Бүгінгі коронавирус тақырыбы барлық жаңалықтар арналарын толтырды, сонымен қатар COVID-19 тақырыбын және онымен байланысты барлық нәрселерді пайдаланатын шабуылдаушылардың әртүрлі әрекеттерінің негізгі лейтмотивіне айналды. Бұл жазбада мен мұндай зиянды әрекеттердің кейбір мысалдарына назар аударғым келеді, бұл, әрине, көптеген ақпараттық қауіпсіздік мамандары үшін құпия емес, бірақ олардың қысқаша мазмұны бір жазбада өзіңіздің хабардарлығыңызды дайындауды жеңілдетеді. -біреуі қашықтан жұмыс істейтін, ал басқалары ақпараттық қауіпсіздіктің әртүрлі қауіп-қатерлеріне бұрынғыға қарағанда көбірек бейім қызметкерлер үшін шараларды көтеру.
НЛО-дан бір минуттық күтім
Дүние жүзінде SARS-CoV-19 коронавирусы (2-nCoV) тудыруы мүмкін ауыр жедел респираторлық инфекция COVID-2019 пандемиясын ресми түрде жариялады. Бұл тақырып бойынша Habré туралы көптеген ақпарат бар - әрқашан оның сенімді/пайдалы және керісінше болуы мүмкін екенін есте сақтаңыз.
Кез келген жарияланған ақпаратқа сыни көзқараспен қарауға шақырамыз.
Ресми дереккөздер
- Өңірлердегі жедел штабтардың сайттары мен ресми топтары
Егер сіз Ресейде тұрмасаңыз, еліңіздегі ұқсас сайттарға жүгініңіз.
Қолыңызды жуыңыз, жақындарыңызға қамқорлық жасаңыз, мүмкіндігінше үйде болыңыз және қашықтан жұмыс істеңіз.туралы жарияланымдарды оқыңыз: |
Айта кету керек, бүгінде коронавируспен байланысты мүлдем жаңа қауіптер жоқ. Керісінше, біз дәстүрге айналған, жаңа «тұздықта» қолданылатын шабуыл векторлары туралы айтып отырмыз. Сонымен, мен қауіптердің негізгі түрлерін атар едім:
- фишинг сайттары мен коронавирусқа және соған қатысты зиянды кодқа қатысты ақпараттық бюллетеньдер
- Қорқынышты немесе COVID-19 туралы толық емес ақпаратты пайдалануға бағытталған алаяқтық және жалған ақпарат
- коронавирусты зерттеумен айналысатын ұйымдарға қарсы шабуылдар
Азаматтары әдетте билікке сенбейтін және олардан шындықты жасырады деп есептейтін Ресейде фишингтік сайттар мен пошталық тізімдерді, сондай-ақ жалған ресурстарды сәтті «жарнамалау» ықтималдығы ашық елдерге қарағанда әлдеқайда жоғары. билік. Бүгінгі таңда ешкім өзін адамның барлық классикалық әлсіз жақтарын - қорқыныш, жанашырлық, ашкөздік және т.б. пайдаланатын шығармашылық кибералаяқтардан қорғалған деп санай алмайды.
Мысалы, медициналық маскалар сататын алаяқтық сайтты алайық.
Осыған ұқсас CoronavirusMedicalkit[.]com сайтын АҚШ билігі жоқ COVID-19 вакцинасын дәрі-дәрмекті жеткізу үшін «тек» пошта ақысымен тегін таратқаны үшін жауып тастады. Бұл жағдайда, мұндай төмен бағамен АҚШ-тағы дүрбелең жағдайында дәрі-дәрмекке сұраныстың асқынуы үшін есептелді.
Бұл классикалық киберқауіп емес, өйткені бұл жағдайда шабуылдаушылардың міндеті пайдаланушыларға жұқтыру немесе олардың жеке деректерін немесе сәйкестендіру ақпаратын ұрлау емес, жай ғана қорқыныш толқынында оларды жоғары бағамен медициналық маскаларды сатып алуға мәжбүрлеу. нақты құнынан 5-10-30 есе асып түседі. Бірақ коронавирус тақырыбын пайдаланатын жалған веб-сайт жасау идеясын киберқылмыскерлер де пайдаланады. Мысалы, мұнда атауында «covid19» кілт сөзі бар сайт бар, бірақ ол фишинг сайты болып табылады.
Жалпы біздің оқиғаны тергеу қызметі күнделікті бақылау , атауларында covid, covid19, coronavirus және т.б. сөздері бар қанша домен жасалып жатқанын көресіз. Және олардың көпшілігі зиянды.
Компанияның кейбір қызметкерлері үйден жұмысқа ауыстырылған және олар корпоративтік қауіпсіздік шараларымен қорғалмаған ортада қызметкерлердің ұялы және жұмыс үстелі құрылғыларынан біле тұра немесе оларсыз қол жеткізілетін ресурстарды бақылау бұрынғыдан да маңызды. білім. Егер сіз қызметті пайдаланбасаңыз мұндай домендерді анықтау және блоктау үшін (және Cisco бұл қызметке қосылу енді тегін), содан кейін ең аз дегенде сәйкес кілт сөздері бар домендерді бақылау үшін вебке кіруді бақылау шешімдерін конфигурациялаңыз. Сонымен қатар, домендерді қара тізімге енгізудің дәстүрлі тәсілі, сондай-ақ репутация деректер базасын пайдалану сәтсіз болуы мүмкін екенін есте сақтаңыз, өйткені зиянды домендер өте жылдам жасалады және бірнеше сағаттан аспайтын уақытқа тек 1-2 шабуылда қолданылады. шабуылдаушылар жаңа эфемерлік домендерге ауысады. Ақпараттық қауіпсіздік компанияларында өздерінің білім қорларын жылдам жаңартуға және оларды барлық клиенттеріне таратуға уақыттары жоқ.
Шабуылшылар фишингтік сілтемелер мен қосымшалардағы зиянды бағдарламаларды тарату үшін электрондық пошта арнасын белсенді түрде пайдалануды жалғастыруда. Және олардың тиімділігі айтарлықтай жоғары, өйткені пайдаланушылар коронавирус туралы толығымен заңды жаңалықтарды ала отырып, олардың көлемдерінде зиянды нәрсені әрқашан тани алмайды. Ал жұқтырғандар саны тек өсіп келе жатқанымен, мұндай қауіптердің ауқымы да өседі.
Мысалы, CDC атынан фишингтік электрондық поштаның мысалы келесідей:
Сілтемеден кейін, әрине, CDC веб-сайтына емес, жәбірленушінің логині мен паролін ұрлайтын жалған параққа апарады:
Міне, Дүниежүзілік денсаулық сақтау ұйымының атынан жасалған фишингтік электрондық поштаның мысалы:
Бұл мысалда шабуылдаушылар көптеген адамдар билік олардан инфекцияның шынайы ауқымын жасырады деп сенеді, сондықтан пайдаланушылар зиянды сілтемелері немесе қосымшалары бар хаттардың осы түрлерін қуана және еш ойланбастан басады. барлық құпияларды ашады деп есептейді.
Айтпақшы, мұндай сайт бар , бұл әртүрлі көрсеткіштерді қадағалауға мүмкіндік береді, мысалы, өлім-жітім, темекі шегушілер саны, әртүрлі елдердегі халық саны және т.б. Веб-сайтта коронавирусқа арналған парақша да бар. 16 наурызда мен оған барғанымда, биліктің бізге шындықты айтып жатқанына бір сәтке күмәнданған бетті көрдім (бұл сандардың себебі не екенін білмеймін, мүмкін қате):
Қауіптілер ұқсас электрондық хаттарды жіберу үшін пайдаланатын танымал инфрақұрылымдардың бірі - соңғы уақыттағы ең қауіпті және танымал қауіптердің бірі - Emotet. Электрондық пошта хабарларына тіркелген Word құжаттарында жәбірленушінің компьютеріне жаңа зиянды модульдерді жүктейтін Emotet жүктеушілері бар. Эмотет бастапқыда Жапония тұрғындарына бағытталған медициналық маскаларды сататын алаяқтық сайттарға сілтемелерді жылжыту үшін пайдаланылды. Төменде құмсалғышты пайдалану арқылы зиянды файлды талдау нәтижесін көресіз , ол файлдарды зияндылыққа талдайды.
Бірақ шабуылдаушылар MS Word бағдарламасында ғана емес, сонымен қатар басқа Microsoft қосымшаларында, мысалы, MS Excel бағдарламасында (APT36 хакерлер тобы осылай әрекет етті), Үндістан үкіметінен Crimson бар коронавируспен күресу бойынша ұсыныстарды жібереді. РАТ:
Коронавирустық тақырыпты пайдаланатын тағы бір зиянды науқан - Nanocore RAT, ол қашықтан қол жеткізу, пернетақта соққыларын ұстау, экрандағы кескіндерді түсіру, файлдарға қол жеткізу және т.б. үшін құрбандық компьютерлеріне бағдарламаларды орнатуға мүмкіндік береді.
Ал Nanocore RAT әдетте электрондық пошта арқылы жеткізіледі. Мысалы, төменде орындалатын PIF файлы бар тіркелген ZIP мұрағаты бар мысал пошта хабарын көресіз. Орындалатын файлды басу арқылы жәбірленуші компьютеріне қашықтан қол жеткізу бағдарламасын (Remote Access Tool, RAT) орнатады.
Міне, COVID-19 тақырыбындағы науқан паразитінің тағы бір мысалы. Пайдаланушы .pdf.ace кеңейтімі бар шот-фактурасы бар коронавирусқа байланысты жеткізудің болжамды кешігуі туралы хат алады. Қысылған мұрағат ішінде қосымша пәрмендерді алу және басқа шабуылдаушы мақсаттарын орындау үшін пәрмен және басқару серверіне қосылым орнататын орындалатын мазмұн бар.
Parallax RAT «жаңа жұқтырған CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif» деп аталатын файлды тарататын және DNS протоколы арқылы оның командалық серверімен әрекеттесетін зиянды бағдарламаны орнататын ұқсас функционалдығы бар. EDR класындағы қорғаныс құралдары, мысалы , және NGFW командалық серверлермен байланысты бақылауға көмектеседі (мысалы, ) немесе DNS бақылау құралдары (мысалы, ).
Төмендегі мысалда, белгісіз себептермен компьютерде орнатылған кәдімгі антивирустық бағдарлама нақты COVID-19-дан қорғай алатыны туралы жарнаманы сатып алған жәбірленушінің компьютеріне қашықтан қол жеткізуге арналған зиянды бағдарлама орнатылған. Ақыр соңында, біреу осындай әзілге түсіп қалды.
Бірақ зиянды бағдарламалардың арасында өте оғаш нәрселер де бар. Мысалы, төлем бағдарламасының жұмысын эмуляциялайтын әзіл файлдары. Бір жағдайда біздің Cisco Talos бөлімшесі CoronaVirus.exe деп аталатын файл, ол орындау кезінде экранды блоктап, таймерді іске қосты және «осы компьютердегі барлық файлдар мен қалталарды жою - коронавирус» хабары.
Кері санақ аяқталғаннан кейін төменгі жағындағы түйме белсендірілді және басқан кезде, мұның бәрі әзіл екенін және бағдарламаны аяқтау үшін Alt+F12 пернелерін басу керектігі туралы хабарлама пайда болды.
Зиянды жіберулермен күресті автоматтандыруға болады, мысалы, пайдалану , бұл тіркемелердегі зиянды мазмұнды анықтауға ғана емес, сонымен қатар фишингтік сілтемелер мен оларға шертулерді бақылауға мүмкіндік береді. Бірақ бұл жағдайда да пайдаланушыларды оқыту және фишингтік модельдеу мен кибержаттығуларды үнемі өткізуді ұмытпау керек, бұл пайдаланушыларды сіздің пайдаланушыларыңызға қарсы бағытталған шабуылдаушылардың әртүрлі айлаларына дайындайды. Әсіресе, егер олар қашықтан және жеке электрондық пошта арқылы жұмыс істесе, зиянды код корпоративтік немесе ведомстволық желіге енуі мүмкін. Мұнда мен жаңа шешім ұсына аламын , бұл ақпараттық қауіпсіздік мәселелері бойынша персоналды микро- және нано-оқытуды өткізуге ғана емес, сонымен қатар олар үшін фишингтік модельдеуді ұйымдастыруға мүмкіндік береді.
Бірақ егер қандай да бір себептермен сіз мұндай шешімдерді қолдануға дайын болмасаңыз, кем дегенде фишинг қаупін, оның мысалдарын және қауіпсіз мінез-құлық ережелерінің тізбесін еске сала отырып, қызметкерлеріңізге тұрақты пошта жөнелтілімдерін ұйымдастырған жөн (ең бастысы - бұл шабуылдаушылар өздерін олар ретінде жасырмайды). Айтпақшы, қазіргі уақытта ықтимал тәуекелдердің бірі - қашықтан жұмыс істеудің жаңа ережелері мен процедуралары, қашықтағы компьютерлерде орнатылуы керек міндетті бағдарламалық қамтамасыз ету және т. Сондай-ақ киберқылмыскерлер электрондық поштадан басқа жедел хабаршылар мен әлеуметтік желілерді де пайдалана алатынын ұмытпаңыз.
Тарату немесе хабардарлықты арттыру бағдарламасының бұл түріне сіз жалған коронавирустық инфекция картасының классикалық мысалын қоса аласыз, ол картаға ұқсас болды. Джонс Хопкинс университеті. Айырмашылық Фишинг сайтына кіру кезінде пайдаланушының компьютерінде зиянды бағдарлама орнатылды, ол пайдаланушы тіркелгісінің ақпаратын ұрлап, оны киберқылмыскерлерге жіберді. Мұндай бағдарламаның бір нұсқасы жәбірленушінің компьютеріне қашықтан қол жеткізу үшін RDP қосылымдарын жасады.
Айтпақшы, RDP туралы. Бұл шабуылдаушылар коронавирустық пандемия кезінде белсенді түрде қолдана бастаған тағы бір шабуыл векторы. Көптеген компаниялар қашықтан жұмысқа ауысқан кезде, асығыс салдарынан дұрыс конфигурацияланбаған жағдайда, қашықтағы пайдаланушы компьютерлеріне де, корпоративтік инфрақұрылымға да шабуылдаушылар еніп кетуі мүмкін RDP сияқты қызметтерді пайдаланады. Сонымен қатар, дұрыс конфигурацияның өзінде әртүрлі RDP іске асыруларында шабуылдаушылар пайдалана алатын осалдықтар болуы мүмкін. Мысалы, Cisco Talos FreeRDP-де бірнеше осалдықтар, ал өткен жылдың мамыр айында Microsoft Remote Desktop қызметінде CVE-2019-0708 сыни осалдығы анықталды, ол жәбірленушінің компьютерінде еркін кодты орындауға, зиянды бағдарламаны енгізуге және т.б. Тіпті ол туралы ақпараттық бюллетень де таратылды , және, мысалы, Cisco Talos одан қорғау бойынша ұсыныстар.
Коронавирус тақырыбын пайдаланудың тағы бір мысалы бар - егер олар биткоиндердегі төлемді төлеуден бас тартса, жәбірленушінің отбасы жұқтыру қаупі. Әсерді күшейту, әріпке мән беру және бопсалаушының құдіреттілігін сезіну үшін хат мәтініне жәбірленушінің логиндер мен парольдердің жалпыға қолжетімді дерекқорынан алынған оның аккаунттарының біріндегі құпия сөзі енгізілді.
Жоғарыдағы мысалдардың бірінде мен Дүниежүзілік денсаулық сақтау ұйымының фишингтік хабарламасын көрсеттім. Міне, пайдаланушылардан COVID-19-мен күресу үшін қаржылық көмек сұрайтын тағы бір мысал (хаттың мәтініндегі тақырыпта «ҚАЙЫРЫМДЫЛЫҚ» сөзі бірден байқалады) және олардан қорғану үшін биткоиндер бойынша көмек сұрайды. cryptocurrency қадағалау.
Бүгінгі күні пайдаланушылардың жанашырлығын пайдаланатын көптеген мысалдар бар:
Биткоиндер COVID-19-мен басқа жолмен байланысты. Мысалы, үйде отырып, ақша таба алмайтын көптеген британдық азаматтардың алған хаттары осылай көрінеді (Ресейде бұл да өзекті болады).
Белгілі газеттер мен жаңалықтар сайттары ретінде көрінетін бұл хабарламалар арнайы сайттарда криптовалюталарды өндіру арқылы оңай ақша ұсынады. Шындығында, біраз уақыттан кейін сіз тапқан соманы арнайы шотқа алуға болатыны туралы хабарлама аласыз, бірақ оған дейін салықтың аз мөлшерін аудару керек. Бұл ақшаны алғаннан кейін алаяқтардың орнына ештеңе аудармайтыны, ал сенгіш қолданушының аударылған ақшасынан айырылып қалатыны анық.
Дүниежүзілік денсаулық сақтау ұйымымен байланысты тағы бір қауіп бар. Хакерлер D-Link және Linksys маршрутизаторларының DNS параметрлерін бұзып, оларды ДДҰ қолданбасын орнату қажеттілігі туралы қалқымалы ескертуі бар жалған веб-сайтқа қайта бағыттап, оларды сақтайды. коронавирус туралы соңғы жаңалықтардан хабардар. Оның үстіне қосымшаның өзінде ақпаратты ұрлайтын зиянды Oski бағдарламасы болған.
COVID-19 инфекциясының ағымдағы күйін қамтитын қолданбаға ұқсас идеяны АҚШ Білім департаменті, ДДҰ және Эпидемияны бақылау орталығы «сертификатталған» қолданба арқылы тарататын Android трояндық CovidLock пайдаланады ( CDC).
Көптеген пайдаланушылар бүгінде өзін-өзі оқшаулауда және тамақ дайындағысы келмесе немесе жасай алмаса, азық-түлікті, азық-түлікті немесе дәретхана қағазы сияқты басқа тауарларды жеткізу қызметтерін белсенді пайдаланады. Шабуылшылар да бұл векторды өз мақсаттары үшін меңгерген. Мысалы, Canada Post иелігіндегі заңды ресурсқа ұқсас зиянды веб-сайт осылай көрінеді. Жәбірленуші алған SMS сілтемесі веб-сайтқа апарады, ол тапсырыс берілген өнімді жеткізу мүмкін емес, себебі небәрі 3 доллар жетіспейді, ол қосымша төленуі керек. Бұл жағдайда пайдаланушы өзінің несие картасының деректемелерін көрсетуі керек бетке бағытталады... барлық кейінгі салдарымен.
Қорытындылай келе, мен COVID-19-ға қатысты киберқауіптердің тағы екі мысалын келтіргім келеді. Мысалы, «COVID-19 Coronavirus - Live Map WordPress Plugin», «Coronavirus Spread Prediction Graphs» немесе «Covid-19» плагиндері танымал WordPress қозғалтқышын пайдаланып сайттарға салынған және сонымен бірге вирустың таралу картасын көрсетеді. коронавирус, сонымен қатар WP-VCD зиянды бағдарламасы бар. Интернеттегі оқиғалар санының өсуінен кейін өте танымал болған Zoom компаниясы сарапшылар «Zoombombing» деп атаған нәрсеге тап болды. Шабуылшылар, бірақ шын мәнінде қарапайым порно тролльдер онлайн чаттар мен онлайн жиналыстарға қосылып, әртүрлі ұятсыз бейнелерді көрсетті. Айтпақшы, дәл осындай қауіп бүгінде ресейлік компанияларда кездеседі.
Менің ойымша, көпшілігіміз пандемияның ағымдағы жай-күйі туралы ресми және ресми емес әртүрлі ресурстарды үнемі тексеріп отырамыз. Шабуылшылар бұл тақырыпты пайдаланып, бізге коронавирус туралы «соңғы» ақпаратты, соның ішінде «билік сізден жасырып жүрген» ақпаратты ұсынады. Бірақ тіпті қарапайым қолданушылар да жақында шабуылдаушыларға «таныстарынан» және «достарынан» тексерілген фактілердің кодтарын жіберу арқылы жиі көмектесті. Психологтардың айтуынша, «дабылшы» қолданушылардың мұндай әрекеті өздерінің көзқарастарына келгеннің бәрін (әсіресе, мұндай қауіптерден қорғау механизмдері жоқ әлеуметтік желілер мен мессенджерлерде) жібереді. жаһандық қауіп және тіпті әлемді коронавирустан құтқаратын кейіпкерлер сияқты сезінесіз. Бірақ, өкінішке орай, арнайы білімнің жоқтығы бұл ізгі ниеттердің «барлығын тозаққа апарып», киберқауіпсіздікке жаңа қауіптер тудырып, құрбандар санын кеңейтуіне әкеледі.
Шын мәнінде, мен коронавирусқа қатысты киберқауіптердің мысалдарын келтіре аламын; Оның үстіне киберқылмыскерлер бір орында тұрмайды және адамның құмарлықтарын пайдаланудың жаңа тәсілдерін ойлап табады. Бірақ мен мұнымен тоқтай аламыз деп ойлаймын. Сурет қазірдің өзінде анық және ол жақын болашақта жағдай тек нашарлайтынын айтады. Кеше Мәскеу билігі он миллион халқы бар қаланы оқшаулау режиміне қойды. Мәскеу облысы мен Ресейдің басқа да көптеген аймақтарының билігі, бұрынғы посткеңестік кеңістіктегі ең жақын көршілеріміз де солай істеді. Бұл киберқылмыскерлердің көзіне түсетін ықтимал құрбандардың саны бірнеше есе артады деген сөз. Сондықтан, соңғы кезге дейін тек корпоративтік немесе ведомстволық желіні қорғауға бағытталған қауіпсіздік стратегияңызды қайта қарастырып қана қоймай, сізде қандай қорғаныс құралдары жетіспейтінін бағалап қана қоймай, сонымен қатар персоналды хабардар ету бағдарламаңызда келтірілген мысалдарды да ескерген жөн. қашықтағы жұмысшылар үшін ақпараттық қауіпсіздік жүйесінің маңызды бөлігіне айналуда. А бұл сізге көмектесуге дайын!
PS. Бұл материалды дайындау кезінде Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security және RiskIQ компанияларының, АҚШ Әділет министрлігінің, Bleeping Computer ресурстарының, SecurityAffairs және т.б. материалдар пайдаланылды.
Ақпарат көзі: www.habr.com