КОНФІГУРАЦІЇ КЛІЄНТІВ
"Зловмисники збирають детальні налаштування робочих станцій та серверів: версію ОС, архітектуру (x86/x64), мову системи, часовий пояс та наявність середовищ віртуалізації. Ці дані допомагають адаптувати шкідливий код (наприклад, вибрати мову фішингового вікна) та уникати виявлення, якщо вірус налаштований не запускатися у віртуальних машинах дослідників (Anti-VM)."
TECHNICAL_ANALYSIS
0x01Зловмисники можуть збирати інформацію про конфігурації клієнтів жертви, яка може бути використана під час вибору цілі. Інформація про конфігурації клієнтів може включати різноманітні деталі та налаштування, зокрема операційну систему/версію, віртуалізацію, архітектуру (наприклад, 32 або 64 біти), мову та/або часовий пояс.
Зловмисники можуть збирати цю інформацію різними способами, такими як прямі дії зі збору через Активне сканування (наприклад, прослуховування портів, банери серверів, рядки User-Agent) або Фішинг для отримання інформації. Зловмисники також можуть компрометувати сайти, а потім додавати шкідливий контент, призначений для збору інформації про хост від відвідувачів.
Інформація про конфігурації клієнтів також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, оголошення про вакансії, карти мереж, звіти про оцінку, резюме або рахунки-фактури на закупівлю). Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах/доменах або у відкритих технічних базах даних), створення оперативних ресурсів (розробка або отримання інструментів) та/або початкового доступу (наприклад, компрометація ланцюжка постачання або зовнішні віддалені сервіси).
Навіщо хакеру знати ваші налаштування?
- Архітектура (32/64 bit): Шкідливий код, написаний для 64-бітної системи, просто не запуститься на старій 32-бітній машині. Хакер збирає ці дані, щоб надіслати правильну версію експлойту.
- Мова та часовий пояс: Якщо хакер бачить мову uk-UA, він розуміє, що перед ним українець, і може підсунути фішингову сторінку входу в Microsoft 365 українською мовою для більшої довіри.
- Віртуалізація (VM Detection): Багато сучасних вірусів перевіряють, чи не працюють вони всередині VMware або VirtualBox. Якщо так, вірус «прикидається» нешкідливою програмою, щоб не потрапити на аналіз до вірусних аналітиків.
- Рівень оновлень (Patch Level): Знання точної версії збірки Windows (наприклад, 22H2 19045.2846) дозволяє хакеру точно знати, які системні дірки вже закриті, а які ще можна експлуатувати.
Як зловмисники отримують ці дані?
- User-Agent браузера: Це найпростіший шлях. Щоразу, коли ви заходите на сайт, ваш браузер каже: “Привіт, я працюю на Windows 11, архітектура x64, мова українська”.
- WebRTC Leak: Спеціальні скрипти на сайтах можуть витягнути вашу внутрішню IP-адресу та дані про мережеве оточення навіть через VPN.
- Метадані документів: У властивостях файлів Word часто зберігається назва шаблону, версія ОС та мовні налаштування автора.
Як захиститися?
- Блокування Fingerprinting: Використовуйте сучасні браузери (Brave, Firefox) або розширення, які підміняють або обмежують передачу даних про конфігурацію системи (Canvas Protection).
- Стандартизація: Використовуйте однакові образи ОС для всієї компанії. Це не завадить збору даних, але зробить вашу інфраструктуру менш цікавою для «вибіркових» атак.
- Обмеження зовнішніх скриптів: Використовуйте рішення класу Web Gateway для блокування підозрілих скриптів на сайтах, які намагаються зібрати детальну інформацію про залізо клієнта.
- Гігієна VPN: Налаштуйте VPN так, щоб він не допускав витоку внутрішніх параметрів хоста через WebRTC.