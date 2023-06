Кон­ферен­ции — это для меня в пер­вую оче­редь инте­рес­ные док­лады, и PHDays 12 в этом пла­не не под­вел. Было стой­кое ощу­щение, что надо успеть вез­де, хоть это и ока­залось невоз­можно — выс­тупле­ния с прив­лекатель­ными темами неиз­менно перек­рывали друг дру­га по вре­мени. Хва­ла орга­низа­торам: они вык­ладыва­ют видео в пуб­личный дос­туп, и теперь мож­но схо­дить на PHD, не вста­вая с дивана.

В этом году док­лады были раз­делены и про­ходи­ли в двух сто­ящих рядом шат­рах. Один называл­ся «Зал боевых искусств» (ата­ка), дру­гой — «Шко­ла само­обо­роны» (защита). Бур­ные апло­дис­менты слы­шались то тут, то там, но наиболь­ший ажи­отаж все же царил в шат­ре защиты. Там было не про­тол­кнуть­ся! В «Зале боевых искусств», начиная с середи­ны пер­вого дня, тол­кучка была замет­но мень­ше, хотя док­лады тут тоже шли весь­ма инте­рес­ные.

Со­ветую пой­ти и немед­ленно ска­чать вот отсю­да пре­зен­тацию это­го загадоч­ного джентль­мена в мас­ке и очках. Зачем? Во‑пер­вых, это инте­рес­ный док­лад с необыч­ной подачей. Во‑вто­рых, в фай­ле есть куча ссы­лок и QR-коды, так что жаж­дущим зна­ний будет чем занять­ся.

Что осо­бен­но пон­равилось в его выс­тупле­нии, так это дос­тупность матери­ала даже для сов­сем нес­ведущих. Да и пос­ледова­тель­ность подачи не поз­волила во всем этом хоть мало‑маль­ски запутать­ся. Всё на сво­их мес­тах, бери да вни­кай: и что такое вооб­ще GEOINT, и на какой глав­ный воп­рос отве­чает эта дис­ципли­на (спой­лер: OSINT — «что?», GEOINT — «где?»), и какая методо­логия есть в арсе­нале спе­циалис­тов и энту­зиас­тов. Пос­тигнув эту дис­ципли­ну, ты, нап­ример, смо­жешь понять, что про­исхо­дит в точ­ке на кар­те, где было сде­лано фото.

Спи­кер щед­ро отсы­пал зна­ний про область при­мене­ния GEOINT, показы­вал реаль­ные кей­сы и даже перечис­лил популяр­ные рабочие инс­тру­мен­ты, попут­но упо­миная их осо­бен­ности и область при­мене­ния.

Тон­кости работы с изоб­ражени­ями (да, метадан­ные в 2023 году живее всех живых, не поверишь), с виде­оза­пися­ми (панора­миро­вание), со спе­цифи­чес­кими объ­екта­ми (горы, тени и про­чее) и вагон иной инте­рес­ной информа­ции — все это спи­кер умес­тил в трид­цать минут. Затем пос­ледова­ла не менее инте­рес­ная часть отве­тов на воп­росы. Они гар­монич­но допол­нили сам док­лад, поэто­му не про­ходи мимо.

Ес­ли прос­мотр записи при­ведет тебя в вос­торг, рекомен­дую про­дол­жить веселье и пос­мотреть оба выс­тупле­ния Андрея Масало­вича, номера 8 и 9 в этом спис­ке.

«Обык­новен­ная магия», «облачный чародей», «корм для рыб», «все переп­летено»... Это не гла­вы из новой кни­ги о зна­мени­том вол­шебни­ке, а слай­ды к пла­мен­ному выс­тупле­нию двух спе­циалис­тов «Лабора­тории Кас­пер­ско­го». Они рас­ска­зали детек­тивную ИБ‑исто­рию с зак­ручен­ным сюжетом и неожи­дан­ным финалом (да и финалом ли?).

Как это час­то быва­ет, все началось с целево­го фишин­га, при котором про­исхо­дила рас­сылка на пер­вый взгляд легитим­ного PDF-фай­ла. Пер­вая при­ман­ка датиро­вана аж 2021 годом, а основная вол­на зараже­ний началась уже в сле­дующем году. Геор­гий и Леонид рас­кры­ли детали ата­ки, разоб­рали на сос­тавля­ющие инстал­лятор и обра­тили вни­мание слу­шате­лей на инте­рес­ные нюан­сы. Спой­лерить не буду, но отме­чу забав­ный момент про наз­вание Powermagic (непос­редс­твен­но вре­донос) — его при­дума­ли зло­умыш­ленни­ки, наз­вав так дирек­торию, из которой работал злов­ред.

Сле­дующий этап док­лада был пос­вящен более слож­ному имплан­ту — фрей­мвор­ку под наз­вани­ем Commonmagic.

Ана­лиз Powermagic и Commonmagic не про­яснил один доволь­но важ­ный воп­рос: какая имен­но APT-груп­пиров­ка сто­яла за ата­ками? На помощь приш­ли кол­леги из‑за рубежа, помог­ли поэтап­но вос­полнить про­белы в информа­ции. Экспер­ты Malwarebytes — одной из ком­паний, поделив­шихся сво­им иссле­дова­нием, — умуд­рились даже некото­рое вре­мя сле­дить за ата­кующи­ми.

«In this case, attributing the attack to a specific country is not an easy task», — Malwarebytes