ТЕХНІЧНИЙ ОПИС

Зловмисники можуть збирати інформацію про конфігурації клієнтів жертви, яка може бути використана під час вибору цілі. Інформація про конфігурації клієнтів може включати різноманітні деталі та налаштування, зокрема операційну систему/версію, віртуалізацію, архітектуру (наприклад, 32 або 64 біти), мову та/або часовий пояс.

Зловмисники можуть збирати цю інформацію різними способами, такими як прямі дії зі збору через Активне сканування (наприклад, прослуховування портів, банери серверів, рядки User-Agent) або Фішинг для отримання інформації. Зловмисники також можуть компрометувати сайти, а потім додавати шкідливий контент, призначений для збору інформації про хост від відвідувачів.

Інформація про конфігурації клієнтів також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, оголошення про вакансії, карти мереж, звіти про оцінку, резюме або рахунки-фактури на закупівлю). Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах/доменах або у відкритих технічних базах даних), створення оперативних ресурсів (розробка або отримання інструментів) та/або початкового доступу (наприклад, компрометація ланцюжка постачання або зовнішні віддалені сервіси).

Навіщо хакеру знати ваші налаштування?

  • Архітектура (32/64 bit): Шкідливий код, написаний для 64-бітної системи, просто не запуститься на старій 32-бітній машині. Хакер збирає ці дані, щоб надіслати правильну версію експлойту.
  • Мова та часовий пояс: Якщо хакер бачить мову uk-UA, він розуміє, що перед ним українець, і може підсунути фішингову сторінку входу в Microsoft 365 українською мовою для більшої довіри.
  • Віртуалізація (VM Detection): Багато сучасних вірусів перевіряють, чи не працюють вони всередині VMware або VirtualBox. Якщо так, вірус «прикидається» нешкідливою програмою, щоб не потрапити на аналіз до вірусних аналітиків.
  • Рівень оновлень (Patch Level): Знання точної версії збірки Windows (наприклад, 22H2 19045.2846) дозволяє хакеру точно знати, які системні дірки вже закриті, а які ще можна експлуатувати.

Як зловмисники отримують ці дані?

  • User-Agent браузера: Це найпростіший шлях. Щоразу, коли ви заходите на сайт, ваш браузер каже: “Привіт, я працюю на Windows 11, архітектура x64, мова українська”.
  • WebRTC Leak: Спеціальні скрипти на сайтах можуть витягнути вашу внутрішню IP-адресу та дані про мережеве оточення навіть через VPN.
  • Метадані документів: У властивостях файлів Word часто зберігається назва шаблону, версія ОС та мовні налаштування автора.

Як захиститися?

  • Блокування Fingerprinting: Використовуйте сучасні браузери (Brave, Firefox) або розширення, які підміняють або обмежують передачу даних про конфігурацію системи (Canvas Protection).
  • Стандартизація: Використовуйте однакові образи ОС для всієї компанії. Це не завадить збору даних, але зробить вашу інфраструктуру менш цікавою для «вибіркових» атак.
  • Обмеження зовнішніх скриптів: Використовуйте рішення класу Web Gateway для блокування підозрілих скриптів на сайтах, які намагаються зібрати детальну інформацію про залізо клієнта.
  • Гігієна VPN: Налаштуйте VPN так, щоб він не допускав витоку внутрішніх параметрів хоста через WebRTC.