По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В современной среде информационной безопасности преобладают криптоминирующие вредоносные программы, также известные как криптоджеккинг. В 2019 году 38% всех компаний в мире пострадали от такого вредоносного ПО.
В этой статье мы подробно рассмотрим типологию крипто-вредоносных программ и обсудим пять самых крупных крипто-вредоносных атак. Кроме того, дадим несколько кратких рекомендаций о том, как защититься от таких программ.
Типология крипто-вредоносных программ
Крипто-вредоносные программы можно разделить на три категории:
вредоносные ПО для крипто-майнинга;
крипто-вымогатели;
крипто-кражи.
Вредоносные ПО для крипто-майнинга
Вредоносное ПО для крипто-майнинга — это вредоносное ПО, которое заражает компьютер, чтобы использовать его вычислительную мощность для того, чтобы майнить криптовалюту без авторизации.
После заражения компьютера этот тип вредоносных программ может оставаться незамеченным в течение долгого времени, поскольку он предназначен для работы без привлечения внимания.
Одним из признаков, указывающих на заражение вредоносным ПО для шифрования, является медленная работа зараженного компьютера. В некоторых крайних случаях вредоносное ПО может полностью блокировать работу зараженного компьютера из-за полного истощения ресурсов этого ПК.
Вредоносное ПО для крипто-майнинга может затронуть не только настольные компьютеры, но и ноутбуки, мобильные телефоны и устройства Интернета вещей (IoT).
Чтобы проиллюстрировать работу подобного вредоносного ПО, мы кратко обсудим один конкретный тип такого вредоносного ПО, а именно WannaMine. Он использует зараженный компьютер, чтобы генерировать криптовалюту Monero. WannaMine использует хакерский инструмент EternalBlue.
Первоначально его разработалоАгентство национальной безопасности США (NSA), но позже послужил основой для различных вредоносных приложений, включая печально известный WannaCry. Криптовалюта, генерируемая через WannaMine, добавляется в цифровой кошелек мошенников.
По оценкам, более 500 миллионов пользователей Интернета добывают криптовалюты на своих вычислительных устройствах, не зная об этом.
Крипто -вымогатели
Крипто-вымогатель — это вредоносная программа для шифрования файлов, которые хранятся на зараженном компьютере, и просит пользователей этого компьютера заплатить выкуп за доступ к зашифрованным файлам.
Выкуп, как правило, варьируется от 300 до 500 долларов США и должен быть оплачен в биткойнах или другой криптовалюте. Крипто-вымогатели могут нанести существенный урон мировой экономике. Например, предполагаемые убытки от крипто-вымогателей WannaCry составляют 4 миллиарда долларов США.
Около 230 000 компьютеров по всему миру заразились этой программой, включая компьютеры больниц и телекоммуникационных компаний.
За два месяца до появления WannaCry Microsoft выпустила исправление безопасности, которое защищало пользователей Microsoft Windows от WannaCry и других вредоносных программ, основанных на эксплойте EternalBlue. Однако, поскольку многие люди и организации не обновили свои операционные системы своевременно, WannaCry удалось заразить большое количество компьютеров.
Как только WannaCry заражает компьютер, он шифрует файлы, хранящиеся на этом компьютере, и требует выкуп: от 300 до 600 долларов.
Однако большинство жертв, которые заплатили запрошенный выкуп, не расшифровали свои файлы. Некоторые исследователи утверждают, что никому не удалось расшифровать файлы, которые зашифровала WannaCry.
Крипто-кража
Крипто-кража направлена на тайную кражу криптовалюты у пользователей зараженных компьютеров.
Например, хакерская группа Lazarus из Северной Кореи использовала приложение для обмена сообщениями Telegram для распространения вредоносных программ, позволяющих злоумышленникам красть криптовалюты.
Такое вредоносное ПО часто разрабатывают хакеры из Северной Кореи, поскольку криптовалюты позволяют северокорейцам уклоняться от экономических санкций, введенных рядом стран и международных организаций.
Согласно отчету ООН от 2019 года, Северная Корея получила более 2 миллиардов долларов США в виде криптовалюты путем взлома криптовалютных бирж и других организаций.
Топ 5 крипто-вредоносных атак:
1. Retadup
Retadup, ПО для крипто-майнинга, должно быть первым в списке, потому что ему удалось заразить и создать ботнет из 850 000 компьютеров.
Ботнет, который считался одним из крупнейших в мире, обнаружила и уничтожила французская полиция.
2. Smominru
Программное обеспечение для крипто-вымогательства Smominru находится на втором месте, поскольку оно затронуло более 500 000 машин.
3. CryptoLocker
Вредоносная программа CryptoLocker получает бронзовую медаль, поскольку она также затронула более 500 000 компьютеров. Однако ущерб, причиненный им, пока неясен.
4. Bayrob Group
Вредоносное ПО для крипто-майнинга Bayrob Group, затронувшее более 400 000 компьютеров, занимает четвертое место. Стоит отметить, что два члена преступной группы были экстрадированы из Румынии в США и осуждены за киберпреступность и мошенничество.
5. WannaCry
Пятое место занимает WannaCry, крипто-вымогатель, который более подробно обсуждался выше. Заражено 230 000 компьютеров.
Как защититься от крипто-вредоносных программ
Частные лица и организации, которые хотят защитить себя от крипто-вредоносных программ, должны повышать свою осведомленность в области информационной безопасности посредством образования и обучения. Это связано с тем, что крипто-вредоносные программы обычно распространяются, заманивая компьютерных пользователей открывать вредоносные вложения или нажимать на мошеннические веб-сайты.
В дополнение к повышению осведомленности о крипто-вредоносных программах, необходимо регулярно устанавливать обновления программного обеспечения и исправления, чтобы предотвратить использование хакерами таких уязвимостей, как EternalBlue.
И последнее, но не менее важное: крайне важно установить надежное решение для защиты от вредоносного ПО, которое выявляет и удаляет его безопасно, быстро и эффективно.
Для захвата трафика можно использовать маршрутизаторы Cisco, при помощи утилиты Cisco Embedded Packet Capture, которая доступна, начиная с версии IOS 12.4.20T. В этой статье мы расскажем, как настроить EPC для захвата пакетов на роутере, сохранять их на flash памяти или экспортировать на ftp/tftp сервер для будущего анализа, при помощи анализатора пакетов, например, такого как Wireshark.
Давайте рассмотрим некоторые из основных функций, которые предлагает нам Embedded Packet Capture:
Экспорт пакетов в формате PCAP, обеспечивающий анализ с помощью внешних инструментов
Возможность задать различные параметры буфера захвата
Отображение буфера захвата
Захват IPv4 и IPv6 пакетов в пути Cisco Express Forwarding
Прежде чем начать конфигурацию Cisco EPC необходимо разобраться с двумя терминами, которые будут использоваться в процессе – Capture Buffer(буфер захвата) и Capture Point (точка захвата)
Capture buffer – это зона в памяти для хранения пакетных данных. Существует два типа буферов захвата Linear (линейный) и Circular (кольцевой):
Linear Capture Buffer – когда буфер захвата заполнен, он перестает захватывать данные
Circular Capture Buffer – когда буфер заполнен, он продолжает захватывать данные, перезаписывая старые данные
Capture Point – это точка транзита трафика, в которой фиксируется пакет. Тут определяется следующее:
IPv4 или IPv6
CEF (Cisco Express Forwarding) или Process-Switched
Интерфейс (например Fast Ethernet 0/0, Gigabit Ethernet 1/0)
Направление трафика: входящий (in), исходящий (out) или оба
Настройка Cisco Embedded Packet Capture
Рассмотрим настройку на примере нашей схемы, где мы хотим захватить входящие и исходящие пакеты на интерфейсе FastEthernet 0/0 от ПК с адресом 192.168.1.5 до веб-сервера wiki.merionet.ru с адресом 212.193.249.136
Первым делом мы создадим буфер, который будет хранить захваченные пакеты. Для этого используем команду monitor capture buffer [имя] size[размер] [тип] . Создадим буфер merionet_cap, размером 1024 килобайта (1 мегабайт, стандартный размер) и сделаем его линейным.
Router#monitor capture buffer merionet_cap size 1024 linear
Далее мы можем настроить захват определенного трафика. В нашем случае нужно захватить трафик между 192.168.1.5 и 212.193.249.136. Это достигается при помощи списков контроля доступа ACL. Мы можем использовать стандартные или расширенные списки доступа в зависимости от требуемой детализации. Если список доступа не настроен, то захвачен будет весь трафик.
Router(config)#ip access-list extended web-traffic
Router(config-ext-nacl)#permit ip host 192.168.1.5 host 212.193.249.136
Router(config-ext-nacl)#permit ip host 212.192.249.136 host 192.168.1.5
Наш список доступа включает трафик, исходящий от обоих хостов, потому что мы хотим захватить двунаправленный трафик. Если бы мы включили только один оператор ACL, тогда был бы зафиксирован только односторонний трафик. Теперь свяжем наш буфер с access-list’ом, при помощи команды monitor capture buffer [название_буфера] filter access-list [название_ACL]
Router#monitor capture buffer merionet_cap filter access-list web-traffic
Затем следующем шагом мы определяем, какой интерфейс будет точкой захвата. В нашем случае это FastEthernet 0/0, и мы будем захватывать как входящие, так и исходящие пакеты. Во время этой фазы конфигурации нам нужно предоставить имя для точки захвата.
Также очень важно ввести команду ip cef для обеспечения минимального влияния на процессор маршрутизатора, при помощи Cisco Express Forwarding. Если ip cef не включен, то появится сообщение IPv4 CEF is not enabled.
Используем команду monitor capture point ip cef [имя_точки] [интерфейс] [направление] .
Router#monitor capture point ip cef MNpoint FastEthernet0/0 both
Теперь мы связываем сконфигурированную точку захвата с буфером захвата командой monitor capture point associate [название_точки][название_буфера] . На этом этапе мы готовы начать сбор пакетов.
Router#monitor capture point associate MNpoint merionet_cap
Чтобы начать сбор пакетов используем команду monitor capture point start [название_интерфейса] .
Router# monitor capture point start MNpoint
Чтобы остановить процесс захвата используется команда monitor capture point stop [название_интерфейса] .
Router# monitor capture point stop MNpoint
Полезные команды проверки:
show monitor capture buffer – показывает состояние буфера захвата
show monitor capture point – показывает состояние точки захвата
show monitor capture buffer [название_буфера] – показывает информацию о захваченных пакетах
show monitor capture buffer [название_буфера] dump – показывает содержание буфера
Экспорт данных
В большинстве случаев захваченные данные необходимо будет экспортировать в сетевой анализатор трафика (например, WireShark) для дополнительного анализа в удобном для пользователя интерфейсе. Захваченный буфер можно экспортировать в несколько местоположений, включая: flash: (на маршрутизаторе), ftp, tftp, http, https, scp и другие.
Для экспорта буфера используется команда monitor capture buffer[имя_буфера] export [адрес] .
Router#monitor capture buffer merionet_cap export tftp://192.168.1.10/capture.pcap
После этого файл capture.pcap появится на нашем TFTP сервере, и мы можем открыть его в сетевом анализаторе.
Мы уже писали статьи о том, как зарегистрировать транки от таких провайдеров VoIP услуг как : МТТ, Телфин, SIPNET и другие. А сегодня расскажем как подключиться к SIP-сервису от оператора МегаФон - МультиФон на примере FreePBX 14.
Почему то, именно с данным сервисом у многих возникают проблемы. Поэтому, дабы помочь нашим дорогим читателям и снять нагрузку с технической поддержки МегаФона, мы решили написать эту статью :)
Предыстория
МультиФон – это SIP-сервис от оператора мобильной связи МегаФон, с которым они вышли на рынок в 2010 году. Идея проста – связать сервисы сотовой связи оператора и VoIP. То есть организовать возможность приёма и совершения вызовов не только через сеть GSM, но и через Интернет. При этом средства списываются с мобильного номера. Помимо этого можно также совершать видео-звонки, а также отправлять SMS и MMS сообщения.
Подключение и настройка
Подключить МультиФон может любой обладатель мегафоновской SIM-карты. Для этого достаточно просто набрать комбинацию *137# и выбрать опцию “Подключить”. Через какое-то время Вам прилетит SMS с именем пользователя и паролем. Имя пользователя будет совпадать с номером мобильного, закреплённого за Вашей SIM-картой.
После этого, логинимся во FreePBX и начинаем настраивать транк. Переходим в раздел Connectivity → Trunks. Далее нажимаем Add Trunk → Add Chan_sip trunk.
Перед нами откроются параметры добавления нового транка.
На вкладке General указываем желаемое название транка (Trunk Name) и Outbound CallerID - номер, который увидят абоненты, вызываемые через этот транк.
Далее переходим сразу на вкладку sip Settings и настраиваем вкладку Outgoing, т.е параметры, которые мы будем отправлять на сервера МультиФона.
В поле Trunk Name повторно введите название транка. А в поле PEER Details необходимо указать следующее:
username=79261234567
type=peer
secret=<SUPER_SECURE_PASS.>
host=sbc.megafon.ru
fromuser=79261234567
fromdomain=multifon.ru
port=5060
qualify=yes
insecure=invite,port
canreinvite=no
Где:
username- имя пользователя, которые пришло Вам в SMS, которое совпадает с номером телефона;
type - тип линии, которая будет обрабатывать входящие и исходящие вызовы, проходящие через Asterisk. Авторизация при входящих будет осуществляться по средствам сопоставления IP и порта;
secret - пароль, который Вы получили по SMS;
host - адрес сервера регистрации;
fromuser - имя пользователя в поле FROM заголовка SIP;
fromdomain - адрес домена для поля FROM заголовка SIP;
port - порт, на котором сервер регистрации слушает протокол SIP;
qualify - параметр, отвечающий за проверку доступности хоста;
insecure - отвечает за проверку параметров при аутентификации. port, invite – означает, что аутентификация будет осуществляться без проверки номера порта и входящих сообщений INVITE;
canreinvite - параметр, запрещающий повторную отправку сообщений INVITE, когда соединение уже установлено;
Далее переходим на вкладку Incoming и прописываем такую строчку в поле Register String:
79261234567@multifon.ru:<SUPER_SECURE_PASS.>:79261234567@193.201.229.35:5060/79261234567
После чего нажимаем Submit и Apply Config.
Далее необходимо перейти в модуль Settings → Asterisk SIP Settings → Chan SIP Settings и найди параметр Enable SRV Lookup, его нужно поставить в Yes
После всех выполненных действий, Вы должны будете увидеть в Registries две регистрации – одну на multifon.ru, а другую на прокси сервере – sbc.megafon.ru.
Можно также убедиться в том, что транк успешно зарегистрирован на вкладке Peers:
Кстати, интересная особенность, которую можно увидеть с помощью утилиты sngrep, в том, что МультиФон использует отдельные сервера для сигнализации и RTP-трафика. А также, отправляет пакеты 407 Proxy Authentication Required, сообщающие о том, что для совершения вызова необходима аутентификация на прокси сервере. Вот посмотрите: