S3 Ep125: जब सुरक्षा हार्डवेयर में सुरक्षा छेद हों [ऑडियो + टेक्स्ट]

S3 Ep125: जब सुरक्षा हार्डवेयर में सुरक्षा छेद हों [ऑडियो + टेक्स्ट]

समय टिकट: 9 मार्च, 2023 1:58 PM
स्रोत नोड: 2003154
by पॉल डकलिन

आपके पास यह चिप होनी चाहिए! भले ही इसमें बग हों!

माइकलएंजेलो की यादें (वायरस, कलाकार नहीं)। डेटा लीक बग में TPM 2.0. रैंसमवेयर बस्ट, रैंसमवेयर चेतावनी, और एंटी-रैंसमवेयर सलाह।

नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।

डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.

आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।

प्रतिलेख पढ़ें

डौग   रैंसमवेयर, अधिक रैंसमवेयर और टीपीएम भेद्यताएं।

वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोत हूँ; वह पॉल डकलिन है।

पॉल, आज आप कैसे हैं?

बत्तख।   हिमपात और नींद, डौग।

तो यह स्टूडियो में एक ठंडी सवारी थी।

मैं "स्टूडियो" के लिए "सवारी" के लिए नहीं, एयर-कोट्स का उपयोग कर रहा हूं।

यह वास्तव में एक स्टूडियो नहीं है, लेकिन यह *मेरा* स्टूडियो है!

पॉडकास्ट रिकॉर्ड करने के लिए सोफोस मुख्यालय में एक छोटा सा गुप्त स्थान।

और यह यहाँ प्यारा और गर्म है, डौग!

डौग   ठीक है, अगर कोई सुन रहा है... घूमने के लिए रुकें; पॉल को आपको जगह दिखाने में खुशी होगी।

और मैं इसके लिए बहुत उत्साहित हूं टेक इतिहास में यह सप्ताह, पॉल.

इस सप्ताह 06 मार्च 1992 को, सुप्त माइकल एंजेलो बूट सेक्टर वायरस अपने पीड़ितों की हार्ड डिस्क के ओवरराइटिंग क्षेत्रों में जीवन के लिए उभरा।

निश्चित रूप से इसका मतलब हर जगह कंप्यूटरों के लिए दुनिया का अंत था, क्योंकि मीडिया लोगों को आसन्न कयामत की चेतावनी देने के लिए खुद पर हावी हो गया था?

हालाँकि, 1994 के वायरस बुलेटिन सम्मेलन की रिपोर्ट के अनुसार, और मैं उद्धृत करता हूँ:

पॉल डकलिन, एक ऊर्जावान और मनोरंजक वक्ता, दृढ़ता से मानते हैं कि, कई मायनों में, कॉरपोरेट्स और मीडिया दोनों द्वारा शिक्षित करने का प्रयास अपने लक्ष्य से चूक गया है।.

पॉल, तुम वहाँ थे, यार!

बत्तख।   मैं था, डौग।

विडंबना यह है कि 6 मार्च वह दिन था जब माइकलएंजेलो वायरस नहीं था।

अन्य सभी दिनों में, यह बस जंगल की आग की तरह फैलती है।

लेकिन 06 मार्च को, यह चला गया, "अहा! यह पेलोड डे है!"

और एक हार्ड डिस्क पर, यह पहले 256 ट्रैक्स, पहले 4 हेड्स, 17 सेक्टर्स प्रति ट्रैक से गुजरेगा... जो कि बहुत हद तक "लोअर लेफ्ट हैंड कॉर्नर" था, यदि आप चाहें, तो उपयोग में आने वाली अधिकांश हार्ड डिस्क के प्रत्येक पृष्ठ का उस समय।

तो, यह आपकी हार्ड डिस्क से लगभग 8.5MByte हिस्सा लेगा।

इसने न केवल बहुत सारा डेटा ज़प किया, इसने फ़ाइल आवंटन तालिका जैसी चीज़ों को बर्बाद कर दिया।

तो आप कुछ डेटा पुनर्प्राप्त कर सकते थे, लेकिन यह हर उस डिवाइस के लिए एक बड़ा और अनिश्चित प्रयास था जिसे आप आज़माना और पुनर्प्राप्त करना चाहते थे।

यह दूसरे कंप्यूटर के लिए उतना ही काम है जितना पहले के लिए था, तीसरे कंप्यूटर के लिए उतना ही काम है जितना दूसरे के लिए ... बहुत, स्वचालित करना बहुत कठिन है।

सौभाग्य से, जैसा कि आप कहते हैं, मीडिया में इसे बहुत अधिक प्रचारित किया गया।

वास्तव में, मेरी समझ यह है कि वायरस का विश्लेषण सबसे पहले दिवंगत रोजर रिओर्डन द्वारा किया गया था, जो 1990 के दशक में एक प्रसिद्ध ऑस्ट्रेलियाई एंटी-वायरस शोधकर्ता थे, और वास्तव में वे फरवरी 1991 में इसके संपर्क में आए।

और वह अपने एक दोस्त से बात कर रहा था, मुझे विश्वास है, इसके बारे में, और उसके दोस्त ने कहा, "ओह, 6 मार्च, वह मेरा जन्मदिन है। क्या आप जानते हैं कि यह माइकल एंजेलो का जन्मदिन भी है?"

क्योंकि मुझे लगता है कि जिन लोगों का जन्म 6 मार्च को हुआ है, उन्हें शायद यह पता होगा...

बेशक, यह इतना ट्रेंडी और कूल नाम था ... और एक साल बाद, जब इसे फैलने का मौका मिला और, जैसा कि आप कहते हैं, अक्सर निष्क्रिय रहता है, तभी यह वापस आया।

इसने लाखों कंप्यूटरों को प्रभावित नहीं किया, जैसा कि मीडिया को डर लग रहा था, और जैसा कि स्वर्गीय जॉन मैक्एफ़ी कहना पसंद करते थे, लेकिन यह हिट होने वाले किसी भी व्यक्ति के लिए ठंडा आराम है, क्योंकि आपने लगभग सब कुछ खो दिया है।

पूरी तरह से सब कुछ नहीं, लेकिन इसमें से कुछ को वापस पाने के लिए आपको एक छोटे से भाग्य की कीमत चुकानी पड़ रही थी ... शायद अपूर्ण रूप से, शायद अविश्वसनीय रूप से।

और इसके बारे में बुरी बात यह थी कि क्योंकि यह फ्लॉपी डिस्क पर फैल गया; और क्योंकि यह बूट सेक्टर में फैल गया; और क्योंकि उन दिनों लगभग हर कंप्यूटर फ्लॉपी ड्राइव से बूट होता था अगर उसमें बस एक डिस्क होती; और क्योंकि अन्यथा भी खाली डिस्केट में एक बूट सेक्टर होता था और उसमें कोई भी कोड चलता था, भले ही यह "गैर-सिस्टम डिस्क या डिस्क त्रुटि, प्रतिस्थापित करें और पुनः प्रयास करें" सॉर्ट-ऑफ संदेश था ...

…तब तक बहुत देर हो चुकी थी।

इसलिए, यदि आपने गलती से ड्राइव में एक डिस्क छोड़ दी है, तो जब आप अगली सुबह चालू करते हैं, तब तक आपने उस संदेश को "गैर-सिस्टम डिस्क या डिस्क त्रुटि" देखा और सोचा, "ओह, मैं फ़्लॉपी पॉप करूँगा बाहर निकलें और हार्ड ड्राइव को रिबूट करें ”…

…तब तक, वायरस पहले से ही आपकी हार्ड डिस्क पर था, और यह आपके पास मौजूद प्रत्येक फ़्लॉपी में फैल जाएगा।

इसलिए, भले ही आपके पास वायरस था और फिर आपने इसे हटा दिया, अगर आप फ्लॉपी डिस्केट के अपने पूरे कॉरपोरेट स्टैश से नहीं गुजरे, तो वहां टाइफाइड मैरी होने वाली थी जो किसी भी समय इसे फिर से पेश कर सकती थी।

डौग   एक आकर्षक कहानी है।

मुझे खुशी है कि आप इसे थोड़ा साफ करने में मदद करने के लिए वहां थे!

और चलिए कुछ और साफ करते हैं।

यह विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल... कभी-कभी विवादास्पद होता है।

क्या होता है जब आपकी मशीन की सुरक्षा के लिए आवश्यक कोड ही होता है कमजोर, पॉल?

गंभीर सुरक्षा: TPM 2.0 भेद्यता - क्या आपका अति-सुरक्षित डेटा जोखिम में है?

बत्तख।   यदि आप इस पूरी टीपीएम चीज को समझना चाहते हैं, जो एक महान विचार की तरह लगता है, ठीक है ... यह छोटी सी बिटरबोर्ड चीज है जिसे आप अपने मदरबोर्ड पर एक छोटे से छोटे स्लॉट में प्लग करते हैं (या शायद यह पहले से निर्मित है), और इसमें एक है छोटे छोटे विशेष कोप्रोसेसर चिप जो इस कोर क्रिप्टोग्राफ़िक सामान को करता है।

सुरक्षित बूट; डिजीटल हस्ताक्षर; क्रिप्टोग्राफ़िक कुंजियों के लिए मजबूत भंडारण ... इसलिए यह स्वाभाविक रूप से एक बुरा विचार नहीं है।

समस्या यह है कि आप इसकी कल्पना कर सकते हैं, क्योंकि यह इतना छोटा उपकरण है और इसमें अभी यह कोर कोड मिला है, निश्चित रूप से इसे उतारना और इसे सरल बनाना काफी आसान है?

खैर, विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल, या टीपीएम के लिए केवल विनिर्देश ... उनके पास सामूहिक रूप से हैं: 306 पृष्ठ, 177 पृष्ठ, 432 पृष्ठ, 498 पृष्ठ, 146 पृष्ठ, और अंत में बिग बैड बॉय, "भाग चार: सहायक दिनचर्या - कोड", जहां बग हैं, 1009 पीडीएफ पेज, डौग।

डौग   [हंसते हैं] थोड़ा हल्का पढ़िए!

बत्तख।   [आह्वान] बस कुछ हल्का पढ़ना।

तो, बहुत काम है। और कीड़ों के लिए बहुत सी जगह।

और नवीनतम ... ठीक है, बहुत कुछ हैं जो नवीनतम इरेटा में नोट किए गए थे, लेकिन उनमें से दो को वास्तव में सीवीई नंबर मिले थे।

CVE-2023-1017, और CVE-2023-1018 है।

और दुर्भाग्य से, वे बग, भेद्यताएं हैं, जिन्हें कमांड द्वारा गुदगुदाया (या पहुँचा) जा सकता है जो एक सामान्य उपयोगकर्ता-स्पेस प्रोग्राम का उपयोग कर सकता है, जैसे कि एक सिसडमिन या आप स्वयं चला सकते हैं, बस टीपीएम को करने के लिए कहने के लिए आपके लिए सुरक्षित रूप से कुछ।

तो आप कुछ ऐसा कर सकते हैं जैसे, "अरे, जाओ और मेरे लिए कुछ यादृच्छिक संख्याएँ लाओ। जाओ और मेरे लिए एक क्रिप्टोग्राफ़िक कुंजी बनाओ। जाओ और इस डिजिटल हस्ताक्षर को सत्यापित करो।

और यह अच्छा है अगर यह एक अलग छोटे प्रोसेसर में किया जाता है जिसे सीपीयू या ऑपरेटिंग सिस्टम द्वारा गड़बड़ नहीं किया जा सकता है - यह एक अच्छा विचार है।

लेकिन समस्या यह है कि उपयोगकर्ता-मोड कोड में जो कहता है, "यहाँ वह आदेश है जो मैं आपको प्रस्तुत कर रहा हूँ" ...

...दुर्भाग्य से, उन मापदंडों को खोलना जो आप चाहते हैं कि कार्य करने के लिए पारित किए गए हैं - यदि आप उस तरह से फंस जाते हैं जिस तरह से उन मापदंडों को टीपीएम तक पहुंचाया जाता है, तो आप इसे या तो अतिरिक्त मेमोरी पढ़ने (एक बफर रीड ओवरफ्लो) में ट्रिक कर सकते हैं, या इससे भी बदतर, ओवरराइटिंग सामान जो अगले आदमी का है, जैसा कि वह था।

यह देखना कठिन है कि टीपीएम पर कोड निष्पादन जैसी चीजों के लिए इन बगों का उपयोग कैसे किया जा सकता है (लेकिन, जैसा कि हमने कई बार कहा है, "कभी नहीं कहें")।

लेकिन यह निश्चित रूप से स्पष्ट है कि जब आप किसी ऐसी चीज से निपट रहे हैं, जैसा कि आपने शुरुआत में कहा था, “आपको अपने कंप्यूटर को अधिक सुरक्षित बनाने के लिए इसकी आवश्यकता है। यह क्रिप्टोग्राफ़िक शुद्धता के बारे में है ”…

…किसी और के कीमती गुप्त डेटा के दो बाइट भी लीक करने का विचार है जिसे दुनिया में किसी को भी नहीं जानना चाहिए?

डेटा रिसाव का विचार, इस तरह के एक मॉड्यूल में एक बफर लिखने के अतिप्रवाह को अकेले छोड़ दें, वास्तव में काफी चिंताजनक है।

तो यही आपको पैच करने की जरूरत है।

और दुर्भाग्य से, इरेटा दस्तावेज़ यह नहीं कहता है, “यहाँ बग हैं; यहां बताया गया है कि आप उन्हें कैसे पैच करते हैं।

बस बग का विवरण है और आपको अपने कोड को कैसे संशोधित करना चाहिए इसका विवरण है।

तो संभवतः हर कोई इसे अपने तरीके से करेगा, और फिर वे परिवर्तन केंद्रीय संदर्भ कार्यान्वयन पर वापस आ जाएंगे।

अच्छी खबर यह है कि एक सॉफ्टवेयर आधारित टीपीएम कार्यान्वयन है [libtpms] उन लोगों के लिए जो वर्चुअल मशीन चलाते हैं... वे पहले ही देख चुके हैं, और वे कुछ सुधारों के साथ आए हैं, तो यह एक शुरू करने के लिए अच्छी जगह.

डौग   लवली।

इस बीच, अपने हार्डवेयर विक्रेताओं से जांचें, और देखें कि क्या उनके पास आपके लिए कोई अपडेट है।

बत्तख।   हां.

डौग   हम रैंसमवेयर के शुरुआती दिनों में आगे बढ़ेंगे, जो जबरन वसूली से भरे हुए थे, और फिर "डबल जबरन वसूली" के साथ चीजें और अधिक जटिल हो गईं।

और लोगों का एक समूह अभी रहा है गिरफ्तार एक डबल-एक्सटॉर्शन योजना में, जो अच्छी खबर है!

DoppelPaymer रैंसमवेयर संदिग्ध जर्मनी और यूक्रेन में गिरफ्तार किए गए

बत्तख।   हाँ, यह एक रैंसमवेयर गिरोह है जिसे DoppelPaymer के नाम से जाना जाता है। ("डोपेल" का अर्थ है डबल जर्मन में।)

तो विचार यह है कि यह एक दोहरी मार है।

यह वह जगह है जहां वे आपकी सभी फाइलों को खंगालते हैं और वे कहते हैं, "हम आपको डिक्रिप्शन कुंजी बेचेंगे। और वैसे, अगर आपको लगता है कि आपके बैकअप काम करेंगे, या अगर आप हमें खोने के बारे में सोच रहे हैं और हमें पैसे नहीं दे रहे हैं, तो ध्यान रखें कि हमने पहले आपकी सभी फाइलें चुरा ली हैं। ”

"तो, यदि आप भुगतान नहीं करते हैं, और आप * अपने आप को डिक्रिप्ट कर सकते हैं और आप अपना व्यवसाय * बचा सकते हैं ... हम आपका डेटा लीक करने जा रहे हैं।

इस मामले में अच्छी खबर यह है कि कुछ संदिग्धों से पूछताछ कर उन्हें गिरफ्तार किया गया है और कई इलेक्ट्रॉनिक उपकरण जब्त किए गए हैं.

तो भले ही यह है, यदि आप उन लोगों के लिए ठंडा आराम चाहते हैं, जो दिन में डोपेलपेमर के हमलों का सामना करते हैं, तो इसका मतलब कम से कम यह है कि जब साइबर गिरोह अपना सिर नीचा करने लगते हैं तो कानून प्रवर्तन हार नहीं मानता है।

उन्होंने स्पष्ट रूप से अकेले संयुक्त राज्य अमेरिका में ब्लैकमेल भुगतानों में $40 मिलियन तक प्राप्त किए।

और वे कुख्यात रूप से जर्मनी में डसेलडोर्फ में यूनिवर्सिटी अस्पताल के पीछे चले गए।

अगर रैंसमवेयर में कोई कमी है...

डौग   गंभीरता से!

बत्तख।   …ऐसा नहीं है कि यह अच्छा है कि किसी को भी चोट लगती है, लेकिन यह विचार है कि आप वास्तव में एक अस्पताल, विशेष रूप से एक शिक्षण अस्पताल ले जाते हैं?

मुझे लगता है कि यह निम्न में से निम्नतम है, है ना?

डौग   और हमारे पास कुछ सलाह है।

सिर्फ इसलिए कि इन संदिग्धों को गिरफ्तार कर लिया गया है: अपनी सुरक्षा वापस डायल न करें।

बत्तख।   नहीं, वास्तव में, यूरोपोल ने अपने शब्दों में स्वीकार किया है, "रिपोर्टों के अनुसार, डोप्पेलपेमर ने तब से [एक रैनसमवेयर गिरोह के रूप में] 'दुःख' कहा है।"

तो समस्या यह है, जब आप साइबर गैंग में कुछ लोगों का भंडाफोड़ करते हैं, तो हो सकता है कि आपको सभी सर्वर न मिलें...

…यदि आप सर्वरों को जब्त करते हैं, तो जरूरी नहीं कि आप व्यक्तियों के लिए पीछे की ओर काम करें।

यह सेंध लगाता है, लेकिन इसका मतलब यह नहीं है कि रैंसमवेयर खत्म हो गया है।

डौग   और उस बिंदु पर: अकेले रैनसमवेयर पर ध्यान न दें।

बत्तख।   वास्तव में!

मुझे लगता है कि DoppelPaymer जैसे गिरोह इसे बहुत स्पष्ट करते हैं, है ना?

जब तक वे आपकी फाइलों को खंगालने आते हैं, तब तक वे उन्हें चुरा चुके होते हैं।

इसलिए, जब तक आप वास्तव में रैंसमवेयर का हिस्सा प्राप्त करते हैं, तब तक वे साइबर अपराध के एन अन्य तत्वों को पहले ही पूरा कर चुके होते हैं: इसमें सेंध लगाना; चारों ओर देख रहा है; शायद कुछ पिछले दरवाजे खोलना ताकि वे बाद में वापस आ सकें, या अगले व्यक्ति को पहुंच बेच सकें; और इसी तरह।

डौग   जो सलाह के अगले भाग में शामिल है: अपने डैशबोर्ड में खतरे की चेतावनियों के आने की प्रतीक्षा न करें।

संगठन की परिपक्वता के आधार पर शायद यह कहना आसान है लेकिन करना आसान है।

लेकिन मदद उपलब्ध है!

बत्तख।   [हंसता] मैंने सोचा था कि आप उल्लेख करने जा रहे थे सोफोस प्रबंधित पहचान और प्रतिक्रिया एक पल के लिए वहाँ, डौग।

डौग   मैं इसे बेचने की कोशिश नहीं कर रहा था।

लेकिन हम मदद कर सकते हैं!

वहाँ कुछ मदद है; हमें बताइए।

बत्तख।   ढीले ढंग से बोलते हुए, पहले आप वहां पहुंचें; पहले आप नोटिस करते हैं; आपकी निवारक सुरक्षा जितनी अधिक सक्रिय होगी…

... इसकी संभावना कम है कि कोई बदमाश रैनसमवेयर हमले तक पहुंच पाएगा।

और यह केवल एक अच्छी बात हो सकती है।

डौग   अंतिम किन्तु अप्रमुख नहीं: कोई निर्णय नहीं, लेकिन यदि आप संभवतः इससे बच सकते हैं तो भुगतान न करें।

बत्तख।   हां, मुझे लगता है कि हम ऐसा कहने के लिए बाध्य हैं।

क्योंकि धनराशि का भुगतान साइबर अपराध की अगली लहर, बड़ा समय, निश्चित रूप से।

और दूसरी बात, आप जो भुगतान करते हैं वह आपको नहीं मिल सकता है।

डौग   खैर, एक आपराधिक उद्यम से दूसरे में चलते हैं।

और ऐसा तब होता है जब एक आपराधिक उद्यम प्रत्येक का उपयोग करता है उपकरण, तकनीक और प्रक्रिया किताब में!

फेड सही रॉयल रैंसमवेयर भगदड़ के बारे में चेतावनी देता है जो टीटीपी के सरगम ​​​​को चलाता है

बत्तख।   यह सीआईएसए - यूएस से है साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी.

और इस मामले में, बुलेटिन AA23 में (वह इस वर्ष है) डैश 061A-for-Alpha, वे रॉयल रैंसमवेयर नामक गिरोह के बारे में बात कर रहे हैं।

राजधानी आर, डौग के साथ रॉयल।

इस गिरोह के बारे में बुरी बात यह है कि उनके उपकरण, तकनीक और प्रक्रियाएं "मौजूदा हमले के लिए जो कुछ भी आवश्यक है, उसमें शामिल हैं"।

वे एक बहुत व्यापक ब्रश के साथ पेंट करते हैं, लेकिन वे बहुत गहरे फावड़े से भी हमला करते हैं, यदि आप जानते हैं कि मेरा क्या मतलब है।

वह बुरी खबर है।

अच्छी खबर यह है कि सीखने के लिए बहुत कुछ है, और यदि आप इसे गंभीरता से लेते हैं, तो आपके पास न केवल रैंसमवेयर हमलों के खिलाफ बहुत व्यापक ब्रश की रोकथाम और सुरक्षा होगी, बल्कि आप पहले डोपेलपेमर सेगमेंट में जो उल्लेख कर रहे थे: "डॉन' बस रैनसमवेयर पर ध्यान मत लगाओ।”

अन्य सभी चीजों के बारे में चिंता करें जो इसकी ओर ले जाती हैं: कीलॉगिंग; डेटा चोरी; पिछले दरवाजे आरोपण; पासवर्ड चोरी।

डौग   ठीक है, पॉल, आइए सीआईएसए की सलाह के कुछ अंशों का सारांश देते हैं, जिसकी शुरुआत निम्न से होती है: ये बदमाश आजमाए हुए और भरोसेमंद तरीकों का इस्तेमाल कर सेंधमारी करते हैं।

बत्तख।   वे करते हैं!

CISA के आंकड़े बताते हैं कि यह विशेष गिरोह अच्छे पुराने फ़िशिंग का उपयोग करता है, जो हमलों के 2/3 में सफल रहा।

जब वह अच्छी तरह से काम नहीं करता है, तो वे बिना पैच वाली सामग्री की तलाश में जाते हैं।

साथ ही, 1/6 मामलों में, वे अभी भी RDP... अच्छे पुराने RDP हमलों का उपयोग करने में सक्षम हैं।

क्योंकि उन्हें केवल एक सर्वर की आवश्यकता होती है जिसे आप भूल गए हैं।

और साथ ही, CISA ने बताया कि, एक बार जब वे अंदर आ गए, भले ही वे RDP का उपयोग करने में सक्षम नहीं हुए, तो ऐसा लगता है कि वे अभी भी यह पता लगा रहे हैं कि बहुत सारी कंपनियों की RDP पहुँच के बारे में अधिक उदार नीति है * अंदर * उनके नेटवर्क।

[हंसते हुए] जटिल पावरशेल स्क्रिप्ट की जरूरत किसे है जहां आप बस किसी और के कंप्यूटर से जुड़ सकते हैं और इसे अपनी स्क्रीन पर देख सकते हैं?

डौग   एक बार प्रवेश करने के बाद, अपराधी उन प्रोग्रामों से बचने की कोशिश करते हैं जो स्पष्ट रूप से मैलवेयर के रूप में दिखाई दे सकते हैं।

इसे "जमीन से दूर रहने" के रूप में भी जाना जाता है।

बत्तख।   वे केवल यह नहीं कह रहे हैं, “ठीक है, आइए Microsoft Sysinternal के PsExec प्रोग्राम का उपयोग करें, और इस एक विशेष लोकप्रिय PowerShell स्क्रिप्ट का उपयोग करें।

उनके पास आईपी नंबरों का पता लगाने वाले उपकरणों से लेकर कंप्यूटरों को सोने से रोकने वाले उपकरणों तक, कई अलग-अलग चीजें करने के लिए कई तरह के उपकरण हैं, जो काफी उपयोगी हैं।

सभी उपकरण जो एक सुविचारित sysadmin के पास बहुत अच्छी तरह से हो सकते हैं और नियमित रूप से उपयोग कर सकते हैं।

और, ढीले ढंग से बोलते हुए, केवल एक बिट शुद्ध मैलवेयर है जो ये बदमाश लाते हैं, और वह सामान है जो अंतिम पांव मारता है।

वैसे, यह न भूलें कि यदि आप एक रैंसमवेयर अपराधी हैं, तो आपको अपना स्वयं का एन्क्रिप्शन टूलकिट लाने की भी आवश्यकता नहीं है।

यदि आप चाहते हैं, तो आप WinZip या 7-Zip जैसे प्रोग्राम का उपयोग कर सकते हैं, जिसमें "संग्रह बनाएं, फ़ाइलों को स्थानांतरित करें," (जिसका अर्थ है कि आप उन्हें संग्रह में डालने के बाद उन्हें हटा दें) की सुविधा शामिल है। "और उन्हें पासवर्ड से एन्क्रिप्ट करें।"

जब तक बदमाश केवल वही लोग हैं जो पासवर्ड जानते हैं, तब भी वे इसे आपको वापस बेचने की पेशकश कर सकते हैं ...

डौग   और ज़ख्म पर थोड़ा नमक डालने के लिए: फ़ाइलों को खंगालने से पहले, हमलावर पुनर्प्राप्ति के लिए आपके पथ को जटिल बनाने का प्रयास करते हैं।

बत्तख।   कौन जानता है कि उन्होंने नए गुप्त व्यवस्थापक खाते बनाए हैं या नहीं?

जानबूझकर स्थापित छोटी गाड़ी सर्वर?

जानबूझकर हटाए गए पैच ताकि वे अगली बार वापस आने का तरीका जान सकें?

बचे हुए कीलॉगर्स पीछे पड़े हैं, जहां वे भविष्य में किसी क्षण सक्रिय होंगे और आपकी परेशानी को फिर से शुरू करने का कारण बनेंगे?

और वे ऐसा इसलिए कर रहे हैं क्योंकि यह उनके लाभ के लिए बहुत अधिक है कि जब आप रैंसमवेयर हमले से उबर जाते हैं, तो आप पूरी तरह से ठीक नहीं हो पाते हैं।

डौग   ठीक है, हमारे पास लेख के निचले भाग में कुछ सहायक लिंक हैं।

एक लिंक जो आपको इसके बारे में और जानने के लिए ले जाएगा सोफोस प्रबंधित पहचान और प्रतिक्रिया [एमडीआर], और दूसरा जो आपको वहां ले जाता है सक्रिय विरोधी प्लेबुक, जो हमारे अपने जॉन शायर द्वारा एक साथ रखा गया एक टुकड़ा है।

कुछ टेकवे और अंतर्दृष्टि जिनका उपयोग आप अपनी सुरक्षा को बेहतर बनाने के लिए कर सकते हैं।

आपके दुश्मन को पता है! जानें कि साइबर क्राइम के विरोधी कैसे आते हैं…

बत्तख।   यह उस CISA "रॉयल रैंसमवेयर" रिपोर्ट के मेटा-वर्जन की तरह है।

यह ऐसे मामले हैं जहां पीड़ित को पता ही नहीं चला कि हमलावर उनके नेटवर्क में थे, तब तक बहुत देर हो चुकी थी, फिर सोफोस रैपिड रिस्पांस में कॉल किया और कहा, "ओह, हमें लगता है कि हम रैंसमवेयर से प्रभावित हो गए हैं ... लेकिन और क्या हुआ? ”

और यह वही है जो हमने वास्तव में पाया, वास्तविक जीवन में, अक्सर असंबंधित बदमाशों की एक विस्तृत श्रृंखला के हमलों में।

तो यह आपको टीटीपी (उपकरण, तकनीक और प्रक्रियाओं) की श्रेणी का एक बहुत, बहुत व्यापक विचार देता है जिसके बारे में आपको जागरूक होने की आवश्यकता है, और जिससे आप बचाव कर सकते हैं।

क्योंकि अच्छी खबर यह है कि बदमाशों को इन सभी अलग-अलग तकनीकों का उपयोग करने के लिए मजबूर किया जा रहा है, ताकि उनमें से कोई भी अपने आप बड़े पैमाने पर अलार्म न बजाए ...

… आप अपने आप को उन्हें जल्दी पहचानने का एक लड़ाई का मौका देते हैं, अगर केवल आप [ए] जानते हैं कि कहां देखना है और [बी] ऐसा करने का समय मिल सकता है।

डौग   बहुत अच्छा है.

और हमारे पास इस लेख पर एक पाठक टिप्पणी है।

नग्न सुरक्षा पाठक एंडी पूछता है:

इस प्रकार के हमले के खिलाफ सोफोस एंडपॉइंट प्रोटेक्शन पैकेज कैसे ढेर हो जाते हैं?

मैंने पहली बार देखा है कि फ़ाइल रैंसमवेयर सुरक्षा कितनी अच्छी है, लेकिन अगर एन्क्रिप्शन शुरू होने से पहले इसे अक्षम कर दिया जाता है, तो हम टैम्पर प्रोटेक्शन पर भरोसा कर रहे हैं, मुझे लगता है, अधिकांश भाग के लिए?

बत्तख।   खैर, मुझे उम्मीद नहीं होगी!

मुझे उम्मीद है कि एक सोफोस प्रोटेक्शन ग्राहक सिर्फ नहीं जाएगा, "ठीक है, चलो उत्पाद का केवल छोटा हिस्सा चलाते हैं जो आपको बचाने के लिए लास्ट चांस सैलून के रूप में है ... जिसे हम क्रिप्टोगार्ड कहते हैं।

वह मॉड्यूल है जो कहता है, "अरे, कोई या कुछ बड़ी संख्या में फ़ाइलों को एक तरह से खंगालने की कोशिश कर रहा है जो एक वास्तविक कार्यक्रम हो सकता है, लेकिन यह सही नहीं दिखता है।"

तो भले ही यह कानूनी है, यह शायद चीजों को गड़बड़ कर रहा है, लेकिन लगभग निश्चित रूप से कोई आपको नुकसान पहुंचाने की कोशिश कर रहा है।

डौग   हां, क्रिप्टोगार्ड एक हेलमेट की तरह है जिसे आप तब पहनते हैं जब आप अपनी बाइक के हैंडलबार्स पर उड़ रहे होते हैं।

अगर क्रिप्टोगार्ड हरकत में आ रहा है तो चीजें बहुत गंभीर हो गई हैं!

बत्तख।   इन दिनों सोफोस सहित अधिकांश उत्पादों में टैम्पर प्रोटेक्शन का एक तत्व होता है जो एक कदम आगे जाने की कोशिश करता है, ताकि एक व्यवस्थापक को भी उत्पाद के कुछ हिस्सों को बंद करने के लिए चक्कर लगाना पड़े।

इससे इसे करना कठिन हो जाता है, और स्वचालित करना कठिन हो जाता है, इसे सभी के लिए बंद कर दें।

लेकिन आपको इसके बारे में सोचना होगा …

यदि साइबर बदमाश आपके नेटवर्क में आते हैं, और आपके नेटवर्क पर उनके पास वास्तव में "सिसडमिन समतुल्यता" है; यदि वे प्रभावी रूप से उन्हीं शक्तियों को प्राप्त करने में कामयाब रहे हैं जो आपके सामान्य sysadmins के पास हैं (और यही उनका वास्तविक लक्ष्य है; यही वे वास्तव में चाहते हैं) ...

यह देखते हुए कि सोफोस जैसे उत्पाद चलाने वाले sysadmins परिवेश सेटिंग्स को कॉन्फ़िगर, डिकॉन्फ़िगर और सेट कर सकते हैं ...

…तो अगर बदमाश *सीसडमिन* हैं, तो ऐसा लगता है जैसे वे पहले ही जीत चुके हैं।

और इसीलिए आपको उन्हें पहले से खोजने की आवश्यकता है!

इसलिए हम इसे जितना संभव हो सके उतना कठिन बनाते हैं, और हम जितना हो सके सुरक्षा की कई परतें प्रदान करते हैं, उम्मीद है कि हम इस चीज़ के आने से पहले ही इसे रोकने की कोशिश करेंगे।

और जब तक हम इसके बारे में हैं, डौग (मैं नहीं चाहता कि यह एक बिक्री विद्वान की तरह लगे, लेकिन यह हमारे सॉफ़्टवेयर की एक विशेषता है जो मुझे पसंद है) ...

हमारे पास वह है जिसे मैं "सक्रिय विरोधी विरोधी" घटक कहता हूं!

दूसरे शब्दों में, यदि हम आपके नेटवर्क पर ऐसे व्यवहार का पता लगाते हैं जो दृढ़ता से चीजों का सुझाव देता है, उदाहरण के लिए, कि आपके sysadmins काफी कुछ नहीं करेंगे, या काफी हद तक ऐसा नहीं करेंगे ...

... "सक्रिय विरोधी विरोधी" कहते हैं, "आप जानते हैं क्या? फ़िलहाल, हम सुरक्षा को उस उच्च स्तर तक बढ़ाने जा रहे हैं जिसे आप सामान्य रूप से बर्दाश्त नहीं कर सकते।”

और यह एक बड़ी विशेषता है क्योंकि इसका मतलब है, अगर बदमाश आपके नेटवर्क में आते हैं और अप्रिय चीजें करने की कोशिश करना शुरू करते हैं, तो आपको तब तक इंतजार करने की ज़रूरत नहीं है जब तक कि आप नोटिस न करें और *फिर* तय करें, "हम कौन से डायल बदलेंगे?"

डौग, यह स्पष्ट रूप से सरल प्रश्न का एक लंबा उत्तर था।

लेकिन मैं नेकेड सिक्योरिटी पर टिप्पणी के अपने जवाब में जो कुछ लिखा है, उसे पढ़ लेता हूं:

हमारा लक्ष्य हर समय चौकस रहना है, और जितनी जल्दी हो सके हस्तक्षेप करना है, स्वचालित रूप से, सुरक्षित और निर्णायक रूप से - सभी प्रकार के साइबर हमले के लिए, केवल रैनसमवेयर नहीं।

डौग   ठीक है, ठीक कहा!

एंडी, इसे भेजने के लिए बहुत-बहुत धन्यवाद।

यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।

आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सोशल: @NakedSecurity पर हिट कर सकते हैं।

आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, जो आपको याद दिला रहा है। अगली बार तक, ...

दोनों को।   सुरक्षित रहें!

[संगीत मोडेम]

समय टिकट:

से अधिक नग्न सुरक्षा