RSS
Словарь компьютерных терминов    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z   .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

SYSTEM
 Windows10
  Registry Windows 10
  Windows 10 tweaks & tricks
Windows8
Tweaks & tricks
  Network settings
  Registry
Windows7
Windows7: General settings
  Windows7: Registry
  Windows7: Registry faq
  Windows7: Network settings
  Windows7: Security
  Windows7: Firewall
  Windows7: Compatibility Mode
  Windows7: Administrator Password
Windows NT/2K/XP/VISTAWindows NT/2K/XP/VISTA
Win 2K faqWin 2K faq
  Win 2K(kernel & MEM.managment)
  Win 2K и XP (Securit)
  Win 2K и XP (Boot)
  Win 2K и XP (Install)
  Win 2K и XP (Admin)
  Win 2K и XP (File system)
  Win 2K и XP (Services)
  Win 2K & XP optim & tweak
  Win XP faq
  Win XP faq #2
  Win XP faq (net)
  Win XP faq (lan)
  Win XP recover & recovery console
  WinXP & ntfs
  WinXP & game faq
  Win PE
  Win Vista
  Win Vista FAQ
  Win Server tweaks
RegistryRegistry
Reg WIN2K/XP faq
Reg WIN2K/XP faq #2
Reg NT/XP: Structure
Reg XP: Restore & backup
Reg XP: Costumize XP
Reg XP: Inet
Reg NT/XP: SAM
Reg: Inet & LAN
BIOSBIOS
BIOS faq
BIOS recover
BIOS #
computer ambulance

Китайские шпионы использовали новые программы в атаке на Великобританию


Подробности об атаке были представлены на прошлой неделе на саммите Kaspersky Security Analyst Summit (SAS) в Канкуне Ахмедом Заки, старшим исследователем вредоносных программ в NCC Group.

Атака была приписана группе, известной как APT15, Ke3chang, Mirage, Vixen Panda и Playful Dragon. NCC Group начала анализировать недавние действия группы после того, как она нацелилась на одного из клиентов компании, предоставляющей широкий спектр услуг правительству Соединенного Королевства.

Исследователи полагают, что нападавшие были нацелены на различные правительственные и военные ведомства Соединенного Королевства. Ахмед Заки упомянул во время своей презентации в SAS, что APT15 был особенно активен в часы, которые соответствуют часам работы в Восточной Азии.

APT15 работает с по меньшей мере с 2010 года и нацеливается на организации по всему миру с использованием собственных вредоносных программ и приложений. На протяжении многих лет группа улучшала свои инструменты и технологии, и недавно NCC Group выявила два новых бэкдора, которые создала APT15.

Один из бэкдоров был назван RoyalCLI и считается преемником BS2005 - вредоносного кода, который часто используется группой. RoyalCLI использует аналогичные подпрограммы шифрования и кодирования, и они оба общаются с серверами команд и управления (C&C) через Internet Explorer с помощью интерфейса IWebBrowser2.

Вредоносная программа использует командную строку Windows (cmd.exe) для выполнения большинства своих команд. Он предназначен для копирования файла cmd.exe и его изменения, что позволяет ему обходить политики, которые могут препятствовать запуску командной строки на целевом устройстве.

Второй бэкдор с именем RoyalDNS использует DNS, в частности записи TXT, для связи с сервером C & C. Эта часть вредоносного ПО получает команды, выполняет их и возвращает выходные данные через DNS.

В случае атаки, проанализированной NCC Group, хакеры скомпрометировали более 30 хостов, первоначальное вторжение могло произойти еще в мае 2016 года. NCC Group прекратила свое расследование в июне 2017 года, но возобновили его в августе после того, как APT15 удалось восстановить доступ к сети жертвы. Эксперты определили, что хакеры украли сертификат VPN с взломанного хоста и использовали его для восстановления доступа через корпоративную VPN.

Команды, отправленные RoyalCLI и BS2005, были кэшированы на диск скомпрометированных устройств, что позволило экспертам восстановить более 200 команд. Поскольку одна из команд содержала опечатку, эксперты определили, что они скорее всего отправляются оператором, а не автоматическим процессом.

В дополнение к BS2005, RoyalCLI и RoyalDNS, APT15 использовали специально разработанные кейлогеры, а также инструменты для перераспределения и удаления данных Microsoft SharePoint и Exchange. Арсенал группы также включает в себя широко доступные инструменты, такие как Mimikatz, CSVDE, NetEnum и RemoteExec.

Более того, злоумышленники полагались на различные команды Windows для ведения разведки, включая список задач, ping, netstat, net, systeminfo, ipconfig и bcp. Для перемещения они использовали команду net и вручную копировали файлы на и с компрометированных хостов.

«Благодаря нашему исследованию мы смогли идентифицировать и контролировать процесс атаки от начала до конца, получая уникальное представление о поведении этой группы», - заявил Ахмед Заки.


Магазин цифровой техники | Новинки магазина | Микроформаты и микроданные | Типографика в онлайн-текстах | Защита от DDoS-атак | Как добиться хорошего индексирования? | Интерактивная поисковая выдача | Использование виджетов на сайте | Эффективный e-mail-маркетинг | Оформление страницы контактов | Обратная связь с клиентами | Как завоевать доверие клиентов | Оптимизация содержимого тегов title, description, keywords | | Руководство по социальным кнопкам | Особенности продвижения коммерческих сайтов в Яндексе | Продвижение блогов | Оптимизация сайтов на платформе WordPress | Основы таргетированной рекламы в соцсетях | Оптимизация видео на YouTube для поисковых систем | Ретаргетинг и ремаркетинг | Приемы продающей рассылки | Яндекс Метрика и Google Analytics: настройка целей | Контекстная реклама: как составить эффективное объявление | Особенности контекстной рекламы для интернет-магазинов | Правила эффективного отбора доноров в ссылочных биржах | Шпионаж — двигатель маркетингового прогресса | Технологии реферального маркетинга: от простых к высокодоходным | Статейное продвижение сайта | Тизерная реклама: принципы работы, фишки, эффективность | SEO-продвижение сообществ ВКонтакте | Контентный маркетинг | Технология RTB | Что такое сквозные ссылки | Влияние ссылок на поисковую выдачу | Экзотический At the copa |   | Thunderfist - это блестяще захватывающее название тематического боевого искусства от разработчика NetEnt | Сотовые телефоны | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 

po gonn © 2004