Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Народные сказки с точки зрения ИБ | Блог Касперского
Народные сказки: троянская лиса, колобок для DoS-атак и три медведя на страже информационной безопасности.
Мы уже давно установили, что известные сказочники Шарль Перро, братья Гримм и Ганс Христиан Андерсен на самом деле были популяризаторами темы информационной безопасности. Но откуда они брали истории, на базе которых писали свои отчеты об инцидентах? Считается, что в основе большинства авторских сказок лежат народные. Мы решили копнуть глубже и выяснить, нет ли среди народных сказок, которые не успели пересказать именитые авторы, других описаний так называемых «кейсов».
Как обычно, реальность превзошла наши ожидания — практически все сказки иносказательно описывают те или иные киберинциденты! Причем, несмотря на внешнюю незамысловатость каждой из сказок, на деле в них содержится на удивление значительный объем информации.
Лиса и волк, или Битый небитого везет
Сказка про лису, которая всячески обманывает волка и каких-то селян — это просто сборник классических кибератак. Дошедшая до наших времен версия объединяет три инцидента, которые, по всей видимости, когда-то были отдельными кейсами. Давайте разберем их по порядку:
- Троянский лис. Начинается все с того, что некий мужик везет на телеге свежевыловленную рыбу. Под телегой здесь явно подразумевается не очень современный компьютер. А явная аллюзия на Михайло Ломоносова, по всей видимости, должна намекнуть, что это служебная машина для научной работы. На телегу он скачивает троянского лиса в надежде порадовать свою супругу нарядным скином (возможно, речь идет о дистрибутиве Firefox). Но троянский лис активизируется и выкачивает базу рыбных данных куда-то вовне.
- Фишинговая прорубь. Лиса рекламирует свежедобытую рыбу среди лесного зверья, что вызывает определенный интерес у волка. Пользуясь этим, лиса отправляет ему ссылку на фишинговую прорубь. Перейдя по ссылке в надежде на бесплатную рыбу, волк крепко вмерзает в развод, в итоге теряет хвост, а вдобавок к этому подвергается буллингу ведрами и коромыслами со стороны крестьянок. Точно неизвестно, на какую выгоду тут рассчитывала лиса — возможно, это был чистой воды троллинг (на это намекают и анонимные комментарии «Ярче, ярче в небе звезды, мерзни, мерзни волчий хвост», оставленные в близлежащих кустах).
- Манипуляция сочувствием. Лиса при помощи украденного теста имитирует черепно-мозговую травму и, играя на чувстве жалости волка, вынуждает его заниматься собственной транспортировкой. То есть проводит успешную атаку, используя социальную инженерию.
Колобок
Мы подозреваем, что изначально сказка называлась все-таки «Колобот», но за века после многочисленных пересказов последняя буква морфировала в «к». Это история о том, как бабка по заказу деда создала некоего бота и положила остывать на окошко — читай, загрузила на уязвимый Windows-сервер, — откуда тот благополучно утек и начал гулять по Сети.
Функции бота становятся очевидны после первого же диалога с зайцем — он служит для DoS-атак на лесных жителей. Колобот вываливает на не ожидавшего подвоха зверя потоки абсолютно ненужной информации и, пользуясь замешательством животного, отправляется по следующему адресу. Вероятно, тут также содержится намек на функциональность червя.
Интересно, что в потоке бессмысленных данных бот оставляет так называемые «хлебные крошки» — перечисляет адреса, которые атаковал прежде (от бабушки ушел, от дедушки ушел, от зайца ушел, от волка ушел). «Боевому» боту это было бы ни к чему — возможно, это какая-то отладочная информация, не убранная разработчиками. Иными словами, дополнительное подтверждение того, что код утек до релиза.
Возможно, если бы не утечка, бабка и дед создали бы целый ботнет таких колоботов и использовали их для распределенной атаки (DDoS) в целях наживы. В начале сказки упоминается отсутствие у авторов бота продуктов питания — видимо, таким образом сказители намекают на мотивацию их преступной деятельности.
К счастью, в конце концов бот натыкается на лису с включенной защитой от DoS-атак. Пока он раз за разом повторяет свой поток информации, система отфильтровывает шум, а операторы лисы вычисляют точный адрес бота и успешно ликвидируют угрозу.
Маша и три медведя
Эта сказка в подробностях рассказывает о расследовании киберинцидента. Начинается все с того, что в инфраструктуру, охраняемую тремя медведями, проникает зловред «Маша» и начинает там хозяйничать. К счастью, защитники вовремя замечают неладное и приступают к тщательному изучению инцидента. Сначала они замечают следы манипуляций со стульями и то, что самый маленький стул был и вовсе взломан, — налицо все признаки проникновения в систему.
Затем становится очевидным аномальный расход каши. Некоторые исследователи считают, что под «кашей» следует понимать кэш процессора, который «Маша» в каких-то своих хакерских целях скачала. Но данная версия не выдерживает никакой критики: в этом случае медведи вряд ли обнаружили бы недостачу. Скорее всего, тут не стоит искать созвучия, а под кашей, по всей видимости, подразумевается электроэнергия, которую «Маша» расходовала в целях майнинга.
Наконец, они вычисляют место, где может прятаться вредоносный код. Осмотрев две «кровати», на которых в качестве отвлекающего маневра «Маша» оставила следы пребывания, они наконец-то находят код зловреда. К сожалению, он успевает самоудалиться, и медведям не удается тщательно изучить его внутренности. Но по крайней мере угроза успешно ликвидирована.
Кстати, нигде не говорится, что медведи были не зелеными — возможно, эта сказка предвосхищает появление наших экспертов, занимающихся мониторингом и реагированием на киберинциденты.
Источник: Лаборатория Касперского
11.12.2021