечение запускается, и пользователь может буфера. Успешное использование может позволить
взаимодействовать с эмулируемым веб-сервером через браузер. В злоумышленникам вызвать отказ в обслуживании или
руководстве содержатся советы по устранению потенциально выполнить произвольный код на устройстве.
распространённых проблем, таких как неправильные пути или Стратегии смягчения последствий
отсутствующие файлы, которые могут привести к сбою сервера.
�Обновления встроенного ПО: Регулярное обновление
Тестирование безопасности и обратное проектирование встроенного по устройств TP-Link до последней версии может
помочь устранить уязвимости и повысить безопасность.
�Документ завершается описанием использования
программы эмуляции для тестирования безопасности и обратного �Сегментация сети: Размещение критически важных
проектирования. В нем упоминаются такие инструменты, как устройств в отдельных сегментах сети может ограничить
Burp Suite для сбора веб-запросов и Ghidra для анализа двоичных распространение потенциальных атак.
файлов.
�Правила брандмауэра: Настройка брандмауэров для
Практическая демонстрация ограничения входящего трафика через UDP-порт 1040, который
5
Больше материалов: Boosty | Sponsr | TG
6
Больше материалов: Boosty | Sponsr | TG
7
Больше материалов: Boosty | Sponsr | TG
для обеспечения безопасности данных своих клиентов, �Автор исследовал атаки MITM на поставщиков
хранящихся в облачных хранилищах, и поддержания идентификационных данных (IDP), которые ретранслируют
соответствия отраслевым стандартам. сообщения между устройствами
�Команды DevSecOps и DevOps: Интегрируя BucketLoot в � Хотя MITM сложнее использовать с помощью TLS, такие
свои рабочие процессы, команды DevSecOps и DevOps могут методы, как подмена DNS, отравление ARP и кража
проактивно выявлять и снижать риски безопасности, связанные с сертификатов, могут помочь в этом
облачными хранилищами, продвигая безопасные методы
разработки программного обеспечения. �Выполнив MITM для IdP, злоумышленник может
перехватить токен сеанса после проверки подлинности FIDO2
�Реагирование на инциденты и криминалистика: В
случае утечки данных или инцидента BucketLoot может помочь EntraID SSO (Microsoft)
группам реагирования на инциденты и судебным следователям
быстро идентифицировать уязвимые данные и потенциальные �Обзор: Entra ID SSO - это решение для единого входа,
векторы атак, связанные с неправильной конфигурацией которое поддерживает различные протоколы единого входа и
облачного хранилища. современные методы аутентификации, включая FIDO2.
�Процесс аутентификации включает в себя регистрацию �Обзор: Yubico Playground - это среда тестирования
устройства и аутентификацию с использованием криптографии с функций и ключей безопасности FIDO.
открытым ключом
�Уязвимость: Исследование показало, что можно
Функции безопасности FIDO2 использовать простой сеансовый файл cookie, сгенерированный
после аутентификации FIDO2.
�FIDO2 разработан для предотвращения фишинговых атак,
MITM и перехвата сеанса �Метод атаки: На устройстве, запросившем сеансовый
файл cookie, отсутствует проверка подлинности. Любое
� Однако исследование показало, что реализации FIDO2 устройство может использовать этот файл cookie до истечения
часто не защищают токены сеанса после успешной срока его действия, что позволяет злоумышленнику обойти этап
аутентификации аутентификации.
Атака на FIDO2 с помощью MITM �Пример: Получив файл cookie сеанса, злоумышленник
может получить доступ к личному кабинету пользователя и
удалить ключ
8
Больше материалов: Boosty | Sponsr | TG
ICSPECTOR: РЕШЕНИЕ
ТРАССИРОВКА ЛУЧЕЙ FORENSICS-ПРОБЛЕМ, О
НА ZX SPECTRUM: КОТОРЫХ ВЫ И НЕ
ЗАЧЕМ НУЖНЫ ПОДОЗРЕВАЛИ
СОВРЕМЕННЫЕ GPU, Microsoft ICS Forensics Tools
(ICSpector) - инструмент с
КОГДА МОЖНО открытым исходным кодом,
ПОТРАТИТЬ предназначенный для
ВЫХОДНЫЕ НА криминалистического анализа
промышленных систем
РЕНДЕРИНГ ОДНОГО управления (ICS), в частности,
КАДРА, ЧТОБЫ программируемых логических контроллеров (PLC).
ДОКАЗАТЬ, ЧТО МАЗОХИЗМ ОТЛИЧНОЕ ХОББИ ? Технические характеристики
Проект ZX Raytracer не только демонстрирует возможность Состав и архитектура
внедрения трассировщика лучей в ZX Spectrum, но и служит
образовательным ресурсом, посвящённым истории �Модульная конструкция: ICSpector состоит из
вычислительной техники, и источником вдохновения для нескольких компонентов, что обеспечивает гибкость и
будущих проектов в области ретро-вычислений, встраиваемых индивидуальную настройку в зависимости от конкретных
систем и методов оптимизации потребностей. Пользователи могут также добавлять новые
анализаторы.
Ключевые моменты и потенциальные области
применения �Сетевой сканер: Идентифицирует устройства,
взаимодействующие по поддерживаемым протоколам OT, и
�Реализация Raytracer на устаревшем обеспечивает их работоспособность. Он может работать с
оборудовании: Проект демонстрирует возможность реализации предоставленной IP-подсетью или с определённым списком IP-
raytracer, технологии рендеринга графики, требующей больших адресов.
вычислительных затрат, на ZX Spectrum, домашнем компьютере
1980-х годов с очень ограниченными аппаратными �Извлечение данных и анализатор: Извлекает
возможностями (процессор Z80A с частотой 3,5 МГц и часто метаданные и логику ПЛК, преобразуя необработанные данные в
всего 16Кб оперативной памяти). удобочитаемую форму, чтобы выделить области, которые могут
указывать на вредоносную активность.
�Преодоление аппаратных ограничений: Несмотря на
серьезные аппаратные ограничения, проект преодолел такие Криминалистические возможности
проблемы, как цветовые ограничения, низкое разрешение
256x176 пикселей и низкую производительность (начальное �Идентификация скомпрометированных
время рендеринга 17 часов на кадр) благодаря продуманной устройств: помогает идентифицировать скомпрометированные
оптимизации и приближениям. устройства с помощью ручной проверки, автоматизированного
мониторинга или во время реагирования на инциденты.
�Образовательный инструмент: Проект может быть
использован в качестве учебного пособия на курсах �Создание моментальных снимков: Позволяет создавать
информатики, особенно тех, которые посвящены компьютерной моментальные снимки проектов контроллеров для сравнения
графике, методам оптимизации или низкоуровневому изменений с течением времени, что помогает обнаруживать
программированию. несанкционированное вмешательство или аномалии.
�Выставки ретро-игр и демосцены: Raytracer можно �Поддержка ПЛК Siemens: В настоящее время
демонстрировать на ретро-компьютерных мероприятиях, поддерживаются семейства Siemens SIMATIC S7-300 и S7-400, в
вечеринках-демосценах или выставках, посвящённых будущем планируется поддержка других семейств ПЛК.
достижениям винтажного оборудования и программирования. Интеграция с другими инструментами
�Разработка встраиваемых систем: Методы оптимизации �Microsoft Defender для Интернета вещей: Может
и аппроксимации, использованные в этом проекте, могут использоваться совместно с Microsoft Defender для Интернета
вдохновить разработчиков, работающих над встраиваемыми вещей, который обеспечивает безопасность на сетевом уровне,
системами или устройствами с ограниченными ресурсами, где непрерывный мониторинг, обнаружение активов, угроз и
решающее значение имеет эффективное использование управление уязвимостями в средах Интернета вещей/OT.
ограниченных ресурсов.
Примеры использования
�Знакомство с историей вычислительной
техники: Проект может быть представлен в музеях или на �Реагирование на инциденты: активности по
выставках, посвящённых истории вычислительной техники, реагированию на инциденты позволяют обнаружить
демонстрируя изобретательность и творческий подход первых скомпрометированные устройства и понять, был ли взломан код
программистов, работавших с ограниченными аппаратными ПЛК.
ресурсами.
�Проактивная защита: Помогает в проактивном
�Вдохновение для будущих проектов: Успех этого реагировании на инциденты, сравнивая программы ПЛК на
проекта может побудить других изучить возможности инженерных рабочих станциях с программами на реальных
устаревшего оборудования или взяться за аналогичные сложные устройствах для обнаружения несанкционированных изменений.
проекты, расширяя границы возможного на старых системах.
Отрасли
9
Больше материалов: Boosty | Sponsr | TG
10
Больше материалов: Boosty | Sponsr | TG
Для сравнения, такие инструменты, как Shutup10, Wintoys и �Первоначальное заражение: Использует атаки методом
Tiny11 Builder, предлагают более полную функциональность, перебора на SSH-серверы со слабыми учётными данными
включая средства управления конфиденциальностью и (например, root:admin).
телеметрией, параметры настройки и возможность создания
пользовательских образов Windows. Однако эти инструменты �Доставка полезной нагрузки:
могут оказаться более сложными в использовании, особенно для �Первый этап: скрипт bash ("get_scrpc") запускает второй
пользователей, не обладающих техническими знаниями. скрипт ("get_strtriush"), который извлекает и выполняет основную
полезную нагрузку бота ("Chalubo" или "mips.elf").
�Выполнение: Вредоносная программа запускается в
ПЕРЕЗАПИСЬ памяти, удаляет файлы с диска и изменяет имя процесса, чтобы
ВСТРОЕННОГО ПО: избежать обнаружения.
НОВАЯ МОДНАЯ �Взаимодействие:
ТЕНДЕНЦИЯ АТАК НА
�Серверы C2: выполняется циклический просмотр
МАРШРУТИЗАТОРЫ фиксированных C2s, загрузка следующего этапа и его
Вредоносная кампания расшифровка с помощью ChaCha20.
Chalubo RAT была нацелена на �Закрепление: Новая версия не поддерживает закрепление
конкретные модели
на зараженных устройствах.
маршрутизаторов Actiontec и
Sagemcom, в первую очередь затронув сеть Windstream. Вредоносная программа Hiatus RAT
Вредоносная программа использовала атаки методом перебора
для получения доступа, выполняла загрузку данных в память, � Порт 8816: HiatusRAT проверяет наличие существующих
чтобы избежать обнаружения, и взаимодействовала с серверами процессов на порту 8816, отключает все существующие службы
C2 по зашифрованным каналам. Атака привела к значительному и открывает прослушиватель на этом порту.
сбою в работе, потребовавшему замены более 600 000
маршрутизаторов, что подчеркивает необходимость принятия � Сбор информации: Собирает информацию о хосте и
надежных мер безопасности и регулярного обновления для отправляет её на сервер C2 для отслеживания статуса заражения
предотвращения подобных инцидентов. и регистрации информации о скомпрометированном хосте.
Последствия для интернет-провайдеров: � Первоначальный доступ: использование уязвимостей во
встроенном ПО маршрутизатора или ненадёжных учётных
�Windstream: Пострадал интернет-провайдер, более 600 данных.
000 маршрутизаторов были выведены из строя в период с 25 по
27 октября 2023 года. � Закрепление: используется скрипт bash для загрузки и
выполнения HiatusRAT и двоичного файла для перехвата пакетов
�Модели: Actiontec T3200, T3260 и Sagemcom F5380.
Лаборатория Black Lotus обнаружила новые вредоносные
�Последствия: Примерно 49% модемов интернет- кампании на маршрутизаторах
провайдера были отключены, что потребовало замены
оборудования. �Black Lotus Labs, исследовательская группа по изучению
угроз в Lumen Technologies (ранее CenturyLink), недавно
Глобальные последствия: обнаружила две крупные кампании вредоносных программ,
нацеленных на маршрутизаторы и сетевые устройства разных
�Активность ботнета: С сентября по ноябрь 2023 года производителей. Эти открытия свидетельствуют о растущих
панели ботнета Chalubo взаимодействовали с 117 000 угрозах, с которыми сталкивается инфраструктура Интернета, и о
уникальными IP-адресами в течение 30 дней. необходимости совершенствования методов обеспечения
�Географическое распределение: Большинство безопасности.
заражений произошло в США, Бразилии и Китае. Кампания Hiatus
�Особенности: 95% ботов взаимодействовали только с �В марте 2023 года Black Lotus Labs сообщила о проведении
одной панелью управления. комплексной кампании под названием "Hiatus", которая с июня
2022 года была нацелена на маршрутизаторы бизнес-класса, в
Уязвимые маршрутизаторы
первую очередь на модели DrayTek Vigor 2960 и 3900.
� Целевые модели: маршрутизаторы бизнес-класса с
�Злоумышленники использовали маршрутизаторы DrayTek
истекшим сроком службы.
с истекшим сроком службы для обеспечения долговременного
�Actiontec T3200 и T3260 - это беспроводные сохранения без обнаружения.
маршрутизаторы VDSL2, одобренные компанией Windstream. �В Интернете было опубликовано около 4100 уязвимых
�Sagemcom F5380 - это маршрутизатор WiFi6 (802.11ax). моделей DrayTek, при этом Hiatus скомпрометировал примерно
100 из них в Латинской Америке, Европе и Северной Америке.
� Модели DrayTek Vigor 2960 и 3900
�После заражения вредоносная программа перехватывает
Вредоносное ПО: Chalubo RAT данные, передаваемые через заражённый маршрутизатор, и
внедряет троянскую программу удалённого доступа (RAT) под
�Впервые обнаружен Sophos Labs в августе 2018 года. названием "HiatusRAT", которая может передавать вредоносный
трафик в дополнительные сети.
�Основные функции: DDoS-атаки, выполнение Lua-
скриптов и методы обхода с использованием шифрования �Black Lotus Labs отключила маршрутизацию серверов
ChaCha20. управления и разгрузки (C2) на глобальной магистрали Lumen и
11
Больше материалов: Boosty | Sponsr | TG
добавила индикаторы компрометации (IOCs) в свою систему �Комплексное обучение безопасности: Сочетание тестов
быстрой защиты от угроз, чтобы блокировать угрозы до того, как на фишинг с тренингами обеспечивает комплексный подход к
они достигнут сетей клиентов. обучению безопасности. Это гарантирует, что сотрудники будут
не только осведомлены о фишинговых угрозах, но и знают, как
Кампания Pumpkin Eclipse
эффективно на них реагировать.
�В конце октября 2023 года лаборатория Black Lotus Labs
�Реалистичные сценарии: Объединяя эти два метода,
исследовала массовый сбой, затронувший определённые модели
организации могут создавать более реалистичные и сложные
шлюзов ActionTec (T3200s и T3260s) и Sagemcom (F5380) в сети
одного интернет-провайдера. сценарии, которые лучше подготовят сотрудников к реальным
угрозам.
�Более 600 000 устройств отображали красный индикатор, Показатели и оценка
указывающий на вероятную проблему с повреждением
встроенного ПО. �Измерение эффективности: Как тесты на фишинг, так и
трениг должны оцениваться с использованием показателей для
�Атака была ограничена определённым номером измерения их эффективности. Это включает в себя отслеживание
автономной системы (ASN), затронув около 49% устройств в этой количества сотрудников, которые поддаются тестированию на
сети, подвергшихся воздействию. фишинг, и времени реагирования во время тренингов.
�Лаборатории Black Lotus обнаружили многоступенчатый �Постоянное совершенствование: Данные, собранные в
механизм заражения, который позволил установить Chalubo RAT ходе этих учений, следует использовать для постоянного
- ботнет, нацеленный на шлюзы SOHO и устройства Интернета совершенствования программ обучения безопасности и планов
вещей. реагирования на инциденты.
�Black Lotus Labs добавила IOC в свою аналитическую Организационная культура
ленту threat intelligence, пополнив портфель подключённых
средств безопасности Lumen. �Продвижение культуры, ориентированной прежде
всего на безопасность: Регулярные тесты на фишинг и тренинги
помогают продвигать культуру безопасности в организации. Они
подчёркивают важность осведомлённости сотрудников о
ПЕРЕХОД ПО ССЫЛКАМ безопасности и готовности к ней.
ЭЛЕКТРОННЫХ ПИСЕМ
�Поощряющие сообщения: Эти упражнения побуждают
- ЛУЧШИЙ СПОСОБ сотрудников сообщать о подозрительных действиях и
ПОДРУЖИТЬСЯ С IT потенциальных инцидентах безопасности, способствуя созданию
активной среды безопасности.
В статье Google Security Blog
"On Fire Drills and Phishing
Tests" рассказывается о
важности тестов на фишинг и ОБНАРУЖЕНИЕ
тренингов для повышения ANDROID-УГРОЗ В
безопасности организации.
РЕЖИМЕ РЕАЛЬНОГО
Важность тестов на фишинг ВРЕМЕНИ: 200
�Фишинговые тесты как инструмент обучения: МИЛЛИАРДОВ
Фишинговые тесты используются для обучения сотрудников СКАНИРОВАНИЙ В ДЕНЬ
распознавать попытки фишинга и реагировать на них. Они
имитируют реальные фишинговые атаки, чтобы помочь НЕ ПОЗВОЛЯТ ВЫЯВИТЬ
сотрудникам выявлять подозрительные электронные письма и ВСЕ УГРОЗЫ
ссылки.
Обновления для системы
�Анализ поведения: Эти тесты дают представление о безопасности, анонсированные на выставке Google I/O 2024,
поведении сотрудников и эффективности текущих программ призваны значительно повысить безопасность и
обучения. Они помогают определить, какие сотрудники или конфиденциальность устройств Android, оказывая влияние на
отделы более подвержены фишинговым атакам. различные отрасли за счёт снижения уровня мошенничества,
Тренинги по реагированию на инциденты защиты конфиденциальных данных и укрепления доверия к
мобильным технологиям.
�Имитация инцидентов: тренингов включают в себя Ключевые аспекты
имитацию инцидентов безопасности для проверки возможностей
организации по реагированию на инциденты. Это включает в себя Google Play защита в режиме реального времени:
то, насколько быстро и эффективно команда может обнаруживать
угрозы безопасности, реагировать на них и устранять их. � Функциональность: Ежедневно сканирует 200
миллиардов приложений для Android с помощью искусственного
�Готовность и совершенствование: Регулярные учения интеллекта на устройстве для обнаружения и устранения
помогают обеспечить готовность группы реагирования на вредоносных программ и мошеннических приложений.
инциденты к реальным инцидентам безопасности. Они также
указывают на области, требующие улучшения в плане � Реализация: Использует частное вычислительное ядро
реагирования на инциденты. для анализа с сохранением конфиденциальности.
Интеграция тестов на фишинг и проведения треннингов � Установка: Доступно на устройствах таких
производителей, как Google Pixel, Honor, Lenovo, Nothing,
OnePlus, Oppo, Sharp и Transsion.
12
Больше материалов: Boosty | Sponsr | TG
13
Больше материалов: Boosty | Sponsr | TG
СОДЕРЖАНИЕ
14
Больше материалов: Boosty | Sponsr | TG
ANTIPHISHSTACK
В мире, где переход по АНБ В ИСТЕРИКЕ.
ссылке сродни переходу по ADAPTTACTICS
минному полю, фишинг
становится главным злодеем. Приготовьтесь к
Представляем наших героев: очередному эпизоду
исследователей, написавших "Кибербезопасности", в
эту статью, вооружённых котором будут показаны
своим новым блестящим наши любимые кибер-
оружием - антифишстеком. злодеи, и их громкие
Это не просто какая-то модель; это чудо борьбы с облачные выходки! На этот
киберпреступностью на базе LSTM, которому не нужно раз АНБ и ФБР
ничего знать о фишинге, чтобы поймать его. объединились, чтобы рассказать захватывающую историю
о том, что атакующим уже не интересны локальные сети и
Они разработали настолько действенный продукт, что сервера, когда есть бескрайние просторы облачных
традиционные системы обнаружения фишинга могут сервисов.
устареть до слез. Используя мистические возможности
сетей LSTM и алхимию функций TF-IDF, они создали Этот документ больше похож на практическое
эликсир для обнаружения фишинга, которому, как руководство для начинающих киберпреступников, чем на
предполагается, могут позавидовать специалисты по предупреждение. В нем подробно описывается хитроумная
кибербезопасности во всем мире. смена тактики, когда наглым образом воруются токенов от
учётных записей, особенно неиспользуемых, но всё ещё
активных, чтобы обойти разом все облачные механизмы
FUXNET защиты.
15
Больше материалов: Boosty | Sponsr | TG
16
Больше материалов: Boosty | Sponsr | TG
РУБРИКА:
КЛЮЧЕВЫЕ ФАКТЫ
17
Больше материалов: Boosty | Sponsr | TG
В документе под названием "Модель многоуровневого • Этап I: модель симметрично запоминает URL-
обобщения на основе LSTM для оптимизации фишинга" адреса и функции TF-IDF на уровне символов. Эти
обсуждается растущая зависимость от революционных функции обучаются на базовом классификаторе
онлайновых веб-сервисов, что привело к повышенным машинного обучения, использующем K-кратную
рискам безопасности и постоянным проблемам, перекрёстную проверку для надёжного
создаваемым фишинговыми атаками. прогнозирования среднего значения.
Фишинг, вводящий в заблуждение метод социальной и • Этап II: для динамической компиляции
технической инженерии, представляет серьёзную угрозу используется двухуровневая многоуровневая сеть
безопасности в Интернете, направленный на незаконное LSTM с пятью адаптивными оптимизаторами,
получение идентификационных данных пользователей, их обеспечивающими превосходное прогнозирование
личного счета и банковских учётных данных. Это основная этих функций.
проблема преступной деятельности, когда атакующие • Кроме того, симметричные прогнозы на обоих
преследуют такие цели, как продажа украденных личных этапах оптимизированы и интегрированы для
данных, извлечение наличных, использование уязвимостей обучения мета-классификатора XGBoost, что
или получение финансовой выгоды. способствует получению окончательного
Исследование направлено на улучшение обнаружения надёжного прогноза.
фишинга с помощью AntiPhishStack, работающего без 3) Преимущества и ограничения исследования
предварительного знания особенностей фишинга. Модель Для сравнения, традиционные фишинговые системы,
использует возможности сетей долгой краткосрочной основанные на машинном обучении и ручных функциях,
памяти (LSTM), типа рекуррентной нейронной сети, борются с эволюционирующими тактиками. Другие
которая способна изучать зависимость порядка в задачах модели, такие как модель CNN-LSTM и архитектура
прогнозирования последовательности. Он симметрично сквозного глубокого обучения, основанная на методах
использует изучение URL-адресов и функций TF-IDF на обработки естественного языка, показали ограничения в их
уровне символов, повышая его способность бороться с обобщении тестовых данных и их зависимости от
возникающими фишинговыми угрозами. существующих знаний об обнаружении фишинга. Модель
1) Методология и значимость исследования AntiPhishStack, напротив, демонстрирует высокую
В документе представлена новая модель обнаружения способность к обобщению и независимость от предыдущих
фишинговых сайтов. Важность этого исследования знаний функций, что делает её надёжным и эффективным
заключается в совершенствовании методов обнаружения инструментом для обнаружения фишинга.
фишинга, в частности, за счёт внедрения обобщённой Преимущества исследования по сравнению с
двухфазной стековой модели, названной AntiPhishStack. традиционными фишинговыми системами включают:
Эта модель предназначена для обнаружения • Независимость от предварительного знания
фишинговых сайтов, не требуя предварительного знания функций: AntiPhishStack не требует
особенностей, специфичных для фишинга, что является предварительного знания функций, специфичных
18
Больше материалов: Boosty | Sponsr | TG
для фишинга, что позволяет ему адаптироваться к • Во-вторых, двухэтапный подход модели, который
новым и развивающимся тактикам более включает в себя обучение функций в базовом
эффективно, чем традиционные системы, которые классификаторе машинного обучения, а затем
полагаются на предопределённые функции. использование двухуровневой многоуровневой сети
на основе LSTM, может потребовать много времени
• Независимость от экспертов по и вычислительных ресурсов. Это потенциально
кибербезопасности и сторонних сервисов: может ограничить производительность модели в
модель автономно извлекает необходимые сценариях обнаружения фишинга в реальном
функции URL, уменьшая зависимость от экспертов времени.
по кибербезопасности и сторонних сервисов, таких
как рейтинг страницы или возраст домена, от • Наконец, хотя модель предназначена для работы без
которых могут зависеть традиционные системы. предварительного знания специфических функций
фишинга, это также может быть ограничением.
• Высокая точность: Модель продемонстрировала Модели может быть сложно точно обнаруживать
исключительную производительность, достигнув новые или изощренные попытки фишинга, которые
заметной точности 96,04% для контрольных используют функции, не учтённые при обучении.
наборов данных, что является значительным
улучшением по сравнению с традиционными
системами.
B. АНБ в истерике. AdaptTactics
• Адаптивность к развивающимся угрозам:
Конструкция модели позволяет ей извлекать уроки
из обрабатываемых данных, что потенциально
делает её более адаптируемой к постоянно
меняющимся тактикам, используемым
атакующими, в отличие от традиционных систем,
которые могут требовать обновления вручную для
сохранения эффективности.
Ограничения исследования включают:
• Применение в реальном мире: в документе не
обсуждается производительность модели в
реальных сценариях, где фишинговые тактики
постоянно развиваются.
• Производительность на других наборах данных:
производительность модели была проверена на
двух контрольных наборах данных, но неясно, как
она будет работать на других наборах или в других
контекстах.
• Зависимость от функций: зависимость модели от
функций TF-IDF на уровне URL и символов может
ограничить её способность обнаруживать попытки
фишинга, использующие другие тактики. Документ под названием «cyber actors adapt tactics for
initial cloud access», опубликованный Агентством
• Вычислительные ресурсы: в документе не национальной безопасности (АНБ) предупреждает, об
обсуждаются вычислительные ресурсы, адаптации тактики для получения первоначального доступа
необходимые для реализации модели, что может к облачным сервисам, а не для использования уязвимостей
быть потенциальным ограничением для некоторых локальной сети.
пользователей.
Переход от локальных решений к облачным является
Предлагаемая модель имеет ряд ограничений с точки ответом на то, что организации модернизируют свои
зрения масштабируемости и производительности. системы и переходят на облачную инфраструктуру. Также
• Во-первых, зависимость модели от сетей долгой кибер-кампании расширяются в сторону таких секторов,
краткосрочной памяти (LSTM) может привести к как авиация, образование, секторов, связанных
неэффективности вычислений. Сети LSTM региональными и федеральными, а также
известны своими высокими требованиями к госучреждениями, правительственными финансовыми
вычислениям и памяти, что может ограничивать департаментами и военными организациями.
масштабируемость модели при работе с большими 1) Ключевые выводы
наборами данных или в приложениях реального • Адаптация к облачным сервисам: сместился
времени. фокус с эксплуатации уязвимостей локальной сети
19
Больше материалов: Boosty | Sponsr | TG
20
Больше материалов: Boosty | Sponsr | TG
21
Больше материалов: Boosty | Sponsr | TG
22
Больше материалов: Boosty | Sponsr | TG
23
Больше материалов: Boosty | Sponsr | TG
24
Больше материалов: Boosty | Sponsr | TG
25
Больше материалов: Boosty | Sponsr | TG
26
Больше материалов: Boosty | Sponsr | TG
РУБРИКА:
РАЗБОР
27
Больше материалов: Boosty | Sponsr | TG
ANTIPHISHSTACK
28
Больше материалов: Boosty | Sponsr | TG
29
Больше материалов: Boosty | Sponsr | TG
30
Больше материалов: Boosty | Sponsr | TG
31
Больше материалов: Boosty | Sponsr | TG
32
Больше материалов: Boosty | Sponsr | TG
Предлагаемая модель имеет ряд ограничений с точки • Эталонные наборы данных: использование
зрения масштабируемости и производительности. эталонных наборов данных для проверки модели
подчёркивает необходимость всеобъемлющих и
• Во-первых, зависимость модели от сетей долгой актуальных наборов данных в исследованиях
краткосрочной памяти (LSTM) может привести к кибербезопасности. Будущая работа может
неэффективности вычислений. Сети LSTM включать создание и поддержание наборов данных,
известны своими высокими требованиями к отражающих последние тенденции в области угроз.
вычислениям и памяти, что может ограничивать
масштабируемость модели при работе с большими G. Основной вклад в кибербезопасность
наборами данных или в приложениях реального • Независимость от предварительного знания
времени. функций: способность модели извлекать
информацию из строк URL в виде
• Во-вторых, двухэтапный подход модели, который последовательностей символов без необходимости
включает в себя обучение функций в базовом предварительного знания функций упрощает
классификаторе машинного обучения, а затем процесс обнаружения и делает его более
использование двухуровневой многоуровневой сети адаптируемым к новым и неизвестным
на основе LSTM, может потребовать много времени фишинговым атакам.
и вычислительных ресурсов. Это потенциально
может ограничить производительность модели в • Высокая способность к обобщению:
сценариях обнаружения фишинга в реальном использование в модели функций на основе
времени. символов URL для надёжного обобщения и
точности проверки в сочетании с интеграцией
• Наконец, хотя модель предназначена для работы без многоуровневых функций в нейронной сети
предварительного знания специфических функций повышает её эффективность при обобщении
фишинга, это также может быть ограничением. различных фишинговых угроз.
Модели может быть сложно точно обнаруживать
новые или изощренные попытки фишинга, которые • Независимость от экспертов по
используют функции, не учтённые при обучении. кибербезопасности и сторонних сервисов:
33
Больше материалов: Boosty | Sponsr | TG
34
Больше материалов: Boosty | Sponsr | TG
АНБ В ИСТЕРИКЕ.
ADAPTTACTICS
35
Больше материалов: Boosty | Sponsr | TG
36
Больше материалов: Boosty | Sponsr | TG
сервисов. Однако этот переход также создаёт новые качестве начальных векторов заражения. Подход
уязвимости и проблемы для кибербезопасности. предполагает попытку ввода нескольких паролей для
разных учётных записей или многочисленные
1) Стратегический переход к облаку попытки для одной учётной записи для получения
По мере того, как организации модернизировали свои несанкционированного доступа.
системы и переходили на облачную инфраструктуру,
участники адаптировали свои тактики, методы и процедуры • Первоначальный доступ / T1078.004
(TTP) к новой среде. Эта адаптация обусловлена Действительные учётные записи: Облачные
осознанием того, что облачные сервисы, централизуя учётные записи: получение доступа к облачным
огромные объёмы данных и ресурсов, представляют собой сервисам, используя скомпрометированные учётные
выгодную цель для шпионажа и сбора разведывательной данные: как системные учётные записи
информации. Облачная архитектура, предлагая (используемые для автоматизированных задач и
организациям многочисленные преимущества, также служб), так и неактивные учётные записи, учётные
требует переоценки стратегий безопасности для устранения которые все ещё остаются в системе.
уникальных уязвимостей.
• Доступ к учётным данным / T1528 Кража токена
2) Тактика, методы и процедуры (TTP) доступа к приложению: злоумышленники
Адаптация участников к облачным сервисам включает в используют украденные токены доступа для входа в
себя ряд сложных TTP, предназначенных для учётные записи без необходимости ввода паролей.
использования конкретных характеристик облачных сред. Токены доступа — это цифровые ключи, которые
Один из основных методов получения первоначального позволяют получить доступ к учётным записям
доступа к облачным сетям включает аутентификацию у пользователей. Их получение позволяет обойти
поставщика облачных услуг, что достигается различными традиционные механизмы входа в систему.
способами, включая подбор пароля и password-spray для
доступа к служебным и неактивным учётным записям. Эти • Доступ к учётным данным / Формирование
учётные записи, часто используемые для запуска запроса многофакторной аутентификации T1621:
приложений и управления ими без прямого контроля со метод «бомбардировка MFA» предполагает, что
стороны человека, особенно уязвимы, поскольку они могут злоумышленники неоднократно отправляют запросы
быть не защищены многофакторной аутентификацией MFA на устройство жертвы. Цель состоит в том,
(MFA) и обладать высокими уровнями привилегий. чтобы жертва приняла запрос и таким образом
предоставила злоумышленнику доступ.
Кроме того, было замечено, что использование для
аутентификации выданных системой токенов позволяет • Командование и контроль / T1090.002 Прокси:
убрать необходимость в паролях. Дополнительно Внешний прокси: чтобы поддерживать «тайные
использовался процесс регистрации новых устройств в операции и сливаться с обычным трафиком»,
облаке с обходом механизмов безопасности MFA, в используются открытые прокси, расположенные в
частности, с помощью таких методов, как «бомбардировка частных диапазонах IP-адресов, т.к. вредоносные
MFA», с целью случайного одобрения пользователем соединения сложнее отличить от легальной
одного из этих запросов как легитимного. Кроме того, активности пользователей в журналах доступа.
использование резидентных прокси-серверов для сокрытия • Постоянство / T1098.005 Манипулирование
своего присутствия в Интернете и затруднения учётными записями: Регистрация устройств:
обнаружения вредоносной деятельности представляет после получения доступа к учётным записям
собой ещё один уровень профессионального подхода. предпринимаются попытки зарегистрировать свои
3) Последствия собственные устройства в облачном клиенте.
Адаптация участников к целевым облачным сервисам Успешная регистрация устройства может обеспечить
имеет серьёзные последствия для кибербезопасности. Это постоянный доступ к облачной среде.
подчёркивает необходимость внедрения надёжных мер 1) Доступ через сервисные и спящие учётные записи
безопасности, адаптированных к облачной среде. Сюда Одна из ключевых стратегий, применяемых
входит применение политик надёжных паролей, внедрение злоумышленниками, предполагает нацеливание на
MFA, управление и мониторинг служебных и неактивных сервисные и неактивные учётные записи в облачных
учётных записей, а также настройка политик регистрации средах. Учётные записи служб используются для запуска
устройств для предотвращения несанкционированного приложений и служб и управления ими без прямого
доступа. Кроме того, корректировка срока действия взаимодействия с человеком. Эти учётные записи особенно
токенов, выпущенных системой, и использование средств уязвимы, поскольку их часто невозможно защитить с
защиты на уровне сети для обнаружения и предотвращения помощью многофакторной аутентификации (MFA), и они
использования резидентных прокси-серверов являются могут иметь высокопривилегированный доступ в
важными шагами в защите от этих угроз. зависимости от их роли в управлении приложениями и
D. Детали TTP: службами. Получив доступ к этим учётным записям,
злоумышленники могут получить привилегированный
• Доступ к учётным данным / подбор пароля T1110:
используются password-spray и подбор паролей в
37
Больше материалов: Boosty | Sponsr | TG
первоначальный доступ к сети, которую они используют в уменьшить окно возможностей для несанкционированного
качестве стартовой площадки для дальнейших операций. доступа, если токены будут скомпрометированы.
Кампании нацелены на неактивные учётные записи, 7) Обход аутентификации по паролю и MFA
пользователи которых больше не активны в организации- Отмечается, что обход аутентификации по паролю в
жертве, но не были удалены из системы. Эти учётные учётных записях с помощью повторного использования
записи могут быть использованы для восстановления учётных данных и password-spray. Метод предполагает
доступа к сети, особенно после мер реагирования на попытку получить доступ к большому количеству учётных
инциденты, таких как принудительный сброс пароля. Было записей с использованием часто используемых паролей, в
замечено, что субъекты входили в эти неактивные учётные то время как повторное использование учётных данных
записи и следовали инструкциям по сбросу пароля, что позволяет пользователям повторно использовать одни и те
позволяло им сохранять доступ даже после того, как группы же пароли для нескольких учётных записей
реагирования на инциденты пытались их «выселить».
Также применяется техника «бомбардировка MFA»
2) Аутентификация токена на основе облака (T1621), для обхода систем MFA. Метод предполагает
Ещё один TTP — это использование аутентификации на повторную отправку запросов MFA на устройство жертвы
основе облачных токенов. Замечено, что злоумышленники до тех пор, пока жертва, перегруженная постоянными
использовали выданные системой токены доступа для уведомлениями, не примет запрос. Метод эффективно
аутентификации в учётных записях жертв без использует человеческую психологию и неудобство
необходимости ввода пароля. Этот метод позволяет повторных уведомлений для обхода надёжных мер
обходить традиционные методы аутентификации на основе безопасности.
учётных данных и может быть особенно эффективным,
если срок действия этих токенов длительный, или если 8) Регистрация новых устройств в облаке
токены не защищены должным образом. После преодоления первоначальных барьеров
выполняется регистрация собственных устройств в
3) Брутфорс и password-spray качестве новых (T1098.005). Этот шаг имеет решающее
Использование злоумышленниками атаки (T1110) значение для сохранения доступа к облачной среде и
применяется в качестве начальных векторов заражения. облегчения дальнейших вредоносных действий. Успех
Метод включают попытку доступа к учётным записям тактики зависит от отсутствия строгих правил проверки
путём перебора множества паролей или использования устройств в конфигурации безопасности арендатора облака.
общих паролей для многих учётных записей Без надлежащих мер проверки устройств крайне легко
соответственно. Метод часто бывает успешен из-за добавить неавторизованные устройства в сеть, предоставив
использования слабых или повторно используемых паролей им доступ к конфиденциальным данным и системам.
для разных учётных записей.
9) Защита от несанкционированной регистрации
4) Роль токенов доступа устройств
Токены доступа являются неотъемлемой частью Внедряя строгие правила проверки устройств и
современных систем аутентификации, особенно в облачных политики регистрации, организации могут значительно
средах. Они предназначены для упрощения процесса входа снизить риск несанкционированной регистрации устройств.
в систему для пользователей и обеспечения безопасного Известны случаи, когда эти меры были эффективно
метода доступа к ресурсам без повторного ввода учётных применены, успешно защитили от злоумышленников,
данных. Токены выдаются после того, как пользователь лишив их доступа к арендатору облака.
входит в систему с именем и паролем, и их можно
использовать для последующих запросов аутентификации. 10) Резидентные прокси и их использование
Резидентные прокси — это промежуточные службы,
5) Риски, связанные с аутентификацией токенов которые позволяют пользователям маршрутизировать
Хотя аутентификация на основе токенов может трафик через IP-адрес, предоставленный интернет-
обеспечить удобство и безопасность, она также создаёт провайдером (ISP), который обычно присваивается
определённые риски, если ею не управлять должным резидентному адресу. Из-за этого трафик выглядит так, как
образом. Если злоумышленники получат эти токены, они будто он исходит от обычного пользователя, что может
смогут получить доступ к учётным записям без быть особенно полезно для целей слиться с обычным
необходимости знания пароли, особенно если токены трафиком и избежать раскрытия.
имеют длительный срок действия.
Использование резидентных прокси-серверов служит
6) Настройка срока действия токена целью сокрытия истинного местонахождения и источника
Отмечается, что время действия токенов, выпущенных их вредоносной деятельности. Создавая впечатление, что
системой, по умолчанию может варьироваться в их трафик исходит из диапазонов легитмных провайдеров.
зависимости от используемой системы. Однако для Тактика усложняет обеспечение безопасности, которые
облачных платформ крайне важно предоставить полагаются на репутацию IP-адреса или геолокацию как на
администраторам возможность регулировать время индикаторы компрометации.
действия этих токенов в соответствии с их потребностями в
безопасности. Сокращение срока действия токенов может 11) Проблемы, создаваемые резидентными прокси
38
Больше материалов: Boosty | Sponsr | TG
39
Больше материалов: Boosty | Sponsr | TG
• Управление идентификацией и доступом (IAM). необычные модели доступа или попытки входа в
В облачных средах IAM становится важнейшим систему, которые могут указывать на попытку
компонентом безопасности. Организации должны взлома.
обеспечить надёжность политик IAM и
G. Расширение сферы деятельности
предоставление разрешений на основе принципа
наименьших привилегий, чтобы минимизировать 1) Расширение таргетинга
риск первоначального доступа со стороны Стратегическое расширение деятельности на более
неавторизованных лиц. широкий круг секторов является тревожным событием в
сфере глобальной безопасности. Такая диверсификация
• Фишинг и социнженерия. используются методы целей отражает расчётливый подход к использованию
фишинга и социальной инженерии для получения взаимосвязанного характера современных отраслей и
первоначального доступа. Эти методы используют растущей зависимости от облачных сервисов в различных
человеческий фактор, а не технические уязвимости, секторах.
что затрудняет защиту от них с помощью
традиционных мер безопасности. 2) Расширение сферы шпионажа
Расширение таких секторов, как авиация, образование,
4) Примеры методов первоначального доступа правоохранительные органы, местные и федеральные
• Credential Stuffing. Метод предполагает учреждения, правительственные финансовые ведомства и
использование ранее взломанных пар имени военные организации, демонстрирует их намерение
пользователя и пароля для получения собирать разведданные из широкого спектра источников.
несанкционированного доступа к учётным записям, Широкая стратегия таргетинга предполагает, что они
делая ставку на вероятность того, что люди будут заинтересованы не только в традиционной информации,
повторно использовать учётные данные в связанной с национальной безопасностью, но также в
нескольких службах. получении разнообразного набора данных, которые могут
• Использование некорректных конфигураций. обеспечить экономические, политические или
Облачные сервисы сложно настроить правильно, и технологические преимущества.
используются некорректные конфигурации: 3) Последствия для различных секторов
открытые сетевые сегменты или ошибки в • Авиация. Авиационная отрасль включает в себя
настройке управления доступом. сложную экосистему авиакомпаний, аэропортов,
• Компрометация сторонних сервисов. производителей и служб поддержки, каждая из
Злоумышленники могут атаковать сторонние которых обрабатывает конфиденциальные данные,
сервисы, которые интегрируются с облачными связанные с национальной безопасностью и
средами, например приложения SaaS, чтобы запатентованными технологиями.
получить первоначальный доступ к облачной • Образование. Университеты и исследовательские
инфраструктуре. институты являются источниками передовых
5) Снижение рисков первоначального доступа исследований и интеллектуальной собственности.
• Комплексные политики доступа. Установление и Их часто таргетируют за новаторскую работу в
соблюдение комплексных политик доступа может области науки, технологий и обороны.
помочь контролировать, кто и на каких условиях • Правоохранительные органы. организации
имеет доступ к облачным ресурсам. хранят конфиденциальные данные об уголовных
• Регулярные аудиты и проверки. Проведение расследованиях, вопросах национальной
регулярных аудитов и проверок журналов доступа и безопасности и личную информацию граждан, что
разрешений может помочь выявить и устранить делает их ценной целью для шпионажа.
потенциальные уязвимости до того, как они будут • Местные и федеральные учреждения. Органы
использованы. местного и федерального самоуправления
• Обучение по вопросам безопасности. Обучение управляют критически важной инфраструктурой,
сотрудников рискам фишинга и социальной госуслугами и имеют доступ к огромным объёмам
инженерии может снизить вероятность персональных данных, которые могут быть
компрометации учётных данных. использованы для различных злонамеренных целей.
40
Больше материалов: Boosty | Sponsr | TG
41
Больше материалов: Boosty | Sponsr | TG
42
Больше материалов: Boosty | Sponsr | TG
43
Больше материалов: Boosty | Sponsr | TG
44
Больше материалов: Boosty | Sponsr | TG
АНБ В ИСТЕРИКЕ.
UBIQUITI EDGEROUTERS
45
Больше материалов: Boosty | Sponsr | TG
ОС для установки инструментов и сокрытия своей
личности.
APT28 также развернула пользовательские скрипты
Python на скомпрометированных маршрутизаторах для
сбора и проверки украденных данных учётной записи веб-
почты, полученных с помощью межсайтовых скриптов и
кампаний фишинга "браузер в браузере". Кроме того, они
использовали критическую уязвимость с повышением
привилегий на нулевой день в Microsoft Outlook (CVE-
2023–23397) для сбора данных NTLMv2 из целевых
учётных записей Outlook и общедоступные инструменты
для оказания помощи в атаках с ретрансляцией NTLM
B. Ключевые моменты
• APT28 (известные как Fancy Bear, Forest Blizzard и
Strontium) использовали скомпрометированные
серверы Ubiquiti EdgeRouters для проведения
вредоносных киберопераций по всему миру.
• Эксплуатация включает сбор учётных данных, сбор
дайджестов NTLMv2, проксирование сетевого
трафика, а также размещение целевых страниц для
фишинга и пользовательских инструментов.
Аннотация –представлен анализ документа, опубликованного
на официальном сайте Минобороны США, описывающего • ФБР, АНБ, киберкомандование США и
использование скомпрометированных маршрутизаторов международные партнеры выпустили совместное
Ubiquiti EdgeRouters по всему миру. консультативное заключение по кибербезопасности
Этот анализ предоставляет качественную выжимку (CSA) с подробным описанием угрозы и
документа, делая его доступным для широкой аудитории, рекомендациями по ее устранению.
включая специалистов по кибербезопасности, сетевых
администраторов и руководителей ИТ-отделов. Он
• Рекомендации включают наблюдаемые тактики,
позволяет понять угрозы APT28, что даёт возможность методы и процедуры (TTP), индикаторы
разработать эффективные стратегии защиты, методы компрометации (IoC) для сопоставления с системой
идентификации и реагирования в сетевом оборудовании), а MITRE ATT&CK framework.
также стратегический взгляд на управление рисками и
необходимость внедрения рекомендаций по смягчению угрозы • В рекомендациях содержится настоятельный
для защиты организационной инфраструктуры. призыв к немедленным действиям по устранению
угрозы, включая выполнение заводских настроек
A. Введение оборудования, обновление встроенного ПО,
Документ под названием “Cyber Actors Use изменение учётных данных по умолчанию и
Compromised Routers to Facilitate Cyber Operations”, внедрение стратегических правил брандмауэра.
опубликованный ФБР, АНБ, киберкомандованием США и
• APT28 использует скомпрометированные
международными партнёрами предупреждает об
EdgeRouters как минимум с 2022 года для
использовании скомпрометированных маршрутизаторов
содействия операциям против различных отраслей
Ubiquiti EdgeRouters для облегчения вредоносных
промышленности и стран, включая США.
киберопераций по всему миру.
Популярность Ubiquiti EdgeRouters объясняется • EdgeRouters популярны благодаря своей удобной
удобной в использовании ОС на базе Linux, учётными операционной системе на базе Linux, но часто
данными по умолчанию и ограниченной защитой поставляются с учётными данными по умолчанию и
брандмауэром. Маршрутизаторы часто поставляются с ограниченной защитой брандмауэром.
небезопасными конфигурациями по умолчанию и не • В рекомендациях содержатся подробные TTP и IOC,
обновляют прошивку автоматически. которые помогут сетевым защитникам
Скомпрометированные EdgeRouters использовались идентифицировать угрозу и смягчить ее
APT28 для сбора учётных данных, дайджестов NTLMv2, последствия.
сетевого трафика прокси-сервера и размещения целевых • Рекомендация также включает информацию о том,
страниц для фишинга и пользовательских инструментов. как сопоставить вредоносную киберактивность с
APT28 получила доступ к маршрутизаторам, используя платформой MITRE ATT&CK framework.
учётные данные по умолчанию, и троянизировала
серверные процессы OpenSSH. Наличие root-доступ к
скомпрометированным маршрутизаторам, дало доступ к
46
Больше материалов: Boosty | Sponsr | TG
• Организации, использующие Ubiquiti EdgeRouters, OpenSSH троянскими версиями, APT28 могут
должны принять немедленные меры для защиты поддерживать постоянный доступ к скомпрометированным
своих устройств от использования APT28. EdgeRouters и использовать их в различных вредоносных
целях.
• Рекомендуемые действия включают сброс
оборудования к заводским настройкам, обновление 2) Ботнет на базе Mirai
до последней версии прошивки, изменение имен Moobot – это ботнет на базе Mirai и является
пользователей и паролей по умолчанию и внедрение производным от Mirai, которая впервые появилась в 2016
стратегических правил брандмауэра. году. Mirai был предназначен для сканирования и
заражения IoT-устройств путём использования
C. Активность группы распространённых уязвимостей и учётных данных по
Операции были нацелены на различные отрасли, умолчанию. Как только устройство заражено, оно
включая аэрокосмическую и оборонную, образование, становится частью ботнета и может использоваться для
энергетику и коммунальные услуги, госсектор, распределённых атак типа "отказ в обслуживании" (DDoS),
гостиничный бизнес, нефть и газ, розничную торговлю, credential stuffing и других вредоносных действий.
технологии и транспорт. Целевые страны включают
Чешскую Республику, Италию, Литву, Иорданию, 3) Воздействие на маршрутизаторы EdgeRouters
Черногорию, Польшу, Словакию, Турцию, Украину, При наличии троянизированных процессов OpenSSH
Объединённые Арабские Эмираты и США APT28 могут поддерживать постоянный доступ к
скомпрометированным маршрутизаторы и использовать их
Потенциальные последствия воздействия включают: в качестве платформы для вредоносных действий:
• Утечка данных и кража конфиденциальной • Сбор учётных данных
информации, интеллектуальной собственности или
коммерческой тайны. • Сбор дайджестов NTLMv2
• Нарушение работы критически важных объектов • Проксирование сетевого трафика
инфраструктуры, таких как электросети, • Размещение целевых страниц для защиты от
транспортные системы или производственные фишинга и пользовательских инструментов
процессы.
E. Доступ с учётными данными через скрипты Python
• Компрометация правительственных сетей и систем,
потенциально ведущая к шпионажу или угрозам APT28 размещали скрипты Python на
национальной безопасности. скомпрометированных Ubiquiti EdgeRouters для сбора и
проверки украденных учётных данных учётной записи веб-
• Финансовые потери из-за сбоев в работе, кражи почты. Эти сценарии обычно хранятся вместе со
данных клиентов или ущерба репутации. связанными файлами журналов в домашнем каталоге
скомпрометированного пользователя, например:
• Потенциальные риски для безопасности в случае
взлома систем управления или сетей операционных • /home/<compromised user>/srv/core.py
технологий (OT).
• /home/<compromised user>/srv/debug.txt
• Потеря доверия клиентов и доверия к пострадавшим
организациям. ФБР заявило о восстановлении подробных файлов
журналов, содержащие информацию об активности APT28
D. OpenSSH-Троян Moobot на скомпрометированных EdgeRouters.
APT28 использовали учётные данные по умолчанию и 1) Пользовательские скрипты на Python
троянизированные серверные процессы OpenSSH для Размещённые крипты Python служат для сбора и
доступа к Ubiquiti EdgeRouters, связанеые с Moobot, проверки украденных данных учётной записи веб-почты.
ботнетом на базе Mirai, который заражает устройства APT28 используют эти скрипты как часть своих операций
Интернета вещей (IoT) с использованием уязвимостей, сбора учётных данных, нацеленных на конкретных
которые можно использовать удалённо, таких как слабые пользователей веб-почты.
пароли или пароли по умолчанию.
Скрипты предназначены для автоматического
1) Троянские файлы OpenSSH-сервера устранения проблем с капчей на страницах входа в веб-
Троянские бинарные OpenSSH, загруженные с почту, позволяя атакующим обойти эту меру безопасности
packinstall[.]kozow [.]com, заменили оригинальные и получить несанкционированный доступ к целевым
бинарные файлы на EdgeRouters с целью удалённо обходить учётным записям. Чтобы достичь этого, скрипты
аутентификацию и получать несанкционированный доступ устанавливают соединения с API endpoint api[.]anti-
к скомпрометированным маршрутизаторам. captcha[.]com, который используется APT28 для решения
Ботнет Moobot известен своей способностью проблем с капчей.
использовать уязвимости в устройствах Интернета вещей, 2) Yara-правила для обнаружения
особенно с ненадёжными паролями или паролями по
умолчанию. Заменяя законные двоичные файлы сервера
47
Больше материалов: Boosty | Sponsr | TG
Чтобы помочь найти скрипты сбора учётных данных на • Применение исправления Microsoft: Microsoft
скомпрометированных EdgeRouters, ФБР разработало выпустила исправление для CVE-2023–23397.
правило Yara. Yara – это инструмент, используемый для
идентификации и классификации вредоносных программ • Проверка на наличие скомпрометированных
на основе текстовых или двоичных шаблонов. EdgeRouters: необходимо использовать
Предоставленное ФБР правило Yara можно использовать предоставленную информацию для проверки
для сканирования файловой системы EdgeRouters и EdgeRouters на наличие ntlmrelayx.py, связанных с
обнаружения присутствия скриптов Python. ними файлов журналов, провести идентификацию и
изоляцию всех скомпрометированных
Помимо использования правила Yara, можно также маршрутизаторов для дальнейшего расследования.
запрашивать сетевой трафик на предмет подключений к
api[.]anti-captcha[.]com endpoint. Обнаружение трафика, • Сброс скомпрометированных учётных данных:
направленного к этому API, может помочь выявить при обнаружении утечки учётных данных NTLMv2
скомпрометированные EdgeRouters и потенциальные следует сбросить соответствующие учётные записи
действия по сбору учётных данных. пользователей и применить дополнительные меры
безопасности, такие как MFA.
3) Смягчение последствий
При обнаружении наличия скриптов или подключений • Применение рекомендуемых мер по устранению
к api[.]anti-captcha[.]com endpoint сетевые необходимо неполадок: меры по устранению включают сброс
предпринять немедленные действия для снижения риска и настроек оборудования к заводским настройкам,
исследовать степень компрометации. Изоляция затронутых обновление до последней версии встроенного ПО и
маршрутизаторов Edge от сети изменение имён пользователей и паролей по
умолчанию.
• Выполнение тщательного анализа сценариев и
файлов журналов для понимания объема операций по G. Прокси-сервер и туннельная инфраструктура
сбору учётных данных APT28 использовали скомпрометированные Ubiquiti
EdgeRouters для установления прокси-соединений и SSH-
• Сброс паролей для потенциально туннелей к подконтрольной инфраструктуре для
скомпрометированных учётных записей веб-почты поддержания постоянного доступа и контроля над
F. Эксплуатация CVE-2023-23397 скомпрометированными устройствами даже после смены
пароля или других попыток взлома.
APT28 использовали CVE-2023–23397, уязвимость с
критическим повышением привилегий в Microsoft Outlook 1) Reverse proxy-подключения
в Windows, для облегчения утечки учётных данных Были использованы правила iptables в EdgeRouters для
NTLMv2. Эта 0day-уязвимость позволяет передавать хэши установления подключений, например:
Net-NTLMv2 в подконтрольную инфраструктуру.
1) Сбор учётных данных NTLMv2 iptables -t nat -I PREROUTING -d <router IP
Для использования CVE-2023–23397 и сбора учётных address> -p tcp -m tcp --dport 4443 -j DNAT -to-
данных NTLMv2 использованы два общедоступных destination <APT28 dedicated infrastructure>:10081
инструмента:
• ntlmrelayx.py: инструмент является частью Impacket Это правило iptables перенаправляет входящий трафик
suite, набора классов Python для работы с сетевыми через порт 4443 EdgeRouter в выделенную инфраструктуру
протоколами. APT28 использовали ntlmrelayx.py для на порту 10081.
выполнения relay-атак NTLM [T1557] и облегчения 2) Reverse SSH-туннели
утечки учётных данных NTLMv2. Кроме того, APT28 загрузили контролируемые SSH-
• Responder: инструмент, предназначенный для сбора RSA-ключи на скомпрометированные EdgeRouters для
и передачи хэшей NTLMv2 путём настройки создания SSH-туннелей. Эти туннели позволяют получать
подконтрольного сервера аутентификации [T1556] доступ к скомпрометированным устройствам даже после
для сбора учётных данных NTLMv2 от целевых смены пароля или других попыток взлома.
учётных записей Outlook. Следующие каталоги необходимо просмотреть на
Безопасники могут выполнять поиск файлов журналов, предмет неизвестных ключей RSA:
а также наличия ntlmrelayx.py и Responder.db, Responder- • /root/.ssh/
Session.log для выявления потенциальной активности,
связанной с эксплуатацией CVE-2023–23397. • /home/<user>/.ssh/
2) Смягчение последствий Наличие неизвестных ключей RSA в этих каталогах
Чтобы снизить риск использования CVE-2023–23397 и может указывать на то, что их использовали для доступа к
утечки учётных данных NTLMv2 следует предпринять EdgeRouters в обход аутентификации по паролю.
следующие шаги:
48
Больше материалов: Boosty | Sponsr | TG
Кроме того, безопасники могут проверить журналы предотвращать выполнение MASEPIE и других
сетевого трафика на EdgeRouters для идентификации вредоносных скриптов Python или бэкдоров.
аномальные сеансы SSH:
• Мониторинг сетевого трафика: отслеживание
сетевого трафика на предмет любых
ssh –i <RSA key> -p <port> root@<router IP подозрительных зашифрованных сообщений или
address> -R <router IP address>:<port> подключений к известной инфраструктуре, включая
скомпрометированные EdgeRouters.
Эта команда устанавливает SSH-туннель от EdgeRouter • Анализ сетевых журналов: просмотр сетевых
к инфраструктуре, позволяя поддерживать удалённый журналов на предмет признаков зашифрованных
доступ и контроль над скомпрометированным устройством. сообщений или подключений к EdgeRouters,
H. Вредоносная программа MASEPIE которые могут действовать как серверы C2.
В декабре 2023 года APT28 разработали MASEPIE, I. TTPs MITRE ATT&CK
небольшой бэкдор на Python, способный выполнять
1) Разработка:
произвольные команды на машинах-жертвах.
T1587 (разработка): создание пользовательских Py-
Расследование ФБР показало, что скомпрометированные
скриптов для сбора учётных данных в т.ч веб-почты.
Ubiquiti EdgeRouters были использованы в качестве C2-
инфраструктуры для бэкдоров MASEPIE. T1588 (возможности получения): доступ к
EdgeRouters, скомпрометированным ботнетом Moobot,
1) Командно-контрольная инфраструктура который устанавливает троянские программы OpenSSH.
Хотя APT28 не развёртывает MASEPIE на самих
EdgeRouters, скомпрометированные маршрутизаторы 2) Первоначальный доступ:
использовались в качестве инфраструктуры C2 для связи с T1584 (скомпрометированная инфраструктура):
бэкдорами MASEPIE и контроля над ними, доступ к EdgeRouters, ранее скомпрометированным
установленными в системах, принадлежащих целевым троянцем OpenSSH.
лицам и организациям.
T1566 (фишинг): межсайтовые скриптовые кампании и
Данные, отправляемые на EdgeRouters, действующие фишинговые кампании "браузер в браузере".
как серверы C2, были зашифрованы с использованием
случайно сгенерированного 16-символьного ключа AES, 3) Выполнение:
для затруднения обнаружения и анализа трафика. T1203 (Использование для выполнения клиентом):
использование уязвимости CVE-2023-23397.
2) Функциональность бэкдора MASEPIE
MASEPIE – это бэкдор на основе Python, который 4) Закрепление:
позволяет выполнять произвольные команды в заражённых T1546 (выполнение, инициируемое событием): На
системах. Этот бэкдор предоставляет возможности скомпрометированных маршрутизаторах были размещены
удалённого управления для выполнения действий: скрипты Bash и двоичные файлы ELF, предназначенные для
бэкдора демонов OpenSSH и связанных с ними служб.
• эксфильтрация данных
5) Доступ с учётными данными:
• распространение внутри скомпрометированной T1557 (Злоумышленник посередине): инструменты
сети Impacket ntlmrelayx.py и Responder, на
скомпрометированные маршрутизаторы для выполнения
• развёртывание дополнительных вредоносных
ретрансляционных атак NTLM.
программ или инструментов
T1556 (Изменение процесса аутентификации):
• выполнение команд разведки и сбора разведданных серверы аутентификации-мошенники NTLMv2 для
3) Смягчение последствий изменения процесса аутентификации с использованием и
Чтобы снизить риск появления бэкдоров MASEPIE и передачей украденных учётных данных.
использования скомпрометированных EdgeRouters в 6) Сбор данных:
качестве C2-инфраструктуры, следует предпринять T1119 (автоматический сбор): APT28 использовал
следующие шаги: CVE-2023-23397 для автоматизации сбора хэшей NTLMv2.
• Внедрение защиты конечных устройств: 7) Эксфильтрация данных:
развёртывание решений для защиты конечных
T1020 (автоматизир2023–23397 сфильтрация):
устройств, способных обнаруживать и
использование CVE-2023-23397 для автоматизации
эксфильтрации данных в подконтрольную инфраструктуру.
49
Больше материалов: Boosty | Sponsr | TG
АНБ В ИСТЕРИКЕ.
SOHO
50
Больше материалов: Boosty | Sponsr | TG
• Распространённые уязвимости: Значительное
количество уязвимостей, общее число которых
составляет 226, было выявлено в популярных
брендах маршрутизаторов SOHO. Эти уязвимости
различаются по степени серьёзности, но в
совокупности представляют существенную угрозу.
• Устаревшие компоненты: Основные компоненты,
такие как ядро Linux, и дополнительные службы,
такие как VPN, в этих маршрутизаторах устарели.
Это делает их восприимчивыми к известным
эксплойтам уязвимостей, которые уже давно стали
достоянием общественности.
• Небезопасные настройки по умолчанию: Многие
маршрутизаторы поставляются с простыми
паролями по умолчанию и отсутствием шифрования
соединений, чем пользуются злоумышленники.
• Отсутствие security-by-design: Маршрутизаторам
SOHO часто не хватает ряда функций безопасности,
например возможностей автоматического
обновления и отсутствия эксплуатируемых
проблем, особенно в интерфейсах веб-управления.
Аннотация – В документе представлен подробный анализ
угроз, возникающих при использовании небезопасных • Доступность интерфейсов управления:
маршрутизаторов для малого офиса / домашнего офиса Производители часто создают устройства с
(SOHO). Анализ охватывает различные аспекты, включая интерфейсами управления, с доступом через
проблемы безопасности и эксплойты, воздействие на Интернет по умолчанию, часто без уведомления
критическую инфраструктуру. клиентов об этой небезопасной конфигурации.
В документе предлагается качественная сводка текущего • Отсутствие прозрачности и подотчётности:
состояния безопасности маршрутизаторов SOHO, в которой производители не обеспечивают прозрачность
подчёркиваются риски, создаваемые небезопасными
путём раскрытия уязвимостей продукта с помощью
устройствами, и шаги, которые можно предпринять для
снижения этих рисков. Анализ полезен специалистам по программы CVE и точной классификации этих
безопасности, производителям и различным отраслям уязвимостей с использованием CWE
промышленности, обеспечивая всестороннее понимание угроз
• Пренебрежение безопасностью в пользу удобства
и руководящих принципов повышения безопасности
маршрутизаторов SOHO. и функциональных возможностей:
Производители отдают предпочтение простоте
A. Введение использования и широкому спектру функций, а не
Эксплуатация небезопасных маршрутизаторов SOHO безопасности, что приводит к созданию
злоумышленниками, особенно группами, спонсируемыми маршрутизаторов, которые "недостаточно
государством, представляет значительную угрозу для безопасны" прямо из коробки, без учёта
отдельных пользователей и критически важной возможности эксплуатации.
инфраструктуры. Производителям настоятельно • Небрежность пользователей: Многие
рекомендуется применять принципы security by-design, пользователи, включая ИТ-специалистов, не
privacy-by-design и методы повышения прозрачности для соблюдают базовые правила безопасности, такие
снижения этих рисков, в то время как пользователям и как смена паролей по умолчанию или обновление
безопасникам рекомендуется внедрять передовые методы встроенного программного обеспечения, оставляя
обеспечения безопасности маршрутизаторов и сохранять маршрутизаторы уязвимыми для атак.
бдительность в отношении потенциальных угроз.
• Сложность идентификации уязвимых устройств:
B. Проблема небезопасных маршрутизаторов soho Идентификация конкретных уязвимых устройств
Причины небезопасных маршрутизаторов SOHO является сложной из-за юридических и технических
многогранны, включая как технические уязвимости, так и проблем, усложняющих процесс их устранения.
ошибки производителей в методах безопасного
проектирования и разработки, а также небрежность C. Сектора / Отрасли
пользователей при обеспечении безопасности Эксплуатация небезопасных маршрутизаторов SOHO
маршрутизаторов. представляет серьёзную угрозу во многих секторах, что
подчёркивает необходимость улучшения методов
. обеспечения безопасности.
51
Больше материалов: Boosty | Sponsr | TG
1) Коммуникации конфиденциальную информацию и критически
• Утечки данных и перехват данных: важные услуги
небезопасные маршрутизаторы могут привести к D. Основные выводы об использующих небезопасные
несанкционированному доступу к сетевому
маршрутизаторы SOHO
трафику, позволяя злоумышленникам
перехватывать конфиденциальные сообщения. • Эксплуатация группами, спонсируемыми
государством: Спонсируемая Китайской Народной
• Нарушение работы служб: Республикой (КНР) Volt Typhoon group активно
скомпрометированные маршрутизаторы могут компрометирует маршрутизаторы SOHO, используя
использоваться для запуска распределённых атак проблемы ПО, который затем используются в
типа "Отказ в обслуживании" (DDoS), качестве стартовых площадок для дальнейшей
нарушающих работу служб связи. компрометации критически важных объектов
2) Транспорт и Логистика инфраструктуры США.
Уязвимость инфраструктуры: транспортный сектор в • Воздействие на критически важную
значительной степени полагается на сетевые системы для инфраструктуру: Взломанные маршрутизаторы
выполнения операций. Скомпрометированные SOHO представляют серьёзную угрозу, поскольку
маршрутизаторы могут позволить злоумышленникам они могут использоваться для распространения
нарушить работу систем управления трафиком и внутри сетей и дальнейшего подрыва критически
логистических операций. важных секторов инфраструктуры в США, включая
3) Водоснабжение связь, энергетику, транспорт и водоснабжение.
Операционные технологии (ОТ): небезопасные • ZuoRAT Campaign: Выявлена ZuoRAT кампания с
маршрутизаторы предоставляют злоумышленникам шлюз использованием заражённых маршрутизаторов
для атак на системы ОТ в секторе водоснабжения, что SOHO, где задействован троян, предоставляющий
потенциально влияет на системы очистки и распределения удалённый доступ и позволяющий сохранять
воды. незаметное присутствие в целевых сетях и для сбора
4) Энергетика конфиденциальную информацию.
Сетевая безопасность: Энергетический сектор, • Формирована ботнета: скомпрометированные
особенно предприятия электроэнергетики, подвержены маршрутизаторы могут быть задействованы в
риску целенаправленных атак через небезопасные ботнетах, крупных сетях заражённых устройств,
маршрутизаторы. Злоумышленники могли получить доступ используемых для запуска распределённых атак
к системам управления, создавая угрозу стабильности типа "отказ в обслуживании" (DDoS), кампаний
электросети. рассылки спама и других вредоносных действий.
5) Другие отрасли • Атаки типа "MITM": использование уязвимости в
• Здравоохранение: Небезопасные маршрутизаторы маршрутизаторах для перехвата данных,
могут скомпрометировать данные пациентов и проходящих по сети, и манипулирования ими, что
нарушить работу медицинских служб, приводит к утечке данных, краже личных данных и
предоставляя злоумышленникам доступ к сетям шпионажу.
здравоохранения.
1) TTPs
• Розничная торговля и гостиничный бизнес: Эти • Вредоносное ПО KV Botnet: Volt Typhoon
сектора уязвимы для утечки данных, связанных с внедрили вредоносное ПО KV Botnet в устаревшие
информацией о клиентах и финансовыми маршрутизаторы Cisco и NETGEAR SOHO, которые
транзакциями, из-за небезопасных сетевых больше не поддерживаются исправлениями
устройств. безопасности или обновлениями ПО.
• Промышленность: Промышленные системы • Сокрытие источника: совершая действия через
управления могут быть взломаны через маршрутизаторы SOHO, возможно скрывать
небезопасные маршрутизаторы, что влияет на происхождение действий из КНР, что усложняет
производственные линии и производственные обнаружение и атрибуцию атак.
процессы.
• Нацеливание на электронные письма: замечено,
• Образование: Школы и университеты что Volt Typhoon нацеливались на электронные
подвержены риску утечки данных и сбоев в письма ключевых сетевых и ИТ-сотрудников, чтобы
предоставлении образовательных услуг. получить первоначальный доступ к сетям.
• Государственный и общественный сектор: • Использование мульти прокси-серверов: для C2-
небезопасные маршрутизаторы могут привести к инфраструктуры участники используют multi-hop
несанкционированному доступу к прокси-серверы, обычно состоящие из VPS или
правительственным сетям, подвергая риску маршрутизаторов SOHO.
52
Больше материалов: Boosty | Sponsr | TG
• Методы LOTL: вместо того, чтобы полагаться на 3) Общественный и потребительский спрос на
вредоносное ПО для выполнения после безопасность
компрометации, Volt Typhoon использовали В современную цифровую эпоху безопасность сетевых
встроенные инструменты и процессы в системах, устройств стала первостепенной заботой как для населения,
стратегию, известную как LOTL, для закрепления и так и для бизнеса. Такая повышенная осведомлённость
расширения доступа к сетям жертв. обусловлена растущим числом громких кибератак и утечек
данных, которые подчеркнули уязвимости, присущие
2) Воздействие и ответные меры
подключённым устройствам. В результате растёт спрос со
• Нарушение работы критически важной стороны потребителей и общественности на то, чтобы
инфраструктуры: Эксплуатация маршрутизаторов производители уделяли приоритетное внимание
представляет значительную угрозу, поскольку безопасности в своих продуктах.
потенциально может нарушить работу основных
служб, предоставляемых секторами критически a) Факторы, определяющие спрос
важной инфраструктуры. • Повышение осведомлённости о киберугрозах:
• Федеральный ответ: ФБР и Министерство Широкая общественность и предприятия становятся
юстиции провели операции по нарушению работы все более осведомлёнными о рисках, связанных с
ботнета KV путем удаленного удаления киберугрозами, включая потенциальные финансовые
вредоносного ПО с заражённых маршрутизаторов и потери, нарушения конфиденциальности и сбои в
принятия мер по разрыву их соединения с ботнетом. работе сервисов.
53
Больше материалов: Boosty | Sponsr | TG
повлияют на функциональность или предназначенные для защиты от известных и
производительность устройства. возникающих угроз
4) Ответственность производителей b) Реализация в маршрутизаторах SOHO
a) Основные элементы Secure by Design • Автоматические обновления: Реализация
• Безопасность как основополагающее механизмов автоматического обновления
требование: Безопасность следует рассматривать встроенного программного обеспечения для
как основное требование, аналогичное обеспечения того, чтобы на маршрутизаторах всегда
функциональности, удобству использования и работала последняя версия с самыми последними
производительности на этапе всего жизненного исправлениями безопасности. Это снижает
цикла. зависимость от ручного обновления устройств.
54
Больше материалов: Boosty | Sponsr | TG
• Поддержка по окончании срока службы: используют незашифрованные соединения,
Решающее значение имеет чёткое информирование о которыми могут легко воспользоваться
политике по окончании срока службы (EOL) для злоумышленники.
продуктов и предоставление поддержки и
обновлений на протяжении всего жизненного цикла • Скомпрометированные устройства и данные:
продукта. Для устройств, которые больше не После взлома маршрутизатора все устройства,
поддерживаются, производителям следует защищенные его брандмауэром, становятся
предоставить рекомендации по безопасной уязвимыми, позволяя злоумышленникам
утилизации или замене. отслеживать, перенаправлять, блокировать или
изменять данные.
c) Последствия для производителей
• Риск для критической инфраструктуры:
• Баланс между безопасностью и удобством скомпрометированные маршрутизаторы SOHO
использования: Одной из проблем при могут использоваться для атаки на критическую
реализации принципов Secure by Design является инфраструктуру США, потенциально нарушая
поддержание удобства использования. Меры работу основных служб в секторах связи, энергетики,
безопасности не должны чрезмерно усложнять транспорта и водоснабжения.
работу пользователя.
• Отказ в обслуживании и перехват трафика:
• Финансовые издержки: Разработка безопасных Уязвимости в протоколах могут приводить к атакам
продуктов может повлечь за собой типа "отказ в обслуживании" против служб хоста и
дополнительные расходы. Однако долгосрочные перехвату как внутреннего, так и внешнего трафика.
выгоды от снижения риска взломов и атак
оправдывают эти инвестиции. • Перехват и кибератаки: Злоумышленники могут
перехватывать трафик и запускать дальнейшие
• Непрерывное развитие: Обеспечение сетевые атаки, затрудняя пользователям
безопасности — это не разовое мероприятие, оно обнаружение взлома из-за минимальных
требует постоянного внимания для адаптации к пользовательских интерфейсов маршрутизатора.
новым угрозам и уязвимостям.
• Отсутствие методов обеспечения безопасности:
• Укрепление доверия: Уделяя приоритетное Исследования показывают, что многие пользователи,
внимание безопасности, производители получают включая ИТ-специалистов, не соблюдают базовые
возможность укреплять доверие клиентов, методы обеспечения безопасности, такие как смена
продукцию на конкурентном рынке. паролей по умолчанию или обновление встроенного
• Глобальная цепочка поставок: Маршрутизаторы программного обеспечения, что делает
SOHO часто производятся как часть сложной маршрутизаторы уязвимыми для атак.
глобальной цепочки поставок. Обеспечение • Потенциал для широкомасштабной
безопасности по всей этой цепочке, от эксплуатации: Само количество уязвимых
производителей компонентов до окончательной устройств, исчисляемое миллионами, указывает на
сборки, требует координации и соблюдения значительный потенциал для широкомасштабной
передовых методов обеспечения безопасности на эксплуатации злоумышленниками.
каждом этапе.
• Юридические и технические проблемы:
E. Последствия атак на маршрутизаторы Идентификация конкретных уязвимых устройств
• Распространённые уязвимости: Значительное является сложной задачей из-за юридических и
количество уязвимостей, всего около 226 в технических проблем, что усложняет процесс
совокупности представляют существенную угрозу устранения этих уязвимостей.
безопасности.
• Повышенная осведомлённость, но постоянные
• Устаревшие компоненты: Основные компоненты, риски: несмотря на растущую осведомлённость и
такие как ядро Linux, и дополнительные службы, усилия по повышению безопасности
такие как VPN, устарели, что делает их уязвимыми маршрутизаторов SOHO, многие известные
для известных эксплойтов. недостатки остаются не устраненными, а
продолжают обнаруживаться новые уязвимости
• Пароли по умолчанию и незашифрованные
соединения: Многие маршрутизаторы поставляются
с легко угадываемыми паролями по умолчанию и
55
Больше материалов: Boosty | Sponsr | TG
ОБНАРУЖЕНИЕ
КИБЕРАТАК НА
ИНТЕЛЛЕКТУАЛЬНЫЕ
УСТРОЙСТВА С УЧЁТОМ
ПОТРЕБЛЯЕМОЙ
ЭНЕРГИИ
56
Больше материалов: Boosty | Sponsr | TG
обнаружения атаки, в то время как второй этап
включает в себя более детальный анализ.
• Облегчённый алгоритм: представлен
облегчённый алгоритм, который адаптирован к
ограниченным ресурсам устройств Интернета
вещей и учитывает три различных протокола: TCP,
UDP и MQTT.
• Анализ скорости приёма пакетов: Метод
обнаружения основан на анализе скорости приёма
пакетов интеллектуальными устройствами для
выявления аномального поведения, указывающего
на атаки с использованием энергопотребления.
B. Преимущества и недостатки
Преимущества и недостатки дают сбалансированное
представление о возможностях и ограничениях
предлагаемой системы обнаружения, подчёркивая её
потенциал для повышения безопасности "умного дома".
1) Преимущества
• Облегчённый алгоритм обнаружения:
Предлагаемый алгоритм разработан таким образом,
Аннотация – В научной статье "Detection of Energy чтобы быть облегчённым, что делает его
Consumption Cyber Attacks on Smart Devices" подчёркивается подходящим для устройств Интернета вещей с
растущая интеграция технологий Интернета вещей в умные ограниченными ресурсами. Это гарантирует, что
дома и связанные с этим проблемы безопасности из-за механизм обнаружения не будет чрезмерно
нехватки ресурсов и ненадёжности сетей. Статья нагружать устройства, которые он призван
предлагает упрощённый метод обнаружения атак с защищать.
использованием энергопотребления путём анализа принятых • Универсальность протокола: Алгоритм
пакетов с учётом протоколов TCP, UDP и MQTT и учитывает множество протоколов связи (TCP, UDP,
оперативного оповещения при обнаружении аномального MQTT), что повышает его применимость к
поведения, эффективно идентифицируя с помощью измерений
различным типам интеллектуальных устройств и
скорости приёма пакетов.
конфигурациям сетей.
A. Введение • Двухэтапное обнаружение подход: использование
В научной статье "Detection of Energy Consumption двухэтапного обнаружения подход позволяет
Cyber Attacks on Smart Devices" подчёркивается влияние повысить точность определения потребления
интеграции технологии Интернета вещей в умные дома и энергии ударов при минимальном количестве
связанные с этим проблемы безопасности. ложных срабатываний. Этот метод позволяет как
быстро провести первоначальное обнаружение, так
• Энергоэффективность: подчёркивается важность и детальный анализ.
энергоэффективности в системах Интернета вещей, • Оповещения в режиме реального времени:
особенно в средах "умного дома" для комфорта, Платформа оперативно оповещает
уюта и безопасности. администраторов об обнаружении атаки,
• Уязвимости: уязвимость устройств Интернета обеспечивая быстрое реагирование и смягчение
вещей к кибератакам и физическим атакам из-за потенциальных угроз.
ограниченности их ресурсов подчёркивает • Эффективное обнаружение аномалий: измеряя
необходимость защиты этих устройств для скорость приёма пакетов и анализируя структуру
обеспечения их эффективного использования в энергопотребления, алгоритм эффективно выявляет
реальных сценариях. отклонения от нормального поведения, которые
• Предлагаемая система обнаружения: Авторы указывают на кибератаки.
предлагают систему обнаружения, основанную на
анализе энергопотребления интеллектуальных 2) Недостатки
устройств. Цель этой платформы – • Ограниченные сценарии атак:
классифицировать состояние атак отслеживаемых Экспериментальная установка ориентирована
устройств путём изучения структуры их только на определённые типы атак, что
энергопотребления. ограничивает возможность обобщения результатов
• Двухэтапный подход: Методология предполагает на другие потенциальные векторы атак, не
двухэтапный подход. На первом этапе используется охваченные в исследовании.
короткий промежуток времени для грубого • Проблемы с масштабируемостью: хотя алгоритм
разработан таким образом, чтобы быть лёгким, его
масштабируемость в более крупных и сложных
57
Больше материалов: Boosty | Sponsr | TG
средах "умного дома" с большим количеством • Обнаружение конкретных атак: Измерения
устройств и различными условиями сети может энергопотребления помогают идентифицировать
потребовать дальнейшей проверки. конкретные типы атак, такие как атаки типа "Отказ
• Зависимость от исходных данных: в обслуживании" (DoS) или распределённые атаки
Эффективность механизма обнаружения зависит от типа "Отказ в обслуживании" (DDoS), путём
точных базовых измерений скорости приёма обнаружения необычных скачков или падений
пакетов и энергопотребления. Любые изменения в энергопотребления.
нормальных условиях эксплуатации устройств
могут повлиять на исходные данные, потенциально D. Эксперименты
приводя к ложноположительным или Эксперименты проводились в моделируемой среде
отрицательным результатам. "умного дома" с различными устройствами Интернета
• Ограничения ресурсов: несмотря на вещей, и для оценки предлагаемой системы обнаружения
легковесность, алгоритм по-прежнему требует были смоделированы различные типы атак с
вычислительных ресурсов, что может стать энергопотреблением. Результаты показывают, что
проблемой для устройств с крайне ограниченными алгоритм дерева решений (DT), развёрнутый на
ресурсами. Постоянный мониторинг и анализ также устройстве, обеспечивает лучшую производительность с
могут повлиять на срок службы батареи и точки зрения времени вывода и энергопотребления по
производительность этих устройств. сравнению с другими моделями ML.
C. Предлагаемый алгоритм 1) Экспериментальная установка
В работе подчёркивается роль алгоритмов машинного • Испытательный стенд для умного дома:
обучения (ML) в системах обнаружения вторжений (IDS) и Эксперименты проводились в моделируемой среде
"умного дома", состоящей из различных устройств
проблемы, связанные с их развёртыванием на устройствах
Интернета вещей, таких как интеллектуальные
Интернета вещей с ограниченными ресурсами.
светильники, камеры видеонаблюдения и
1) Пакетные измерения интеллектуальные колонки, взаимодействующие
• Скорость приёма пакетов (PRR): обсуждается по различным протоколам (TCP, UDP, MQTT).
использование скорости приёма пакетов (PRR) в • Сценарии атак: Авторы смоделировали различные
качестве ключевого показателя для обнаружения типы атак с энергопотреблением, такие как атаки
атак с энергопотреблением. PRR определяется как типа "Отказ в обслуживании" (DoS),
отношение успешно принятых пакетов к общему распределённый отказ в обслуживании (DDoS) и
количеству пакетов, отправленных по сети. DDoS-атаки на основе энергопотребления (EC-
• Учёт протокола: Алгоритм учитывает различные DDoS), чтобы оценить эффективность
протоколы связи, включая TCP, UDP и MQTT, для предлагаемой системы обнаружения.
измерения PRR. Каждый протокол обладает • Базовые измерения: Базовые скорости приёма
уникальными характеристиками, влияющими на пакетов (PRR) и уровни энергопотребления были
передачу и приём пакетов. установлены для интеллектуальных устройств в
• Обнаружение аномального поведения: нормальных условиях эксплуатации, чтобы
Отслеживая PRR, алгоритм может выявлять служить ориентиром для обнаружения аномалий.
отклонения от нормального поведения, которые • Показатели производительности: определение
могут указывать на наличие атаки. Значительное показателей производительности: точность
снижение PRR может быть признаком обнаружения, частота ложноположительных
продолжающейся атаки на потребление энергии. срабатываний и вычислительные издержки, для
2) Измерения энергии оценки эффективности алгоритма.
• Анализ энергопотребления: основное внимание 2) Результаты и анализ
уделяется анализу моделей энергопотребления • Анализ скорости приёма пакетов: анализируется
интеллектуальных устройств для обнаружения изменения скорости приёма пакетов (PRR),
аномалий. Алгоритм измеряет энергию, наблюдаемые во время моделируемых атак,
потребляемую устройствами, с течением времени и демонстрируя способность алгоритма
сравнивает её с ожидаемыми уровнями обнаруживать отклонения от нормального
потребления. поведения.
• Краткосрочные и долгосрочные измерения: • Анализ энергопотребления: анализ моделей
Предлагаемый метод использует двухэтапный энергопотребления интеллектуальных устройств
подход с короткими и долгосрочными интервалами. подчёркивает способность алгоритма выявлять
В первом случае используется для аномальное энергопотребление, указывающее на
первоначального, приблизительного обнаружения атаки.
потенциальных атак, в то время как во втором – • Оценка двухэтапного подхода: оценка
обеспечивается более подробный анализ для эффективности предлагаемого подхода в рамках
подтверждения наличия атаки. использования короткого промежутка времени для
первоначального грубого обнаружения и более
58
Больше материалов: Boosty | Sponsr | TG
длительного промежутка времени для детального фреймворка в реальных средах "умного дома",
анализа, с точки зрения повышения точности отмечается его пригодность для устройств
обнаружения и уменьшения количества ложных Интернета вещей с ограниченными ресурсами.
срабатываний.
• Наблюдения, относящиеся к конкретному • Направления будущих исследований:
протоколу: Результаты могут включать предлагаются направления будущих исследований:
наблюдения, относящиеся к различным протоколам o Расширение фреймворка для охвата широкого
связи (TCP, UDP, MQTT), использованным в спектра типов атак и умных устройств.
экспериментах, и обсуждение их влияния на
скорость приёма пакетов и структуру o Усовершенствование алгоритма для повышения
энергопотребления во время атак. скорости обнаружения и снижения
• Оценка производительности: оценка вычислительных затрат.
производительности алгоритма на основе o Интеграция дополнительных источников
определённых показателей, таких как точность данных: сетевой трафик и журналы поведения
обнаружения, частота ложноположительных устройств, для расширения возможностей
срабатываний и вычислительные издержки, обнаружения.
сравнивая её с существующими методами или
базовыми показателями. o Использование передовых методов машинного
обучения для дальнейшего повышения
E. Заключение точности и надёжности системы обнаружения.
В нем подчёркивается эффективность предлагаемой • Сравнение с существующими методами:
облегчённой системы обнаружения при выявлении сравнивается подход с существующими методами
кибератак на интеллектуальные устройства, связанных с обнаружения аномалий, подчёркивая преимущества
потреблением энергии, подчёркивается её высокая своего лёгкого двухэтапного метода с точки зрения
точность обнаружения и низкий уровень точности, эффективности и пригодности для
ложноположительных результатов. устройств с ограниченными ресурсами.
• Краткое изложение выводов: подчёркивается • Практическое применение: рассматриваются
успешное использование скорости приёма пакетов потенциальные практические применения
(PRR) и моделей энергопотребления для платформы обнаружения, включая её внедрение в
обнаружения аномалий. коммерческие системы "умного дома" и интеграцию
• Производительность алгоритма: подчёркивается с существующими решениями безопасности для
высокая точность обнаружения и низкая частота обеспечения комплексной защиты от кибератак.
ложных срабатываний, достигаемые двухэтапным
подходом к обнаружению.
• Масштабируемость и эффективность:
обсуждаются масштабируемость и эффективность
59
Больше материалов: Boosty | Sponsr | TG
MEDIHUNT
60
Больше материалов: Boosty | Sponsr | TG
B. Преимущества и недостатки предлагаемого решения
1) Преимущества
• Обнаружение атак в режиме реального времени:
MediHunt предназначен для обнаружения атак на
основе сетевого трафика в режиме реального
времени для уменьшения потенциального ущерба и
обеспечения безопасности сред MIoT.
• Комплексные возможности криминалистики:
Платформа предоставляет комплексное решение
для сбора данных, анализа, обнаружения атак,
представления и сохранения доказательств. Это
делает его надёжным инструментом сетевой
криминалистики в средах MIoT.
• Интеграция с машинным обучением: Используя
модели машинного обучения, MediHunt расширяет
свои возможности обнаружения. Использование
пользовательского набора данных, который
включает данные о потоках как для атак уровня
TCP/IP, так и для атак прикладного уровня,
позволяет более точно и эффективно обнаруживать
широкий спектр кибератак.
Аннотация – В статье "MediHunt: A Network Forensics • Высокая производительность: решение показало
Framework for Medical IoT Devices" представлена разработка высокую производительность, получив баллы F1 и
MediHunt, автоматической платформы сетевой точность обнаружения, превышающую 0,99 и
криминалистики, предназначенной для обнаружения атак указывает на то, что она обладает высокой
сетевого трафика на основе потоков в сетях MQTT, которые надёжностью при обнаружении атак на сети MQTT.
обычно используются в средах интеллектуальных больниц. • Эффективность использования ресурсов:
MediHunt может обнаруживать различные атаки уровня несмотря на свои широкие возможности, MediHunt
TCP/IP и уровня приложений в сетях MQTT, используя модели разработан с учётом экономии ресурсов, что делает
машинного обучения. Платформа направлена на расширение его подходящим для развёртывания на устройствах
возможностей криминалистического анализа в средах MIoT, MIoT с ограниченными ресурсами (raspberry Pi).
обеспечивая эффективное отслеживание вредоносных
действий и смягчение их последствий. 2) Недостатки
A. Введение • Ограничения набора данных: хотя MediHunt
использует пользовательский набор данных для
В документе "MediHunt: A Network Forensics Framework обучения своих моделей машинного обучения,
for Medical IoT Devices" рассматривается необходимость создание и обслуживание таких наборов данных
надёжной сетевой криминалистики в медицинских средах может быть сложной задачей. Набор данных
Интернета вещей (MIoT), особенно с упором на сети MQTT. необходимо регулярно обновлять, чтобы
Эти сети обычно используются в интеллектуальных охватывать новые и зарождающиеся сценарии атак.
больничных средах благодаря их облегчённому протоколу • Ограничения ресурсов: хотя MediHunt разработан
связи. Освещаются проблемы обеспечения безопасности с учётом экономии ресурсов, ограничения,
устройств MIoT, которые часто ограничены в ресурсах и присущие устройствам MIoT, такие как
обладают ограниченной вычислительной мощностью. В ограниченная вычислительная мощность и память,
качестве серьёзной проблемы упоминается отсутствие все ещё могут создавать проблемы. Обеспечить
общедоступных потоковых наборов данных, специфичных бесперебойную работу фреймворка на этих
для MQTT, для обучения систем обнаружения атак. устройствах без ущерба для их основных функций
В документе представлен MediHunt как решение для может быть непросто.
автоматизированной сетевой криминалистики, • Сложность реализации: Внедрение и поддержка
предназначенное для обнаружения атак на основе сетевого платформы сетевой криминалистики на основе
трафика в сетях MQTT в режиме реального времени. Его машинного обучения может быть сложной задачей.
цель – предоставить комплексное решение для сбора Это требует опыта в области кибербезопасности и
данных, анализа, обнаружения атак, представления и машинного обучения, который может быть
сохранения доказательств. Он разработан для обнаружения доступен не во всех медицинских учреждениях.
различных уровней TCP / IP и атак прикладного уровня в • Зависимость от моделей машинного обучения:
сетях MQTT и использует модели машинного обучения для Эффективность MediHunt в значительной степени
расширения возможностей обнаружения и подходит для зависит от точности и надёжности его моделей
развёртывания на устройствах MIoT с ограниченными машинного обучения. Эти модели необходимо
ресурсами. обучать на высококачественных данных и
61
Больше материалов: Boosty | Sponsr | TG
регулярно обновлять, чтобы они оставались делает их менее жизнеспособными для
эффективными против новых типов атак. развёртывания в сценариях MIoT.
• Проблемы с масштабируемостью: хотя • Интеграция с машинным обучением: MediHunt
платформа подходит для небольших развёртываний использует модели машинного обучения для
на устройствах типа Raspberry Pi, ее расширения возможностей обнаружения атак. В то
масштабирование до более крупных и сложных время как другие фреймворки также используют
сред MIoT может вызвать дополнительные машинное обучение, подход MediHunt специально
проблемы. Обеспечение стабильной разработан для типов атак, распространенных в
производительности и надёжности в более крупной сетях MIoT, с использованием пользовательского
сети устройств может быть затруднено набора данных, который включает данные потока
как для атак уровня TCP / IP, так и для атак
C. MediHunt в сравнении с другими решениями прикладного уровня.
MediHunt выделяется среди фреймворков сетевой • Набор данных и обучение модели:
криминалистики, особенно в контексте медицинских сред Пользовательский набор данных для обучения
Интернета вещей (MIoT), благодаря своей моделей машинного обучения - ещё один аспект, в
специализированной направленности, производительности котором выделяется MediHunt. Многие
и точности. При сравнении MediHunt с другими сетевыми фреймворки сталкиваются с нехваткой
криминалистическими фреймворками подчёркивается его всеобъемлющих наборов данных для обучения,
уникальность и эффективность: особенно в контексте MIoT. MediHunt устраняет
• Специализированный фокус на MIoT: В отличие этот пробел, используя набор данных,
от многих общих фреймворков сетевой охватывающий широкий спектр сценариев атак,
криминалистики, MediHunt разработан специально имеющих отношение к средам MIoT
для домена MIoT. Такая специализация позволяет D. Предыдущие исследования
ИТ-отделу решать уникальные задачи и
1) Обзор существующих систем криминалистики
требования, предъявляемые к медицинским
устройствам Интернета вещей, таким как Освещаются сильные стороны и ограничения
ограниченность ресурсов и необходимость существующих фреймворков. Например, традиционные
обнаружения атак в режиме реального времени. системы цифровой криминалистики хорошо
зарекомендовали себя и широко использовались в
• Обнаружение атак в режиме реального времени:
различных контекстах, но они часто оказываются
способность MediHunt обнаруживать атаки в
несостоятельными при применении к уникальным и
режиме реального времени является значительным
сложным средам систем интернета вещей. Обсуждаемые
преимуществом. Эта функция имеет решающее
фреймворки включают те, которые ориентированы на
значение для сред MIoT, где своевременное
криминалистику устройств, сетевую криминалистику
обнаружение может предотвратить потенциальный
экспертизу и облачную криминалистику, каждая из
вред пациентам и медицинским операциям. Хотя
которых имеет свой собственный набор методологий и
обнаружение в режиме реального времени является
инструментов, предназначенных для решения конкретных
целью многих фреймворков, MediHunt's
задач криминалистики.
адаптирована к ограниченному характеру
устройств MIoT, обеспечивая минимальное 2) Проблемы криминалистики MIoT
влияние на производительность устройства. Подчёркиваются уникальные проблемы, с которыми
• Производительность и точность: MediHunt сталкивается криминалистика в области медицинского
демонстрирует исключительную интернета вещей (MIoT). Одной из основных проблем
производительность и точность при обнаружении является ограниченность ресурсов устройств MIoT,
сетевых атак. Благодаря баллам F1 и точности которые часто имеют ограниченную вычислительную
обнаружения, превышающей 0,99, он превосходит мощность, память и возможности хранения данных. Это
многие существующие платформы по своей затрудняет внедрение традиционных инструментов и
способности точно выявлять вредоносные действия методов криминалистики. Кроме того, существует
без высокого уровня ложных срабатываний. Такой значительная нехватка полных наборов данных для
уровень точности особенно важен в медицинских обучения моделей машинного обучения, которые имеют
учреждениях, где ложные срабатывания могут решающее значение для эффективного обнаружения атак и
иметь серьёзные последствия. криминалистического анализа. Неоднородность устройств
• Эффективность использования ресурсов: MIoT с их различными операционными системами,
несмотря на свои широкие возможности, MediHunt протоколами связи и форматами данных усложняет
разработан с учётом экономии ресурсов, что делает процесс криминалистики.
его подходящим для развёртывания на устройствах
MIoT с ограниченными ресурсами. Это 3) Сравнение с традиционной криминалистикой
контрастирует с некоторыми другими Проводится сравнение между традиционной цифровой
фреймворками, которые могут требовать более криминалистикой и криминалистикой Интернета вещей.
значительных вычислительных ресурсов, что Традиционная цифровая криминалистика обычно имеет
дело с чётко определёнными и однородными средами,
62
Больше материалов: Boosty | Sponsr | TG
такими как персональные компьютеры и серверы, где • Обнаружение атак в режиме реального времени:
могут быть эффективно применены стандартные Cпособность обнаруживать кибератаки по мере их
инструменты и методы. Напротив, криминалистике возникновения имеет решающее значение для
Интернета вещей приходится иметь дело с крайне уменьшения потенциального ущерба и
неоднородной средой и ограниченными ресурсами. немедленного начала forensics-исследования.
Обычные инструменты криминалистики часто • Механизм хранения журналов: Учитывая
неадекватны для систем Интернета вещей, которые ограниченность памяти устройств MIoT, MediHunt
требуют специализированных подходов для работы с включает эффективный механизм хранения
разнообразным и динамичным характером устройств и журналов, что гарантирует доступность журналов,
сетей Интернета вещей. относящихся к обнаруженным атакам, для анализа
без перегрузки ёмкости хранилища.
4) Использование машинного обучения
Обсуждается применение методов машинного • Интеграция с машинным обучением: MediHunt
обучения (ML) в сетевой криминалистике, в частности, для использует методы ML для расширения
обнаружения и анализа аномалий сетевого трафика. возможностей обнаружения атак. Он использует
Машинное обучение обладает значительным потенциалом пользовательский набор данных, который включает
для повышения точности и эффективности forensics- данные потока как для атак уровня TCP / IP, так и
исследований за счёт выявления закономерностей и для атак прикладного уровня, устраняя нехватку
аномалий в сетевом трафике, которые могут указывать на наборов данных для систем интернета вещей на
вредоносную активность. Эффективность моделей ML в основе MQTT.
зависит от доступности высококачественных наборов • Набор данных и обучение модели:
данных, охватывающих широкий спектр сценариев атак, Пользовательский набор данных, используемый в
особенно адаптированных к характеристикам систем MediHunt, охватывает широкий спектр сценариев
Интернета вещей на основе MQTT. атак, позволяя обучать модели ML распознавать
различные типы кибератак. Шесть различных
5) Существующие наборы данных моделей ML были обучены и оценены на предмет
Представлен обзор существующих наборов данных, их эффективности при обнаружении атак в режиме
используемых для обучения моделей машинного обучения реального времени.
в сетевой криминалистике. Эти наборы данных имеют • Показатели производительности: Эффективность
решающее значение для разработки и валидации ML- MediHunt количественно измеряется с
моделей, но они часто имеют ограничения с точки зрения использованием баллов F1 и точности
разнообразия и всесторонности. Многие существующие обнаружения, и достигнутая высокая
наборы данных неадекватно отражают разнообразие производительность превышает 0,99, что указывает
сценариев атак в системах Интернета вещей на основе на её надёжность при обнаружении атак в сетях
MQTT, что ограничивает эффективность обученных MQTT.
моделей. В этом разделе подчёркивается важность • Комплексный криминалистический анализ:
разработки более полных и репрезентативных наборов помимо обнаружения атак, MediHunt облегчает
данных для повышения эффективности процесс комплексного анализа. Он поддерживает
криминалистических инструментов, основанных на ML. сбор, анализ, представление и сохранение
цифровых доказательств в соответствии с
6) Степень разработанности темы
принципами сетевой криминалистики.
Выявляются пробелы в текущей литературе (степень
• Эффективность использования ресурсов:
научно-практической разработанности темы) по
MediHunt разработан с учётом экономии ресурсов,
криминалистике MIoT. Одним из ключевых пробелов
что делает его подходящим для развёртывания на
является потребность в возможностях обнаружения атак в
устройствах MIoT с ограниченными ресурсами.
режиме реального времени, которые необходимы для
оперативного выявления и смягчения угроз в средах MioT F. Обучение ML-модели
и усовершенствованных методах сохранения forensics- 1) Сбор данных о сетевом трафике MQTT
доказательств, гарантирующих, что они останутся
нетронутыми и допустимыми в ходе forensics- • Типы собираемых данных: Собираемые данные
исследования. Устранение этих пробелов имеет решающее включают как обычный трафик, так и трафик атаки.
значение для развития области цифровой MIoT- Это гарантирует, что набор данных является
криминалистики и повышения безопасности и надёжности всеобъемлющим и может быть использован для
медицинских систем Интернета вещей. эффективного обучения моделей машинного
обучения.
E. Предлагаемая система сетевой криминалистики • Данные на основе потоков: сбор данных на основе
• Разработка фреймворка: MediHunt разработан потоков включает информацию о потоках связи
для решения конкретных задач сетевой между устройствами. Этот тип данных имеет
криминалистики в средах MIoT с особым упором на решающее значение для обнаружения аномалий и
протокол MQTT. Он направлен на обнаружение атак в сетевом трафике.
атак в режиме реального времени и сохранение • Сценарии атак: сценарии произвольных атак
необходимых журналов для последующего анализа. моделируются для генерации атакующего трафика
63
Больше материалов: Boosty | Sponsr | TG
и включают атаки TCP / IP и прикладного уровня, незамедлительно реагировать и смягчать
специфичные для MQTT. потенциальные угрозы.
• Генерация набора данных: Собранные данные
G. Оценка на Raspberry Pi
обрабатываются для создания набора данных,
который может быть использован для обучения • Реализация на Raspberry Pi: проанализирована
моделей машинного обучения. Этот набор данных производительность алгоритмов машинного
включает помеченные экземпляры как обычного обучения (ML) на моделях Raspberry Pi 3B для
трафика, так и трафика атаки. реализации платформы сетевой криминалистики
MediHunt на устройствах MIoT с ресурсами.
2) Обучение модели ML и анализ эффективности • Сопоставимое время вывода и обучения: Оценка
• Модели машинного обучения: оцениваются показала, что время вывода и обучения алгоритмов
шесть различных моделей, включая деревья ML были сопоставимы на устройствах Raspberry Pi.
принятия решений, случайные леса, машины В частности, время вывода на облачной платформе
опорных векторов и нейронные сети. составляло около 2 мс, в то время как на Raspberry
• Процесс обучения: Процесс обучения включает Pi оно составляло 0,17 мс.
использование сгенерированного набора данных • Легковесная обнаружения вторжений: MediHunt
для обучения моделей машинного обучения. описывается как облегчённое решение для
Модели обучены распознавать закономерности в обнаружения вторжений, разворачиваемое на
данных, которые указывают на нормальный трафик ограниченных ресурсами устройствах (Raspberry
или трафик атаки. Pi).
• Показатели производительности: • Обнаружение атак в режиме реального времени:
Производительность обученных моделей подчёркивается способность платформы
оценивается с использованием таких показателей, обнаруживать атаки в режиме реального времени,
как оценка F1 и точность обнаружения, которые обеспечивая немедленное реагирование и
обеспечивают количественный показатель смягчение потенциальных угроз.
эффективности моделей при обнаружении атак. • Эффективное использование ресурсов: несмотря
• Высокая производительность: достигаются на широкие возможности для сетевой
баллы F1, а точность обнаружения превышает 0.99, криминалистики, платформа MediHunt разработана
что подтверждает эффективность обнаружения атак с учётом экономии ресурсов, что делает её
в режиме реального времени. подходящей для развёртывания на устройствах
• Обнаружение в режиме реального времени: t MIoT с ограниченными ресурсами, таких как
обученные модели интегрированы в платформу Raspberry Pi.
MediHunt для обеспечения обнаружения атак в
режиме реального времени. Это позволяет
64
Больше материалов: Boosty | Sponsr | TG
65
Больше материалов: Boosty | Sponsr | TG
РУБРИКА:
ИССЛЕДОВАНИЕ
66
Больше материалов: Boosty | Sponsr | TG
FUXNET
67
Больше материалов: Boosty | Sponsr | TG
и баз данных, которые, по их утверждению, были удалены
и выведены из строя, а также дампы паролей.
Основные выводы из анализа Fuxnet, в т.ч. из
материалов Team82 и Claroty:
• Неподтверждённые заявления: Team82 и Claroty
не смогли подтвердить заявления относительно
влияния кибератаки на возможности правительства
по реагированию на чрезвычайные ситуации или
степени ущерба, причинённого Fuxnet.
• Несоответствие в сообщениях о воздействии:
первоначальное утверждение о 2659 сенсорных
шлюзов не совпали с информацией об атаке 1700. А
проведённый Team82 анализ показывает, что только
немногим более 500 были фактически затронуты
Fuxnet. На это последовали заявление Blackjack об
выведено из строя 87000 датчиков также было
разъяснено, заявив, что они отключили датчики,
«уничтожив шлюзы путём фаззинга», а не
физическое уничтожение датчиков.
• Фаззинг M-Bus: метод был направлен на
отключение датчиков, но точное количество
датчиков оказалось невозможно установить ввиду
Аннотация – в документе представлен анализ Fuxnet, их недоступности извне.
приписываемого хакерской группе Blackjack, которое, как
сообщается, нацелено на инфраструктуру отдельных стран. • Отсутствие прямых доказательств: отсутствуют
Анализ включает в себя различные аспекты вредоносного ПО, прямые доказательства, подтверждающие
включая его технические характеристики, влияние на масштабы ущерба или влияние на возможности
системы, механизмы защиты, методы распространения, обнаружения чрезвычайных ситуаций и
цели и мотивы, стоящие за его внедрением. Изучив эти реагирования на них в т.ч. о Москоллектор.
аспекты, цель документа-обеспечить подробный обзор Fuxnet
по возможности и её значение для кибербезопасности. • Разъяснение от Blackjack: после публикации
первоначального анализа Team82 Blackjack
Документ предлагает качественное описание Fuxnet, обратилась с просьбой предоставить разъяснения, в
основанное на информации, которой публично доступной от частности, оспорив утверждение о том, что было
экспертов по кибербезопасности. Этот анализ полезен для затронуто только около 500 сенсорных шлюзов и
специалистов в области ИБ, ИТ-специалистов и обнародованные файлы JSON были лишь примером
заинтересованных сторон в различных отраслях, поскольку он полного объёма их деятельности.
не только проливает свет на технические тонкости сложной B. Отрасли и последствия
киберугрозы, но и подчёркивает важность надёжных мер
кибербезопасности для защиты критически важной 1) Возможные отрасли:
инфраструктуры от возникающих угроз. Документ • Коммунальные службы: Основной целью Fuxnet
способствует более широкому пониманию тактики ведения был сектор коммунальных услуг, в частности
кибервойны и повышает готовность организаций к защите сенсорные шлюзы, управляющие системами
от подобных атак в будущем. водоснабжения и канализации. Это может иметь
последствия для предоставления этих основных
A. Введение услуг и мониторинга за ними.
Хакерская группа Blackjack, предположительно • Службы экстренной помощи: Группа утверждала,
связанная с украинскими спецслужбами, взяла на себя о получении доступ к службе экстренной помощи
ответственность за кибератаку, которая якобы поставила 112, что могло повлиять на способность эффективно
под угрозу возможности обнаружения чрезвычайных реагировать на чрезвычайные ситуации.
ситуаций и реагирования на них в прилегающих районах
РФ. Эта группа была связана с предыдущими кибератаками, • Транспорт: Группа также утверждала, что вывела
из строя датчики и контроллеры в критически
направленными против интернет-провайдеров и военной
важных объектах инфраструктуры, включая
инфраструктуры. Их последнее заявление касается аэропорты и метро, что могло нарушить
нападения на компанию, отвечающую за строительство и транспортное обслуживание и безопасность.
мониторинг инфраструктуры подземных вод, канализации
и коммуникаций. • Энергетика: В качестве ещё одной цели были
упомянуты газопроводы, что указывает на
Группа распространила подробную информацию об потенциальный риск для систем распределения
атаке на веб-сайте ruexfil[.]com, включая использование энергии и мониторинга.
Fuxnet, включая скриншоты систем мониторинга, серверов
68
Больше материалов: Boosty | Sponsr | TG
2) Возможные последствия: 4) Аннулирование доступа в офисное здание
• Нарушение работы служб: Разрушение или Все карточки-ключи от офисного здания, как
неисправность сенсорных шлюзов может привести сообщается, признаны недействительными. Это действие
к нарушению работы систем мониторинга и может помешать сотрудникам получить доступ к своему
управления коммунальными службами, что рабочему месту, что ещё больше затруднит любые попытки
потенциально может привести к перебоям в оценить ущерб или запустить протоколы восстановления.
обслуживании.
• Нарушение безопасности: В транспортном и 5) Сброс пароля
энергетическом секторах потеря функциональности Также было заявлено о сбросе паролей из нескольких
датчиков может представлять угрозу безопасности, внутренних служб, что могло быть повлечь
поскольку эти датчики часто имеют решающее несанкционированный доступ к различным системам и
значение для обнаружения опасных условий. данным, усугубляя последствия взлома и потенциально
• Экономический эффект: Потенциальные простои приводя к дальнейшей эксплуатации.
и затраты на ремонт, связанные с заменой или D. Набор юного атакующего
перепрошивкой повреждённых шлюзов датчиков,
могут иметь значительные экономические Основное внимание было уделено коммуникационным
последствия для затронутых отраслей. шлюзам, которые служат критическими узлами для
передачи данных от датчиков к глобальным системам
• Задержки с реагированием на чрезвычайные мониторинга. Эти датчики являются неотъемлемой частью
ситуации: может привести к задержкам в
реагировании на чрезвычайные ситуации, что различных систем мониторинга окружающей среды, в том
повлияет на общественную безопасность. числе используемых в пожарной сигнализации, газовом
мониторинге и системах управления освещением.
• Утечка данных: возможная компрометация
сетевые системы потенциально может привести к Датчики предназначены для сбора физических данных,
утечке данных и утечке конфиденциальной таких как температура, и передачи этой информации по
информации. последовательному соединению или шине, в частности по
• Потеря общественного доверия: может привести к шине RS485/Meter-Bus, на шлюз. Эти шлюзы действуют как
потере общественного доверия к сервисам и узлы передачи, позволяя передавать телеметрические
организациям, ответственным за их безопасность. данные через Интернет в централизованную систему
мониторинга, которая обеспечивает операторам видимость
C. Moscollector-атака и контроль над системами.
Недавно группа обнародовала свою деятельность и Стандарт связи RS485, как упоминалось в деталях атаки,
украденную информацию на веб-сайте ruexfil, подробно является широко распространённым протоколом для
описав масштабы и последствия своего кибератаки. Выход промышленных систем управления благодаря своей
из строя этой системы потенциально может привести к надёжности и возможностям связи на большие расстояния.
нарушению возможностей реагирования на чрезвычайные Это позволяет нескольким устройствам взаимодействовать
ситуации, что скажется на безопасности населения. по единой системе шин, что важно для централизованного
1) Установка датчиков и контроллеров критически мониторинга различных датчиков и контроллеров.
важной инфраструктуры Шина M-Bus — это протокол связи, используемый для
Группа утверждает о взломе датчиков и контроллеров в сбора и передачи данных о потреблении, обычно для
критически важных секторах инфраструктуры, включая коммунальных услуг, таких как электричество, газ, вода
аэропорты, метро и газопроводы. Это действие, если оно или тепло. В сочетании с RS485 он образует надёжную сеть,
было реальным, могло привести к отключению основных позволяющую промышленным датчикам передавать
систем мониторинга и контроля, что привело бы к информацию в центральные системы.
значительным сбоям в работе общественных служб и
обеспечении безопасности. Компрометируя шлюзы, можно потенциально нарушить
передачу телеметрии и управление датчиками, что приведёт
2) Сбой в работе сетевого устройства к потере оперативной видимости и потенциально вызовет
Группа утверждает, что они отключили сетевые хаос в системах, которые полагаются на эти данные.
устройства, такие как маршрутизаторы и брандмауэры. Это
оказало бы каскадное воздействие на целостность сети, 1) Утечка информации
потенциально изолировав различные сегменты и затруднив Информация из файлов JSON была подтверждена двумя
коммуникацию в инфраструктуре. видеороликами на YouTube, демонстрирующими
развёртывание Fuxnet. Устройства, перечисленные в
3) Удаление серверов и баз данных видеороликах, соответствовали шлюзам из файла JSON,
Злоумышленники утверждают, что удалили серверы, подтверждая, что шлюзы TMSB / MPSB были основными
рабочие станции и базы данных, уничтожив около 30 ТБ целями Fuxnet.
данных, включая диски резервных копий. Такого рода
уничтожение данных может привести к потере Данные включали типы и названия устройств, IP-адреса,
исторических данных, нарушению текущих операций и порты связи и данные о местоположении. В файле JSON
усложнению усилий по восстановлению. были перечислены следующие типы устройств:
69
Больше материалов: Boosty | Sponsr | TG
• MPSB (шлюз датчиков): 424 устройства Значительный недостаток в системе безопасности:
использованием учётных данных по умолчанию (имя
• TMSB (сенсорный шлюз+модем): 93 устройства
пользователя: sbk, пароль: temppwd) для доступа к шлюзам
• IBZ (3g-маршрутизатор): 93 устройства через SSH. Эта уязвимость позволила злоумышленникам
легко скомпрометировать устройства.
• Windows 10 (рабочая станция): 9 устройств
Злоумышленники также опубликовали скриншоты из
• Windows 7 (рабочая станция): 1 устройство
пользовательского интерфейса управления датчиками,
• Windows XP (рабочая станция): 1 устройство демонстрирующие топологию сети.
Этот список указывает на то, что атака была Помимо модуля TMSB со встроенными возможностями
сосредоточена на сенсорных шлюзах, а не на самих 3/4G, злоумышленники упомянули использование роутеров
конечных датчиках. Шлюзы служат узлами связи для iRZ RL22w. Эти маршрутизаторы, использующие
потенциально многочисленных датчиков, подключённых OpenWRT использовались в качестве интернет-шлюзов для
по последовательной шине, такой как RS485/Meter-Bus. подключения датчиков к Интернету через 3G.
Утечка данных, включая скриншоты и экспорт в Сообщается, что злоумышленники использовали SSH
формате JSON, выявила два конкретных типа шлюзов, для подключения к этим устройствам Интернета вещей и
скомпрометированных во время атаки: туннелирования к внутренним устройствам, вероятно,
после получения паролей root. Поисковые запросы Shodan
• Шлюз MPSB: Этот шлюз разработан для обмена и Censys показали, что тысячи маршрутизаторов iRZ
информацией с внешними устройствами через доступны в Интернете, при этом около 4100 устройств
несколько интерфейсов. Он поддерживает Ethernet и напрямую предоставляют свои услуги и около 500
протоколы последовательной связи, включая CAN, подключены к Telnet.
RS-232 и RS-485. Шлюз MPSB является важнейшим
компонентом для интеграции различных входных 3) Программное обеспечение для управления
данных датчиков в единую систему мониторинга. датчиками и ввода их в эксплуатацию:
• Шлюз TMSB: Аналогичный по функциям MPSB, ПО подключается к устройствам с использованием
шлюз TMSB включает встроенный модем 3G / 4G, проприетарного протокола, который работает через порт
который позволяет передавать данные TCP 4321. Интерфейс позволяет получать доступ к
непосредственно через Интернет в удалённую настройкам датчиков и изменять их, включая конфигурации
систему без необходимости в дополнительном ввода / вывода, узлы и показания. Эта возможность
маршрутизирующем оборудовании. необходима для надлежащей настройки и обслуживания
сенсорных сетей, гарантируя их эффективную и точную
Кибератака была нацелена на критически важную часть работу в назначенных условиях.
экосистемы датчиков: устройств оркестраторов / шлюзов, в
частности шлюзы MPSB и TMSB. Эти устройства Особенности программного обеспечения:
необходимы для считывания показаний основных датчиков • Подключение устройства: используется
ввода-вывода и управления ими, а также для передачи проприетарный протокол поверх TCP/4321 для
данных в глобальную систему мониторинга для установления безопасного соединения с датчиками.
централизованного надзора. • Возможности настройки: параметры датчиков,
В ходе атаки использовались каналы связи между включая корректировку их рабочих параметров и
датчиками и глобальной системой мониторинга: управление данными, которые они собирают.
70
Больше материалов: Boosty | Sponsr | TG
манипулировать выходными данными датчиков для предотвращая любые попытки удалённого восстановления.
нарушения их работы: Кроме того, Fuxnet удалила таблицу маршрутизации
устройства, что привело к нарушению его
• Функции геолокации: Система мониторинга имеет коммуникационных возможностей.
геолокационные метки, которые помогают
визуализировать физическое расположение 3) «Уничтожение» чипов NAND
датчиков по всей сети. Эта функция особенно Вывод из строя достигался путём выполнения операции
полезна при крупномасштабных операциях, когда изменения битов на участках чипа SSD NAND,
датчики разбросаны по обширным площадям. многократно записывая и перезаписывая память до полного
• Мониторинг конкретного объекта: скриншоты из отказа чипа, так как память NAND имеет ограниченное
системы показывают, что она способна количество циклов записи.
фокусироваться на конкретных объектах, таких как
больницы, что указывает на её использование в 4) Разрушающий томов UBI
критически важных инфраструктурных объектах, Чтобы предотвратить перезагрузку датчика, Fuxnet
где точный мониторинг необходим для обеспечения переписывает том UBI используя интерфейс IOCTL
безопасности и работоспособности. UBI_IOCVOLUP, чтобы заставить ядро ожидать, что будет
записано большее количество байт, чем фактически
E. Анализ Fuxnet отправлено было на запись, в результате чего устройство
Логические процессы, выявленные в поведении Fuxnet, зависало на неопределённый срок. Затем вредоносная
включают несколько шагов, направленных на нанесение программа перезаписала том UBI ненужными данными,
необратимого ущерба целевым устройствам. дестабилизируя файловую систему.
• Fuxnet была специально разработана для атаки на 5) Отказ в обслуживании при мониторинге
сенсорные шлюзы и их выведения из строя, а не на Последним шагом в процессе работы вредоносного ПО
конечные датчики. было нарушение связи между шлюзами датчиков и самими
• Действия вредоносного ПО включали блокировку датчиками. Fuxnet замусорила каналы RS485 / Meter-Bus
устройств, «уничтожение» файловых систем, чипов случайными данными, перегружая шину и датчики, что
NAND и томов UBI, а также флуд в каналах связи. предотвратило передачу и приём данных датчиками и
шлюзами, сделав процесс сбора данных бесполезным.
• Атаке, вероятно, способствовало использование
учётных данных по умолчанию и уязвимостей в 6) Стратегия фаззинга M-Bus
протоколах удалённого доступа. Стратегия включала постоянную отправку данных M-
• Несмотря на заявления о компрометации 87 000 Bus по последовательному каналу RS485 с целью
устройств, фактическое воздействие, по-видимому, перегрузки и потенциального повреждения датчиков,
ограничено сенсорными шлюзами, а конечные подключённых к этой сети.
датчики, вероятно, остались нетронутыми.
• Случайный фаззинг: формирование случайных
1) Сценарий развёртывания байт и отправку их по M-Bus с добавлением
Злоумышленники составили полный список IP-адресов простого CRC, чтобы гарантировать, что данные не
сенсорных шлюзов, на которые они намеревались напасть, будут проигнорированы. Цель состояла в том, чтобы
наряду с подробными описаниями физического охватить весь диапазон возможных полезных
местоположения каждого датчика. Затем вредоносная нагрузок M-Bus, действительных или нет, в надежде
программа была распространена среди каждой цели, вызвать неисправности датчиков или уязвимости.
вероятно, с использованием протоколов удалённого • Структурированный фаззинг: формирование
доступа, таких как SSH или проприетарный протокол SBK допустимых данных с изменением определённых
sensor protocol, через TCP-порт 4321. полей в протоколе. Более точно придерживаясь
структуры M-Bus, была увеличена вероятность того,
2) Блокировка устройств и «уничтожение» файловой что датчик сочтёт пакет действительным и
системы полностью проанализирует его, тем самым
После запуска на целевом устройстве Fuxnet увеличив шансы срабатывания уязвимости.
инициировала процесс его блокировки. Повторное
монтирование файловой системы с доступом на запись
приводилось к удалению критически важных файлов и
каталогов. Fuxnet также отключал службы удалённого
доступа, включая SSH, HTTP, telnet и SNMP, эффективно
71
Больше материалов: Boosty | Sponsr | TG
72