Контакты
Подписка
МЕНЮ
Контакты
Подписка

Анатомия таргетированной атаки. Часть 4

Анатомия таргетированной атаки. Часть 4

В рубрику "Таргетированные атаки" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Анатомия таргетированной атаки.Часть 4

Это заключительная статья цикла публикаций, посвященных природе таргетированных атак, их особенностям и методам противодействия. В предыдущей, третьей части мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ. Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:
• Анализ аномалий – технология, основанная на статистическом анализе информации и учитывающая частоту событий и их последовательность. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.
• Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде.
Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.
Вениамин
Левцов
Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"
Николай
Демидов
Технический консультант по информационной безопасности “Лаборатории Касперского"

Так что же должна уметь современная система выявления следов таргетированной атаки?

  • Собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7.
  • Быстро обнаруживать следы целевой атаки.
  • Уведомлять об инцидентах информационной безопасности.
  • Детально протоколировать выявленные инциденты.
  • Передавать события об инцидентах в систему корреляции событий SIEM и другие решения.
  • Получать статистику угроз через облачную инфраструктуру.
  • Накапливать историческую информацию об инцидентах.

Рассмотрим, за счет каких технологий удается достичь результата в обнаружении таргетированной атаки.

Важно отметить

Часть основополагающих технологий детектирования были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.

Средняя стоимость восстановления после инцидента, связанного с таргетиро-ванной атакой, составляет примерно 11 млн руб. для крупного бизнеса.1

Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.

Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (Dashboard).

На протяжении более чем 20 лет "Лаборатория Касперского" занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Статью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.

Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры, где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующим уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.

Какая информация считается обязательной для анализа?

В целях обеспечения комплексного мониторинга решение анализирует следующую информацию:

Сигнатура – описанный фрагмент кода, однозначно идентифицирующий зловредный объект.
  • Посещаемые URL.
  • Файлы различных форматов в том числе исполняемые.
  • Электронные сообщения и вложения.
  • Метаданные трафика.
  • Метаданные рабочих станций.

Далее мы подробней расскажем про архитектуру решения и опишем функциональное назначение каждого уровня в отдельности.

Как строится взаимодействие в многоуровневой структуре?

Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни "делятся" анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который, в свою очередь, осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.

Эвристический анализатор (эвристик) – технология обнаружения угроз, не определяемых с помощью антивирусных баз. Позволяет находить объекты, которые подозреваются в заражении неизвестным вирусом или новой модификацией известного. Файлы, обнаруженные с помощью эвристического анализатора, признаются возможно зараженными.
  • Уровень сбора информации.
  • Статический анализ.
  • Динамический анализ объектов.
  • Статистический анализ.

Рассмотрим применяемые технологии на каждом из уровней решения (см. рисунок).

Уровень 1 – Сбор информации

Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, серверы электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.

Сбор данных на уровне сети

Для сбора сетевых данных применяются следующие технологии:

  • Сбор URL – из сетевого трафика выделяются посещаемые URL, которые передаются для проверки верхними уровнями системы.
  • Сбор файлов – благодаря технологии File Recognition, применяющей множество критериев к объектам, из сетевого потока выделяются только обязательные файлы, попадающие на второй и третий уровень анализа. Это позволяет решению не тратить время и производительность на анализ каждого проходящего объекта в сети.
  • Сбор E-mail – электронная почта продолжает оставаться одним из основных каналов распространения целевых атак. Каждое входящее электронное письмо вначале отправляется на проверку второго уровня статического анализа – антивирусом.
  • Сбор метаданных трафика – генерируется подробная информация по сетевому трафику, необходимая для работы четвертого уровня системы, где расположен Targeted Attack Analyzer. Информация накапливается и применяется для выполнения статистического анализа.
  • Система обнаружения вторжений (ID System).

Технология сигнатурного детектирования, применяемая на первом уровне, основана на технологии SNORT и отвечает за проверку сетевого трафика. Приведем несколько примеров обнаружения данной технологией:

  • Активное сканирование портов.
  • Переполнение буфера.
  • Атаки на Web-приложения, базы данных и Web-порталы (например, инжектирование кода).
  • Сетевая коммуникация с командным центром (определяя основные известные команды, применяемые в управлении).
  • RAT – Remote Admin Tool (инструменты удаленного управления) и др.
  • Вердикты IDS-системы передаются непосредственно в общую базу четвертого уровня, Targeted Attack Analyzer.

Сбор данных с рабочих станций

Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:

  • метаданные сети, содержащие подробную информацию (временные интервалы, типы протоколов, IP-соединения т.д.);
  • информация о процессах операционной системы (наименование, время работы и т.д.);
  • информация об изменениях в реестре (тип записи, время изменений);
  • информация об установленных программах (наименование, когда установлена, частота использования);
  • информация об учетных данных в системе (вход в систему, время, от имени кого выполняется программа и др.);
  • метаданные файлов (для работы репутационной базы второго уровня статического анализа);
  • дамп оперативной памяти (по запросу уровня статистического анализа (TAA)) и некоторые другие параметры.
Результаты, о которых стоит сказать За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.
• В сентябре 2015 года система по защите от таргетированных атак "Лаборатории Касперского", развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена2. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации.
• Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры "Лаборатории Касперского" были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями3. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0 заключалось в том, что вредоносный код содержался только в оперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.

Уровень 2 – Статический анализ

Второй уровень приведенной выше общей схемы решения отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.

Рассмотрим некоторые реализованные на этом уровне технологии:

• Антивирусный движок (Anti-Malware Engine) – выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика.

Постоянно обновляемые аналитическими службами "Лаборатории Касперского" базы данных обеспечивают высокую скорость вынесения вердиктов.

Помимо файлов, из трафика производится проверка вложений электронной почты, перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа. l YARA-правила – реализована работа с открытым языком сигнатурного описания, что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых или бинарных шаблонах.

• Облачное детектирование – облачный сервис, предоставляющий оперативный доступ к базам знаний компании, в которых содержится информация по следующим категориям:

– База URL-репутации проверяет посещаемые URL, выносит вердикт по опасным и ненадежным адресам в сети Интернет, которые могут предоставлять угрозу безопасности пользователей. Также контроль распространяется и на электронные письма, в которых могут содержаться опасные URL-ссылки.

Категории Web-адресов, содержащиеся в репутационной базе данных:

  • Вредоносный, несет опасность заражения.
  • Фишинговый, используется в целях хищения личной информации.
  • Адреса, связанные с таргетированной атакой, либо ранее замеченные в ней.

– База репутации файлов использует для работы снятые контрольные суммы файлов выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках.

Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.

Каждый вердикт сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа.

– Risk Score Engine – анализ apk-файлов мобильной операционной системы Android.

Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk-файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.

Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.

Уровень 3 – Динамический анализ

Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно неважно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. То же самое касается URL-адресов, после прохождения репутационной базы они будут переданы на уровень динамического анализа.

Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред, на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.

  • Windows XP.
  • Windows 7 32Bit.
  • Windows 7 64 Bit.

Техники, препятствующие динамическому анализу, и методы борьбы с ними

Технология динамического анализа присутствует на рынке достаточно давно, и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:

  • задержка исполнения кода;
  • проверка количества ядер процессора;
  • проверка имени машины;
  • проверка программного окружения;
  • трекинг активности мыши/ клавиатуры.

В связи с этим песочница "Лаборатории Касперского" обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых:

  • эмуляция работы пользователя (движения мышью, работа на клавиатуре);
  • распознавание диалоговых окон, автоматическое действие;
  • выполнение прокрутки документа (Scroll);
  • настройка окружения, максимально похожего на реального пользователя;
  • эмуляция работы пользователя, включая реакцию на диалоговые окна.
Что делать, когда применение облачных технологий запрещено регламентом безопасности?
Предусмотрена возможность применения KSN-сер-виса в закрытом контуре предприятия с соответствующим регламентом безопасности. В таком случае локально разворачивается аналог облачного сервиса, именуемый Kaspersky Private Security Network (KPSN). В этом варианте решение не будет отправлять запросы за периметр сети, а будет работать с локальными репутационными базами автономно.

Также песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.

Необходимо отметить две дополнительные задачи, решаемые песочницей:

1. Проверка неизвестных URL-адресов.

Дело в том, что в реализации второй фазы таргетированной атаки ("проникновение") киберпреступники могут скомпрометировать доверенный сторонний Web-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.

2. Проверка вложений электронной почты.

Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.

Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.

Уровень 4 – Статистический анализ

На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный – Красный, средний – Желтый, незначительный – Серый).

Targeted Attack Analyzer – анализатор таргетированных атак. Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.

Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:

1. Накопительный ретроспективный анализ и поиск аномалий.

Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.


Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой "Лаборатории Касперского" (распространенность, время жизни объектов, репутация, категоризация доменов и файлов и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.

Пример накопительного ретроспективного анализа:

  • детектирование всплесков сетевой активности на узлах в нетипичное для работы время;
  • запуск программного обеспечения/системных утилит, работа которых была не характерна ранее;
  • активность на машине под учетной записью пользователя, ранее не работавшего на ней.

Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.

1. Связь в хронологическом порядке подозрительной активности, относящейся к атаке.

Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.

Приведем пример перечня данных, на базе которых выстраивается хронологическая связь:

  • статистика активности рабочих станций;
  • статистика сетевой активности ИТ-инфраструктуры компании;
  • инциденты, заведенные детектирующими технологиями каждого из уровней.

2. Сбор объектов с рабочих машин пользователей.

Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу либо статического анализа.

Поддерживается сбор следующих типов объектов:

  • исполняемые файлы;
  • дампа оперативной памяти; из общей тенденции развития таргетированных атак все больше случаев, когда следы можно обнаружить только в оперативной памяти.

Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.

Регулярные обновления технологий детектирования

В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.

1. Уровень сбора информации – обновление сигнатур для технологии обнаружения вторжений.

2. Статический анализ – обновление компонентов антивирусного движка; обновление методов анализа электронной почты.

3. Динамический анализ объектов – обновление логики определения подозрительности поведения в том числе Anti-Evasion-техник.

4. Статистический анализ – обновление логики анализа и выявления аномалий; правила заведения групповых инцидентов.

Задачу динамических обновлений решает специализированный сервис "Лаборатории Касперского", обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.

В случаях использования решения в закрытом контуре предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.

Экспертная поддержка

Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.

Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:

• Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.

• Внешний экспертный сервис "Расследование инцидентов" полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.

Задачи, решаемые экспертным сервисом:

  • предотвращение возможной утечки конфиденциальной информации;
  • снижение затрат, связанных с инцидентом;
  • снижение репутационных рисков с учетом выявленного инцидента;
  • восстановлению нормальной работоспособности скомпрометированных узлов включая дополнительные рекомендации;
  • выработка рекомендаций по защите информации на базе выявленного инцидента, чтобы избежать подобных инцидентов в будущем;

Threat Deception как дополнительный источник данных о целевых атаках

Технология является продолжением развития специализированных решений, именуемых Honeypot, – предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, серверы), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.

С картой, демонстрирующей эволюцию таргетиро-ванных атак на примере ранее обнаруженных, можно ознакомиться здесь: https://apt.securelist.com. Данная динамическая карта специально создана "Лабораторией Касперского" для информирования о действующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое.

Однако зачастую решения класса Honeypot не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.

Threat Deception подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса Honeypot. Threat Deception предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа, проводимого экспертом ИБ. Для этого в процессе имплементации решения защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.

Внутри ловушки повторяют основной набор бизнес-приложений и содержат специальные файлы-приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла-приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP-адрес, время, наименование ловушки).

Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.

На этом наш цикл статей завершен, мы надеемся, что он помог детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!

___________________________________________
1 Отчет “Финансовые аспекты информационной безопасности в российских компаниях, B2B International для “Лаборатории Касперского", 2016.
2 С детальным анализом атаки вы можете ознакомиться по адресу https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/.
3 С детальным анализом атаки вы можете ознакомиться по адресу: https://securelist.ru/blog/issledovaniya/25888/duqu-2-0-moshhnaya-kibershpionskaya-gruppirovka-snova- v-igre/.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016
Посещений: 5074

Приобрести этот номер или подписаться
  Автор

Вениамин Левцов

Вениамин Левцов

Директор департамента развития LET A IT-company

Всего статей:  6

  Автор

Николай Демидов

Николай Демидов

Технический консультант по информационной безопасности “Лаборатории Касперского"

Всего статей:  4

В рубрику "Таргетированные атаки" | К списку рубрик  |  К списку авторов  |  К списку публикаций