Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Подведомственный Минцифры НИИ «Интеграл» провел аукцион с целью заключить контракт на доработку и модернизацию системы мониторинга фишинговых сайтов и сливе ПДн в интернет. Исполнитель уже определен — единственная заявка поступила от ООО «Рубитех» и она соответствует выдвинутым требованиям.

Тендер был объявлен 29 ноября. Стартовая цена закупки — около 170,7 млн руб., срок окончания работ — 30 сентября 2023 года. Согласно ТЗ, поставщик должен создать несколько новых компонентов ИС и усовершенствовать существующие.

Созданная с инициативы Минцифры система мониторинга фишинговых сайтов и утечки персональных данных собирает, обрабатывает и хранит сведения о такой активности. В задачи ИС также входит обеспечение взаимодействия заинтересованных сторон.

Согласно условиям контракта, для повышения производительности поиска и выявления признаков фишинга должна быть обеспечена возможность подключения новых источников данных. В частности, предполагается расширить список открытых источников до 260 позиций, куда должны в обязательном порядке войти публикации IoC (индикаторов компрометации) в Twitter, репозитории GitHub, Telegram-каналы и публичные анонимайзеры (прокси-сервисы, VPN, Tor).

Фильтрация подозрительных доменов должна осуществляться по следующим признакам:

  • все русскоязычные ресурсы вне зависимости от доменной зоны верхнего уровня;
  • все ресурсы в зонах ответственности (ru, su, рф, рус, москва, дети и т. п.) вне зависимости от языка содержимого сайта;
  • все ресурсы, размещенные на территории РФ вне зависимости от языка сайта и TLD-зоны.

Обновление данных должно осуществляться раз в сутки, при этом количество вновь выявленных фишинговых сайтов и утечек ПДн должны быть не менее 5% от общего количества за предыдущие сутки.

Совершенствование компонента взаимодействия предполагает разработку форматов данных, протоколов и регламентов обмена между ИС и смежными системами. Модуль также должен обеспечивать ведение журналов учета запросов и ответов.

Для подсистемы личных кабинетов планируется разработать справочники инцидентов и нормативно-правовых актов, касающихся фишинга. Предполагается также доработать пользовательский интерфейс ИС и компонент визуализации и отчетности.

Новые разработки в рамках данного контракта:

  • компонент личного кабинета оператора (ЛКО) «Инкубатор» с такими возможностями, как ведение списка ресурсов для мониторинга, определение состояния ресурса по изменению хеш-суммы, сравнение скриншотов страниц старой и новой версий, информирование об изменениях;
  • компонент формирования электронной подписи для обмена информацией об инцидентах через подсистему личных кабинетов с помощью веб-плагинов;
  • компонент анализа графических образов, с возможностью распознавание текста на изображениях;
  • компонент семантического анализа текстов, размещенных на веб-страницах, с возможностью выявления каналов распространения и первоисточников противоправного и опасного контента, а также оперативного редактирования базы знаний.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru