• XSS.stack #1 – первый литературный журнал от юзеров форума

LockBit (псевдо LockBit) атаковал оборонный завод РФ

Отслеживать
waahoo сказал(а):
Зато какой хедер у топика мм? "LockBit" "обронный завод РФ" Читаем ежжи. Даже ленивое очко придет и почитает, хоть за ЛБ, хоть за оборонку РФ. А тут вот это) Сорри)) Скрин жрите, клянусь соседским поросенком так и было епта!
а почему не удалять подобные темы? они же как красная тряпка просто
 
waahoo сказал(а):
Наверное НЕ имелось ввиду, а вообще новость не о чем. Что за завод? Насколько важный этот завод в цепочке поставок для МинОбороны? Насколько сильно атака повлияла на производственные процессы? Встали станки или просто ЗП работяги получить не могут? Делали ли они бекапы вне контура? Существует ли вообще завод? Вопросов много, из ответов только скрин непонятного происхождения.
Названий не будет. Более того, есть сведения о масштабе, в рамках целой группы предприятий. Кто в курсе, тот поймет, а здесь писать не будет, идет следствие. Производственные процессы работают конечно, от компов они не зависят. На цепочку поставок никак не повлияло и не повлияет. Бекапы есть, потери несущественные.

Для чего новость и зачем здесь сказано об этом, для тех кому непонятно. Когда появятся следующие новости об арестах или новости о закручивании гаек, ужесточении, просто соедините цепь событий. Второе, требуется больше контроля за билдерами и защитой от применения по зоне СНГ - решений полно как сделать определение свой чужой на таргетах.

Для тех кому и после объяснений непонятно - проходите мимо.
 
Последнее редактирование:
im1111 сказал(а):
Названий не будет. Более того, есть сведения о масштабе, в рамках целой группы предприятий. Кто в курсе, тот поймет, а здесь писать не будет, идет следствие. Производственные процессы работают конечно, от компов они не зависят. На цепочку поставок никак не повлияло и не повлияет. Бекапы есть, потери несущественные.

Для чего новость и зачем здесь сказано об этом, для тех кому непонятно. Когда появятся следующие новости об арестах или новости о закручивании гаек, ужесточении, просто соедините цепь событий. Второе, требуется больше контроля за билдерами и защитой от применения по зоне СНГ - решений полно как сделать определение свой чужой на таргетах.

Для тех кому и после объяснений непонятно - проходите мимо.
какие мы Апасные, прохожу мимо от таких топиков
 
Дырявый завод,дырявый локбит,дырявое ФСБ,партнер из 90х,что-то странное происходит в СНГ)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
im1111 сказал(а):
Второе, требуется больше контроля за билдерами и защитой от применения по зоне СНГ - решений полно как сделать определение свой чужой на таргетах.
Какое решение вы видете? Вы реверсер ? Думаю, нет.

Можно взять любой софт, абсолютно любой локер и поменять там определение локали. От этого вы никак не защититесь, это не чип , в программах все прозрачно. Я не защищаю локбита, но надо быть реалистом. При желании любым локером можно пошифровать любой таргет.

Лучше бы аверы ставили и в безопасники нанимали нормальных людей, а не кого попало. Если речь о слитом билдере , то от него защищает даже встроенная защита винды (доступ к папкам), но походу сисадмин таких умных слов не знает?
 
Quake3 сказал(а):
Какое решение вы видете? Вы реверсер ? Думаю, нет.

Можно взять любой софт, абсолютно любой локер и поменять там определение локали. От этого вы никак не защититесь, это не чип , в программах все прозрачно. Я не защищаю локбита, но надо быть реалистом. При желании любым локером можно пошифровать любой таргет.

Лучше бы аверы ставили и в безопасники нанимали нормальных людей, а не кого попало. Если речь о слитом билдере , то от него защищает даже встроенная защита винды (доступ к папкам), но походу сисадмин таких умных слов не знает?
Есть варианты проверки локалей через PEB. Глубокий реверс требует времени. И много правок. Эти правки будут видны при анализе.

Постороннее вмешательство будет в пользу разработчика. Полное отсутствие проверки в софте потенциально рассматривается как халатность.

Массовое применение по промке подразумевает реакцию на инцидент от комьюнити. Отсутствие реакции это один вектор развития отношений, наличие реакции это другой вектор, более позитивный.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
im1111 сказал(а):
Есть варианты проверки локалей через PEB
Можно сделать какие угодно глубокие проверки, но на выходе с них поменять jz на jmp и всё.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
Можно сделать какие угодно глубокие проверки, но на выходе с них поменять jz на jmp и всё
Учитывая специфику того, что шкаф - это завершающий этап атаки, когда параметры компьютера, на котором происходит запуск, включая локаль известны, делать под каждый из таких компьютеров отдельный билд, включающий основной функционал шкафа, зашифрованный на ключе, полученном из параметров компьютера. Таким образом, можно гарантировать, что этот билд во-первых не будет использован где-то еще, где ты не рассчитывал (своеобразный контроль пентестеров), а во-вторых, что его никакой негодяй не используют на богоугодной локали. Но опять же, нужно ли кому-то так заморачиваться?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх