Стеганография. История тайнописи - [46]
Хакеры рассылают «TeslaCrypt» с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий «JavaScript», обходящий большинство антивирусных программ и загружающий на компьютер жертвы «TeslaCrypt».
В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на «.VVV». На рабочем столе появится текстовый документ или страница «HTML» с требованием выкупа в биткоинах.
В 2017 году был обнаружен «Cerber» — крупнейшая франшиза сервиса «RaaS» (англ. Ransomware-as-a-service — вымогатель как услуга). «Ransomware» представляет собой вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку. «Cerber» позволяет любым пользователям, не владеющим технологиями, запускать собственные независимые вымогательские атаки.
На сегодняшний день «Cerber» запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний, например, в июле 2016 исследователи обнаружили около 150 тысяч жертв в 201 стране и регионе.
«Cerber» распространился по всему миру и достиг даже Украины. Основным путем заражения являются спам-письма, которые пользователь получает в рамках мошеннических рассылок. Как правило, вирус прикреплен к файлу, который приложен к письму. С помощью технологий социальной инженерии мошенники заинтересовывают потенциальную жертву и заставляют ее открыть вложенный документ. После чего происходит заражение.
При этом ПК ведет себя довольно необычно, и это может стать сигналом тревоги для пользователя. Дело в том, что троян инициирует перезагрузку компьютера. После чего проверяет свою локацию (в ранних версиях он не шифровал ПК в странах бывшего СНГ) и приступает к шифрованию данных.
Новый вариант программы-вымогателя «Cerber» теперь нацелился на пользователей приложения электронной почты «MS Office 365». Он использует уязвимость «0-day», отправляя фишинговые письма с прикрепленными вредоносными файлами.
Как и многие другие программы-вымогатели, «Cerber» шифрует файлы пользователя и требует заплатить 1,24 биткойна (более 800 долларов) за ключ дешифрования, позволяющий восстановить файлы. Однако «Cerber» также использует аудиосистему компьютера для воспроизведения своего уведомления о необходимости заплатить выкуп.
Большинство антивирусных решений на сегодняшний день не защищают от стеганографических атак или защищают слабо, между тем, нужно понимать, что каждый заполненный контейнер опасен. В нем могут быть скрыты данные, которые эксфильтруются шпионским ПО, или коммуникация вредоносного ПО с командным центром, или новые модули вредоносного ПО.
В 2017 году «Лаборатория Касперского» наблюдала использование стеганографии в следующих вредоносных программах и средствах кибершпионажа:
— Microcin (AKA six little monkeys);
— NetTraveler;
— Zberp;
— Enfal (ранее — Zero.T);
— Shamoon;
— KinS;
— ZeusVM;
— Triton (Fibbit).
Авторы вредоносного ПО все активнее используют стеганографию из-за возможности:
— скрыть сам факт загрузки/выгрузки данных, а не только сами данные;
— обойти «DPI»-системы, что актуально в корпоративных сетях;
— позволить обойти проверку в «AntiAPT»-продуктах, поскольку последние не могут обрабатывать все графические файлы (их слишком много в корпоративных сетях, а алгоритмы анализа довольно дорогие).
Использование стеганографии сегодня — очень популярная идея среди авторов вредоносного и шпионского ПО. Его очень трудно обнаружить, поскольку они выглядят как обычные графические (и не только) файлы.
Все существующее ПО для исследования стеганографии по сути являются «PoC» (англ. Proof-of-Concept), и их логика не может быть реализована в промышленных средствах защиты из-за низкой скорости работы, не слишком высокого уровня исследования, и даже иногда — из-за ошибок в математике.
Как пример вредоносного ПО, которое использует стеганографию для сокрытия своей коммуникации, рассмотрим вредоносный загрузчик «Zero.T», обнаруженный «Лабораторией Касперского» в конце 2016 года. Не останавливаясь на попадании в систему и закреплении в ней, отметим, что «Zero.T» скачивает полезную нагрузку в виде «Bitmap» файлов:
— fsguyidll.bmp,
— fslapi.bmp,
— fslapi.dll.bmp.
Затем обрабатывает их особым образом, после чего получает вредоносные модули:
— fsguyidll.exe,
— fslapi. dll,
— fslapi.dll.bmp.
На первый взгляд эти 3 файла «BMP» оказались картинками, которые являлись заполненными контейнерами. В каждом из них несколько (алгоритм допускает вариативность) младших значащих бит были заменены на шпионскую нагрузку.
Существуют разные способы, как определить, является ли картинка заполненным контейнером или нет. Но самый простой из них — визуальная атака. Суть его заключается в формировании новых изображений на основе исходного, состоящих из НЗБ различных цветовых плоскостей.
После такой обработки на втором и третьем изображении будут заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение. С одной стороны это просто, потому что аналитик (и даже простой пользователь!) может с легкостью увидеть внедренные данные. А с другой стороны сложно потому, что такой анализ довольно трудно автоматизировать.
Книга описывает историю создания и эволюции секретных служб оперативного документирования (наружного наблюдения) в структуре органов госбезопасности и внутренних дел Российской империи, Советского Союза и Российской Федерации, а также американских, британских и немецких спецслужб. В ней приведены реальные факты из службы филёров-разведчиков, «шпионский маскарад» и цирковые трюки агентов ЦРУ США, а также рассказы о ведении слежки и ухода от неё ветеранов этой самой законспирированной «наблюдательной» службы всех спецслужб и правоохранительных органов.
Появление негласного контроля какого-либо вида связи всегда связано с рождением этого вида связи. Так, несанкционированное прослушивание телефонных разговоров началось вместе с телефонной связью.Книга рассказывает историю рождения и развития спецслужб, занимающихся прослушкой телефонных разговоров в странах Европы, США, Российской империи, СССР и Российской федерации; создания и эволюции специальной техники оперативно-техническими службами этих стран для контроля телекоммуникаций; описывает наиболее важные спецоперации по перехвату информации и прослушке переговоров.
Любое государство сейчас не может существовать без технической разведки. Радиоразведка появилась вместе с радиосвязью в начале ХХ века. Книга рассказывает историю рождения и эволюции техники и методов радиоэлектронной разведки и контрразведки спецслужб Великобритании, Германии, Франции, Австрии и Швеции; описывает успехи радиоразведки этих стран по перехвату информации.«Кто владеет информацией, тот владеет миром». (Натан Ротшильд)
Появление негласного контроля какого-либо вида связи всегда связано с рождением этого вида связи. Так, несанкционированное вскрытие писем началось вместе с почтовой связью. Книга рассказывает историю рождения и развития спецслужб, занимающихся перлюстрацией почтовой переписки в странах Европы, США, Российской империи, СССР и Российской федерации; создания и эволюции специальной техники оперативно-техническими службами этих стран для негласного вскрытия писем и контроля почтовых коммуникаций; описывает наиболее важные спецоперации по перехвату секретной корреспонденции.
Любое государство сейчас не может существовать без технической разведки. Радиоразведка появилась вместе с радиосвязью в начале ХХ века, а компьютерная разведка — вместе с глобальной сетью Интернет в 1980-х годах. Сборник содержит материалы по истории рождения и эволюции техники и методов радиоэлектронной разведки и контрразведки Российской империи, СССР и современной России; описывает успехи радиоразведки по перехвату информации. «Кто владеет информацией, тот владеет миром» (Натан Ротшильд)
Книга рассказывает историю рождения и развития шифров и кодов, криптологии и специальных видов засекреченной связи в США, американских криптологических служб, техники шифрования и аппаратуры засекречивания; военных сетей спецсвязи; описывает шпионскую деятельность американских спецслужб по «охоте» за советскими шифрами, успехи и провалы в этой сфере, а также появление асимметричной криптологии и ее практическое использование сегодня.
Тюрьма в Гуантанамо — самое охраняемое место на Земле. Это лагерь для лиц, обвиняемых властями США в различных тяжких преступлениях, в частности в терроризме, ведении войны на стороне противника. Тюрьма в Гуантанамо отличается от обычной тюрьмы особыми условиями содержания. Все заключенные находятся в одиночных камерах, а самих заключенных — не более 50 человек. Тюрьму охраняют 2000 военных. В прошлом тюрьма в Гуантанамо была настоящей лабораторией пыток; в ней применялись пытки музыкой, холодом, водой и лишением сна.
В книге рассказывается история главного героя, который сталкивается с различными проблемами и препятствиями на протяжении всего своего путешествия. По пути он встречает множество второстепенных персонажей, которые играют важные роли в истории. Благодаря опыту главного героя книга исследует такие темы, как любовь, потеря, надежда и стойкость. По мере того, как главный герой преодолевает свои трудности, он усваивает ценные уроки жизни и растет как личность.
Брошюра написана известными кинорежиссерами, лауреатами Национальной премии ГДР супругами Торндайк и берлинским публицистом Карлом Раддацом на основе подлинных архивных материалов, по которым был поставлен прошедший с большим успехом во всем мире документальный фильм «Операция «Тевтонский меч».В брошюре, выпущенной издательством Министерства национальной обороны Германской Демократической Республики в 1959 году, разоблачается грязная карьера агента гитлеровской военной разведки, провокатора Ганса Шпейделя, впоследствии генерал-лейтенанта немецко-фашистской армии, ныне являющегося одним из руководителей западногерманского бундесвера и командующим сухопутными силами НАТО в центральной зоне Европы.Книга рассчитана на широкий круг читателей.
Книга Стюарта Джеффриса (р. 1962) представляет собой попытку написать панорамную историю Франкфуртской школы.Институт социальных исследований во Франкфурте, основанный между двумя мировыми войнами, во многом определил не только содержание современных социальных и гуманитарных наук, но и облик нынешних западных университетов, социальных движений и политических дискурсов. Такие понятия как «отчуждение», «одномерное общество» и «критическая теория» наряду с фамилиями Беньямина, Адорно и Маркузе уже давно являются достоянием не только истории идей, но и популярной культуры.
Книга представляет собой подробное исследование того, как происходила кража величайшей военной тайны в мире, о ее участниках и мотивах, стоявших за их поступками. Читателю представлен рассказ о жизни некоторых главных действующих лиц атомного шпионажа, основанный на документальных данных, главным образом, на их личных показаниях в суде и на допросах ФБР. Помимо подробного изложения событий, приведших к суду над Розенбергами и другими, в книге содержатся любопытные детали об их детстве и юности, личных качествах, отношениях с близкими и коллегами.
10 мая 1933 года на центральных площадях немецких городов горят тысячи томов: так министерство пропаганды фашистской Германии проводит акцию «против негерманского духа». Но на их совести есть и другие преступления, связанные с книгами. В годы Второй мировой войны нацистские солдаты систематически грабили европейские музеи и библиотеки. Сотни бесценных инкунабул и редких изданий должны были составить величайшую библиотеку современности, которая превзошла бы Александрийскую. Война закончилась, но большинство украденных книг так и не было найдено. Команда героических библиотекарей, подобно знаменитым «Охотникам за сокровищами», вернувшим миру «Мону Лизу» и Гентский алтарь, исследует книжные хранилища Германии, идентифицируя украденные издания и возвращая их семьям первоначальных владельцев. Для тех, кто потерял близких в период холокоста, эти книги часто являются единственным оставшимся достоянием их родных.