गति या सुरक्षा? हम कहते हैं गति और सुरक्षा

“सुरक्षा सॉफ्टवेयर मेरे पीसी को धीमा कर देता है।”

हम अक्सर इस भावना को सुनते हैं जब उपयोगकर्ता मैलवेयर संरक्षण के बारे में बात करते हैं। जबकि लोग कंप्यूटर सुरक्षा के मूल्य को पहचानते हैं, ज्यादातर निराश हो जाते हैं यदि सॉफ्टवेयर उनके डिवाइस को तोड़ देता है। मेरा मतलब है, मैं खुद निराश हो जाता हूं, जब मैं संख्याओं में कमी करने की कोशिश कर रहा हूं और मैं अचानक एक घंटे के गिलास के साथ अभिवादन कर रहा हूं!

जबकि यह कुछ ऑनलाइन सुरक्षा उत्पादों के साथ हो सकता है, McAfee के सुरक्षा सूट उतने ही हल्के होते हैं जितना उन्हें मिलता है। हम समझते हैं कि जब उपभोक्ताओं को मैलवेयर सुरक्षा की आवश्यकता होती है, तो यह डिवाइस के प्रदर्शन की कीमत पर नहीं आना चाहिए। इसलिए, हम अपने उत्पादों को परीक्षण के लिए डालते हैं – एवी-टेस्ट और एवी-तुलनात्मक सटीक होने के लिए – उपयोगकर्ताओं को यह दिखाने के लिए कि वे धीमे सॉफ्टवेयर के साथ अपने डिजिटल जीवन को बाधित किए बिना सुरक्षित रह सकते हैं। *

* एवी-टेस्ट परिणाम

* एवी-तुलनात्मक परिणाम

सुरक्षा और गति के बीच संबंध का परीक्षण

आधुनिक तकनीक उपयोगकर्ता दिल में मल्टीटास्कर हैं। ईमेल से फोटो एडिटिंग एप्स से लेकर म्यूजिक स्ट्रीमिंग सेवाओं तक, हमें अपने सभी पसंदीदा कार्यक्रमों को कुशलतापूर्वक चलाने के लिए हमारे उपकरणों की आवश्यकता होती है। सुरक्षा सॉफ्टवेयर एक और कार्यक्रम है जिसे हमें चलाने की आवश्यकता है – एक जिसे हम चिंतित हैं बाकी को धीमा कर देगा। तो हम यह कैसे सुनिश्चित कर सकते हैं कि हमारा पीसी प्रदर्शन खराब रूप से प्रभावित नहीं होगा? उत्तर: इसे मापें।

यह पता लगाने के लिए कि पीसी के प्रदर्शन पर मालवेयर सुरक्षा का कितना प्रभाव है, कुछ स्वतंत्र परीक्षण प्रयोगशालाओं में उनके सुरक्षा उत्पाद परीक्षणों में प्रदर्शन प्रभाव के मानक शामिल हैं। इन परीक्षण प्रयोगशालाओं में सबसे प्रसिद्ध एवी-टेस्ट हैं, जो जर्मनी में स्थित है, और ऑस्ट्रिया स्थित एवी-तुलनात्मक हैं। ये स्वतंत्र लैब दुनिया में सबसे प्रतिष्ठित और प्रसिद्ध एंटी-मैलवेयर टेस्ट लैब हैं।

ये संगठन कई सुरक्षा उत्पादों के परीक्षण और मूल्यांकन और पीसी के प्रदर्शन पर उनके प्रभाव का काम करते हैं। एवी-टेस्ट लैब विभिन्न सुरक्षा उत्पादों के नवीनतम संस्करणों का मूल्यांकन करता है और कंप्यूटर की गति पर उत्पाद के औसत प्रभाव को मापता है। दूसरी ओर, एवी-तुलनात्मक कम-से-कम कंप्यूटरों का उपयोग करता है और उपयोगकर्ताओं की दैनिक उपयोग की यथासंभव उपयोग करता है, फाइलों की प्रतिलिपि बनाना, एप्लिकेशन इंस्टॉल करना और अनइंस्टॉल करना, एप्लिकेशन लॉन्च करना, फ़ाइलें डाउनलोड करना और ब्राउज़िंग वेबसाइट जैसी गतिविधियों पर ध्यान केंद्रित करता है। इन परीक्षणों के परिणामों के आधार पर, उत्पादों को पुरस्कार स्तर + (उच्चतम रैंकिंग) से लेकर STANDARD (सबसे कम रैंकिंग) तक श्रेणीबद्ध किया जाता है।

तो, McAfee प्रतियोगिता के लिए कैसे खड़ा है? मई 2018 से, मैक्एफी ने लगातार सभी प्रदर्शन परीक्षणों में सर्वोच्च स्कोर प्राप्त किया है। परिणामस्वरूप McAfee® टोटल प्रोटेक्शन को मार्च 2020 में AV-TEST द्वारा ‘2019 परफॉरमेंस अवार्ड’ से सम्मानित किया गया। इसके अलावा, McAfee ने अक्टूबर 2016 से लगातार एडवांस + रैंकिंग हासिल की है। दूसरे शब्दों में, McAfee प्रोटेक्शन सबसे तेज़ और सबसे हल्के में से एक है। बाजार पर उत्पादों। इन जैसे परिणामों के साथ, मुझे अपने सींग को मारना होगा!

ये परिणाम हमारे दिन-प्रतिदिन के जीवन को कैसे प्रभावित करते हैं?

डब्ल्यूएफएच युग के दौरान, उपयोगकर्ता पहले से कहीं अधिक उपकरणों पर निर्भर हैं। उन्हें ऑनलाइन खतरों की चिंता किए बिना, जल्दी और सुरक्षित रूप से काम करने की आवश्यकता है। विशेष रूप से आज के मैलवेयर कई रूपों में आते हैं, नई तकनीकी प्रगति और तकनीक-प्रेमी उपभोक्ताओं के व्यवहार के अनुकूल होते हैं जो उनका उपयोग करते हैं। वास्तव में, हैकर्स अक्सर उपभोक्ताओं के जीवन में जो कुछ भी मौजूद है, उनके खतरों को जोड़ते हैं – इसलिए हाल ही में हमने COVID से संबंधित फ़िशिंग ईमेल या ज्ञात डिवाइस या ऐप भेद्यता के माध्यम से मैलवेयर के हमलों को देखा है।

McAfee के प्रदर्शन परिणामों के साथ और क्या मदद करता है?

McAfee टोटल प्रोटेक्शन पीसी बूस्ट फीचर्स के साथ आता है, जो आपके ब्राउज़र में सक्रिय रूप से काम कर रहे ऑटो-प्ले वीडियो को रोक कर और उन ऐप्स को अधिक हॉर्स पावर देकर उत्पादकता और मनोरंजन दोनों का लाभ देता है। हालांकि ये जोड़ विशेष रूप से पूर्वोक्त परीक्षा परिणामों में शामिल नहीं हैं, लेकिन ये स्वचालित उपकरण आपके कंप्यूटर को तेज़ी से और अधिक कुशलता से चलाने में मदद करते हैं।

McAfee Total Protection की तरह एक व्यापक समाधान का लाभ उठाकर, उपयोगकर्ता अंततः ऑनलाइन अपने समय के साथ अधिक कुशल हो सकते हैं, चाहे वह क्रंचिंग नंबर हो, गेम खेल रहा हो या एक साथ कई ऐप चला रहा हो। और इसका सामना करें – जब हमारे उपकरण हमें सशक्त महसूस कराते हैं, तो हमारा डिजिटल जीवन बेहतर होता है।

आधुनिक जानकारी से परिपूर्ण रहो

McAfee और नवीनतम उपभोक्ता और मोबाइल सुरक्षा खतरों के शीर्ष पर अपडेट रहने के लिए, ट्विटर पर @McAfee_Home का अनुसरण करें, हमारे पॉडकास्ट हैक करने योग्य सुनें ?, और फेसबुक पर on Like ’करें।

ब्लूज़ के लिए शिकार – डब्ल्यूएसएल योजना 9 प्रोटोकॉल बीएसओडी

लिनक्स प्लान 9 प्रोटोकॉल रिसर्च ओवरव्यू के लिए विंडोज सबसिस्टम

यह लिनक्स (WSL) कार्यान्वयन के लिए विंडोज सबसिस्टम पर McAfee शोध श्रंखला त्रयी में अंतिम ब्लॉग है – द ट्विन जर्नी (भाग 1) और नॉक, नॉक-हूज (पार्ट 2) देखें। Microsoft P9 सर्वर को दुर्भावनापूर्ण P9 (योजना 9 फ़ाइल सिस्टम प्रोटोकॉल) सर्वर से अपहृत किया जा सकता है, जब पिछले शोध ने फ़ाइल चोरी के हमलों पर चर्चा की। विंडोज 10 संस्करण 1903 के बाद से, पी 9 प्रोटोकॉल का उपयोग करके विंडोज से लिनक्स फाइलों तक पहुंचना संभव है। डब्लूएस 10 ऑपरेटिंग सिस्टम डब्ल्यूएसएल इंस्टॉल के हिस्से के रूप में पी 9 सर्वर के साथ आता है ताकि यह लिनक्स फाइल सिस्टम के साथ संवाद कर सके। इस शोध में हम विंडोज कर्नेल के भीतर P9 प्रोटोकॉल कार्यान्वयन का पता लगाते हैं और क्या हम दुर्भावनापूर्ण P9 सर्वर से इसमें कोड निष्पादित कर सकते हैं। हमने Microsoft P9 सर्वर को हाईजैक करके एक दुर्भावनापूर्ण P9 सर्वर बनाया और इसे कोड के साथ बदलकर हम नियंत्रित कर सकते हैं।

एक विशिष्ट हमले के परिदृश्य में, हमें पता चला कि अगर WSL को विंडोज 10 पर सक्षम किया जाता है, तो एक गैर-विशेषाधिकार प्राप्त स्थानीय हमलावर WSL P9 संचार चैनल को ठिकाने लगाने के लिए सेवा से वंचित कर सकता है (DoS) या ब्लू स्क्रीन ऑफ डेथ (BSOD) विंडोज कर्नेल। इस भेद्यता के कारण विंडोज कर्नेल के भीतर विशेषाधिकार (ईओपी) की वृद्धि को प्राप्त करना संभव नहीं है; यदि Microsoft Windows कर्नेल द्वारा विकृत P9 सर्वर संचार पैकेट प्राप्त कर लेता है, तो BSOD अपने वैध असफल प्रवाह के भीतर Microsoft द्वारा डिज़ाइन किया गया प्रतीत होता है। एक गैर-विशेषाधिकार प्राप्त उपयोगकर्ता को स्थानीय या दूरस्थ दृष्टिकोण से, विंडोज कर्नेल को बीएसओडी करने में सक्षम नहीं होना चाहिए। यदि WSL सक्षम नहीं है (Windows 10 पर डिफ़ॉल्ट रूप से अक्षम), तो भी हमले को अंजाम दिया जा सकता है लेकिन हमलावर को WSL को पूर्व-आवश्यकता के रूप में सक्षम करने के लिए एक विशेषाधिकार प्राप्त उपयोगकर्ता होने की आवश्यकता है।

हाल ही में आरडीपी और एसएमबी प्रोटोकॉल के भीतर ब्लूकीस्ट और एसएमबीएचहोस्ट के रूप में कुछ महत्वपूर्ण, चिंताजनक प्रोटोकॉल कमजोरियां आई हैं। दूरस्थ रूप से शोषक भेद्यताएँ बहुत अधिक जोखिम वाली होती हैं यदि वे खराब होती हैं क्योंकि वे बिना किसी उपयोगकर्ता सहभागिता के सिस्टम में फैल सकती हैं। स्थानीय भेद्यता कम जोखिम है क्योंकि एक हमलावर को पहले सिस्टम पर उपस्थिति होनी चाहिए; इस स्थिति में उनके पास दुर्भावनापूर्ण P9 सर्वर निष्पादित होना चाहिए। P9 प्रोटोकॉल कार्यान्वयन स्थानीय रूप से विंडोज कर्नेल के भीतर चलता है, इसलिए, अधिकांश स्थानीय भेद्यता शिकार के साथ, एक भेद्यता को खोजने के लिए है जो विशेषाधिकार (ईओपी) को बढ़ाने की अनुमति देता है।

इस ब्लॉग में हम प्रोटोकॉल कार्यान्वयन और भेद्यता शिकार प्रक्रिया में एक गहरा गोता लगाते हैं। इस शोध से WSL उपयोगकर्ताओं के लिए कोई जोखिम नहीं है, जिसे Microsoft द्वारा साझा और मान्य किया गया है। हमें उम्मीद है कि यह शोध डब्ल्यूएसएल पी 9 संचार स्टैक की समझ को बेहतर बनाने में मदद करेगा और अतिरिक्त अनुसंधान स्टैक को और अधिक उपयोगी होगा।

डब्ल्यूएसएल पर कुछ कारनामे हुए हैं जैसे कि यहां और यहां लेकिन इसके अलावा P9 प्रोटोकॉल कार्यान्वयन का कोई दस्तावेजी शोध नहीं हुआ है।

P9 प्रोटोकॉल अवलोकन

प्लान 9 फाइल सिस्टम प्रोटोकॉल सर्वर क्लाइंट को फाइल बनाने, हटाने, पढ़ने और लिखने के लिए फाइल सिस्टम को नेविगेट करने की अनुमति देता है। क्लाइंट सर्वर को अनुरोध (टी-संदेश) भेजता है और सर्वर आर-संदेश के साथ प्रतिक्रिया करता है। P9 प्रोटोकॉल में एक हेडर है जिसमें आकार, प्रकार और टैग फ़ील्ड शामिल हैं, जो क्लाइंट से अनुरोध के आधार पर एक संदेश प्रकार फ़ील्ड द्वारा पीछा किया जाता है। सर्वर द्वारा भेजे गए आर-संदेश प्रकार को क्लाइंट से शुरू किए गए टी-संदेश प्रकार से मेल खाना चाहिए। डेटा ट्रांसफर के लिए अधिकतम कनेक्शन का आकार क्लाइंट द्वारा कनेक्शन सेटअप के दौरान तय किया जाता है; नीचे हमारे विश्लेषण में, यह 0x10000 बाइट्स है।

संदेश प्रकार संघ के बाद P9 प्रोटोकॉल हेडर (हमने केवल P9 संदेश प्रकारों के सबसेट को शामिल किया है जो भेद्यता अनुसंधान के लिए रुचि रखते हैं):

संरचना P9Packet {

u32 आकार;

u8 प्रकार;

u16 टैग;

संघ {

संरचना p9_rversion तोड़फोड़;

संरचना p9_rread rread;

संरचना p9_rreaddir rreaddir;

संरचना p9_rwalk rwalk;

} यू

} P9Packet

P9 T-message और संबंधित R-message नंबर उन प्रकारों के लिए हैं जिनमें हम रुचि रखते हैं (R-संदेश हमेशा T-message 1) है:

एनम p9_msg_t {

P9_TREADDIR = 40,

P9_RADADIR = 41,

P9_TVERSION = 100,

P9_RVERSION = 101,

P9_TWALK = 110,

P9_RWALK = 111,

P9_TREAD = 116,

P9_RREAD = 117,

}

संदेश प्रकार परत पर, जो P9 प्रोटोकॉल शीर्षलेख का अनुसरण करता है, आप नीचे हाइलाइट किए गए फ़ील्ड देख सकते हैं, जो चर आकार के हैं:

संरचना p9_rwalk {

यू 16 nwqid;

संरचना p9_qid wqids[[P9_MAXWELEM];

}

संरचना p9_rread {

u32 गिनती;

u8 *डेटा;

}

संरचना p9_rreaddir {

u32 गिनती;

u8 *डेटा;

}

संरचना p9_rversion {

u32 msize;

संरचना p9_str संस्करण;

}

संरचना p9_str {

यू 16 लेन;

चार *str;

}

P9 प्रोटोकॉल के पैकेट संरचना के आधार पर हमें संदेश प्रकार भ्रम और स्मृति भ्रष्टाचार कमजोरियों के लिए शिकार करने की आवश्यकता है जैसे कि रीड / राइट से बाहर।

तो, एक पैकेट संरचना स्मृति में क्या दिखेगी? चित्रा 1 WinDbg से प्रोटोकॉल हेडर और संदेश प्रकार मेमोरी लेआउट दिखाता है। संदेश का आकार (msize) 0x10000 के लिए बातचीत की है और संस्करण स्ट्रिंग “9P2000.W” है।

आकृति 1। P9 पैकेट rversion संदेश प्रकार के लिए

Windows WSL P9 संचार स्टैक और डेटा संरचनाएँ

चित्र 2। WSL के भीतर विंडोज प्लान 9 फाइल सिस्टम प्रोटोकॉल कार्यान्वयन

P9rdr.sys नेटवर्क मिनी-रिडायरेक्टर ड्रायवर, R9RegisterMinirdad API का उपयोग करते हुए p9rdr DriverEntry रूटीन के भाग के रूप में Redirected Drive Buffering सबसिस्टम (RDBSS) के साथ “\ Device \ P9Rdr” डिवाइस को पंजीकृत करता है। इस पंजीकरण के दौरान, निम्नलिखित P9 API या ड्राइवर रूट RDBSS के संपर्क में हैं:

P9NotImplemented

P9Start

P9Stop

P9DevFcbXXXControlFile

P9CreateSrvCall

P9CreateVNetRoot

P9ExtractNetRootName

P9FinalizeSrvCall

P9FinalizeVNetRoot

P9Create

P9CheckForCollapsibleOpen

P9CleanupFobx

P9CloseSrvOpen

P9ForceClosed

P9ExtendFile

P9Flush

P9QueryDirectoryInfo

P9QueryVolumeInfo

P9QueryFileInfo

P9SetFileInfo

P9IsValidDirectory

P9Read

P9Write

DeviceIoControl API का उपयोग करके p9rdr ड्राइवर सीधे उपयोगकर्ता मोड से सुलभ नहीं है और सभी कॉल RDBSS के माध्यम से जाने चाहिए।

जैसा कि चित्र 2 में देखा गया है, जब कोई उपयोगकर्ता एक्सप्लोरर से WS के शेयर “\ wsl $” पर नेविगेट करता है, आरडीबीएसएस चालक पहले पंजीकृत एपीआई के माध्यम से पी 9 चालक में कॉल करता है।

DIOD एक फ़ाइल सर्वर कार्यान्वयन है, जिसे हमने “दुर्भावनापूर्ण” P9 सर्वर के रूप में संशोधित किया है, जहाँ हम स्क्वाटिंग अटैक के रूप में विंडोज़ ओएस से पहले “fsserver” सॉकेट नाम का दावा करते हैं। एक बार जब हमने Microsoft P9 सर्वर को DIOD सर्वर से बदल दिया, तो हमने “np_req_respond” फ़ंक्शन (फ़ज़िंग बाधाओं की व्याख्या की) को संशोधित किया ताकि हम Windows कर्नेल के लिए दुर्भावनापूर्ण प्रतिक्रियाएँ भेजने के लिए P9 पैकेटों को नियंत्रित कर सकें। हमारे दुर्भावनापूर्ण P9 सर्वर और सॉकेट अपहरण को यहां विस्तार से समझाया गया है।

तो अब हम जानते हैं कि एक्सप्लोरर से डेटा P9 ड्राइवर तक कैसे जाता है लेकिन P9 ड्राइवर दुर्भावनापूर्ण P9 सर्वर के साथ कैसे संवाद करता है? वे AF_UNIX सॉकेट पर संचार करते हैं।

P9 ड्राइवर के भीतर डेटा प्रवाह को नियंत्रित करने के लिए P9Client और P9Exchange नामक दो महत्वपूर्ण डेटा संरचनाएं उपयोग की जाती हैं।

P9Client और P9Exchange डेटा संरचनाएँ, जब इस शोध के लिए प्रासंगिक फ़ील्ड्स के लिए रिवर्स इंजीनियरिंग किया जाता है, तो निम्न की तरह देखें (इस विश्लेषण के लिए प्रासंगिक फ़ील्ड को संरेखण के लिए UINT64 के रूप में लेबल किया गया है):

टाइप्डिफ़ संरचना P9Client {
PVOID * WskTransport_vftable
PVOID * GlobalDevice
UNINT64 RunRef
WskSocket * WskData
UINT64
UINT64
UINT_PTR
PVOID * MidExchangeMgr_vftable
PRDBSS_DEVICE_OBJECT * RDBSS
UINT64
PVOID ** WskTransport_vftable
PVOID ** MidExchangeMgr_vftable
P9Packet * P9PacketStart
UINT64 मैक्सकॉन्क्शन
UINT64 Rmessage_size
P9Packet * P9PacketEnd
UINT_PTR
UINT64
UINT64
UINT_PTR
UINT64
UINT64
PVOID * सत्र_ReconnectCallback
PVOID ** WskTransport_vftable
UINT64
UINT_PTR
UINT_PTR
UINT64
UINT_PTR
UINT64
UINT64
UINT64
} P9Client

Win9bg में P9Client डेटा संरचना मेमोरी लेआउट:

टाइप्डिफ़ संरचना P9Exchange {
UINT64
UINT64
P9Client * P9Client
UINT64 Tmessage_type
UINT64
UINT_PTR
पीवीओआईडी * लाम्बडा_पीटीआर 1
पीवीओआईडी * लाम्बडा_पीटीआर 2
PRX_CONTEXT * RxContextUINT64 Tmessage_size
UINT64
UINT64
UINT64
UINT64
UINT64
UINT64
} P9Exchange

WinDbg में P9Exchange डेटा संरचना लेआउट:

P9 सर्वर के साथ संवाद करने के लिए, P9 ड्राइवर Winsock कर्नेल (WSK) से डेटा प्राप्त करने के लिए I / O अनुरोध पैकेट (IRP) बनाता है। ध्यान देने वाली एक महत्वपूर्ण बात यह है कि P9 सर्वर और विंडोज कर्नेल P9 क्लाइंट के बीच पारित डेटा को होल्ड करने के लिए उपयोग की जाने वाली मेमोरी डिस्क्रिप्टर लिस्ट (MDL) 0x10000 बाइट्स (पहले उल्लेखित अधिकतम कनेक्शन आकार) है।

आभासी लंबे WskTransport :: प्राप्त () {

UNINT64 MaxConnectionSize = 0x10000;

P9_IRP_OBJECT = RxCeAllocateIrpWithMDL (2, 0, 0i64);

P9_MDL = IoAllocateMdl (P9Client-> P9PacketStart, मैक्सकॉन्सेक्शनाइज़, 0, 0, 0i64);
शून्य MmBuildMdlForNonPagedPool (P9_MDL);
P9_IRP_OBJECT-> IoStackLocation-> पैरामीटर-> MDL = & P9_MDL;

P9_IRP_OBJECT-> IoStackLocation-> पैरामीटर-> P9Client = & P5Client;

P9_IRP_OBJECT-> IoStackLocation-> पैरामीटर-> डेटापाथ = & P9Client :: ReceiveCallback;
P9_IRP_OBJECT-> IoStackLocation-> पूर्ण समापन Routine = p9fs :: WskTransport :: SendReceiveComplete
WskProAPIReceive (* WskSocket, * P9_MDL, 0, * P9_IRP_OBJECT);
}

MD9 P9Client डेटा संरचना के भीतर P9PacketStart फ़ील्ड पते पर मैप किया जाता है।

IRP पूरा होने पर, WskTransport :: SendReceiveComplete दिनचर्या को सर्वर से P9 पैकेट प्रतिक्रिया को संसाधित करने के लिए IRP से P9Client संरचना को पुनः प्राप्त करने के लिए कहा जाता है:

int static WskTransport :: SendreceiveComplete (IRP * P9_IRP_OBJECT) {

P9Client = & P9_IRP_OBJECT-> IoStackLocation-> पैरामीटर-> P5Client;

P9Client :: ReceiveCallback (P9Client * P9Client);

}

P9Client डेटा संरचना का उपयोग R-संदेश डेटा प्राप्त करने के लिए IRP के भीतर किया जाता है लेकिन P9Exchange डेटा संरचना का उद्देश्य क्या है?

  1. जब पी 9 ड्राइवर सर्वर को एक टी-संदेश भेजता है, तो उसे एक एक्सचेंज बनाना होगा ताकि वह भेजे गए संदेश प्रकार (टी-संदेश) के बीच की स्थिति को ट्रैक कर सके और यह सर्वर (आर-संदेश) द्वारा वापस आए।
  2. इसमें विशिष्ट संदेश प्रकार पर निष्पादित करने के लिए लंबो कार्य शामिल हैं। P9Exchange डेटा संरचना के भीतर Tmessage_type फ़ील्ड यह सुनिश्चित करती है कि सर्वर केवल उसी T-संदेश प्रकार को R-संदेश भेज सकता है जो उसे P9 ड्राइवर से प्राप्त हुआ है।
  3. PRX_CONTEXT * RBContext संरचना का उपयोग RDBSS ड्राइवर के माध्यम से एक्सप्लोरर और p9rdr ड्राइवर के बीच डेटा स्थानांतरित करने के लिए किया जाता है।

एक वाल्क टी-संदेश का प्रवाह नीचे देखा जा सकता है:

P9Client :: CreateExchange फ़ंक्शन के भीतर, MidExchangeManager :: RegisterExchange, P9Exchange डेटा संरचना को RDBSS के साथ मल्टीप्लेक्स आईडी (MID) का उपयोग करके कंसर्ट सर्वर और क्लाइंट अनुरोधों के बीच अंतर करने के लिए पंजीकृत करने के लिए जिम्मेदार है।

MidExchangeManager :: RegisterExchange (* P9Client, * P9Exchange) {

NTSTATUS RxAssociateContextWithMid (PRX_MID_ATLAS P9Client-> RDBSS, PVOID P9Exchange, PUSHORT NewMid);

}

P9Client और P9Exchange डेटा संरचनाओं के भीतर महत्वपूर्ण क्षेत्र जो हम विश्लेषण के दौरान आगे चर्चा करेंगे:

  1. PClient-> MaxConnectionSize – कनेक्शन की शुरुआत में सेट करें और एक हमलावर द्वारा नियंत्रित नहीं किया जा सकता है
  2. P9Client-> P9PacketStart – P9 पैकेट को इंगित करता है और एक हमलावर द्वारा पूरी तरह से नियंत्रित किया जा सकता है
  3. P9Client-> Rmessage_size –can एक हमलावर द्वारा पूरी तरह से नियंत्रित किया जा सकता है
  4. P9Exchange-> Tmessage_type – T- संदेश निर्माण के दौरान सेट और एक हमलावर द्वारा नियंत्रित नहीं किया जा सकता है
  5. P9Exchange-> RxContext – RD9SS से एक्सप्लोरर के माध्यम से P9 ड्राइवर से डेटा पास करता था

अब जब हम जानते हैं कि प्रोटोकॉल विंडोज कर्नेल के भीतर कैसे काम करता है, तो अगला चरण भेद्यता शिकार है।

विंडोज कर्नेल P9 सर्वर भेद्यता शिकार

P9 पैकेट प्रोसेसिंग लॉजिक

दुर्भावनापूर्ण दृष्टिकोण से हम दुर्भावनापूर्ण P9 सर्वर से ट्रैफ़िक पार्स करने के लिए जिम्मेदार p9rdr.sys के भीतर विंडोज कर्नेल लॉजिक का ऑडिट करना चाहते हैं। चित्र 3 P9 पैकेट के स्रोत और सिंक को दर्शाता है, या जहाँ P9rdr चालक के भीतर पैकेट प्रसंस्करण पूर्ण होता है।

चित्र तीन। P9 प्रोटोकॉल दुर्भावनापूर्ण सर्वर प्रतिक्रिया पार्सिंग के लिए विंडोज कर्नेल प्रोसेसिंग लेयर्स

अब जब हमने P9 प्रोटोकॉल संदेश प्रकार के ब्याज को पार्स करने के लिए कोड की पहचान कर ली है, तो हमें संदेश प्रकार भ्रम और स्मृति भ्रष्टाचार भेद्यता जैसे कि रीड आउट / राइट और ओवरफ्लो के लिए कोड की ऑडिट करने की आवश्यकता है।

फिजूल की बाधाएँ

कई तरह की अड़चनें थीं जो स्वचालित फ़ज़िंग लॉजिक को लागू करना मुश्किल बना देती थीं:

  1. दुर्भावनापूर्ण P9 सर्वर से भेजे गए R- संदेश प्रकार को Windows कर्नेल द्वारा भेजे गए T- संदेश प्रकार से मेल खाना चाहिए
  2. डब्लूएसएल स्टैक की उच्च परतों में टाइमआउट

हालांकि, उपरोक्त चुनौतियां दूर हो सकती हैं, लेकिन चूंकि प्रोटोकॉल अपेक्षाकृत सरल है, इसलिए हमने प्रसंस्करण तर्क सत्यापन को उलटने पर ध्यान केंद्रित करने का निर्णय लिया। प्रसंस्करण तर्क सत्यापन को सत्यापित करने के लिए, हमने प्रोटोकॉल अवलोकन से पहचानी गई चर लंबाई पैकेट फ़ील्ड सीमाओं का परीक्षण करने के लिए दुर्भावनापूर्ण P9 सर्वर के भीतर कुछ मैनुअल फ़ज़िंग क्षमता बनाई।

नीचे एक उदाहरण RREAD R- संदेश प्रकार है जो RREAD T- संदेश के जवाब में एक दुर्भावनापूर्ण P9 पैकेट भेजता है जहां हम गिनती और डेटा चर लंबाई क्षेत्रों को नियंत्रित करते हैं।

srv.c

शून्य

np_req_respond (Npreq * req, Npfcall * rc)

{

NP_ASSERT (rc! = NULL);

xpthread_mutex_lock (और req-> ताला);

u32 गिनती = 0xFFFFFFFF;

Npfcall * fake_rc;

u8 * डेटा = मॉलोक (0xFFF0);

मेमसेट (डेटा, “ए”, 0xFFF0);

अगर ((fake_rc = np_alloc_rread1 (count)))

वापसी NULL;

अगर (fake_rc-> u.rread.data)

memmove (fake_rc-> u.rread.data, data, count);

अगर (आरसी-> टाइप == 0x75) {

fprintf (stderr, “RREAD पैकेट उत्तर”);

req-> rcall = fake_rc;

}

अन्य{

req-> rcall = rc;

}

अगर (req-> राज्य == REQ_NORMAL) {

np_set_tag (req-> rcall, req-> टैग);

np_conn_respond (अनुरोध);

}

xpthread_mutex_unlock (और req-> ताला);

}

सत्यापन जाँच

P9 ड्राइवर को दिया गया डेटा 0x10000 बाइट्स (P9Client-> P9PacketStart) के एक कनेक्शन मेमोरी आवंटन के भीतर समाहित है और अधिकांश प्रोसेसिंग इस मेमोरी एलोकेशन के भीतर की जाती है, दो अपवादों के साथ जहां मेम को P9Client :: FillData और P9Client के भीतर बुलाया जाता है। :: लैम्ब्डा_2275 फ़ंक्शन (नीचे चर्चा की गई)।

P9Exchange डेटा संरचना R- संदेश को उसके संबंधित T- संदेश प्रकार पर ट्रैक करने के बाद से एक संदेश-प्रकार भ्रम की स्थिति संभव नहीं है।

इसके अलावा, P9 ड्राइवर मैसेज रीडर का उपयोग स्टैटिक लेंथ के मैसेज टाइप फील्ड को प्रोसेस करने के लिए करता है। P9Exchange संरचना संदेश प्रकार को संग्रहीत करती है जिसका उपयोग प्रसंस्करण के दौरान एक संदेश के भीतर फ़ील्ड की संख्या निर्धारित करने के लिए किया जाता है।

जब हम P9 पैकेट आकार को नियंत्रित कर सकते हैं तो हम P9Client-> MaxConnectionSize को नियंत्रित नहीं कर सकते हैं जिसका अर्थ है कि 0x10000 से अधिक या इसके बराबर के संदेश हटा दिए जाएंगे।

प्रोटोकॉल के संदेश प्रकार परत के भीतर सभी चर आकार क्षेत्र की जांच P9Packet आकार फ़ील्ड के खिलाफ जाँच की जाती है ताकि यह सुनिश्चित किया जा सके कि दुर्भावनापूर्ण फ़ील्ड 0x10000 कनेक्शन मेमोरी आवंटन के बाहर पढ़ने या लिखने की सीमा के परिणामस्वरूप नहीं होगी।

पहले से पहचाने गए प्रोसेसिंग लॉजिक फ़ंक्शंस रिवर्स प्रकार के थे, जो प्रोटोकॉल के क्षेत्रों पर सत्यापन को समझने के लिए थे, जिसमें संदेश प्रकारों के विचलन, रवॉक और र्रेड के भीतर चर लंबाई फ़ील्ड पर विशेष ध्यान दिया गया था।

आईडीए प्रो में P9Client और P9Exchange डेटा संरचनाओं को आयात करके, पैकेट सत्यापन तर्क को समझने के लिए रिवर्स इंजीनियरिंग प्रक्रिया अपेक्षाकृत सीधे आगे। नीचे दिए गए कार्य सत्यापन को समझने के लिए आवश्यक स्तर पर उलट दिए गए हैं और पूरे फ़ंक्शन कोड आधार के प्रतिनिधि नहीं हैं।

P9Client :: ReceiveCallback पुष्टि करता है कि Rmessage_size 0x0000 के अधिकतम कनेक्शन आकार से अधिक नहीं है

शून्य P9Client :: ReceiveCallback (P9Client * P9Client) {
संरचना p9packet; uint64 MaxConnectionSize; uint64 Rmessage_size; MaxConnectionSize = P9Client-> MaxConnectionSize;
Rmessage_size = P9Client-> Rmessage_size; यदि (MaxConnectionize) {
P9Packet = (स्ट्रक्चर p9packet *) P9Client-> P9PacketSt अगेन; यदि (MaxConnectionSize) < 0 || !P9Packet) terminate(P9Packet);}if (Rmessage_size >= 0 && P9Client-> MaxConnectionSize> = Rmessage_size)
{
P9Client :: हैंडल (* P9Client)
} अन्य{

(P9Packet) को समाप्त;

}

P9Client :: हैंडल – कई हैं स्थानीय DoS जिसके परिणामस्वरूप P9Client-> Rmessage_size और P9Client-> P9PacketEnd-> आकार, जैसे उदाहरण के आधार पर ब्लू स्क्रीन ऑफ डेथ (BSOD) होता है। जब P9Client-> P9PacketEnd-> आकार शून्य समाप्त होता है () कहा जाता है जो बीएसओडी है।

शून्य P9Client :: हैंडल (P9Client * P9Client) {

uint64 P9PacketHeaderSize = 7;

uint64 Rmessage_size = P9Client-> Rmessage_size;

अगर (Rmessage_size> = 7) {
जबकि (1) {

P9PacketEnd = P9Client-> P9PacketEnd;

अगर (P9PacketEnd) ब्रेक;

uint64 P9PacketSize = P9Client-> P9PacketEnd-> आकार;
अगर (P9PacketSize> P9Client-> MaxConnectionSize); HandleIoError ();

अगर (Rmessage_size

अगर (Rmessage_size <4) समाप्त (); // P9 हेडर आकार फ़ील्ड की जाँच पैकेट में मौजूद है

if (Rmessage_size> 5) फास्टफेल (); // P9 हेडर प्रकार फ़ील्ड की जाँच पैकेट में मौजूद है

int message_type = P9PacketEnd-> प्रकार;

अगर (Rmessage_size <7) फास्टफेल (); // P9 हेडर टैग फ़ील्ड की जाँच पैकेट में मौजूद है

uint64 टैग = P9PacketEnd-> टैग;

uint64 P9message_size = P9PacketSize – P9PacketHeaderSize; // संदेश का आकार प्राप्त करना

अगर (Rmessage_size – 7 <0) समाप्त (); // P9 हैडर के बाद संदेश की परत मौजूद है

अगर (Rmessage_size – 7 // बीएसओडी यहां सेट के रूप में P9PacketSize = 0 तो P9message_size के आसपास 7 रैप्स घटाना Rmessage_size से अधिक हो जाता है।

void P9Client :: ProcessReply (P9Client * P9Client, Rmessage_type, tag, & P9message_size);

}

}

अन्य {

P9Client :: FillData ();

}

P9Client :: FillData – हम एक बड़े Rmessage_size के साथ इस फ़ंक्शन को सीमा से बाहर लिखने के लिए बाध्य नहीं कर सकते।

int P9Client :: FillData (P9Client * P9Client) {
uint64 Rmessage_size = P9Client-> Rmessage_size; uint_ptr P9PacketEnd = P9Client-> P9PacketEnd;
uint_ptr P9PacketStart = P9Client-> P9PacketStart, अगर (P9PacketEnd! = P9PacketStart) {
memmove (P9PacketStart, P9PacketEnd, Rmessage_size);
}

ProcessReply P9Exchange डेटा संरचना के भीतर T- संदेश से R- संदेश प्रकार की जाँच करता है।

शून्य P9Client :: ProcessReply (P9Client * P9Client, Rmessage_type, टैग, और P9message_size) {
P9Exchange * P9Exchange = MidExchangeManager :: FindAndRemove (* P9Client, & P9Exchange); यदि (P9Packet-> टैग> 0) {
int message_type_size = GetMessageSize (P9Exchange-> Tmessage_type);
if (P9message_size> = message_type_size) {int rmessage_type = P9Exchange-> MessageType; int rmessage_type = rmessage_type +1;}
अगर (rmessage_type> 72) {
स्विच (संदेश टाइप) {
मामला 100:
P9Client :: ProcessVersionReply (P9Client * P9Client, P9Exchange, और P9message_size);
केस 110:
P9Client :: ProcessWalkreply (Rmessage_type, P9Exchange, & P9message_size);};
}अन्य {
P9Client :: ProcessReadReply (rmessage_type, P9Exchange, & P9message_size);
}}

P9Client :: ProcessReply फ़ंक्शन के दौरान यह MidExchangeManager :: FindAndRemove को R-messages संबंधित T-message से संबंधित P9Exchange डेटा संरचना लाने के लिए कहता है।

MidExchangeManager :: FindAndRemove (* P9Client, और P9Exchange) {

NTSTATUS RxMapAndDissociateMidFromContext (PRX_MID_ATLAS P9Client-> RDBSS_RxContext, USHORT Mid, & P9cchange);

}

ProcessVersionReply क्लाइंट “P92000.L” द्वारा भेजे गए संस्करण की जाँच करता है, जो कि 8 वर्ण है और वापसी पर समान लंबाई की जाँच करता है, इसलिए rversionlen tryString फ़ंक्शन को प्रभावित नहीं करता है।

शून्य P9Client :: ProcessVersionReply (* P9Client, * P9Exchange, और P9message_size) {

char * तोड़फोड़;
int rversionlen = 0;

rversion = P9Client-> P9PacketStart.u.rversion-> संस्करण-> str;

rversionlen = P9Client-> P9PacketStart.u.rversion-> संस्करण-> लेन;

tryString (संदेश करें, और विचलन)

strcmp (Tversion, Rversion);
}

ProcessWalkReply जाँच करता है कि rwalk संरचनाओं की कुल संख्या P9message_size से अधिक नहीं है

शून्य P9Client :: ProcessWalkReply (rmessage_type, * P9Exchange, और P9message_size) {

uint16 nwqid = p9packet.rwalk.nwqid;

uint64 rwalkpacket_size = & P9message_size – 2; // nwqid फ़ील्ड के लिए rwalk हैडर के 2 बाइट्स

Unit_ptr rwalkpacketstart = & P9Client-> P9PacketStart.u.rwalk-> wqids;
uint64 error_code = 0x0C0000186;
uint64 rwalk_message_size = nwqid * 13; // 0xd एक rwalk संरचना का आकार है

अगर (rwalk_message_size <= P9message_size) {

P9Exchange-> Lambda_8972 (int, nwqid, & rwalk_message_size, P9Exchange-> RxContext, & rwalkpacketstart); // लैम्ब्डा_8972, रेवल्क संदेश प्रकार के लिए लैम्बडा_पीटीआर 1 है

} अन्य {

P9Exchange-> P9Client :: SyncContextErrorCallback (error_code, P9Exchange-> RxContext) // SyncContextErrorCallback rwalk संदेश प्रकार के लिए Lambda_PTR2 है

}
}

ProcessReadReply गणना फ़ील्ड का आकार 0x8000 से अधिक नहीं है और इसे P9Exchange-> RxContext के भीतर MDL में लिखता है, एक्सप्लोरर के भीतर फ़ाइल सामग्री देखने के लिए RDBSS स्टैक को वापस पास करने के लिए।

शून्य P9Client :: ProcessReadReply (rmessage_type, * P9Exchange, और P9message_size) {
unint64 count = P9Client-> P9PacketStart.u.rread-> count;
P9Exchange-> Lambda_2275 (गिनती, P9Exchange-> RxContext, & P9message_size);};
लैम्ब्डा_2275 (गणना, P9Exchange-> RxContext, और P9message_icize) {

uint64 अधिकतम = P9Exchange-> RxContext + ऑफसेट; // max_size = 0x8000

unint64 MDL = P9Exchange-> RxContext + ऑफसेट;

अगर (गणना> अधिकतम आकार) समाप्त ();

memmove (& MDL, P9Client-> P9PacketStart.u.rread-> डेटा, गिनती);

}

निष्कर्ष

इस शोध के माध्यम से, हमने P9 प्रोटोकॉल के विंडोज कर्नेल कार्यान्वयन के भीतर एक स्थानीय इनकार सेवा (DoS) की खोज की। जैसा कि समझाया गया है, विंडोज कर्नेल के भीतर कोड निष्पादन हासिल करने के लिए भेद्यता का दोहन नहीं किया जा सकता है ताकि उपयोगकर्ताओं को इस विशिष्ट भेद्यता से कोई जोखिम न हो। दुर्भावनापूर्ण P9 सर्वर हमलों के लिए पूर्व-आवश्यकता के रूप में, एक हमलावर को P9 सर्वर सॉकेट “fsserver” को हाईजैक करना होगा। इसलिए, हम सॉकेट “fsserver” के अपहरण का पता लगाने और रोकने के द्वारा इस हमले को कम कर सकते हैं। McAfee MVISION समापन बिंदु और EDR पी 9 सर्वर सॉकेट “fsserver” अपहरण के खिलाफ कवरेज का पता लगा सकता है और रोक सकता है जिसे आप यहां पढ़ सकते हैं।

हमें उम्मीद है कि यह शोध निम्नलिखित में अंतर्दृष्टि प्रदान करता है:

  1. विंडोज 10 ओएस पर डब्ल्यूएसएल पी 9 प्रोटोकॉल जैसी नई सुविधाओं के लिए भेद्यता शिकार प्रक्रिया
  2. डब्लूएसएल पर एक आभासी लिनक्स फ़ाइल सिस्टम के कार्यान्वयन के कारण जटिलता में बढ़ रही डब्ल्यूएसएल संचार स्टैक को उच्चतर भविष्य के अनुसंधान के लिए समर्थन प्रदान करें
  3. हमारे ग्राहकों के लिए सुरक्षा प्रदान करने के लिए हमारे उत्पाद और नवाचार टीमों के साथ मिलकर काम करने वाले McAfee Advanced Threat Research (ATR) का मूल्य

अंत में, उनके प्रारंभिक विंडोज 10 डब्ल्यूएसएल पी 9 सर्वर अनुसंधान के लिए लिएंड्रो कॉस्टेंटिनो और सेड्रिक कोचीन के लिए एक विशेष धन्यवाद।

सेल्स में महिलाएं भाग 1: महिलाओं के लिए अवसरों का व्यापक साइबर बिक्री

सहयोगात्मक, समावेशी टीमें वे हैं जो हमारी जुड़ी हुई दुनिया के हर पहलू के लिए साइबर सुरक्षा को फिर से परिभाषित करती हैं। McAfee में, महिलाएं बिक्री के सभी पहलुओं सहित साइबर सुरक्षा में महत्वपूर्ण प्रभाव डाल रही हैं।

टोग्लोबेल्सलेस एंडमार्केटिंग के कार्यकारी अध्यक्ष, लिन्ने डोहर्टी, समावेश के महत्व पर अपने दृष्टिकोण को साझा करते हैं और हमें महिलाओं को सैलरी में शुरुआत करने के लिए प्रेरित करते हैं: “समावेश समावेश और विविधता व्यवसाय की सफलता के लिए एक महत्वपूर्ण घटक है। विभिन्न दृष्टिकोणों द्वारा आकार में कार्यबल को सफलतापूर्वक काम पर रखने और बनाए रखने के व्यापक लाभों के साथ, यह भविष्यवाणी की जाती है कि विभिन्न फ्रंटलाइन निर्णय लेने वाली टीमों के साथ 75 प्रतिशत व्यवसाय 2022 के माध्यम से अपने वित्तीय लक्ष्य को पार कर जाएंगे। [Gartner, 2019] – इस प्रकार यह साबित करना कि समावेश और विविधता कंपनी संस्कृति के लिए सिर्फ अच्छा नहीं है, यह व्यवसाय के लिए अच्छा है।

“आज, व्यवसाय पहचानते हैं कि प्रौद्योगिकी की बिक्री में विविधता लाने के लिए काम बाकी है। उस प्रयास के एक हिस्से में मैक्एफ़ी में यहीं लिंग विविधता बढ़ाने पर ध्यान केंद्रित किया गया है। हमारे वैश्विक बिक्री संगठन में अलग-अलग कौशल और हितों वाली महिलाओं के लिए अवसर मौजूद हैं – बिक्री संचालन, बिक्री के अंदर, फील्ड बिक्री और चैनल बिक्री से लेकर बिक्री इंजीनियरिंग तक।

“नीचे, बिक्री में कुछ प्रतिभाशाली महिलाओं से मिलें जो McAfee में सफल हुई हैं। इस पहली विशेषता में, महिलाएं अपने दृष्टिकोण को साझा करती हैं कि कैसे वे सीमाओं को तोड़ते रहें और तकनीकी बिक्री में सफलता हासिल करें। “

मैकएफी की महिलाओं की बिक्री में मिलो

“महिलाओं के रूप में, हम पेशेवर दुनिया में बहुत अधिक स्थान प्राप्त कर रहे हैं, और मैकएफी जैसी कंपनियां हैं जहां हम तेजी से अधिक प्रासंगिक हैं। क्षेत्र विकसित हो रहा है, और बाजार और अवसर बढ़ रहे हैं। जब तक महिलाएं खुद को तैयार करना जारी रखती हैं, स्कूल में बिताए समय से शुरू होती हैं, और समझती हैं कि यह विकसित करने का एक अच्छा अवसर है, हम आंकड़ों में सुधार करेंगे। McAfee एक ऐसी कंपनी है जो (प्रबंधन में महिलाओं) को बढ़ावा देती है और यह चयन प्रक्रियाओं में भी दिखाती है। मैं वास्तव में मैकफी पर इसकी सराहना करता हूं। “

– एंड्रिया, एंटरप्राइज सेल्स, बोगोटा, कोलंबिया

“कई महिलाओं को लगता है कि आप तकनीकी बिक्री में होने वाली तकनीकी के साथ व्यवहार करते हैं और यह सच नहीं है। मैं बिक्री और संबंध प्रबंधन को समझने के लिए मैकेफी आया था। यहां होने के बाद से, मैंने अपनी सुरक्षा और प्रौद्योगिकी ज्ञान को बढ़ाने पर ध्यान केंद्रित किया है। मैंने ग्राहक को मोरेटो सुनने और वांछित व्यावसायिक परिणाम पर ध्यान केंद्रित करने के लिए बहुत अधिक तकनीकी विशेषज्ञ नहीं पाया। अक्सर, इंजीनियर प्रौद्योगिकी को गहन रूप से प्राप्त कर सकते हैं, लेकिन मध्यस्थ होने के लिए मैं महत्वपूर्ण है; मैं ’वन’ में रहता हूं पेड़ नहीं। ”

-एशले, उपभोक्ता बिक्री, रिचमंड, वर्जीनिया

“हमें यह सुनिश्चित करने की आवश्यकता है कि महिलाओं को आईटी के भीतर भूमिकाओं के लिए आवेदन करने का आत्मविश्वास है। मैं महिलाओं को आपके आराम क्षेत्र से बाहर जाने और कलंक को दूर करने के लिए प्रोत्साहित करता हूं। हम इस तालिका में बैठने के हकदार से अधिक हैं। ”

ईडॉइन, इनसाइड सेल्स, कॉर्क, आयरलैंड

“कॉर्पोरेट दुनिया में, महिलाएं कई अलग-अलग कोणों से चुनौतियों का सामना करती हैं। अक्सर, मैं एक कमरे में या मेरी टीमों की एकमात्र महिला हो सकती हूं, लेकिन मेरी सलाह यह रहेगी कि मैं आश्वस्त रहूं और आपकी स्थिति या अधिकार का अनुमान न लगाऊं। जबकि मैं कई बार एकमात्र महिला हो सकती हूं, मैं भी अक्सर रंग की एकमात्र महिला हूं, जो इसे और भी महत्वपूर्ण बनाता है हम प्रतिनिधित्व के साथ वकालत करना जारी रखते हैं। विविधता सभी रूपों में आती है और काफी स्पष्ट रूप से आवश्यक है क्योंकि यह एक टीम के लिए एक अद्वितीय मूल्य लाता है। अपने करियर की शुरुआत में, मैंने अपने कौशल को प्रदर्शित करने के महत्व को सीखा और मुझे शर्म नहीं करनी चाहिए, वापस पकड़ या “अपनी बारी की प्रतीक्षा करें” जो कि एक अवसर के रूप में प्रस्तुत होने पर लाभप्रद रहा है। “

—जार्डिन, इनसाइड सेल्स, प्लानो, टेक्सास

“मैंने तकनीक में काम किया है 20 वर्षों में बिक्री में काफी बदलाव आया है। एक शुरुआती भूमिका में, मुझे बताया गया था कि एक पुरुष कभी भी महिला से खरीदारी नहीं करेगा। मुझे वह गलत साबित करने के लिए प्रेरित किया गया। इन दिनों वातावरण पूरी तरह से अलग है। McAfee, कई कंपनियों की तरह, इस तरह के आचरण या मानसिकता के लिए शून्य सहिष्णुता है। संस्कृति सकारात्मक, समावेशी है और जहां कोई भी सफल हो सकता है। हममें से प्रत्येक की भविष्य की पीढ़ियों को दिखाने की जिम्मेदारी है कि साइबर सुरक्षा सभी के लिए एक महान कैरियर विकल्प है। ”

-कैटी, एंटरप्राइज सेल्स, चेल्टनहैम, इंग्लैंड

“मैं तकनीकी बिक्री में महिलाओं के लिए दो प्राथमिक चुनौतियों को धारणा और जागरूकता के रूप में देखती हूं। एक पारंपरिक दृष्टिकोण है कि तकनीक में काम करने के लिए आपको तकनीकी होना चाहिए। मैं स्वाभाविक रूप से तकनीकी नहीं हूं, और मैंने हमेशा माना कि आपके पास कोडिंग या प्रोग्रामिंग जैसी तकनीकी पृष्ठभूमि होनी चाहिए। और, ऐसा नहीं है। अगर आपके पास अन्य सभी कौशल हैं जो एक महान विक्रेता बनाते हैं तो आप तकनीक सीख सकते हैं। ”

-क्रिस्टा, एंटरप्राइज सेल्स, डेट्रायट, मिशिगन

“संख्या के संदर्भ में, जब हम प्रगति कर रहे हैं, तो मुझे तकनीकी रूप से अधिक महिलाओं को बिक्री में देखना पसंद है। यही कारण है कि बिक्री में महिलाओं के लिए सलाह, प्रायोजन और समर्थन इतना महत्वपूर्ण है – चाहे ग्राहक या विक्रेता के रूप में। जब आप और आपके ग्राहक में लिंग, संस्कृति और अनुभव जैसी चीजें होती हैं, तो यह रिश्ते और बिक्री प्रक्रिया को मजबूत करने में मदद करता है। ”

-क्रिस्टल, इनसाइड सेल्स, प्लानो, टेक्सास

“मेरे पिछले अनुभवों में, मैं तालिका में एकमात्र महिलाओं में से एक रही हूँ। मैं महिलाओं से कहूंगा कि इससे हतोत्साहित न हों; यह आपके लिए सही कंपनी खोजने के बारे में है। पता लगाएं कि आपको इसका हिस्सा बनने के लिए हर दिन उठने में क्या खुशी मिलती है। ”

—पीज, सेल्स ऑपरेशंस, प्लानो, टेक्सास

“ऐतिहासिक रूप से, मैं कमरे में अकेली महिला थी, लेकिन चीजें निश्चित रूप से बदल गई हैं! महिलाएं भी प्रौद्योगिकी को कैरियर के रूप में जल्दी से खारिज कर सकती हैं, लेकिन जोर देकर कहती हैं, यह आपके ग्राहक के लिए एक समाधान प्रदान करता है, और अद्भुत कौशल का प्रदर्शन करते हैं। “

—ब्रेंडा, उपभोक्ता बिक्री, वैंकूवर, ब्रिटिश कोलंबिया

हमारे बिक्री संगठन में McAfee महिलाएं अपने आगामी ब्लॉग में एक सफल कैरियर के लिए अपने कौशल का लाभ कैसे उठाती हैं, इसके बारे में अधिक जानें।

एक कंपनी में शामिल होने का इच्छुक है जो समावेश और संबंधित का समर्थन करता है? हमारी नौकरियां खोजें। जॉब अलर्ट की सदस्यता लें।

वस्तुतः ब्लैक हैट 2020 में मिस मैकफी से असंभव

ब्लैक हैट 2020 इस साल आभासी हो रहा है, जो नवीनतम सुरक्षा अनुसंधान, विकास और रुझानों के साथ उपस्थित लोगों को प्रदान करता है। हर साल McAfee हमारे नवीनतम सुरक्षा अनुसंधान प्रस्तुत करता है और इस वर्ष अभिनव और सूचनात्मक होने का वादा करता है! आप McAfee एडवांस्ड थ्रेट रिसर्च टीम से नए निष्कर्षों की उम्मीद कर सकते हैं। नए एसओसी समाधानों के साथ छोड़ दी गई अपनी साइबर सुरक्षा को स्थानांतरित करने के लिए वर्चुअल बूथ पर हमसे जुड़ें और McAfee के उन्नत डिवाइस-टू-क्लाउड सुरक्षा समाधान देखें।

यहां आप मैक्एफ़ी को ऑनलाइन 1-6 अगस्त तक देख सकते हैं:

ब्लैक हैट यूएसए में मैकएफी से उपस्थित लोगों को क्या उम्मीद करनी चाहिए?

मुख्य वैज्ञानिक और McAfee फैलो, राज समानी ने एक कार्यकारी स्पॉटलाइट साक्षात्कार में ब्लैक हैट के साथ बात करते हुए कहा “हर साल हम अपने नवीनतम सुरक्षा अनुसंधान प्रस्तुत करते हैं और इस वर्ष इस दुनिया से बाहर होने का वादा करते हैं !! अहम … मैं बहुत दूर नहीं जाना चाहता, लेकिन आप McAfee एडवांस्ड थिंक रिसर्च टीम से कुछ जबरदस्त नए निष्कर्षों की उम्मीद कर सकते हैं। इसके अलावा, मैकएफी से अधिक एसओसी विकल्पों के लिए तैयार रहें, एक अद्वितीय समाधान जो साइबर सुरक्षा को छोड़ देता है, साथ ही साथ क्लाउड सुरक्षा के लिए और भी उन्नत उपकरण तैयार करता है। ”

पूरा साक्षात्कार यहां पढ़ें।

सत्र का शीर्षक: युद्ध के संतुलन को संतुलित करना: कैसे सीआईओ और सीआईएसओ बेहतर आईटी के लिए भागीदार बन सकते हैं

बुधवार, 5 अगस्त, सुबह 10 बजे – 10:20 बजे पीटी

वक्ताओं: McAfee CIO स्कॉट हॉविट, और CISO Arve Kjoelen

डिजिटल दुनिया के तेजी से विकास ने महान प्रौद्योगिकी नवाचार को प्रेरित किया है और साइबरथ्रेट्स में वृद्धि हुई है जो कष्टप्रद से लेकर प्रलय तक है। आज के आईटी परिवेश में सीआईओ और सीआईएसओ दोनों किसी भी संगठन की सफलता के अभिन्न अंग हैं। ऐतिहासिक रूप से, दोनों के बीच तनाव रहा है क्योंकि वे दोनों उपकरण को सुरक्षित रूप से लागू करते हुए प्रौद्योगिकी के शीर्ष पर बने रहने के लिए संगठन की जरूरतों को संतुलित करने के लिए काम करते हैं।

ये भूमिकाएँ अन्योन्याश्रित हैं, क्योंकि सीआईओ सलाह, मार्गदर्शन और जोखिम मूल्यांकन के लिए सीआईएसओ पर निर्भर करता है जबकि सीआईएसओ सहायता और बुनियादी ढाँचे के संसाधनों के लिए सीआईओ पर निर्भर करता है। उन्हें एक समग्र, एकीकृत दृष्टिकोण के साथ मिलकर काम करना चाहिए जो संगठन के भीतर प्रत्येक व्यवसाय विभाग को स्पष्ट दृष्टि के साथ सशक्त बनाता है। सूचना सुरक्षा अब एक आईटी समर्थन मुद्दा नहीं है, लेकिन एक रणनीतिक व्यापार जिम्मेदारी है। दोनों आईटी अधिकारियों को सुरक्षा और आईटी कार्यों के सफल होने के लिए सामान्य लक्ष्यों को साझा करना चाहिए।

इस सत्र में, McAfee CIO स्कॉट हॉविट, और CISO Arve Kjoelen, इन प्रमुख भूमिकाओं के बीच तनाव का पता लगाएंगे, कैसे उस तनाव के नकारात्मक प्रभावों का उपयोग करें और कैसे CIOs और CISOs सबसे प्रभावी रूप से एक साथ काम कर सकते हैं, इस पर व्यावहारिक सलाह दें। सुनिश्चित करें कि संगठन की जरूरतों को सुरक्षित रूप से पूरा किया गया है।

सत्र का शीर्षक: “मॉडल हैक द प्लैनेट” – इंटेलिजेंट सिस्टम के लिए खतरा अनुसंधान में एक नया फ्रंटियर

उपलब्ध सत्र: बुधवार, 5 अगस्त, 8:30 amPT, गुरुवार 6 अगस्त को शाम 4:30 बजे समाप्त होता है

अध्यक्ष: स्टीव पोवल्नी, मैकएफी एडवांस्ड थ्रेट रिसर्च के प्रमुख, मैकफी

विश्लेषणात्मक प्रौद्योगिकियों का प्रमुख किनारा सुरक्षा शोधकर्ताओं के लिए एक नया फ्रंटियर प्रस्तुत करता है। इस विस्तार की हमले की सतह को संबोधित करने के लिए, शोधकर्ता मशीन सीखने वाले मॉडल में कमजोरियों को उजागर करने के लिए डेटा वैज्ञानिकों के साथ साझेदारी कर रहे हैं – हमलावरों को करने से पहले। यह बात मॉडल हैकिंग की स्थिति को कवर करती है, मुद्दों को संबोधित करने के लिए किए जा रहे नए अनुसंधान और प्रगति की शुरुआत करती है।

वर्चुअल एक्सपो

McAfee वर्चुअल बूथ पर जाएं, हमारे डेमो वीडियो देखें और उपहार प्रमाण पत्र जीतने का मौका के लिए ट्वीट करें। (प्रति डेमो स्टेशन में एक विजेता होगा, जिसे दिन के अंत में यादृच्छिक रूप से चुना जाएगा।)

सप्ताह भर शो से रियल-टाइम अपडेट के लिए @McAfee का पालन करना सुनिश्चित करें।

एमवीसियन क्लाउड में MITER ATT & CK का परिचय: रक्षा के साथ रक्षा करें

उद्यम के लिए मल्टी-क्लाउड सुरक्षा प्लेटफ़ॉर्म MVISION क्लाउड में नवीनतम नवाचार, SOC विश्लेषकों के लिए क्लाउड खतरों और सुरक्षा प्रबंधकों की जांच करने के लिए MITER ATT & CK का परिचय देता है ताकि भविष्य में होने वाले हमलों से बचाव किया जा सके।

अधिकांश उद्यम 1,500 से अधिक क्लाउड सेवाओं का उपयोग करते हैं, लाखों घटनाओं का निर्माण करते हैं, लॉगिन से फ़ाइल शेयर तक, डाउनलोड करने के लिए और अनंत काल तक उत्पादकता के लिए किए जाने वाले कार्यों की एक अनंत संख्या। अब तक, उस हिस्टैक के भीतर प्रतिकूल गतिविधि के लिए शिकार एक कठिन प्रयास रहा है, इतने शोर के साथ कि कई डेटा उल्लंघनों पर ध्यान नहीं दिया गया है जब तक कि बहुत देर हो चुकी है।

MVISION क्लाउड, क्लाउड खतरे की जांच के लिए एक बहुस्तरीय दृष्टिकोण लेता है जो आपके क्लाउड सेवाओं में प्रतिकूल गतिविधि का पता लगाने, अंतराल की पहचान करने और आपकी नीति और कॉन्फ़िगरेशन में लक्षित परिवर्तनों को लागू करने के लिए आपके समय को गति प्रदान कर सकता है।

सबसे पहले, आपके सिस्टम में विसंगतियों और वास्तविक खतरों की पहचान करने के लिए, कई सेवाओं और खातों में व्यवहार का आकलन करने के लिए, उपयोगकर्ता और इकाई व्यवहार विश्लेषिकी (UEBA) द्वारा ज्ञात अच्छे व्यवहार की एक आधार रेखा के खिलाफ घटनाओं के ढेर को लगातार संसाधित किया जाता है।

UEBA द्वारा संसाधित की गई घटनाएँ एक समझौता किए गए खाते के रूप में निर्धारित होती हैं

UEBA द्वारा संसाधित की गई घटनाएँ एक समझौता किए गए खाते के रूप में निर्धारित होती हैं

यह लेता है आपकी जांच घटनाओं की एक प्रबंधनीय मात्रा तक नीचे आती है। इस रिलीज के साथ, उन घटनाओं arई अब बाकी SOC के रूप में एक ही भाषा में – MITER ATT & CK। प्रत्येक क्लाउड सुरक्षा घटना को ATT & CK रणनीति और तकनीकों के लिए मैप किया जाता है, जो आपको प्रतिकूल दिखाती है गतिविधि वर्तमान में आपके वातावरण में निष्पादित किया जा रहा है।

MVISION क्लाउड में प्रतिकूल गतिविधि के लिए मल्टी-क्लाउड MITER ATT और CK दृश्य

MVISION क्लाउड में प्रतिकूल गतिविधि के लिए मल्टी-क्लाउड MITER ATT और CK दृश्य

आपके पास तीन हैं MVISION क्लाउड के भीतर के दृश्य:

  • पूर्वव्यापी: आपके पर्यावरण में पहले से मौजूद सभी प्रतिकूल तकनीकों को देखना
  • सक्रिय: देखने आक्रमण प्रगति में, आप को रोकने के लिए कार्रवाई कर सकते हैं
  • पूर्ण मार-श्रृंखला: घटनाओं, विसंगतियों, खतरों और कमजोरियों के संयोजन को उल्लंघन के एक समग्र स्ट्रिंग में देखना।

आपके संगठन की कई टीमें MVISION क्लाउड के अलावा इससे लाभान्वित होती हैं:

  • एसecOps प्रतिक्रियाओं से प्रोएक्टिव तक की टीमें अग्रिम: McAfee MVISION क्लाउड विश्लेषकों को ATT & CK फ्रेमवर्क में न केवल निष्पादित खतरों की कल्पना करने की अनुमति देता है, बल्कि संभावित हमलों को वे कई सॉफ्टवेयर-ए-सर्विस (SaaS), प्लेटफॉर्म-ए-ए-सर्विस (Paa) और इन्फ्रास्ट्रक्चर के रूप में रोक सकते हैं -ए-सेवा (IaaS) वातावरण
  • सेकंडऑप्स टीम ब्रेक साइलो: SecOps की टीमें अब प्री-फिल्टर्ड क्लाउड सुरक्षा घटनाओं को अपने सुरक्षा सूचना इवेंट मैनेजमेंट में ला सकती हैं (सिएम)/ सुरक्षा ऑर्केस्ट्रेशन, स्वचालन और प्रतिक्रिया (SOAR) एपीआई के माध्यम से प्लेटफॉर्म, उसी एटीटी और सीके फ्रेमवर्क के लिए मैप किए गए जो वे उपयोग करते हैं endpoint और नेटवर्क खतरे की जांच
  • सुरक्षा प्रबंधक सुरक्षा के साथ बचाव: McAfee MVISION क्लाउड अब क्लाउड सुरक्षा मुद्रा प्रबंधन (CSPM) को एक नए स्तर पर ले जाता है, जो SaaS, PaaS और IaaS वातावरण के लिए क्लाउड सेवा कॉन्फ़िगरेशन सिफारिशों के साथ सुरक्षा प्रबंधक प्रदान करता है, जो विशिष्ट ATT & CK सलाहकार तकनीक को संबोधित करते हैं।

McAfee के साथ, खतरे की जांच केवल एक पर्यावरण के लिए नहीं है – यह आपके सभी परिवेशों के लिए है, क्लाउड से एंडपॉइंट और आपके विश्लेषिकी प्लेटफार्मों के लिए। साथ में McAfee MVISION क्लाउड, MVISION EDR, तथा MVISION अंतर्दृष्टि, आपके उद्यम में आज आपके सामने आने वाले विषम हमलों के लिए एक विस्तारित पहचान और प्रतिक्रिया (XDR) प्लेटफॉर्म है।

जश्न मनाने के लिए छह सौ मिलियन कारण: कोई अधिक फिरौती नहीं है!

जन्मदिन मुबारक! आज हम NoMoreRansom की चौथी वर्षगांठ को 188 देशों के 4.2 मिलियन से अधिक आगंतुकों के साथ चिह्नित करते हैं, फिरौती की अनुमानित 632 मिलियन डॉलर की राशि को अपराधियों की जेब में समाप्त होने से रोकते हैं। यह कहना उचित होगा कि पहल, जो हेग में एक छोटे से बैठक कक्ष में शुरू हुई थी, साइबर अपराधियों के खिलाफ सतत लड़ाई में कई के लिए अभिन्न अंग रही है।

अपने 163 भागीदारों के योगदान से संचालित यह पोर्टल, जो 36 भाषाओं में उपलब्ध है, ने पिछले वर्ष में 28 उपकरण जोड़े हैं और अब 140 विभिन्न प्रकार के रैंसमवेयर संक्रमण को डिक्रिप्ट कर सकते हैं। सोचने के लिए, चार साल पहले हमने केवल कुछ मुट्ठी भर डिक्रिप्टर्स और भागीदारों के साथ शुरुआत की थी। पीड़ितों को एक तीसरा विकल्प देने के लिए सभी सदस्यों द्वारा सहयोग करने और एक साथ काम करने की प्रतिबद्धता के लिए संस्करणों की बात करता है; #DontPay।

यह सब परिश्रम कभी बदलते साइबर परिदृश्य में हुआ; उन चार वर्षों के दौरान रैंसमवेयर अपराधियों ने अपने रणनीति को “स्प्रे और पे” से स्थानांतरित कर दिया, जिसका उद्देश्य उपभोक्ताओं को दिया गया था, जो अत्यधिक संगठित अपराध समूहों को सक्रिय रूप से पूर्ण संगठनों को पंगु बनाने और खगोलीय मात्रा में उन्हें निकालने के लिए प्रयास करते थे।

इन चुनौतियों ने NoMoreRansom और इसके भागीदारों को हतोत्साहित नहीं किया है; इसके विपरीत, कानून प्रवर्तन और निजी क्षेत्र के बीच एक मजबूत सार्वजनिक निजी भागीदारी होने से कई (चल रही) जांच में आवश्यक साबित हुई है। बिना किसी संदेह के, हम सबसे पहले यह स्वीकार करेंगे कि रैंसमवेयर से लड़ना आसान नहीं है, लेकिन हमें उन चीजों को करने से नहीं रोकना चाहिए जो कठिन हैं।

हमें इस पहल का समर्थन जारी रखने और इस वैश्विक समस्या से लड़ने में अपनी भूमिका निभाने में खुशी हो रही है। हालांकि, हमें इस बात पर जोर देना होगा कि रैंसमवेयर के खिलाफ लड़ाई खत्म होने से दूर है, वास्तव में हमें दुर्भावनापूर्ण गतिविधि में वृद्धि से निपटने के लिए अधिक सहयोगी पहल की आवश्यकता है। इसके अलावा, अभी भी कई ऐसे व्यक्ति और संगठन हैं जो NoMoreRansom के बारे में भी नहीं जानते हैं। सूचना सुरक्षा उद्योग में भी ऐसे लोग हैं जिन्होंने मुफ्त डिक्रिप्शन टूल की उपलब्धता के बारे में नहीं सुना है।

कृपया संदेश साझा करें: #DontPay #NoMoreRansom

उपयोगकर्ताओं के डेटा के बाद नया फ़िशिंग स्कैम चला जाता है

उपयोगकर्ताओं के रूप में, हम यह सुनिश्चित करने के लिए कुछ भी करते हैं कि हमारे उपकरण यथासंभव कुशलता से चलें। इसमें उन ऑनलाइन सेवाओं का नवीनीकरण करना शामिल है जिनका हम दैनिक उपयोग करते हैं। हालांकि, साइबर अपराधी अक्सर अपनी दुर्भावनापूर्ण योजनाओं के तहत इन प्रवृत्तियों का लाभ उठाते हैं। हमने इस सप्ताह इस कार्रवाई को देखा, क्योंकि टेक रिपब्लिक ने हाल ही में हुए फ़िशिंग हमलों की पुष्टि करते हुए एक सॉफ़्टवेयर सब्सक्रिप्शन कंपनी को “सब्सक्रिप्शन नवीनीकरण” घोटाले का इस्तेमाल करते हुए उपयोगकर्ताओं को अपनी व्यक्तिगत और वित्तीय जानकारी देने के लिए परेशान करने के लिए “सदस्यता नवीनीकरण” घोटाले का उपयोग किया।

ये फिशिंग स्कैम कैसे काम करते हैं

ये डरपोक फ़िशिंग घोटाले सभी पीड़ितों के इनबॉक्स में भेजे गए ईमेल के साथ शुरू होते हैं जिसमें धोखाधड़ी वाले लिंक होते हैं। पहले वाले को एक नकली वेब डोमेन पर होस्ट किया जाता है, जो कि वेबसाइट बिल्डर Wix द्वारा पंजीकृत है – जिसका अर्थ है कि किसी के बारे में कोई भी गलत लिंक बना सकता है। स्कैमर उपयोगकर्ता को यह कहते हुए एक ईमेल भेजता है कि सॉफ्टवेयर में एक अद्यतन ब्रांड नाम है और उन्हें एक निश्चित तारीख तक प्लेटफ़ॉर्म पर अपनी सदस्यता को नवीनीकृत करना चाहिए। ईमेल में एक लिंक होता है, जो कहता है, “क्लिक टू रिन्यू”, पीड़ित व्यक्ति को संवेदनशील जानकारी का अनुरोध करने वाले फॉर्म को अपने नाम, पते और क्रेडिट कार्ड नंबर सहित सबमिट करने के लिए ले जाना।

इसके बाद दूसरा लेकिन इसी तरह का अभियान है, जो प्राप्तकर्ता को चेतावनी देता है कि उनकी सदस्यता समाप्त हो गई है और एक निश्चित तिथि तक उसे नवीनीकृत करना होगा। हालाँकि, इस फ़िशिंग ईमेल में निहित लिंक एक वास्तविक पेपाल पृष्ठ है जो उन्हें अपने भुगतान विवरण दर्ज करने के लिए प्रेरित करता है। इस डरपोक रणनीति के कारण उपयोगकर्ताओं को असुरक्षित यात्रा करने की संभावना है क्योंकि वास्तविक सदस्यता सेवा पेपैल स्वीकार करती है। हालाँकि, उपयोगकर्ता के वास्तविक खाता पृष्ठ पर भुगतान पृष्ठ उन्हें पेपल साइट पर पुनर्निर्देशित नहीं करेगा, जैसा कि यह फ़िशिंग घोटाला करता है।

अपने व्यक्तिगत डेटा को सुरक्षित रखें

दोनों योजनाओं में, स्कैमर्स पीड़ितों की सॉफ़्टवेयर सदस्यता क्रेडेंशियल्स या पेपाल क्रेडेंशियल्स को यह कहकर काटने का प्रयास करते हैं कि पीड़ित को एक विशिष्ट तिथि से पहले नवीनीकृत करना चाहिए। हैकर्स तात्कालिकता की भावना पैदा करके उपभोक्ताओं को बरगलाते हैं, क्योंकि आप और मेरे जैसे तकनीकी जानकार हमारे रोजमर्रा के जीवन का एक अनिवार्य हिस्सा हैं। सौभाग्य से, ऐसे कदम हैं जो हम अपने जीवन को चिंता से मुक्त रहने के लिए जारी रख सकते हैं। फ़िशिंग स्कैम के साथ आने वाले डिजिटल ड्रामा से बचने के लिए, इन सुझावों का पालन करें:

सीधे स्रोत पर जाएं

अजीबोगरीब सवाल या जानकारी के साथ संगठनों से होने का दावा करने वाले ईमेल या टेक्स्ट संदेशों पर संदेह करें जो कि सच होने के लिए बहुत अच्छा लगता है। ईमेल या टेक्स्ट के लिंक पर क्लिक करने के बजाय, सीधे संगठन की वेबसाइट पर जाएं या ग्राहक सेवा से संपर्क करें।

आपको कार्य करने के लिए कह रहे ईमेल से सावधान रहें

यदि आपको कोई ईमेल या पाठ प्राप्त होता है जो आपसे एक निश्चित कार्रवाई या सॉफ़्टवेयर डाउनलोड करने के लिए कहता है, तो संदेश के भीतर किसी भी चीज़ पर क्लिक न करें। इसके बजाय, सीधे संगठन की वेबसाइट पर जाएं। यह आपको फ़िशिंग लिंक से दुर्भावनापूर्ण सामग्री डाउनलोड करने से रोकेगा।

URL देखने और सत्यापित करने के लिए लिंक पर होवर करें

यदि कोई आपको लिंक के साथ एक संदेश भेजता है, तो वास्तव में उस पर क्लिक किए बिना लिंक पर होवर करें। यह आपको एक लिंक पूर्वावलोकन देखने की अनुमति देगा। यदि URL संदिग्ध लगता है, तो उसके साथ सहभागिता न करें और संदेश को पूरी तरह से हटा दें।

आधुनिक जानकारी से परिपूर्ण रहो

McAfee और नवीनतम उपभोक्ता और मोबाइल सुरक्षा खतरों के शीर्ष पर सभी चीज़ों के बारे में अपडेट रहने के लिए, ट्विटर पर @ McAfee_Home का अनुसरण करें, हमारे पॉडकास्ट हैक करने योग्य सुनें ?, और फेसबुक पर ’Like’ करें।

McAfee डिफेंडर का ब्लॉग: ऑपरेशन नॉर्थ स्टार अभियान

के खिलाफ अनुकूलनीय सुरक्षा वास्तुकला का निर्माण ऑपरेशन नॉर्थ स्टार अभियान

ऑपरेशन नॉर्थ स्टार अवलोकन

पिछले कुछ महीनों में, हमने देखा है कि हमलावर साइबर हमले शुरू करने के लिए महामारी का लाभ उठाते हैं। ऐसा ही एक उदाहरण एक अभियान है जिसे McAfee Advanced Threat Research (ATR) ने एयरोस्पेस एंड डिफेंस इंडस्ट्री को लक्षित करने वाली दुर्भावनापूर्ण साइबर गतिविधि में वृद्धि के रूप में देखा। इस अभियान में McAfee ATR ने बहुत ही लक्षित अंदाज़ में, दुर्भावनापूर्ण दस्तावेज़ों की एक श्रृंखला की खोज की, जिसमें प्रमुख रक्षा ठेकेदारों से ली जाने वाली पोस्टिंग का इस्तेमाल किया गया। 2017 और 2019 में इसी तरह की तकनीकों का उपयोग करते हुए इस तरह का अभियान पहले भी सामने आया है, लेकिन 2020 के अभियान में प्रत्यारोपण, बुनियादी ढांचे और स्पीयर फ़िशिंग ल्यूर में कुछ अलग अंतर हैं। इस अभियान के अधिक विस्तृत विश्लेषण के लिए कृपया McAfee ATR ब्लॉग देखें।

यह ब्लॉग इस बात पर केंद्रित है कि इन प्रकार के हमलों के खिलाफ अपनी लचीलापन बढ़ाने के लिए एक अनुकूलनीय सुरक्षा वास्तुकला का निर्माण कैसे किया जाए और विशेष रूप से, McAfee का पोर्टफोलियो ऑपरेशन नॉर्थ स्टार अभियान में उपयोग की जाने वाली रणनीति और तकनीकों के खिलाफ रोकथाम, पता लगाने और प्रतिक्रिया करने की क्षमता कैसे बचाता है।

ऑपरेशन नॉर्थ स्टार पर खुफिया जानकारी जुटाना

हमेशा की तरह, अनुकूलनीय रक्षात्मक वास्तुकला का निर्माण बुद्धि से शुरू होता है। अधिकांश संगठनों में, सुरक्षा ऑपरेशन टीम खतरे के विश्लेषण, साथ ही धमकी और घटना की प्रतिक्रिया के लिए जिम्मेदार है। McAfee इनसाइट्स इंटेल इंटेलिस्ट और खतरे के उत्तरदाता के लिए एक बढ़िया उपकरण है। इनसाइट्स डैशबोर्ड दुनिया भर में उभरते खतरों की व्यापकता और गंभीरता की पहचान करता है जो सुरक्षा संचालन केंद्र (एसओसी) को खतरे की प्रतिक्रिया क्रियाओं को प्राथमिकता देने और खतरे से जुड़े प्रासंगिक साइबर खतरे खुफिया (सीटीआई) को इकट्ठा करने में सक्षम बनाता है, इस मामले में ऑपरेशन नॉर्थ स्टार अभियान। CTI को Compromise के तकनीकी संकेतक (IOC) के साथ-साथ MITER ATT & CK फ्रेमवर्क रणनीति और तकनीकों के रूप में प्रदान किया गया है। एक खतरे के विश्लेषक या उत्तरदाता के रूप में, आप ऑपरेशन नॉर्थ स्टार पर अधिक विशिष्ट जानकारी इकट्ठा करने के लिए नीचे ड्रिल कर सकते हैं, जैसे कि प्रचलन और सूचना के अन्य स्रोतों से लिंक। आप और अधिक विशिष्ट कार्रवाई करने योग्य बुद्धिमत्ता को इकट्ठा करने के लिए नीचे ड्रिल कर सकते हैं जैसे कि MITER ATT & CK फ्रेमवर्क से जुड़े टैक्टिस और टैक्नीक / तकनीक के संकेतक।

McAfee ATR ब्लॉग से, आप देख सकते हैं कि ऑपरेशन नॉर्थ स्टार अन्य APT अभियानों के लिए आम तौर पर रणनीति और तकनीक का लाभ उठाता है, जैसे कि इनिशियल ऐक्सेस के लिए भाला फ़िशिंग, सिस्टम टूल्स और हस्ताक्षरित बायनेरीज़, रजिस्ट्री कुंजी या स्टार्टअप फ़ोल्डर के संशोधन के लिए दृढ़ता और एन्कोडेड ट्रैफ़िक। कमान और नियंत्रण के लिए।

रक्षात्मक वास्तुकला अवलोकन

आज का डिजिटल उद्यम ऑपरेशन नॉर्थ स्टार जैसे हमलों के लिए कई एंट्री पॉइंट्स के साथ ऑन-प्रिमाइसेस सिस्टम और क्लाउड सेवाओं का एक संकर वातावरण है। COVID-19 द्वारा मजबूर होम ऑपरेटिंग मॉडल के काम ने केवल हमले की सतह का विस्तार किया है और सफल भाले के फ़िशिंग हमलों के लिए जोखिम में वृद्धि हुई है यदि संगठनों ने अपनी सुरक्षा मुद्रा को अनुकूलित नहीं किया और दूरस्थ श्रमिकों के लिए प्रशिक्षण बढ़ा दिया। ऑपरेशन नॉर्थ स्टार जैसे हमलों के जोखिम को कम करने के लिए डिवाइस पर, नेटवर्क पर और सुरक्षा संचालन (सेकंड ऑप्स) में सही नियंत्रण के साथ एक सुरक्षा वास्तुकला की आवश्यकता होती है। सेंटर फॉर इंटरनेट सिक्योरिटी (CIS) टॉप 20 साइबर सिक्योरिटी कंट्रोल उस आर्किटेक्चर को बनाने के लिए एक अच्छा गाइड प्रदान करता है। निम्नलिखित ऑपरेशन उत्तर सितारा रणनीति और तकनीकों के खिलाफ अपने उद्यम की रक्षा के लिए वास्तुकला की प्रत्येक परत पर आवश्यक प्रमुख सुरक्षा नियंत्रणों की रूपरेखा तैयार करता है।

प्रारंभिक प्रवेश चरण रक्षात्मक अवलोकन

थ्रेट इंटेलिजेंस एंड रिसर्च के अनुसार, प्रारंभिक पहुंच या तो भेद्यता शोषण या भाला फ़िशिंग अटैचमेंट के माध्यम से की जाती है। जैसा कि हमलावर तेजी से स्पीयर फ़िशिंग अटैचमेंट या लिंक स्थानों को बदल सकते हैं, स्तरित बचाव होना ज़रूरी है, जिसमें उपयोगकर्ता जागरूकता प्रशिक्षण और प्रतिक्रिया प्रक्रिया, ईमेल सिस्टम, वेब प्रॉक्सी और एंडपॉइंट सिस्टम पर खुफिया और व्यवहार-आधारित मैलवेयर सुरक्षा शामिल हैं, और अंत में playbooks ops संदिग्ध ईमेल अटैचमेंट या अन्य फ़िशिंग तकनीकों के खिलाफ शुरुआती पता लगाने और प्रतिक्रिया के लिए, निम्न चार्ट उन नियंत्रणों को संक्षेप में प्रस्तुत करता है जो प्रारंभिक चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee क्षमता
प्रारंभिक पहुँच भाला फ़िशिंग अटैचमेंट (T1566.001) CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

प्रारंभिक पहुँच भाला फ़िशिंग लिंक (T1566.002) CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

प्रारंभिक पहुँच स्पीयर फ़िशिंग (T1566.003) सेवा CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

मैक्एफ़ी संदिग्ध ईमेल अटैचमेंट से कैसे बचाव कर सकते हैं, इसकी अतिरिक्त जानकारी के लिए, इस अतिरिक्त ब्लॉग पोस्ट की समीक्षा करें।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-protects-against-suspicious-email-attachments/

शोषण स्टेज रक्षात्मक अवलोकन

शोषण चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली तक पहुंच प्राप्त करता है। इस स्तर पर ऑपरेशन नॉर्थ स्टार के खिलाफ संरक्षण दोनों अंत उपयोगकर्ता उपकरणों और सर्वरों पर अनुकूलनीय एंटी-मैलवेयर पर निर्भर है, एप्लिकेशन निष्पादन पर प्रतिबंध, और एंडपॉइंट डिटेक्शन और प्रतिक्रिया सेंसर जैसे सुरक्षा संचालन उपकरण।

मैकफी एंडपॉइंट सिक्योरिटी 10.7 गहराई से क्षमता में एक सुरक्षा प्रदान करता है, जिसमें हस्ताक्षर और धमकी खुफिया सहित ज्ञात खराब संकेतक या कार्यक्रमों को कवर करने के लिए, साथ ही ऑपरेशन नॉर्थ स्टार के खिलाफ हमले की सतह को कम करने और नई शोषण हमले तकनीकों का पता लगाने के लिए मशीन-शिक्षण और व्यवहार-आधारित सुरक्षा प्रदान करता है। यह हमला रिमोट सर्वर पर बाहरी टेम्पलेट फ़ाइलों के लिंक के साथ हथियार वाले दस्तावेजों का लाभ उठाता है। मैकेफी थ्रेट प्रिवेंशन एंड अडैप्टिव थ्रेट प्रोटेक्शन मॉड्यूल इन तकनीकों से बचाव करते हैं।

इसके अतिरिक्त, MVISION EDR शोषण चरण विश्लेषण में पहचानी गई निष्पादन और रक्षात्मक चोरी तकनीकों पर सक्रिय पहचान क्षमता प्रदान करता है। ऑपरेशन नॉर्थ स्टार के खिलाफ कार्रवाई में MVISION EDR देखने के लिए कृपया आगे पढ़ें।

निम्नलिखित चार्ट उन महत्वपूर्ण सुरक्षा नियंत्रणों को संक्षेप में प्रस्तुत करता है जो शोषण चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
क्रियान्वयन उपयोगकर्ता निष्पादन (T1204) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

सीएससी 17 सुरक्षा जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (मैक), वेब गेटवे और नेटवर्क सुरक्षा प्लेटफ़ॉर्म
क्रियान्वयन कमांड और स्क्रिप्टिंग दुभाषिया (T1059)

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (MAC), MVISION EDR
क्रियान्वयन साझा मॉड्यूल (T1129) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (मैक)
हठ बूट या ऑटोलोन निष्पादन (T1547) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 खतरा निवारण, MVISION EDR
रक्षात्मक साक्ष्य टेम्पलेट इंजेक्शन (T1221) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
रक्षात्मक साक्ष्य हस्ताक्षरित द्विआधारी प्रॉक्सी निष्पादन (T1218) CSC 4 नियंत्रण व्यवस्थापक विशेषाधिकार

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, अनुप्रयोग नियंत्रण, MVISION EDR
रक्षात्मक साक्ष्य Deobfuscate / Decode फ़ाइलें या सूचना (T1027)

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR

McAfee Endpoint Security 10.7 ऑपरेशन नॉर्थ स्टार शोषण चरण में इस्तेमाल की जाने वाली कुछ तकनीकों को कैसे रोक सकता है, इस बारे में अधिक जानकारी के लिए, इस अतिरिक्त ब्लॉग पोस्ट की समीक्षा करें।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-amsi-integration-protects-against-malicious-scripts/

प्रभाव स्टेज रक्षात्मक अवलोकन

प्रभाव चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली, डेटा को एन्क्रिप्ट करता है और संभवतः नेटवर्क पर अन्य प्रणालियों को बाद में ले जाता है। इस चरण में सुरक्षा दोनों अंत उपयोगकर्ता उपकरणों और सर्वर, नेटवर्क नियंत्रण और सुरक्षा संचालन की क्षमता पर निर्भर एंटी-मैलवेयर पर निर्भर है जो विशेषाधिकार प्राप्त पहुंच या नेटवर्क ट्रैफ़िक में विसंगतियों के लिए लॉग की निगरानी करने की क्षमता है। निम्नलिखित चार्ट उन प्रभावों को नियंत्रित करने के लिए प्रभाव मंच तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव की अपेक्षा करता है, जहां संभव हो।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
खोज खाता खोज (T1087) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
खोज सिस्टम सूचना डिस्कवरी (T1082) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
खोज सिस्टम ओनर / यूजर डिस्कवरी (T1033) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
आदेश और नियंत्रण एन्क्रिप्ट किया गया चैनल (T1573) CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

वेब गेटवे, नेटवर्क सुरक्षा प्लेटफ़ॉर्म

ऑपरेशन नॉर्थ स्टार इंडिकेटर्स के लिए शिकार

एक खतरे के विश्लेषक या शिकारी के रूप में, आप ऑपरेशन नॉर्थ स्टार पर प्राप्त किसी भी संकेतक के लिए अपने सिस्टम को जल्दी से स्कैन करना चाह सकते हैं। बेशक, आप मैन्युअल रूप से संकेतकों की सूची डाउनलोड करके और उपलब्ध उपकरणों के साथ खोज करके ऐसा कर सकते हैं। हालाँकि, यदि आपके पास MVISION EDR और इनसाइट्स हैं, तो आप कीमती समय बचाते हुए, कंसोल से सही कर सकते हैं। हमलावर का शिकार करना इंच का खेल हो सकता है, इसलिए हर सेकंड मायने रखता है। बेशक, यदि आपको संकेतक के साथ संक्रमित सिस्टम या सिस्टम मिला है, तो आप एमवीआईएसआईएनडीआर कंसोल से तुरंत घटना की प्रतिक्रिया के लिए जांच और कार्रवाई शुरू कर सकते हैं।

ऑपरेशन नॉर्थ स्टार तकनीकों का सटीक पता लगाना

इस हमले में कई शोषण चरण तकनीक वैध विंडोज प्रक्रियाओं और अनुप्रयोगों का उपयोग या तो शोषण या पता लगाने से बचने के लिए करती है। हमने ऊपर दिखाया कि एंडपॉइंट प्रोटेक्शन प्लेटफॉर्म कैसे हथियार वाले दस्तावेजों को बाधित कर सकता है लेकिन, MVISION EDR का उपयोग करके, आप अधिक दृश्यता प्राप्त कर सकते हैं। सुरक्षा विश्लेषकों के रूप में, हम winword.exe द्वारा उपयोग की जाने वाली संदिग्ध तकनीकों पर ध्यान केंद्रित करना चाहते हैं क्योंकि यह हमला हथियार वाले दस्तावेजों का लाभ उठाता है। MVISION EDR पर हमें WINWORD.EXE के लिए मॉनिटरिंग डैशबोर्ड पर पहला खतरा पता चला मध्यम जोखिम

डैशबोर्ड प्रक्रिया की गतिविधि पर एक विस्तृत विवरण भी प्रदान करता है, जो इस मामले में, टेम्पलेट इंजेक्शन प्रदर्शन करने का प्रयास है।

हमें rundll32 के उपयोग के कारण 2 अलर्ट भी मिले हैं:

1) rundll32 उपयोगिता के माध्यम से निर्दिष्ट मापदंडों के साथ गैर-सामान्य फ़ाइल लोड की गई

2) संदिग्ध प्रक्रिया को एंडपॉइंट सुरक्षा (निरीक्षण मोड में) द्वारा साफ किया गया होगा

ऑपरेशन नॉर्थ स्टार इवेंट्स पर निगरानी या रिपोर्टिंग

McAfee Endpoint Protection और Web Gateway की घटनाएं लाजर की घटना और खतरे की प्रतिक्रिया में महत्वपूर्ण भूमिका निभाती हैं। McAfee ePO सभी प्रबंधित समापन बिंदु सिस्टम से ईवेंट संग्रह को केंद्रीकृत करता है। खतरे की प्रतिक्रिया के रूप में, आप मौजूदा जोखिम को समझने के लिए लाजर से संबंधित खतरे की घटनाओं के लिए एक डैशबोर्ड बनाना चाहते हैं। मैक्फी एंडपॉइंट प्रोटेक्शन प्लेटफॉर्म (थ्रेट प्रिवेंशन मॉड्यूल) के अनुसार, लाजर से संबंधित खतरों की एक सूची (थकाऊ नहीं) है, जिसमें ऑन-एक्सेस स्कैन और ग्लोबल थ्रेट इंटेलिजेंस सक्षम है, और ग्लोबल थ्रेट इंटेलिजेंस के लिए मैकएफी वेब गेटवे भी सक्षम है।

McAfee समापन बिंदु खतरा निवारण घटनाएँ
जेनेरिक Trojan.dz जेनेरिक ड्रॉपर.आऊ
RDN / Generic PWS.y W97M / Downloader.cxz
ट्रोजन-FRVP! 2373982CDABA ट्रोजन-FRVP! AF83AD63D2E3
जेनेरिक ड्रॉपर.आऊ W97M / Downloader.bjp
ट्रोजन-FSGY! 3C6009D4D7B2 W97M / MacroLess.y
ट्रोजन-FRVP! CEE70135CBB1 आर्टेमिस! 9FD35BAD075C
W97M / Downloader.cxu RDN / Generic.dx
ट्रोजन-FRVP! 63178C414AF9 आर्टेमिस! 0493F4062899
Exploit-cve2017-0199.ch आर्टेमिस! 25B37C971FD7
McAfee वेब गेटवे इवेंट
जेनेरिक Trojan.dz W97M / Downloader.cxz
RDN / Generic PWS.y BehavesLike.Downloader.dc
ट्रोजन-FRVP! 2373982CDABA W97M / MacroLess.y
ट्रोजन-FSGY! 3C6009D4D7B2 BehavesLike.Win32.Dropper.hc
BehavesLike.Downloader.dc आर्टेमिस
BehavesLike.Downloader.tc

सारांश

लक्षित खतरे अभियानों को हराने के लिए, रक्षकों को आंतरिक और बाह्य रूप से एक अनुकूली सुरक्षा वास्तुकला का निर्माण करना चाहिए, जिससे खतरे के अभिनेताओं को सफल होने और व्यवसाय में लचीलापन बनाने में मुश्किल होगी। यह ब्लॉग इसी तरह की तकनीकों का उपयोग करते हुए ऑपरेशन नॉर्थ स्टार और हमलावरों को रोकने, पता लगाने और प्रतिक्रिया देने के लिए मैकाफी के सुरक्षा समाधान का उपयोग करने पर प्रकाश डालता है।

McAfee ATR इस अभियान की सक्रिय रूप से निगरानी कर रहा है और नई और वर्तमान जानकारी के साथ McAfee Insights और इसके सोशल नेटवर्किंग चैनलों को अपडेट करना जारी रखेगा। विपत्तियों से आगे रहना चाहते हैं? अधिक जानकारी के लिए मैकेफी इनसाइट्स देखें।

ऑपरेशन (That () उत्तर सितारा एक नौकरी की पेशकश सच है कि बहुत अच्छा है?

कार्यकारी सारांश

हम एक आर्थिक मंदी के बीच हैं [1], वहाँ से अधिक उम्मीदवारों के साथ वहाँ काम कर रहे हैं, कुछ है जो दुर्भावनापूर्ण अभिनेताओं द्वारा लीवरेज किया गया है ताकि पीड़ितों को मालवेयर से लदे दस्तावेजों को खोलने के लिए लालच दिया जा सके। जबकि इस अभूतपूर्व समय के दौरान हमलों की व्यापकता काफी हद तक निम्न-स्तरीय धोखेबाजों द्वारा की गई है, अधिक सक्षम खतरे वाले अभिनेताओं ने इस संकट को सादे दृष्टि में छिपाने के अवसर के रूप में भी इस्तेमाल किया है।

ऐसा ही एक उदाहरण एक अभियान है जिसे McAfee Advanced Threat Research (ATR) ने एयरोस्पेस एंड डिफेंस इंडस्ट्री को लक्षित करने वाली दुर्भावनापूर्ण साइबर गतिविधि में वृद्धि के रूप में देखा। 2020 के इस अभियान में McAfee ATR ने बहुत ही लक्षित अंदाज में, दुर्भावनापूर्ण दस्तावेजों की एक श्रृंखला की खोज की, जिसमें प्रमुख रक्षा ठेकेदारों से ली जाने वाली लेग्स के रूप में इस्तेमाल किया गया। इन दुर्भावनापूर्ण दस्तावेजों को पीड़ितों को एक डेटा इकट्ठा करने वाले प्रत्यारोपण को स्थापित करने के लिए भेजा जाना था। इन अभियानों का शिकार इस समय स्पष्ट नहीं है, हालांकि, नौकरी के विवरण के आधार पर, वे लोगों को कौशल और अनुभव के साथ लोगों को लक्षित करने के लिए प्रेरित करते हैं, जो कि दस्तावेज़ों में सामग्री से संबंधित हैं। यह अभियान उद्योग द्वारा कहीं और बताई गई गतिविधि के समान प्रतीत होता है, हालाँकि इस विश्लेषण में इस अभियान में निहितार्थ और लालच के दस्तावेज़ अलग-अलग हैं। [2], इस प्रकार हम यह निष्कर्ष निकाल सकते हैं कि यह अनुसंधान एक अलग गतिविधि सेट का हिस्सा है। यह अभियान कई यूरोपीय देशों से अपनी कमांड को नियंत्रित करने और बुनियादी ढांचे को नियंत्रित करने और पीड़ितों को लक्षित करने के लिए प्रत्यारोपण वितरित करने के लिए कई बुनियादी ढांचे का उपयोग कर रहा है।

इस तरह का अभियान 2017 और 2019 से पहले प्रमुख सैन्य और रक्षा प्रौद्योगिकियों के आस-पास खुफिया जानकारी इकट्ठा करने के लक्ष्य के साथ समान तरीकों का उपयोग करते हुए दिखाई दिया है [3]। 2017 के अभियान में प्रमुख रक्षा ठेकेदारों से नौकरी पोस्टिंग के साथ लालच दस्तावेजों का भी उपयोग किया गया; यह ऑपरेशन उन रक्षा ठेकेदारों द्वारा नियोजित व्यक्तियों को लक्षित कर रहा था, जो कि इस्तेमाल में लाते हैं। भाला फ़िशिंग ईमेल से प्राप्त कुछ अंतर्दृष्टि के आधार पर, उस अभियान का मिशन अपने नियोक्ताओं द्वारा विकसित की जा रही कुछ परियोजनाओं के आसपास डेटा एकत्र करना था।

2020 की गतिविधि की तकनीक, रणनीति और प्रक्रियाएं (टीटीपी) उन पिछले अभियानों के समान हैं जो हमने 2017 और 2019 में देखे थे। हमारे विश्लेषण से यह 2018 के अभियान की निरंतरता प्रतीत होती है, जिसमें कई समानताएं हैं। देखे गए। ये समानताएँ दोनों Visual Basic कोड में मौजूद हैं जिनका उपयोग इम्प्लांट को निष्पादित करने के लिए किया जाता है और कुछ मुख्य कार्यक्षमता जो 2019 और 2020 के बीच मौजूद हैं।

इस प्रकार, 2020 अभियान के संकेतक 2017 और 2019 से पिछली गतिविधि की ओर इशारा करते हैं, जिसे पहले छिपे हुए कोबरा के रूप में जाना जाने वाले खतरे अभिनेता समूह को जिम्मेदार ठहराया गया था। [4]। हिडन कोबरा एक छाता शब्द है, जिसका इस्तेमाल अमेरिकी सरकार द्वारा उत्तर कोरिया के लिए धमकी भरे समूहों को संदर्भित करने के लिए किया जाता है [1]। छिपे हुए कोबरा उद्योग के लेबल से लेज़र, किमस्की, कोनी और एपीटी 37 के रूप में खतरे की गतिविधि के होते हैं। दुनिया भर के संगठनों को लक्षित करने वाले इन समूहों के लिए जिम्मेदार साइबर आक्रामक कार्यक्रमों को वर्षों से प्रलेखित किया गया है। उनके लक्ष्य प्रमुख प्रौद्योगिकियों से क्रिप्टो मुद्रा चोरी के लिए सैन्य प्रौद्योगिकियों के आसपास डेटा एकत्र करने से लेकर हैं।

हमारा विश्लेषण बताता है कि 2020 में गतिविधि का एक उद्देश्य पीड़ितों की मशीनों पर डेटा एकत्रण प्रत्यारोपण स्थापित करना था। इन डीएलएल प्रत्यारोपण का उद्देश्य पीड़ितों की मशीनों से पीड़ितों की पहचान के उद्देश्य से बुनियादी जानकारी एकत्र करना था। लक्ष्य मशीन से एकत्र किया गया डेटा लक्ष्य के मूल्य को वर्गीकृत करने में उपयोगी हो सकता है। McAfee ATR ने देखा कि 2020 के अभियानों में कई अलग-अलग प्रकार के प्रत्यारोपणों का इस्तेमाल किया गया था।

ये अभियान दुर्भावनापूर्ण साइबर अभियानों के साथ दक्षिण कोरिया और विदेशी देशों की सुरक्षा को प्रभावित करते हैं। इस ब्लॉग में McAfee ATR 2020 के पहले भाग में किए गए कई अभियानों का विश्लेषण करता है।

अंत में, हम रक्षा और एयरोस्पेस के बाहर अन्य क्षेत्रों में झूठी नौकरी भर्ती अभियान का विस्तार करते हुए देखते हैं, जैसे कि एक प्रमुख एनीमेशन स्टूडियो के लिए वित्त स्थिति के रूप में एक दस्तावेज।

इस ब्लॉग में हम कवर करेंगे:

रुचि का लक्ष्य – रक्षा और एयरोस्पेस अभियान

यह पहली बार नहीं है जब हमने रक्षा और एयरोस्पेस उद्योग में दुर्भावनापूर्ण दस्तावेजों के रूप में उपयोग करते हुए खतरे वाले अभिनेताओं को देखा है। 2017 और 2019 में, लक्ष्य के लिए दुर्भावनापूर्ण दस्तावेज़ भेजने का प्रयास किया गया था जिसमें प्रमुख रक्षा ठेकेदारों के पदों के लिए नौकरी की पोस्टिंग थी3

इन अभियानों का उद्देश्य विशिष्ट कार्यक्रमों और प्रौद्योगिकियों के बारे में जानकारी एकत्र करना था। 2017 के अभियान की तरह, 2020 के अभियान ने भी कई प्रमुख रक्षा और एयरोस्पेस संगठनों से वैध नौकरी पोस्टिंग का उपयोग किया। मैक्एफ़ी एटीआर ने 2020 के अभियान में, 2017 ऑपरेशन के कुछ समान रक्षा ठेकेदारों को फिर से दुर्भावनापूर्ण दस्तावेजों में लालच के रूप में इस्तेमाल किया।

2020 में नोट की गई इस नई गतिविधि में 2017 के अभियान में देखे गए लोगों के समान तकनीक, रणनीति और प्रक्रिया (टीटीपी) का उपयोग किया गया है जो रक्षा औद्योगिक बेस में व्यक्तियों को लक्षित करते हैं (डीआईबी)। 2017 की गतिविधि को अमेरिकी सरकार द्वारा एक अभियोग में शामिल किया गया था और हिडन कोबरा धमकी समूह के लिए जिम्मेदार ठहराया गया था4

हमला अवलोकन

चरण एक: प्रारंभिक संपर्क

इस हालिया अभियान ने टेम्प्लेट इंजेक्शन हमले का उपयोग करके लक्षित प्रणाली पर मैलवेयर स्थापित करने के लिए दुर्भावनापूर्ण दस्तावेज़ों का उपयोग किया। यह तकनीक एक हथियार वाले दस्तावेज़ को मैक्रोज़ वाले बाहरी वर्ड टेम्पलेट को डाउनलोड करने की अनुमति देती है जिसे निष्पादित किया जाएगा। यह एक ज्ञात ट्रिक है जिसका उपयोग स्थैतिक दुर्भावनापूर्ण दस्तावेज़ विश्लेषण को बायपास करने के लिए किया जाता है, साथ ही मैक्रो को डाउनलोड किए गए टेम्पलेट में एम्बेड किया जाता है।

इसके अलावा, इन दुर्भावनापूर्ण वर्ड दस्तावेजों में इन प्रमुख रक्षा ठेकेदारों के वैध नौकरियों से संबंधित सामग्री थी। सभी तीन संगठनों में अमेरिकी सरकार के साथ अलग-अलग आकार और दायरे के रक्षा अनुबंध हैं।

इन दस्तावेजों की समय-सीमा, जो कि अज्ञात संख्या में लक्ष्य के लिए भेजी गई थी, 31 मार्च से 18 मई 2020 के बीच चली।

दस्तावेज़ निर्माण समयरेखा

पीड़ित के वातावरण में दुर्भावनापूर्ण कोड पेश करने के लिए घातक दस्तावेज मुख्य प्रवेश बिंदु थे। इन दस्तावेजों में रक्षा, एयरोस्पेस और अन्य क्षेत्रों से नौकरी के विवरण शामिल थे। उद्देश्य इन दस्तावेजों को पीड़ित के ईमेल पर भेजना होगा, जिस इरादे से वे खुले, देखें और अंततः पेलोड को निष्पादित करें।

जैसा कि हमने उल्लेख किया है, विरोधी ने टेम्प्लेट इंजेक्शन नामक एक तकनीक का उपयोग किया है। जब किसी दस्तावेज़ में .docx एक्सटेंशन होता है, तो हमारे मामले में, इसका मतलब है कि हम ओपन ऑफिस XML मानक के साथ काम कर रहे हैं। A .docx फ़ाइल एक ज़िप फ़ाइल है जिसमें कई भाग होते हैं। टेम्प्लेट इंजेक्शन तकनीक का उपयोग करते हुए, विरोधी .XML फ़ाइलों में से एक में टेम्प्लेट फ़ाइल की ओर एक लिंक डालता है, उदाहरण के लिए लिंक settings.xml.rels में है, जबकि बाहरी ओलेओबजेक्ट लोड document.xml.rels में है। लिंक एक दूरस्थ सर्वर से टेम्पलेट फ़ाइल (DOTM) को लोड करेगा। यह एक चतुर तकनीक है जिसका हम कई सलाहकारों द्वारा उपयोग किया जा रहा है [5] और शुरू में साफ-सुथरा मालवेयर लोड करने के लिए शुरू में साफ होने के लिए एक दस्तावेज बनाने का इरादा है। इन टेम्पलेट फ़ाइलों में से कुछ को JPEG फ़ाइलों के रूप में बदला जाता है जब किसी भी संदेह और बायपास का पता लगाने से बचने के लिए एक दूरस्थ सर्वर पर होस्ट किया जाता है। इन टेम्प्लेट फ़ाइलों में विज़ुअल बेसिक मैक्रो कोड होता है, जो पीड़ित के सिस्टम पर DLL इम्प्लांट को लोड करेगा। वर्तमान McAfee प्रौद्योगिकियां वर्तमान में इस खतरे से बचाती हैं।

हमने पहले उल्लेख किया था कि डॉक्स फाइलें (जैसे xlsx और pptx) OOXML मानक का हिस्सा हैं। इस मानक को परिभाषित करने वाला दस्तावेज़[6], वाक्यविन्यास और मूल्यों का वर्णन करता है जिनका उपयोग एक उदाहरण के रूप में किया जा सकता है। देखने के लिए एक दिलचस्प फ़ाइल ‘settings.xml’ फ़ाइल है जिसे डॉक्स ज़िप फ़ाइल के ’वर्ड’ कंटेनर में खोजा जा सकता है। इस फ़ाइल में भाषा, मार्कअप और बहुत कुछ के संबंध में सेटिंग्स हैं। सबसे पहले, हमने settings.xml फ़ाइलों से सभी डेटा निकाले और तुलना करना शुरू किया। नीचे दिए गए सभी दस्तावेजों में समान भाषा मूल्य शामिल हैं:

w: वैल = “en-US”
w: eastAsia = “ko-के.आर.”

XML फ़ाइल एक GUID मान के साथ समाप्त होती है जो “w15” मान से शुरू होती है।

उदाहरण: w15: val = “{932E534D-8C12-4996-B261-816995D50C69}” />

Microsoft प्रलेखन के अनुसार, w15 PersistentDocumentId वर्ग को परिभाषित करता है। जब ऑब्जेक्ट को xml के रूप में क्रमबद्ध किया जाता है, तो इसका योग्य नाम w15: docId है। 128-बिट GUID को ST_Guid विशेषता के रूप में सेट किया गया है, जो Microsoft प्रलेखन के अनुसार, एक अद्वितीय टोकन को संदर्भित करता है। उपयोग किया गया वर्ग DocID के रूप में उपयोग के लिए एक GUID बनाता है और संबंधित कुंजी उत्पन्न करता है। क्लाइंट GUID को उस संरचना में संग्रहीत करता है और डॉक्टर फ़ाइल में बना रहता है। यदि, उदाहरण के लिए, हम एक दस्तावेज बनाएंगे और “सेव एज़” कहेंगे, तो w15: docId GUID नए बनाए गए दस्तावेज़ में मौजूद रहेगा। ऊपर हमारी सूची के लिए इसका क्या अर्थ होगा? उसी GUID मान वाले दस्तावेज़ों को कालानुक्रमिक क्रम में रखा जाना चाहिए और फिर हम बता सकते हैं कि प्रारंभिक दस्तावेज़ बाकी के लिए मूल है, उदाहरण के लिए:

उपरोक्त तालिका से हम जो कह सकते हैं वह यह है कि can _IFG_536R.docx ”पहला दस्तावेज था जिसे हमने देखा और बाद में उसी आधार दस्तावेज़ से एक ही docID मान वाले दस्तावेज़ बनाए गए।

इस दावे में जोड़ने के लिए; settings.xml में फ़ाइल का मान “rsid” (शैली परिभाषा के लिए संशोधन पहचानकर्ता) पाया जा सकता है। Microsoft के दस्तावेज़ के अनुसार: “यह तत्व एक अद्वितीय चार-अंकीय संख्या निर्दिष्ट करता है जिसका उपयोग संपादन सत्र को निर्धारित करने के लिए किया जाएगा जिसमें यह शैली परिभाषा अंतिम रूप से संशोधित की गई थी। यह मान इस निम्नलिखित बाधा का पालन करेगा: सभी दस्तावेज़ तत्व जो समान rsid को निर्दिष्ट करते हैं * मान उसी संपादन सत्र के दौरान किए गए परिवर्तनों के अनुरूप होंगे। एक संपादन सत्र को संपादन की अवधि के रूप में परिभाषित किया गया है जो कि किसी भी दो बाद की बचत क्रियाओं के बीच होता है। “

चलो “* _IFG_536R.docx” से rsid तत्व मानों के साथ शुरू करें:

और “* _PMS.docx” से rsid तत्व मानों के साथ तुलना करें:

Rsid तत्व दोनों दस्तावेज़ों के पहले चार संपादन सत्रों के लिए समान हैं। यह इंगित करता है कि ये दस्तावेज़, हालांकि वे अब अलग हैं, एक ही दस्तावेज़ से उत्पन्न हुए हैं।

अधिक मूल्यों और मेटाडेटा में खुदाई (हम जानते हैं कि उन्हें हेरफेर किया जा सकता है), हमने क्रोनोलॉजिकल ऑर्डर में निम्नलिखित अवलोकन बनाया है: निर्माण तिथि के आधार पर:

जब हम DocID “932E534d (..) पर ज़ूम इन करते हैं, तो हम XML कोड में एक टेम्प्लेट फ़ाइल का मूल्य पढ़ते हैं:“ सिंगल स्पेसेड (रिक्त) .dotx ”- यह टेम्प्लेट नाम कई“ ऑथर ”नामों से उपयोग किया जाता है। संशोधन संख्या दस्तावेज़ में संभावित परिवर्तनों को इंगित करती है।

नोट: “नो डॉकिड” वाली तालिका में दस्तावेज़ मैक्रोज़ / पेलोड वाली “डॉट” फाइलें थीं।

सभी फाइलें वर्ड 2016 के साथ बनाई गई थीं और इसमें अंग्रेजी और कोरियाई दोनों भाषाओं को स्थापित किया गया था। मेटाडेटा में यह विश्लेषण बताता है कि एक सामान्य विश्वास है कि दुर्भावनापूर्ण दस्तावेज़ एक सामान्य रूट दस्तावेज़ से बनाए गए थे।

दस्तावेज़ टेम्पलेट

हमारी जाँच के दौरान गैर-दुर्भावनापूर्ण खोजे गए कई दस्तावेजों को चिह्नित किया गया था। पहली नज़र में वे महत्वपूर्ण या संबंधित नहीं लग रहे थे, लेकिन गहरी जांच से पता चला कि वे कैसे जुड़े थे। इन दस्तावेजों ने अंतिम दुर्भावनापूर्ण दस्तावेजों के निर्माण में भूमिका निभाई जो अंततः पीड़ितों को भेजे गए। मेटाडेटा जानकारी के आधार पर इन दस्तावेजों के आगे के विश्लेषण ने संकेत दिया कि उनके पास प्रतिकूल द्वारा बनाए गए प्राथमिक दस्तावेजों में संबंध थे।

दो प्रिंट फ़ाइलें (*** _ SPE_LEOS और *** _ HPC_SE) एयरोस्पेस और रक्षा उद्योग थीम्ड छवियों के साथ, Microsoft प्रिंट से पीडीएफ सेवा के माध्यम से बनाई गई, *** _ ECS_EPM.docx के साथ प्रस्तुत की गईं। इन पीडीएफ फाइलों का नामकरण सम्मेलन इस्तेमाल किए गए दुर्भावनापूर्ण दस्तावेजों के समान था। नाम में दुर्भावनापूर्ण दस्तावेजों की तरह रक्षा ठेकेदार के पदों के लिए संक्षिप्त विवरण शामिल हैं। Microsoft प्रिंट टू पीडीएफ सेवा एक Microsoft Word दस्तावेज़ की सामग्री को सीधे पीडीएफ में प्रिंट करने में सक्षम बनाती है। इस स्थिति में ये दो पीडीएफ फाइलें लेखक के मूल ‘डॉक्युमेंट’ के साथ एक मूल Microsoft वर्ड डॉक्यूमेंट से जेनरेट की गईं। लेखक ‘होम’ एयरोस्पेस, डिफेंस और एंटरटेनमेंट इंडस्ट्री से संबंधित नौकरी के विवरणों वाले कई दुर्भावनापूर्ण दस्तावेजों में दिखाई दिया। PDFs को एक आर्काइव फ़ाइल में खोजा गया था जो दर्शाता है कि लिंक्डइन संभावित पीड़ितों को लक्षित करने के लिए संभावित वेक्टर का उपयोग कर सकता है। यह एक समान वेक्टर है जिसे उद्योग द्वारा रिपोर्ट किए गए अभियान में देखा गया है[7]हालांकि, जैसा कि पहले उल्लेख किया गया है कि इस ब्लॉग में शामिल अनुसंधान एक अलग गतिविधि सेट का हिस्सा है।

पीडीएफ फाइल से मेटाडेटा संदर्भ के साथ संग्रह में *** _ ECS_EPM.docx के साथ प्रस्तुत किया गया है

विजुअल बेसिक मैक्रो कोड

रिमोट टेम्पलेट फ़ाइलों में खुदाई मैक्रो कोड की संरचना के विषय में कुछ अतिरिक्त अंतर्दृष्टि का पता चलता है। दूसरे चरण के दूरस्थ दस्तावेज़ टेम्प्लेट फ़ाइलों में विज़ुअल बेसिक मैक्रो कोड होता है जिसे डबल बेस 64 एनकोडेड डीएलएल इम्प्लांट निकालने के लिए डिज़ाइन किया जाता है। सामग्री सभी DOTM फ़ाइल में UserForm1 में एन्कोडेड है जो मैक्रो कोड द्वारा निकाली गई है।

एम्बेडेड DLL निकालने के लिए मैक्रो कोड (17.dotm)

इसके अलावा, कोड पीड़ित को प्रदर्शित करने के लिए एम्बेडेड डिकॉय दस्तावेज़ (नौकरी विवरण युक्त एक साफ दस्तावेज़) भी निकालेगा।

कोड (17.dotm) साफ डिकॉय दस्तावेज़ निकालने के लिए

मैक्रो कोड (****** _ dds_log.jpg) ऑटो निष्पादन पर निष्पादित

चरण दो: दुर्भावनापूर्ण DLL को छोड़ना

विपक्षी ने दुर्भावनापूर्ण DLL फ़ाइलों का उपयोग किया, लक्ष्य पर जासूसी करने के लिए चरण 2 दुर्भावनापूर्ण दस्तावेज़ों के माध्यम से वितरित किए गए। प्रारंभिक खुफिया जानकारी एकत्र करने के लिए पीड़ित के मशीन पर DLL प्रत्यारोपण को छोड़ने के लिए उन दुर्भावनापूर्ण दस्तावेज़ों को डिज़ाइन किया गया था। इस अभियान में विरोधी अपने लक्ष्यों से बुनियादी जानकारी इकट्ठा करने के लिए पैक्ड SQL लाइट DLL का उपयोग कर रहा था। इन DLL को कुछ परिस्थितियों में लागू किए जाने पर पीड़ित की मशीन पर निष्पादित होने वाले दुर्भावनापूर्ण कोड को शामिल करने के लिए संशोधित किया गया था। इन DLL का उद्देश्य संक्रमित पीड़ितों से मशीन की जानकारी एकत्र करना है, जिसका उपयोग अधिक दिलचस्प लक्ष्यों की पहचान करने के लिए किया जा सकता है।

लक्षित पीड़ितों को भेजे गए पहले चरण के दस्तावेज़ में एक अंतर्निहित लिंक था जो दूरस्थ दस्तावेज़ टेम्पलेट डाउनलोड करता था।

वर्ड / _rels / settings.xml.rels के भीतर एंबेडेड लिंक

डेटा एकत्र करने और इकट्ठा करने के लिए पीड़ित की मशीन पर पैच किए गए DLL को लोड करने के लिए DOTM (Office टेम्पलेट फ़िलाटाइप) फाइलें जिम्मेदार हैं। ये DOTM फाइलें DLL फाइल के साथ बनाई गई हैं जो सीधे फाइल के स्ट्रक्चर में एनकोडेड हैं। ये DOTM फाइलें दूरवर्ती सर्वरों पर मौजूद होती हैं जो प्रतिकूल परिस्थितियों से समझौता करती हैं; पहले चरण के दस्तावेज़ में एक एम्बेडेड लिंक है जो इस फ़ाइल के स्थान को संदर्भित करता है। जब पीड़ित दस्तावेज़ खोलता है, तो दूरस्थ DOTM फ़ाइल जिसमें दुर्भावनापूर्ण DLL लोड करने के लिए Visual Basic मैक्रो कोड होता है, लोड किया जाता है। हमारे विश्लेषण के आधार पर, इन DLL को पहली बार 20 अप्रैल 2020 को देखा गया और, आयु और व्यापकता के आंकड़ों के आधार पर हमारे ज्ञान के अनुसार, इन प्रत्यारोपणों को इस हमले के लिए अनुकूलित किया गया है।

हमले के वर्कफ़्लो को निम्नलिखित छवि द्वारा दर्शाया जा सकता है:

दुर्भावनापूर्ण डीएलएल की पहचान करने के लिए जो अंतिम प्रत्यारोपण को लोड या डाउनलोड करेगा, हमने त्रैमासिक चरण में पाई गई कार्यालय फाइलों से निकाला है, निम्नलिखित डीएलएल फाइलें:

SHA256 मूल फ़ाइल नाम संकलन दिनांक
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 2020/04/24
b76b6bbda8703fa801898f843692ec1968e4b0c90dfae9764404c1a54abf650b

अनजान 2020/04/24
37a3c01bb5eaf7ecbcfbfde1aab848956d782bb84445384c961edebe8d0e9969

onenote.db 2020/04/01
48b8486979973656a15ca902b7bb973ee5cde9a59e2f3da53c86102d48d7dad8 onenote.db 2020/04/01
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 2020/04/24

ये डीएलएल फाइलें गुडवेयर लाइब्रेरीज़ से वर्चस्वित वर्जन की तरह होती हैं, जो हमारे विश्लेषण में पाई जाने वाली SQLITE लाइब्रेरी की तरह हैं, और DOTM फ़ाइलों के भीतर निहित एक VBScript के माध्यम से भरी हुई हैं, जो इस विश्लेषण में वर्णित डबल बेस 64 एनकोडेड डीएलएल को लोड करती हैं। DLL UserForm1 (Microsoft Word मैक्रो के भीतर समाहित) में एन्कोडेड है और प्राथमिक मैक्रो कोड DLL इम्प्लांट को निकालने और डीकोड करने के लिए जिम्मेदार है।

DOTM दस्तावेज़ संरचना

Implant DLL UserForm1 में एन्कोड किया गया

हमारे विश्लेषण से, हम यह सत्यापित कर सकते हैं कि तीसरे चरण में उपयोग किए जाने वाले DLL एक दुर्भावनापूर्ण प्रत्यारोपण के साथ वैध सॉफ़्टवेयर थे जो हर बार एक विशिष्ट फ़ंक्शन को मापदंडों के एक सेट के साथ कॉल करने में सक्षम होंगे।

नमूने का सांख्यिकीय रूप से विश्लेषण करते हुए, इम्प्लांट को स्टोर करने के लिए उपयोग किए जाने वाले वैध सॉफ़्टवेयर को निकालना संभव था, उदाहरण के लिए, डीओटीएम फ़ाइलों में से डीएलएल फ़ाइलों में से एक डीएक्टेड SQLITE लाइब्रेरी थी। यदि हम निकाले गए डीएलएल के भीतर मूल पुस्तकालय की तुलना करते हैं, तो हम दो नमूनों में बहुत सी समानताएँ प्राप्त कर सकते हैं:

बाईं ओर वैध पुस्तकालय, दाईं ओर दुर्भावनापूर्ण पुस्तकालय

जैसा कि उल्लेख किया गया है, पैच DLL और मूल SQLITE लाइब्रेरी बहुत सारे कोड साझा करते हैं:

दोनों DLL आंतरिक रूप से बहुत सारे कोड साझा करते हैं

पहले DLL चरण को सिस्टम में सक्षम और लॉन्च करने के लिए कुछ मापदंडों की आवश्यकता होती है। हमारे द्वारा विश्लेषण की गई कार्यालय फ़ाइलों का मैक्रो कोड, इन मापदंडों का हिस्सा है:

दस्तावेज़ के पीसीकोड में मिली जानकारी

VBA मैक्रो में पाए गए डेटा में निम्नलिखित विवरण थे:

  • 32-बिट कुंजियाँ जो एक Windows SID की नकल करती हैं
    • पहला पैरामीटर दुर्भावनापूर्ण गतिविधि को शुरू करने के लिए उपयोग की जाने वाली डिक्रिप्शन कुंजी के अंतर्गत आता है।
    • यह लेखक द्वारा मूल्य को अधिक यथार्थवादी बनाने के लिए चुना जा सकता है
  • अभियान आईडी

DLL वर्कफ़्लो

Analysis डोकम ’फाइलों (संक्रमण के दूसरे चरण) से निकाले गए DLL के विश्लेषण से इन DLL के लिए दो प्रकार के ऑपरेशन के अस्तित्व का पता चला:

DLL प्रत्यक्ष निष्पादन:

  • DLL सिस्टम में एक नया पेलोड अनपैक करता है।

ड्राइव-बाय DLL:

  • DLL सिस्टम में अतिरिक्त DLL पेलोड वितरित करने वाले दूरस्थ सर्वर से एक नया DLL इम्प्लांट डाउनलोड करता है।

दोनों विधियों के लिए, प्रत्यारोपण लक्ष्य जानकारी को एकत्र करना शुरू करता है और फिर कमांड और कंट्रोल (C2) सर्वर से संपर्क करता है

हमने अपने विश्लेषण को DLLs फ़ाइलों में केंद्रित किया है जो सिस्टम में अनपैक्ड हैं।

प्रत्यारोपण विश्लेषण

उपयोगकर्ता द्वारा Office फ़ाइल खोलने के बाद DLL प्रत्यारोपण निष्पादित किया जाएगा। जैसा कि हमने समझाया, वीबीए मैक्रो के पी-कोड में सिस्टम में इम्प्लांट को निष्पादित करने के लिए आवश्यक पैरामीटर के कुछ भाग होते हैं।

नई DLL इम्प्लांट फ़ाइल को सत्यापन में उपयोगकर्ता के AppData फ़ोल्डर के अंदर एक फ़ोल्डर के अंदर (अभियान आईडी के आधार पर) अनपैक किया जाएगा:

C: Users उपयोगकर्ता AppData Local Microsoft सूचना wsdts.db

अगर हम C2 डोमेन के भीतर दुर्भावनापूर्ण कनेक्शन का निरीक्षण करना चाहते हैं, तो DLL फ़ाइल को 5 विभिन्न मापदंडों के साथ लॉन्च किया जाना चाहिए; हमारे विश्लेषण में हमने देखा कि कैसे DLL को निम्न कमांड लाइन के साथ लॉन्च किया गया था:

C: Windows System32 rundll32.exe “C: Users user AppData Local Microsoft सूचना wsdts.db”, sqlite3_steps S-6-81-3811-75475205-060098-6872 0 0 61 1 1

दुर्भावनापूर्ण प्रत्यारोपण को लॉन्च करने के लिए आवश्यक पैरामीटर हैं:

पैरामीटर संख्या विवरण
1 डिक्रिप्शन कुंजी
2 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया
3 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया
4 अभियान पहचानकर्ता
5 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया

जैसा कि हमने समझाया, प्रत्यारोपण SQLITE फाइलें हैं और इसीलिए हम अतिरिक्त कार्यों को पा सकते हैं जो दुर्भावनापूर्ण प्रत्यारोपण को लॉन्च करने के लिए उपयोग किए जाते हैं, कुछ मापदंडों के साथ बाइनरी को निष्पादित करते हैं। एक विशिष्ट निर्यात l sqlite3_steps ’के साथ पहले उल्लिखित मापदंडों का उपयोग करना आवश्यक है।

कोड का सांख्यिकीय रूप से विश्लेषण करते हुए हम देख सकते हैं कि पेलोड इन 5 मापदंडों में से केवल 2 की जांच करता है, लेकिन इन सभी को प्रत्यारोपण को अंजाम देने के लिए मौजूद होना चाहिए:

स्क्वैलाइट दुर्भावनापूर्ण कार्य

तीन चरण: नेटवर्क चोरी तकनीक

हमलावर हमेशा अपने घुसपैठ में बने रहने की कोशिश कर रहे हैं, यही वजह है कि रडार के नीचे बने रहने के लिए सिस्टम में मौजूद एक ही उपयोगकर्ता-एजेंट की नकल करने जैसी तकनीकों का निरीक्षण करना आम है। उदाहरण के लिए, पीड़ित के वेब ब्राउज़र कॉन्फ़िगरेशन से समान उपयोगकर्ता-एजेंट स्ट्रिंग का उपयोग करना, नेटवर्क-आधारित पहचान प्रणालियों को निवर्तमान यातायात को संदिग्ध बनाने से रोकने में मदद करेगा। इस मामले में, हमने देखा कि कैसे, Windows API ObtainUserAgentString के उपयोग के माध्यम से, हमलावर ने उपयोगकर्ता-एजेंट प्राप्त किया और कमांड और कंट्रोल सर्वर से कनेक्ट होने के लिए मूल्य का उपयोग किया:

यदि इम्प्लांट सिस्टम में उपयोगकर्ता-एजेंट का पता नहीं लगा सकता है, तो वह इसके बजाय डिफ़ॉल्ट मोज़िला यूज़र-एजेंट का उपयोग करेगा:

नमूना को गतिशील रूप से चलाना और टीएलएस ट्रैफ़िक को रोकना, हम कमांड और कंट्रोल सर्वर से कनेक्शन देख सकते हैं:

दुर्भाग्य से, हमारे विश्लेषण के दौरान, C2 सक्रिय नहीं था, जिसने आगे के विश्लेषण के लिए हमारी क्षमता को सीमित कर दिया।

C2 चैनल को भेजे गए डेटा में निम्नलिखित जानकारी है:

पैरामीटर विवरण
सी 2 C2 उस अभियान के लिए कॉन्फ़िगर किया गया है
नेड अभियान पहचानकर्ता
कुंजी 1 एईएस कुंजी का उपयोग सी 2 के साथ संचार करने के लिए किया जाता है
कुंजी 2 एईएस कुंजी का उपयोग सी 2 के साथ संचार करने के लिए किया गया
नमूना पहचानकर्ता नमूना पहचानकर्ता C2 सर्वर को भेजा गया
जीएल आकार मान C2 सर्वर को भेजा गया
hl अज्ञात पैरामीटर हमेशा 0 पर सेट होता है

हम अपने विश्लेषण में कम से कम 5 अलग-अलग अभियान आईडी प्राप्त कर सकते हैं, जो बताता है कि इस दस्तावेज़ में विश्लेषण केवल हिमशैल का टिप है:

डॉटेक्स फ़ाइल अभियान आईडी
61.dotm 0
17.dotm 17
43.dotm 43
83878C91171338902E0FE0FB97A8C47A.dotm 204
****** _ dds_log 100

चरण चार: दृढ़ता

हमारे विश्लेषण में हम यह देख सकते हैं कि कैसे एक एलएनके फ़ाइल को स्टार्टअप फ़ोल्डर में वितरित करके विपक्षी दृढ़ता को सुनिश्चित करता है

इस लगातार LNK फ़ाइल का मूल्य हर नमूने के अंदर हार्डकोड किया गया है:

गतिशील रूप से, और Windows APIs NtCreateFile और NtWriteFile के माध्यम से, LNK स्टार्टअप फ़ोल्डर में लिखा जाता है। LNK फ़ाइल में आवश्यक पैरामीटर के साथ DLL फ़ाइल को निष्पादित करने का पथ है।

अतिरिक्त मुद्राएं: 2020 राजनयिक और राजनीतिक अभियान का संबंध

2020 की अभियान गतिविधि में आगे की जांच में अतिरिक्त लिंक से पता चला है कि प्रतिकूल स्थिति घरेलू दक्षिण कोरियाई राजनीति को लालच के रूप में इस्तेमाल कर रही थी। विरोधी ने कोरियाई भाषा में उन्हीं तकनीकों का उपयोग करते हुए कई दस्तावेज बनाए, जो रक्षा उद्योग के क्षेत्र में देखे गए थे। शीर्षक के साथ एक उल्लेखनीय दस्तावेज यूएस-आरओके संबंध और राजनयिक सुरक्षा कोरियाई और अंग्रेजी दोनों में, 6 अप्रैल 2020 को दस्तावेज़ लेखक JangSY के साथ दिखाई दिया।

यूएस-आरओके रिलेशन और डिप्लोमैटिक सिक्योरिटी

दस्तावेज़ को फ़ाइल साझाकरण साइट पर होस्ट किया गया था hxxps: //web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf इनलाइन = 0 और इसमें एक अंतर्निहित लिंक है जो एक दूरस्थ डीओटीएम फाइल का जिक्र करता है जो अन्य फाइल शेयरिंग साइट (od.lk) पर होस्ट की गई है। BASE64 कोडित मान MzBfMjA1Njc0ODhf फ़ाइल साझाकरण मंच od.lk के साथ जुड़े उपयोगकर्ता के लिए एक विशिष्ट पहचानकर्ता है।

शीर्षक के साथ एक संबंधित दस्तावेज की खोज की test.docx संकेत दिया कि प्रतिकूल ने अप्रैल 2020 की शुरुआत में इन दस्तावेजों का परीक्षण शुरू किया। इस दस्तावेज़ में उपरोक्त सामग्री शामिल थी लेकिन इसे निजी आईपी पते पर होस्ट करके दूरस्थ टेम्पलेट फ़ाइल के डाउनलोड का परीक्षण करने के लिए डिज़ाइन किया गया था। दस्तावेज़ जो अपने दूरस्थ टेम्पलेट के लिए pubmaterial.dotm का उपयोग करता है, उसने URL hxxp: //saemaeul.mireene.com/skin/visit/basic/ से भी अनुरोध किया।

यह डोमेन (saemaeul.mireene.com) कई अन्य कोरियाई भाषा के दुर्भावनापूर्ण दस्तावेज़ों से जुड़ा है जो 2020 में राजनीतिक या राजनयिक संबंधों से संबंधित दस्तावेज़ों में भी दिखाई दिए। ऐसा ही एक दस्तावेज (81249fe1b8869241374966335fd912c3e0e64827) 21 का उपयोग कर रहा थासेंट शीर्षक के हिस्से के रूप में नेशनल असेंबली इलेक्शन, संभावित रूप से दक्षिण कोरिया में राजनीति में रुचि रखने वालों का संकेत था। उदाहरण के लिए, एक और दस्तावेज़ (16d421807502a0b2429160e0bd960fa57f37efc4) ने एक व्यक्ति, निर्देशक Jae-chun ली के नाम का उपयोग किया। इसने उसी मेटाडेटा को भी साझा किया।

इन दस्तावेजों के मूल लेखक एम्बेडेड मेटाडेटा जानकारी के अनुसार सेओंग जिन ली के रूप में सूचीबद्ध थे। हालांकि, दस्तावेज़ टेम्पलेट निर्माण के दौरान प्रतिकूल द्वारा उपयोग किए गए अंतिम संशोधन लेखक (रोबोट कार्ल) दुर्भावनापूर्ण दस्तावेजों के इस सेट के लिए अद्वितीय है। इसके अलावा, इन दस्तावेजों में दक्षिण कोरियाई घरेलू नीति से संबंधित राजनीतिक आकर्षण हैं जो बताता है कि इन दस्तावेजों के लक्ष्यों ने भी कोरियाई बात की थी।

2019 के लिए फर्जी नौकरी भर्ती अभियान से संबंध

2019 से भारत के एयरोस्पेस उद्योग का उपयोग करने वाले एक अल्पकालिक अभियान का उपयोग एक लालच के रूप में किया गया था जो 2020 में रक्षा उद्योग का उपयोग करते हुए इस नवीनतम अभियान के समान तरीके प्रतीत होते हैं। 2020 के अभियान से कुछ टीटीपी 2019 के अंत में हुए ऑपरेशन से मेल खाते हैं। 2019 की गतिविधि को उद्योग रिपोर्टिंग द्वारा हिडन कोबरा के लिए भी जिम्मेदार ठहराया गया है।

अक्टूबर २०१ ९ के अभियान ने भी एयरोस्पेस और रक्षा को एक लालच के रूप में इस्तेमाल किया, जैसे कि हमने २०२० के अभियान के साथ देखा, वैसे ही वैध नौकरियों की प्रतियों का उपयोग किया। हालाँकि, इस अभियान को भारतीय रक्षा क्षेत्र में अलग-थलग कर दिया गया था और हमारे ज्ञान से इसका विस्तार नहीं हुआ। इस दस्तावेज़ में भारत की एक प्रमुख एयरोनॉटिक्स कंपनी के लिए एक नौकरी पोस्टिंग भी शामिल थी; यह कंपनी एयरोस्पेस और रक्षा प्रणालियों पर केंद्रित है। यह लक्ष्यीकरण 2020 ऑपरेशन के साथ संरेखित करता है और हमारे विश्लेषण से पता चलता है कि इस अभियान में उपयोग किए जाने वाले DLL को SQL लाइट DLL भी संशोधित किया गया था।

हमारे विश्लेषण के आधार पर, इम्प्लांट के कई वेरिएंट अक्टूबर 2019 के टाइमफ्रेम में बनाए गए थे, जो अतिरिक्त दुर्भावनापूर्ण दस्तावेजों की संभावना को दर्शाता है।

SHA1 संकलन दिनांक फ़ाइल का नाम
f3847f5de342632f8f9e2901f16b7127472493ae 2019/10/12 MFC_dll.DLL
659c854bbdefe692ee8c52761e7a8c7ee35aa56c 2019/10/12 MFC_dll.DLL
35577959f79966b01f520e2f0283969155b8f8d7 2019/10/12 MFC_dll.DLL
975ae81997e6cd8c8a3901308d33c868f23e638f 2019/10/12 MFC_dll.DLL

2019 अभियान के साथ एक उल्लेखनीय अंतर यह है कि मुख्य दुर्भावनापूर्ण दस्तावेज़ में 2020 के अभियान के विपरीत इम्प्लांट पेलोड था, जो माइक्रोसॉफ्ट ऑफिस रिमोट टेम्पलेट इंजेक्शन तकनीक पर निर्भर था। भले ही तकनीक अलग है, हमने दूरस्थ टेम्प्लेट दस्तावेज़ को विघटित करने के लिए समानताएँ देखीं। दस्तावेज़ों में एम्बेडेड VBA कोड के भीतर कुछ प्रमुख समानताएँ हैं। नीचे हम दो आवश्यक कार्यों की 2019 (बाएं) और 2020 (दाएं) की साइड-बाय-साइड तुलना देखते हैं, जो कि वीबीए कोड के भीतर एक दूसरे से मेल खाते हैं, जो पेलोड को अर्क / ड्रॉप / निष्पादित करता है।

का VBA कोड 13c47e19182454efa60890656244ee11c76b4904 (बाएं) और acefc63a2ddbf24157fc102c6a11d6f27cc777d (दाएं)

VBA मैक्रो ने filepath पर थंबनेल.db का पहला पेलोड गिराया, जो 2020 में उपयोग किए जाने वाले फाइलपाथ से मिलता जुलता है।

VB कोड डीएलएल पेलोड, thumbnail.db पर डिक्रिप्शन कुंजी भी पास करता है। नीचे आप उन मानकों को स्वीकार करने वाले थंबनेल.db के भीतर कोड देख सकते हैं।

अनपैक्ड थंबनेल .b bff1d06b9ef381166de55959d73ff93b

क्या दिलचस्प है यह संरचना जिसमें यह जानकारी पार की जा रही है। यह 2019 का नमूना 2020 के अभियान में हमारे द्वारा प्रलेखित के समान है।

एक अन्य समानता की खोज 2019 और 2020 दोनों नमूनों के लिए एक ही स्थान पर मौजूद। Dll प्रत्यारोपण की स्थिति थी; “UserForms1” के अंतर्गत “ओ” फ़ील्ड।

13c47e19182454efa60890656244ee11c76b4904 का “o” फ़ील्ड

सभी 2020 .dotm IoCs में “UserForms1” के अंतर्गत “o” फ़ील्ड के भीतर एक ही .dll इम्प्लांट होता है, हालाँकि, अलग-अलग स्क्रीनशॉट के साथ इस राइट-अप को न करने के लिए, केवल एक नमूना नीचे दर्शाया गया है। यहां आप 2019 और 2020 “ओ” दोनों वर्गों के बीच समानांतर देख सकते हैं।

Ancefc63a2ddbf24157fc102c6a11d6f277777dd का “o” फ़ील्ड

एक और समानता डबल बेस 64 की एन्कोडिंग है, हालांकि प्रतिस्पर्धा की परिकल्पना की भावना में, हम यह नोट करना चाहते थे कि अन्य विरोधी भी इस प्रकार के एन्कोडिंग का उपयोग कर सकते हैं। हालाँकि, जब आप एक भारतीय रक्षा ठेकेदार के समान लालच के साथ इन समानताओं को जोड़ते हैं, तो पेंडुलम दोनों अभियानों के बीच एक संभावित सामान्य लेखक के एक तरफ अधिक झुकना शुरू कर देता है। यह हमलावर वैक्टर में सलाहकारों के शस्त्रागार में एक और तकनीक को जोड़ने का संकेत दे सकता है।

अभियान को गतिशील रखने और पता लगाने में अधिक कठिन रखने के लिए एक विधि दूरस्थ रूप से इम्प्लांट कोड की मेजबानी कर रही है। एक पीड़ित को भेजे गए दस्तावेज़ के भीतर एक प्रत्यारोपण एम्बेड करने का एक नुकसान है; पीड़ित के इनबॉक्स तक पहुंचने से पहले ही इम्प्लांट कोड का पता लगाया जा सकता है। इसे दूरस्थ रूप से होस्ट करना इम्प्लांट को दुर्भावनापूर्ण रूप से वर्गीकृत किए जाने वाले दस्तावेज़ के जोखिम को चलाने के बिना आसानी से नई क्षमताओं के साथ स्विच करने में सक्षम बनाता है।

** – डबल बेस 64 के साथ HAL-MANAGER.doc UserForm1 ने DLL को इनकोड किया

17.DOTM UserForm1 डबल बेस 64 के साथ ****** _ DSS_SE.docx से DLL को इनकोड करता है

एक कोड समानता विश्लेषण के अनुसार, ** – HAL-Manager.doc में एम्बेडेड इम्प्लांट में 2020 के अभियान के प्रत्यारोपण से कुछ समानताएं हैं। हालांकि, हम मानते हैं कि 2019 अभियान में उपयोग किए गए प्रत्यारोपण ** – Hal-Manager.doc के साथ एक और घटक हो सकता है। सबसे पहले, Visual Basic मैक्रो कोड में स्पष्ट समानताएं और एन्कोडिंग के लिए विधि (डबल बेस 64) कुछ कार्यात्मक स्तर समानताएं हैं। DLL फ़ाइल एक तरह से समान मापदंडों के साथ चलाई जाती है।

DLL निष्पादन कोड ** – Hal-Manager.doc प्रत्यारोपण

DLL निष्पादन कोड 2020 प्रत्यारोपण

अभियान प्रसंग: विजय विज्ञान

उजागर किए गए फ़िशिंग ईमेल की कमी के कारण पीड़ित का पता नहीं चल पाता है; हालाँकि, हम टेलीमेट्री की जानकारी और दस्तावेज़ के संदर्भ को लुभाने के विश्लेषण से कुछ जानकारी प्राप्त कर सकते हैं। लालच दस्तावेजों में सक्रिय रक्षा अनुबंधों के संबंध में इंजीनियरिंग और परियोजना प्रबंधन पदों के लिए नौकरी का विवरण था। एक लक्षित भाला फ़िशिंग अभियान में इन दस्तावेज़ों को प्राप्त करने वाले व्यक्तियों को इन लालच दस्तावेजों के भीतर सामग्री में रुचि होने की संभावना थी, जैसा कि हमने पिछले अभियानों में देखा है, साथ ही साथ रक्षा उद्योग के लिए कुछ ज्ञान या संबंध भी हैं।

इन्फ्रास्ट्रक्चर इनसाइट्स

2019 और 2020 के अभियानों के हमारे विश्लेषण से इटली और संयुक्त राज्य अमेरिका में होस्ट किए गए डोमेन सहित, उनके पीछे कमान और नियंत्रण बुनियादी ढांचे में कुछ दिलचस्प अंतर्दृष्टि का पता चलता है। अपनी जांच के दौरान हमने कमांड और कंट्रोल कोड को होस्ट करने के लिए वैध डोमेन का उपयोग करने का एक पैटर्न देखा। यह विरोधी के लिए फायदेमंद है क्योंकि अधिकांश संगठन विश्वसनीय वेबसाइटों को ब्लॉक नहीं करते हैं, जो सुरक्षा नियंत्रण के संभावित बायपास के लिए अनुमति देता है। विरोधी ने वास्तविक अभियान शुरू करने से पहले डोमेन से समझौता करने का प्रयास किया। इसके अलावा, 2019 और 2020 के दोनों नौकरी भर्ती अभियानों ने एक ही कमांड और कंट्रोल सर्वर को Elite4print.com पर होस्ट किया।

डोमेन mireene.com अपने विभिन्न उप-डोमेन के साथ 2020 में हिडन कोबरा द्वारा उपयोग किया गया है। 2020 में डोमेन mireene.com के अंतर्गत आने वाले विभिन्न कार्यों में उपयोग किए जाने वाले डोमेन की पहचान की जाती है:

  • saemaeul.mireene.com
  • orblog.mireene.com
  • sgmedia.mireene.com
  • vnext.mireene.com
  • nhpurumy.mireene.com
  • jmable.mireene.com
  • jmdesign.mireene.com
  • all200.mireene.com

इनमें से कुछ अभियान 2020 के रक्षा उद्योग अभियान के समान तरीकों का उपयोग करते हैं:

  • शीर्षक के साथ दुर्भावनापूर्ण दस्तावेज़ यूरोपीय बाहरी कार्रवाई सेवा [8]
  • कोरियाई भाषा शीर्षक के साथ दस्तावेज़ 비건 미 국무부 부장관 서신दस्तावेज़ (अमेरिकी राज्य सचिव के पत्राचार विभाग 20200302.doc)।

तकनीक, रणनीति और प्रक्रियाएं (TTPS)

इस अभियान के TTP को पिछले डिफेंस कोबरा ऑपरेशन के साथ संरेखित किया गया है, जो 2017 में उसी डिफेंस कॉन्ट्रैक्टर्स का इस्तेमाल करते हैं। 2017 के अभियान में कुछ खास तकनीकों से संबंधित जॉब पोस्टिंग वाले दुर्भावनापूर्ण Microsoft Word दस्तावेज़ों का भी उपयोग किया गया, जैसे कि इंजीनियरिंग और प्रोजेक्ट प्रबंधन पदों के लिए नौकरी का विवरण जिसमें एयरोस्पेस और सैन्य निगरानी कार्यक्रम शामिल हैं। ये नौकरी विवरण वैध हैं और सीधे रक्षा ठेकेदार की वेबसाइट से लिए गए हैं। इस अभियान में उपयोग की जाने वाली शोषण विधि एक दूरस्थ कार्यालय टेम्पलेट इंजेक्शन विधि पर निर्भर करती है, एक तकनीक जिसे हमने हाल ही में राज्य के अभिनेताओं को उपयोग करते देखा है।

However, it is not uncommon to use tools such as EvilClippy to manipulate the behavior of Microsoft Office documents. For example, threat actors can use pre-built kits to manipulate clean documents and embed malicious elements; this saves time and effort. This method will generate a consistent format that can be used throughout campaigns. As a result, we have observed a consistency with how some of the malicious elements are embedded into the documents (i.e. double base64 encoded payload). Further mapping these techniques across the MITRE ATT&CK framework enables us to visualize different techniques the adversary used to exploit their victims.

MITRE ATT&CK mapping for malicious documents

These Microsoft Office templates are hosted on a command and control server and the downloaded link is embedded in the first stage malicious document.

The job postings from these lure documents are positions for work with specific US defense programs and groups:

  • F-22 Fighter Jet Program
  • Defense, Space and Security (DSS)
  • Photovoltaics for space solar cells
  • Aeronautics Integrated Fighter Group
  • Military aircraft modernization programs

Like previous operations, the adversary is using these lures to target individuals, likely posing as a recruiter or someone involved in recruitment. Some of the job postings we have observed:

  • Senior Design Engineer
  • System Engineer

Professional networks such as LinkedIn could be a place used to deliver these types of job descriptions.

Defensive Architecture Recommendations

Defeating the tactics, techniques and procedures utilized in this campaign requires a defense in depth security architecture that can prevent or detect the attack in the early stages. The key controls in this case would include the following:

  1. Threat Intelligence Research and Response Program। Its critical to keep up with the latest Adversary Campaigns targeting your specific vertical. A robust threat response process can then ensure that controls are adaptable to the TTPs and, in this case, create heightened awareness
  2. Security Awareness and Readiness Program. The attackers leveraged spear-phishing with well-crafted lures that would be very difficult to detect initially by protective technology. Well-trained and ready users, informed with the latest threat intelligence on adversary activity, are the first line of defense.
  3. End User Device Security. Adaptable endpoint security is critical to stopping this type of attack early, especially for users working from home and not behind the enterprise web proxy or other layered defensive capability. Stopping or detecting the first two stages of infection requires an endpoint security capability of identifying file-less malware, particularly malicious Office documents and persistence techniques that leverage start-up folder modification.
  4. Web Proxy. A secure web gateway is an essential part of enterprise security architecture and, in this scenario, can restrict access to malicious web sites and block access to the command and control sites.
  5. Sec Ops – Endpoint Detection and Response (EDR) can be used to detect techniques most likely in stages 1, 2 or 4. Additionally, EDR can be used to search for the initial documents and other indicators provided through threat analysis.

For further information on how McAfee Endpoint Protection and EDR can prevent or detect some of the techniques used in this campaign, especially use of malicious Office documents, please refer to these previous blogs and webinar:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-use-mcafee-atp-to-protect-against-emotet-lemonduck-and-powerminer/
https://www.mcafee.com/enterprise/en-us/forms/gated-form.html?docID=video-6157567326001

समझौता के संकेतक

SHA256 File Name
322aa22163954ff3ff017014e357b756942a2a762f1c55455c83fd594e844fdd ******_DSS_SE.docx

a3eca35d14b0e020444186a5faaba5997994a47af08580521f808b1bb83d6063 ******_PMS.docx

d1e2a9367338d185ef477acc4d91ad45f5e6a7d11936c3eb4be463ae0b119185 ***_JD_2020.docx
ecbe46ca324096fd5e35729f39fa3bda9226bbefd6286d53e61b1be56a36de5b ***_2020_JD_SDE.docx
40fbac7a241bea412734134394ca81c0090698cf0689f2b67c54aa66b7e04670 83878C91171338902E0FE0FB97A8C47A.dotm
6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1 ******_AERO_GS.docx
df5536c254a5d9ac626dbff7525de8301729807433d377db807ce3d8bc7c3ffe **_IFG_536R.docx
1b0c82e71a53300c969da61b085c8ce623202722cf3fa2d79160dac16642303f 43.dotm
d7ef8935437d61c975feb2bd826d018373df099047c33ad7305585774a272625 17.dotm
49724ee7a6baf421ac5a2a3c93d32e796e2a33d7d75bbfc02239fc9f4e3a41e0 Senior_Design_Engineer.docx

66e5371c3da7dc9a80fb4c0fabfa23a30d82650c434eec86a95b6e239eccab88 61.dotm
7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971 ******_spectrolab.docx
43b6b0af744124da5147aba81a98bc7188718d5d205acf929affab016407d592 ***_ECS_EPM.docx
70f66e3131cfbda4d2b82ce9325fed79e1b3c7186bdbb5478f8cbd49b965a120 ******_dds_log.jpg
adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1 21 국회의원 선거 관련.docx
dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02 외교문서 관련(이재춘국장).docx
URLs
hxxps://www.anca-aste.it/uploads/form/02E319AF73A33547343B71D5CB1064BC.dotm
hxxp://www.elite4print.com/admin/order/batchPdfs.asp
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/43.dotm
hxxps://www.astedams.it/uploads/template/17.dotm
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/1.dotm
hxxps://www.anca-aste.it/uploads/form/******_jd_t034519.jpg
hxxp://saemaeul.mireene.com/skin/board/basic/bin
hxxp://saemaeul.mireene.com/skin/visit/basic/log
hxxps://web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf?inline=0
hxxps://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
hxxps://www.ne-ba.org/files/gallery/images/83878C91171338902E0FE0FB97A8C47A.dotm

निष्कर्ष

In summary, ATR has been tracking a targeted campaign focusing on the aerospace and defense industries using false job descriptions. This campaign looks very similar, based on shared TTPs, with a campaign that occurred in 2017 that also targeted some of the same industry. This campaign began early April 2020 with the latest activity in mid-June. The campaign’s objective is to collect information from individuals connected to the industries in the job descriptions.

Additionally, our forensic research into the malicious documents show they were created by the same adversary, using Korean and English language systems. Further, discovery of legitimate template files used to build these documents also sheds light on some of the initial research put into the development of this campaign. While McAfee ATR has observed these techniques before, in previous campaigns in 2017 and 2019 using the same TTPs, we can conclude there has been an increase in activity in 2020.

McAfee detects these threats as

  • Trojan-FRVP!2373982CDABA
  • Generic Dropper.aou
  • Trojan-FSGY!3C6009D4D7B2
  • Trojan-FRVP!CEE70135CBB1
  • W97M/Downloader.cxu
  • Trojan-FRVP!63178C414AF9
  • Exploit-cve2017-0199.ch
  • Trojan-FRVP!AF83AD63D2E3
  • RDN/Generic Downloader.x
  • W97M/Downloader.bjp
  • W97M/MacroLess.y

NSP customers will have new signatures added to the “HTTP: Microsoft Office OLE Arbitrary Code Execution Vulnerability (CVE-2017-0199)” attack name. The updated attack is part of our latest NSP sigset release: sigset 10.8.11.9 released on 28वें July 2020.The KB details can be found here: KB55446

[1] https://www.bbc.co.uk/news/business-53026175

[2] https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

[3] https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

[4] https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

5 https://www.us-cert.gov/northkorea

[5] https://www.virustotal.com/gui/file/4a08c391f91cc72de7a78b5fd5e7f74adfecd77075e191685311fa598e07d806/detection – Gamaredon Group

[6] https://docs.microsoft.com/en-us/openspecs/office_standards/ms-docx/550efe71-4f40-4438-ac89-23ec1c1d2182

[7] https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

[8] https://otx.alienvault.com/pulse/5e8619b52e480b485e58259a

क्या आपका स्मार्ट होम हैक हमले के लिए कमजोर है?

क्या आपका स्मार्ट होम हैक हमले के लिए कमजोर है?

आपका स्मार्ट होम डिवाइस एक कंप्यूटर नेटवर्क बनाता है जो आपके अविश्वसनीय रूप से सुविधाजनक गेराज दरवाजा खोलने, उपकरण प्रबंधक, प्रकाश डिजाइनर, इन-हाउस डीजे और यहां तक ​​कि कई अन्य चयनित कर्तव्यों के बीच सुरक्षा प्रणाली पर्यवेक्षक के रूप में कार्य कर सकता है। फिर भी साइबर सुरक्षा विशेषज्ञ अक्सर सावधानी बरतते हैं कि आपके स्मार्ट उपकरणों के माध्यम से प्रदान किया गया यह अति सुविधाजनक होम नेटवर्क आपके घर तक पहुँच प्राप्त करने वाले दुर्भावनापूर्ण हैकर्स और आपकी अधिकांश निजी सूचनाओं की चपेट में आ सकता है। इसके अलावा, आपके स्मार्ट उपकरणों की हैकिंग को आपकी सबसे महत्वपूर्ण जानकारी के लिए एक पिछले दरवाजे के रूप में मानता है।

तो जबकि यह निश्चित रूप से एक दुर्भाग्यपूर्ण वास्तविक संभावना है, इस लेख में कुछ युक्तियों का उपयोग करने के लिए समय लेने से हैकर्स को शुरू करने से पहले और अपने स्मार्ट होम उपकरणों को सुरक्षित और सुरक्षित रखने के लिए एक लंबा रास्ता तय किया जा सकता है।

क्या स्मार्ट घरेलू उपकरणों को हैक किया जा सकता है?

संक्षिप्त उत्तर है, दुर्भाग्य से, हाँ। स्मार्ट होम डिवाइसेस की व्यापक लोकप्रियता के साथ-साथ, हैकर्स में हाल ही की प्रवृत्ति आईओटी तकनीक का उपयोग करके व्यवसायों पर जासूसी करने, हमले शुरू करने और अपने होम नेटवर्क पर मैलवेयर पहुंचाने के लिए एक आधुनिक वास्तविकता है जो उपयोगकर्ताओं को अपना स्मार्ट सेट करते समय पूरी तरह से जागरूक होने की आवश्यकता है घर सिस्टम।

अगर मेरे स्मार्ट डिवाइस हैक हो जाते हैं तो मैं क्या उम्मीद कर सकता हूं?

फिजिकल होम ब्रेक-इन के साथ, सतर्क पड़ोसी पुलिस को नोटिस और कॉल कर सकते हैं, लेकिन एक हैकर को गुप्त रूप से काम करने का फायदा होता है। आपकी निजी जानकारी तक पहुंच के साथ, हैवी हैकर्स संवेदनशील जानकारी की चोरी करने में सक्षम हो सकते हैं, या – सबसे खराब स्थिति में – पहचान की चोरी के कारण जो वित्तीय गिरावट का कारण बन सकता है। जब आप अपने परिवार के लिए इलेक्ट्रॉनिक मनोरंजन, शिक्षा, संचार और सुविधा प्रदान करने वाले स्मार्ट खिलौनों और उपकरणों की सरणी पर विचार करते हैं, तो आप कई कमजोरियों का भी पता लगा सकते हैं जो हैकर्स आपके घर में ब्रेक-इन का फायदा उठा सकते हैं।

घर के सबसे बड़े खतरे कहां मौजूद हैं?

उनके 24/7 संभावित पहुंच के कारण, स्मार्ट डिवाइस जो आप लगातार चलाते हैं-थर्मोस्टेट, प्रकाश व्यवस्था, सुरक्षा, एट अल। – उन लोगों की तुलना में अधिक जोखिम उठा सकते हैं जो आप केवल अवसर पर उपयोग करते हैं। आपके घर के कार्यालय के कंप्यूटर, या राउटर पर हैक के हमले की संभावना सबसे अधिक असुरक्षित है, लेकिन आपके रहने और बेडरूम में किसी भी प्रकार के स्मार्ट गैजेट शामिल हो सकते हैं जो एक तेज हैकर भी शोषण करने का प्रयास कर सकते हैं। आपका स्मार्ट टीवी, टैबलेट, सेल फोन, अलार्म क्लॉक, घड़ियां, स्लीप मॉनिटर और स्ट्रीमिंग गैजेट्स भी आपके बेडरूम को हैकर्स के लिए एक अपेक्षाकृत खुला अवसर बना सकते हैं।

आपके लिविंग रूम और किचन- स्मार्ट टीवी, टैबलेट्स, रेफ्रीजिरेटर, कॉफ़ी मशीन, ओवन इत्यादि, दोनों ही ऐसे कनेक्शन प्रदान करते हैं, जो साइबर स्पेस में आने पर नज़रअंदाज़ करना आसान होता है। और संभावित खतरों का आकलन करते समय, अपने बच्चों के खेल के मैदान को अपने स्मार्ट खिलौने, टैबलेट या बेबी मॉनिटर के साथ नज़रअंदाज़ न करें। तेज हो और विचार करें कि कोई भी स्मार्ट डिवाइस एक उद्घाटन की पेशकश कर सकता है।

क्या हैकिंग एक गंभीर खतरा है?

संक्षिप्त जवाब? ऐसा होता है। संभावित जोखिम को उचित रूप से आपका ध्यान आकर्षित करना चाहिए जब आप समझते हैं कि आपके सभी स्मार्ट उपकरणों का आपके स्मार्टफोन या इंटरनेट से भी सीधा संबंध है। इस स्थिति के बारे में जागरूकता को आपकी समझ को बिल्कुल तेज करना चाहिए कि आपके स्मार्ट उपकरणों को जोड़ने वाले इंटरकनेक्टेड नेटवर्क में हैकिंग के प्रयासों में कितना प्रयास होता है।

क्या कोई पासवर्ड मेरे स्मार्ट उपकरणों को हैक होने से बचाता है?

साइबर स्पेस एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) हैकर्स के घुसपैठ और लगातार प्रयासों से आपकी पहचान और संपत्ति की रक्षा करने के सर्वोत्तम तरीकों पर विशिष्ट दिशानिर्देश प्रदान करती है। दिशानिर्देश उन उपकरणों पर लागू होते हैं जो एक-दूसरे से और इंटरनेट से जुड़ते हैं, कड़े मार्गदर्शन प्रदान करते हैं।

एक समझदार कंप्यूटर उपयोगकर्ता के रूप में, आप शायद जानते हैं कि प्रत्येक डिवाइस में फ़ैक्टरी डिफ़ॉल्ट पासवर्ड होता है। हालाँकि, आप जो नहीं जानते हैं वह यह है कि आपको इस डिफ़ॉल्ट पासवर्ड को बदलना होगा। हमेशा डिफ़ॉल्ट पासवर्ड बदलने के लिए समय निकालें, और लंबे, अद्वितीय पासवर्ड बनाने के लिए सुनिश्चित करें जो उन्हें क्रैक करने के किसी भी प्रयास को हरा सकते हैं।

अपने स्मार्ट उपकरणों को सुरक्षित करने के लिए मैं कुछ व्यावहारिक बातें क्या कर सकता हूं?

याद रखें कि जबकि यह आपके स्मार्ट उपकरणों के लिए समर्पित एक दूसरा वाई-फाई नेटवर्क बनाने के लिए कुछ अतिरिक्त प्रयास कर सकता है, यह प्रयास महत्वपूर्ण लाभ प्रदान करेगा। आप किसी भी नेटवर्क घुसपैठ को एक अलग नेटवर्क तक सीमित रखने में मदद कर सकते हैं, जिसकी आपके बैंक, या निजी, संवेदनशील वित्तीय जानकारी तक पहुंच नहीं है। और ये सरल कदम भी आपके स्मार्ट होम सिस्टम की सुरक्षा में महत्वपूर्ण अंतर ला सकते हैं:

  • पूरी तरह से डिवाइस ब्रांड पर शोध करें और फिर एक ऐसा चुनें, जिसमें एक सिद्ध सुरक्षा ट्रैक रिकॉर्ड हो।
  • उत्पाद सॉफ़्टवेयर को अद्यतित रखें। यदि संभव हो तो हमेशा अपने डिवाइस को ऑटो-अपडेट में सेट करें ताकि आप हमेशा नवीनतम, सबसे सुरक्षित सॉफ़्टवेयर चला सकें।
  • अधिकांश हर डिवाइस फ़ैक्टरी डिफ़ॉल्ट पासवर्ड के साथ आएगा। अंदर जाने के लिए समय निकालना और प्रत्येक डिवाइस के लिए एक लंबा और अनोखा पासवर्ड बनाना याद रखें।
  • उपकरणों के साथ आने वाली कंबल अनुमतियों के बजाय, उन गोपनीयता सेटिंग्स को चुनें, जिनके साथ आप सहज हैं।
  • उपयोग में न आने पर किसी भी / हर स्मार्ट गैजेट को अनप्लग करें।
  • अपने राउटर के लिए क्लाउड-इंटीग्रेटेड एंटीवायरस सॉफ़्टवेयर स्थापित करें जो आपके घर के प्रत्येक इलेक्ट्रॉनिक उपकरण की सुरक्षा करता है।

सुरक्षित रहें

जब आप अपने घर की सुरक्षा प्रोफ़ाइल बनाने में सक्रिय रूप से भाग लेते हैं, तो आप स्वामित्व लेते हैं जो ब्याज, ज्ञान और अंततः सुरक्षा उत्पन्न करता है। सूचित रहकर एक कदम आगे रहें, और आपका स्मार्ट घर एक स्मार्ट विकल्प बन सकता है!