Політичний ФОРУМ
Клуб ФУП => Тема розпочата: magistr від 16 січня 2022 14:28:58
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
-
Думаю, просто мкрософт хайп на пустом месте накатвыает.
-
Думаю, просто мкрософт хайп на пустом месте накатвыает.
диму без вогню не буває...
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
зато #ненадопереплачивать
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
зато #ненадопереплачивать
ну, макось хоч і юнікс, але в цьому сегменті не айс.
-
Как exe-программка могла задефейсить веб-сайт? :)
-
Как exe-программка могла задефейсить веб-сайт? :)
"чи можна фуєм дуба зламати?" ;)
-
а чому ці сервера не на Лінуксі? :S
-
Зловмисне програмне забезпечення
Аж злякавсь .., хоча .., тра було цитоване , ще й червоним виокремити . ))
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
цікавіше інше
воно перезаписує основний завантажувальний запис (Master Boot Record, MBR - частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.
MBR???? У 2022мц році?????
:facepalm1:
-
Чі була якась атака , та чі й справді якомусь дрібносохтові цікаве , що у Україні відбуваєцця - одному Господові відомо , а що життєвий досвід "шепче" , теє краще й не друкувати . ))
-
Как exe-программка могла задефейсить веб-сайт? :)
та тут якраз технологія зрозуміла - та програмка просто шлюз/бот для отримання команд
-
Позорище . Укр.чиновникам только сервер без выхода в сеть .
-
а чому ці сервера не на Лінуксі? :S
Для начала надо понять, о каких вообще серверах идет речь, и были-ли вообще сервера... :)
-
MBR???? У 2022мц році?????
А от не тра ото такечки соромитись та обличча долонькою закривати . ))
У приватному користуванні - чудово почуваєцця , дякувати Богу , що МеБеРе , що усе інше , і навіть якося із усілякою заразою співіснуючи , та волю користувача виконуючи , кхм , до певної межі . ))
-
а чому ці сервера не на Лінуксі? :S
(https://i2.piccy.info/i9/89c280fb0406e36a3cc087cd310cf739/1642337482/195379/1421665/Zniatok_ekrana_iak_2022_01_16_14_50_11.png)
(https://i2.piccy.info/i9/182314ce1beb08f81984eae0c9b0ca8e/1642337516/188416/1421665/Zniatok_ekrana_iak_2022_01_16_14_50_32.png)
(https://i2.piccy.info/i9/79c8543eb91567f331795754e9639ed6/1642337675/303362/1421665/Zniatok_ekrana_iak_2022_01_16_14_50_23.png)
поглянь на цей дезігнерський "шедевр" і зрозумій, шо ці рукожопи навіть "титанову кульку зламають"
-
поглянь на цей дезігнерський "шедевр" і зрозумій
Воно зрузуміле принаймі вже декілька років , від часу , коли отого сайта "труд.гов.юа" , хтось такечки переробило , що майже ніодин браузер "не пережовує" толком , але мать бабліще "за роботу" , хтось узяло .
-
magistr, поясніть словами а не картинками
-
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
Ти хоч все прочитав? Чи тільки до .exe :lol:
-
Думаю, просто мкрософт хайп на пустом месте накатвыает.
Це саме ймовірне пояснення. Те що вірусня у юзерів на компах буває то правда, але відношення до серверу не має ніякого.
-
MBR???? У 2022мц році?????
Ікспєрти йопта Б/П :weep:
Віртуалка який має boot record?
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
Ти хоч все прочитав? Чи тільки до .exe :lol:
все, все... не переймайся. а якого біса решту серваків держустанов повимикали, га? B-)
-
MBR???? У 2022мц році?????
Ікспєрти йопта Б/П :weep:
Віртуалка який має boot record?
віртуальний! :laugh:
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
Ти хоч все прочитав? Чи тільки до .exe :lol:
все, все... не переймайся. а якого біса решту серваків держустанов повимикали, га? B-)
Це треба мати доступ до серверних логів... Але те що написала УП зі слів МС то дурня якась і перевірка видно пройшла на компах працівників...
-
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
а яка то версія Windows Server?
-
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
а яка то версія Windows Server?
ти мене питаєш? я всього лиш висловив припущення, яке випливає із замітки на УП
-
Ти хоч все прочитав? Чи тільки до .exe :lol:
все, все... не переймайся. а якого біса решту серваків держустанов повимикали, га? B-)
Це треба мати доступ до серверних логів... Але те що написала УП зі слів МС то дурня якась і перевірка видно пройшла на компах працівників...
це не відміняє проблеми в даному напрямку
-
MBR???? У 2022мц році?????
Ікспєрти йопта Б/П :weep:
Віртуалка який має boot record?
який вибереш, такий й має
пан взагалі різницю між MBR та GPT хоч уявляє?
-
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.
Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
-
Как exe-программка могла задефейсить веб-сайт? :)
Гм. А что мешает?
-
B-)
Facebook заблокував офіційну сторінку російської делегації на переговорах у Відні з питань військової безпеки та контролю за озброєннями. Про це повідомив керівник делегації Костянтин Гаврилов.
-
де ви в новині про сайти щось бачили..
там про атаку на мережу, на пристрої в мережі...
-
MBR???? У 2022мц році?????
який відсоток компів з уефі в міністерствах???
:shuffle:
-
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.
Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює. у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.
-
MBR???? У 2022мц році?????
Я теж спантеличений. Власне навіть знищення MBR ніяк не призводить до втрати даних.
-
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.
Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює. у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.
Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
-
Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.
Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює. у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.
Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
так, така деградація мені НЕ ПОДОБАЄТЬСЯ, хоч ти її сто раз "модою" називай. суть від цього НЕ МІНЯЄТЬСЯ.
(https://image.freepik.com/free-vector/man-and-woman-human-evolution-vector-icons_316839-2051.jpg)
-
Деструктивне зловмисне програмне забезпечення, спрямоване на українські організації
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
Центр розвідки загроз Microsoft (MSTIC)
Microsoft Digital Security Unit (DSU)
Команда Microsoft 365 Defender Intelligence Threat Intelligence
Група виявлення та реагування (DART)
Центр Microsoft Threat Intelligence Center (MSTIC) виявив докази руйнівної операції зловмисного програмного забезпечення, спрямованої на декілька організацій в Україні. Це зловмисне програмне забезпечення вперше з’явилося в системах жертв в Україні 13 січня 2022 року. Корпорація Майкрософт знає про поточні геополітичні події в Україні та прилеглому регіоні та заохочує організації використовувати інформацію в цій публікації для активного захисту від будь-якої зловмисної діяльності.
Поки наше розслідування триває, MSTIC не виявив жодних помітних зв’язків між цією спостережуваною активністю, яка відстежується як DEV-0586, та іншими відомими групами активності. MSTIC оцінює, що зловмисне програмне забезпечення, яке створено так, щоб виглядати як програмне забезпечення-викуп, але не має механізму відновлення викупу, має бути руйнівним і призначене для того, щоб вивести цільові пристрої в непрацездатність, а не для отримання викупу.
Наразі та на основі видимості Microsoft наші слідчі групи виявили зловмисне програмне забезпечення в десятках уражених систем, і ця кількість може зрости в міру продовження нашого розслідування. Ці системи охоплюють декілька державних, некомерційних та інформаційно-технологічних організацій, які базуються в Україні. Ми не знаємо поточного етапу операційного циклу цього зловмисника або того, скільки інших організацій-жертв може існувати в Україні чи інших географічних місцях. Однак, малоймовірно, що ці системи, які постраждали, відображають весь масштаб впливу, як повідомляють інші організації.
Враховуючи масштаби спостережуваних вторгнень, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційного чи підприємства, що знаходиться або має системи в Україні. Ми наполегливо рекомендуємо всім організаціям негайно провести ретельне розслідування та застосувати захист, використовуючи інформацію, надану в цій публікації. MSTIC оновить цей блог, оскільки у нас є додаткова інформація, якою можна поділитися.
Як і у випадку з будь-якою спостережуваною діяльністю між національною державою, Microsoft безпосередньо та проактивно сповіщає клієнтів, які були націленими або скомпрометованими, надаючи їм інформацію, необхідну для проведення розслідування. MSTIC також активно співпрацює з членами глобальної безпекової спільноти та іншими стратегічними партнерами, щоб поділитися інформацією, яка може подолати цю загрозу, що розвивається, через кілька каналів. Корпорація Майкрософт використовує позначення DEV-#### як тимчасове ім'я, яке дається невідомому, виникаючому або розвивається кластеру загроз, що дозволяє MSTIC відстежувати його як унікальний набір інформації, доки ми не досягнемо високої впевненості щодо походження або ідентифікації актора, який стоїть за діяльністю. Як тільки він відповідає критеріям, DEV перетворюється на названого актора або об’єднується з існуючими акторами.
Діяльність актора, яка спостерігається
13 січня корпорація Майкрософт виявила вторгнення, що походить з України, що, здавалося, може бути діяльністю Wiper Master Boot Records (MBR). Під час нашого розслідування ми виявили, що унікальні можливості шкідливого програмного забезпечення використовуються в атаках на кілька організацій-жертв в Україні.
-
Етап 1: перезаписати основний завантажувальний запис, щоб відобразити підроблену записку про викуп
Зловмисне програмне забезпечення знаходиться в різних робочих каталогах, включаючи C:\PerfLogs , C:\ProgramData , C:\ і C:\temp , і часто називається stage1.exe . Під час спостережуваних вторгнень зловмисне програмне забезпечення виконується через Imppacket, загальнодоступну можливість, яку часто використовують суб’єкти загрози для бічного переміщення та виконання.
Двоетапне зловмисне програмне забезпечення перезаписує основний завантажувальний запис (MBR) у системах-жертвах із записом про викуп (етап 1). MBR — це частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему. Записка про викуп містить біткойн-гаманець та Tox ID (унікальний ідентифікатор облікового запису, який використовується в протоколі обміну повідомленнями, зашифрованим Tox), які раніше не спостерігалися MSTIC:
Ваш жорсткий диск пошкоджено.
Якщо ви хочете відновити всі жорсткі диски
вашої організації,
Ви повинні заплатити нам 10 тисяч доларів через біткойн гаманець
1AVNM68gj6PGPFcJuft KATa4WLnzg8fpfv та надіслати повідомлення через
ідентифікаційний номер 8BEDC411012A33BA34F 49130D0F186993C6A32 DAD8976F6A5D82C1ED2 3054C057ECED5496F65
з назвою вашої організації.
Ми зв’яжемося з вами, щоб надати подальші інструкції.
Зловмисне програмне забезпечення запускається, коли пов’язаний пристрій вимкнено. Перезапис MBR є нетиповою для кіберзлочинних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст націлених файлів. Існує кілька причин, чому ця діяльність несумісна з діяльністю кіберзлочинців-вимагачів, які спостерігається MSTIC, зокрема:
Корисне навантаження програм-вимагачів зазвичай налаштовується для кожної жертви. У цьому випадку у кількох жертв спостерігався той самий викуп.
Практично всі програми-вимагачі шифрують вміст файлів у файловій системі. Зловмисне програмне забезпечення в цьому випадку перезаписує MBR без механізму відновлення.
Точні суми платежів та адреси гаманців криптовалют рідко вказуються в сучасних кримінальних записках про викуп, але вказуються DEV-0586. Одна й та сама адреса біткойн-гаманця спостерігалася під час усіх вторгнень DEV-0586, і на момент аналізу єдиною активністю була невелика передача 14 січня.
Рідко для методу зв’язку є лише ідентифікатор Tox, ідентифікатор для використання з протоколом обміну повідомленнями, зашифрованим Tox. Як правило, існують веб-сайти з форумами підтримки або кількома способами зв’язку (включаючи електронну пошту), щоб жертві було легко встановити контакт.
Більшість кримінальних записок про викуп містить власний ідентифікатор, який жертва має надіслати в своїх повідомленнях зловмисникам. Це важлива частина процесу, коли користувацький ідентифікатор з’єднується на серверній частині операції вимагача з ключем дешифрування для жертви. Записка про викуп у цьому випадку не містить спеціального ідентифікатора.
Корпорація Майкрософт продовжуватиме відстежувати діяльність DEV-0586 і впроваджувати засоби захисту для наших клієнтів. Нижче наведено відомості про поточні виявлення, розширені засоби виявлення та IOC в наших продуктах безпеки.
-
Етап 2: зловмисне програмне забезпечення, яке порушує файли
Stage2.exe — це програма для завантаження шкідливого програмного забезпечення, яке пошкоджує файли. Після виконання stage2.exe завантажує зловмисне програмне забезпечення наступного етапу, розміщене на каналі Discord, із посиланням для завантаження, жорстко закодованим у завантажувачі. Зловмисне програмне забезпечення наступного етапу найкраще можна охарактеризувати як зловмисник, який пошкоджує файли. Після виконання в пам’яті зловмисник знаходить файли в певних каталогах системи з одним із наступних жорстко закодованих розширень файлів:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .РЕЗЕРВНЕ .BAK .BAT .BRD .BZ .BZ2 .CGM .КЛАС .CMD .CONFIG .CPP .CCC . .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GHTM .HDD . .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYID . .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP5 .PHP5 .PHP5 . .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .SRB .RTFAV . .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXWTG . .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLTX .XLSX .XLWXL YML .ZIP
Якщо файл має одне з наведених вище розширень, зловмисник перезаписує вміст файлу фіксованою кількістю байтів 0xCC (загальний розмір файлу 1 МБ). Після перезапису вмісту деструктор перейменовує кожен файл із, здавалося б, випадковим чотирибайтовим розширенням. Аналіз цього шкідливого програмного забезпечення триває.
Рекомендовані дії клієнта
MSTIC і групи безпеки Microsoft працюють над створенням і впровадженням виявлення для цієї діяльності. На сьогоднішній день корпорація Майкрософт впровадила засоби захисту для виявлення цього сімейства шкідливих програм як WhisperGate (наприклад, DoS:Win32/WhisperGate.A!dha) через антивірус Microsoft Defender і Microsoft Defender для кінцевої точки, де б вони не були розгорнуті локально та в хмарному середовищі. Ми продовжуємо розслідування і будемо ділитися значними оновленнями з постраждалими клієнтами, а також партнерами з державного та приватного секторів, щоб отримати додаткову інформацію. Техніки, які використовує актор і описані в цій публікації, можна пом’якшити, дотримуючись міркувань безпеки, наведених нижче:
Використовуйте включені індикатори компрометації, щоб дослідити, чи існують вони у вашому оточенні, і оцінити можливість вторгнення.
Перегляньте всю активність автентифікації для інфраструктури віддаленого доступу, зосередившись на облікових записах, налаштованих з однофакторною автентифікацією, щоб підтвердити автентичність та дослідити будь-які аномальні дії.
Увімкніть багатофакторну автентифікацію (MFA), щоб пом’якшити потенційно скомпрометовані облікові дані та переконатися, що MFA застосовується для всіх віддалених з’єднань. ПРИМІТКА. Корпорація Майкрософт наполегливо рекомендує всім клієнтам завантажувати та використовувати безпарольні рішення, як-от Microsoft Authenticator , для захисту облікових записів.
Увімкніть контрольований доступ до папки (CFA) у Microsoft Defender для кінцевої точки, щоб запобігти зміні MBR/VBR.
-
Індикатори компрометації (МОК)
У наведеному нижче списку представлені МОК, які спостерігалися під час нашого розслідування. Ми заохочуємо клієнтів досліджувати ці показники у своєму середовищі та впроваджувати засоби виявлення та захисту, щоб виявити минулі пов’язані дії та запобігти майбутнім атакам на їхні системи.
Індикатор Тип Опис
a196c6b8ffcb97ffb27 6d04f354696e2391311 db3841ae16c8c9f56f3 6a38e92 SHA-256 Хеш руйнівного шкідливого програмного забезпечення stage1.exe
dcbbae5a1c61dbbbb7d cd6dc5dd1eb1169f532 9958d38b58c3fd93840 81c9b78 SHA-256 Хеш stage2.exe
cmd.exe /Q /c start c:\stage1.exe 1> \\127.0.0.1\ADMIN$\__[TIMESTAMP] 2>&1 Командний рядок Приклад командного рядка Imppacket, що показує виконання руйнівного зловмисного програмного забезпечення. Робочий каталог відрізнявся за кількістю спостережуваних вторгнень.
ПРИМІТКА. Ці показники не слід вважати вичерпними для цієї спостережуваної діяльності.
-
і часто має назву stage1.exe,
Б-г-г )) , осьо -
(https://d.radikal.ru/d33/2201/4b/98cc2e7506cd.png)
тих стейджів , що з кози гороху . ))
Стандартна комплектація завантажувача Grub , застосованого ув т.зв. ОС Android проєкту - x86 .
Милуйтеся , розмаїттям . ))
-
індикатори компрометації
Використав . ))
Подививсь - материнську плату , одні "падлюки" виробили , жорсткі діски - інші "падлюки" виробили , оптичні движки - ще інші "падлюки" , а ще якісь і того біоса "програмували" окремо , не згадуючи вже за "мікрокоди" ув кожному наявному будь-де контролерові .
Висновок - в семи покоївок , дитина без нагляду .
І тутечки таке собі дрібносохт з'являєцця , котре нездатне запобігти навіть зламу власного продухту і ламанки вінди із інтирнету , тому свідчення і щось патякають , про якусь компроментацію чогось , над чи фактично не мають ніякої влади .
Оно . такий собі манюсінький USB , начебто як модемчик , розміром із сірникову коробочку , а містить у собі - 2-ві (Дві !!!) операційних системи і надає іллюзію налаштувань лише крізь вікно браузера , тобто де-факто "живе життям" від програмьорів і інтирнета показує , якого схоче )) і продаєцця , за чималенькі назагал гроші , напів чі й зовсім легально .
І що толку з тієї справжньої вінди у кампутерові , якшо , як свідчить досвід , основні зусилля "шкідників" спрямовані саме на мережеві адаптери , будь-які .
звиняйте )) , не стримавсь . )
-
Корпорація Майкрософт наполегливо рекомендує всім клієнтам завантажувати та використовувати безпарольні рішення, як-от Microsoft Authenticator , для захисту облікових записів.
Зрозуміло - якшо хоч один сервер ув глобальній мережі , працює не під дрібносохтом - уся глобальна мережа зкомпроментована . ))
Таа , назагал так і вважав , але не через пінгвінячість чі дрібносохтовість серверів чі іншого чогось кампутірно-мережевого .
як неможливо на "купі лайна" збудувати дім , так неможливо на відпочатку помилкових діях/рішеннях , збудувати щось годяще , шляхом повсякчасного ускладення , помилкового у корінні . НМД . )
-
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює. у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.
Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
так, така деградація мені НЕ ПОДОБАЄТЬСЯ, хоч ти її сто раз "модою" називай. суть від цього НЕ МІНЯЄТЬСЯ.
Так починається старість.
-
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.
Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
так, така деградація мені НЕ ПОДОБАЄТЬСЯ, хоч ти її сто раз "модою" називай. суть від цього НЕ МІНЯЄТЬСЯ.
Так починається старість.
маю burlington-a в союзниках.. B-)
https://forum.pravda.com.ua/index.php?topic=1116288.0;topicseen
-
.PHTML
Як вчитавсь , то аж полегшало )) - *.mhtml , слід розуміти - не знайде )) , а тому і похвіг до "зловмисника" .
Самі ж "падлюки" вигадали хвункцію/властивість - прихований хвайл , чим тії "зловмисники" , залюбки й користаюцця .
Самі ж "падлюки" вигадали категоричну заборону на видалення к буям непотребу із ОС , чим тіж самі "зловмисники" теж залюбки і користаюцця і як і найшов трояна , то х його видалиш , з під тієї ОС і ото хіба ДОС-ом завантажуватись із оптіки . чі є-бунтою якою і видаляти "шкідливе" , якшо примітивно зроблене та неперезаписуєцця операційною системою до котрої прописалось .
Самі ж падлюки вигадали якогось "віддаленого керування реєстром" , якогось "віддаленого помічника" , чим теж залюбки , т.зв. зловмисники і користаюцця .
І далі - майже безліч безумних вигадок від "програмьорів" , включно із початковим перезаписуванням із установчого діску на жорсткий фактично програмного сміття , залізо до котрого , відсутнє у системі на час встановлення ОС і взагалі ніколи не буде застосоване чі задіяне .
Бл , нема прінтера підключеного до кампутіра , на час встановлення ОС , то набуя записувати драйвери до керування декількома десятками моделів прінтерів та ще й автоматично запускати службу друку ..? так само і з іншим обладнанням , відсутнім .
Дбл , бл (с) .
-
Самі ж "недоумки" вигадали хвункцію "автозавантаження" будь-яої сохтини , і оті ж "зловмисники" і раді старатись - і регочуцця і дякують .
Колись , рочків із десять тому , читав від дійсно обізнаних та досвідчених - після встновлення Віндоуз ХеРе )) , серед іншого непотребу , бажано якнайшвидше видаляти додаток "екранна клавіатура" , то обміркував і погодивсь із такою порадою .
Спробуйте зі с-ного смартика видалити тую клавіатуру екранну . )) Начебто як гумор . )
-
Самі ж "недоумки" вигадали хвункцію "автозавантаження" будь-яої сохтини , і оті ж "зловмисники" і раді старатись - і регочуцця і дякують .
Колись , рочків із десять тому , читав від дійсно обізнаних та досвідчених - після встновлення Віндоуз ХеРе )) , серед іншого непотребу , бажано якнайшвидше видаляти додаток "екранна клавіатура" , то обміркував і погодивсь із такою порадою .
Спробуйте зі с-ного смартика видалити тую клавіатуру екранну . )) Начебто як гумор . )
:S
І як ти будеш керувати смартом тоді? В смартах же немає фізичної клавіатури.
-
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були! :facepalm:
цікавіше інше
воно перезаписує основний завантажувальний запис (Master Boot Record, MBR - частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.
MBR???? У 2022мц році?????
:facepalm1:
цікаво інше, як програма може це зробити в user-mode, тобто маючи привілеї блокноту?
-
29 листопада 2019, 15:43
Роль кібербезпеки трохи перебільшена, - міністр Федоров (https://лб/tech/2019/11/29/443542_rol_kiberbezopasnosti_nemnogo.html)
Коли ми прийшли в Офіс президента, it-команда показала дашборди з тисячею атак на день, перевантаженням сайтів і т.д. Через два тижні ми їх звільнили
-
В смартах же немає фізичної клавіатури.
Ото ж бо й воно , що смартиком керує , хто завгодно з програмьорчиків , тільки не власник , котрий придбав того смартика , настрибавшись доприкладу риштуваннями , чі будь-як інакше заробивши грошів . ))
-
воно перезаписує основний завантажувальний запис
Брехня і брехня нахабна і читана вже не один раз - у підміні визначень , бо не "воно" перезаписує , а сама операційна система , будучи нейтральним інструментом з виконання команд , виконує послідовність команд , що має в собі оте "воно" і таким чином і перезаписує ОС і оте "воно" і МеБеРе )) і будь-що інше .
Нажаль і ахтор цих рядків іноді такої самої брехні з підміни визначень припускаєцця , намагаючись побутовою мовою , змалювати технічне , прохвесійне .
-
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.
Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
так, така деградація мені НЕ ПОДОБАЄТЬСЯ, хоч ти її сто раз "модою" називай. суть від цього НЕ МІНЯЄТЬСЯ.
Так починається старість.
з цього починається мудрість.
п.с. шоу маст гоу он. як вам злив БД з конфіденційною інформацією?