Attack hack type 1 что это значит
В этой теме вы можете пожаловаться на админов.
Пример подачи.
1. Ваш игровой ник.
2. Ник администратора
4. Доказательства (демо, скрины).
5. Опишите ситуацию, как и что произошло.
— СРОК РАССМОТРЕНИЕ ЗАЯВКИ ДО 7 ДНЕЙ.
— ЖАЛОБЫ ТОЛЬКО ПО ШАБЛОНУ.
4 
5 Он каким-то образом посмотрел корапченную демку, и сказал что я чист (я не чист). Админы явно хорошо работают
4
5 Он каким-то образом посмотрел корапченную демку, и сказал что я чист (я не чист). Админы явно хорошо работают
Здраствуйте, я увидел что демка сломана, подумал, словлю на горячем, ведь до скидывания демки вы играли не так сильно с читами. Я написал чист и сразу зашёл на сервер, что бы спалить вас с читами и уже забанить за чит. Написал я что чист что бы вы зашли и подумали что я дурачок и начали сильно палиться с читами. Я хотел удостовериться, поэтому написал чист. И да, хватит вам обходить баны, на сервере на данный момент вас банят, вас кикают, вас убивают грабом, но вам всё равно и вы читерите, так вот, может хватит уже обходить? Вам приятно когда другие игроки «страдают» от вашего читерства, и вовсе выходят и идут на другой сервер. Что наш сервер вам сделал? Прошу вас, выйдите и не читерите больше. Я всё сказал, дальше дело за вами.
Unreal Demo Scanner
Сообщений: 648
Благодарностей: 231
Полезность: 241
У некоторых игроков показывает DUCKHUACK, хотя остальных детектов нет, либо 1-3 ложных на аим.
При чем DUCKHUACK по какому принципу ловит?
Когда просто игрок крутит колесо или юзает скрипт или через чит?
Спасибо за демки я поисправлял детекты на duckhack/strafe optimizer ложные и еще пофиксил когда переводят игрока в спектры у меня считало что он еще жив 🙂
Обнову загружу через час где-то после тестов.
Обновление 38
* Исправление ошибок
* Исправлены ложные срабатывания на DUCKHACK/STRAFEOPTIMIZER/ETC
Стаж: 1 год 5 месяцев
Сообщений: 1
Благодарностей: 1
Полезность: 0
karaulov,
Записал свое демо(тренировка с ботами)
затем пропустил демо через прогу
Вот что получилось:
WARN [AIM TYPE 7.2 MATCH1:5% MATCH2:5% MATCH3:40%](. ) on (1734,494):00h:28m:54s:494ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:30%](. ) on (1750,158):00h:29m:10s:158ms (. )
WARN [AIM TYPE 7.4 MATCH1:5% MATCH2:5% MATCH3:40%](. ) on (2114,619):00h:35m:14s:619ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:30%](. ) on (2198,255):00h:36m:38s:255ms (. )
Detected [AIM TYPE 7.14 MATCH1:30% MATCH2:100% MATCH3:30%] on (2376,212):00h:39m:36s:212ms (. )
Detected [AIM TYPE 7.14 MATCH1:10% MATCH2:100% MATCH3:30%] on (2376,723):00h:39m:36s:723ms (. )
Detected [AIM TYPE 7.14 MATCH1:100% MATCH2:-10% MATCH3:30%] on (2377,171):00h:39m:37s:171ms (. )
Detected [AIM TYPE 7.14 MATCH1:100% MATCH2:-10% MATCH3:30%] on (2377,375):00h:39m:37s:375ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:30%](. ) on (2397,505):00h:39m:57s:505ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:30%](. ) on (2398,155):00h:39m:58s:155ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:30%](. ) on (2399,224):00h:39m:59s:224ms (. )
WARN [AIM TYPE 7.14 MATCH1:5% MATCH2:5% MATCH3:40%](. ) on (2399,968):00h:39m:59s:968ms (. )
Detected [AIM TYPE 7.13 MATCH1:100% MATCH2:0% MATCH3:30%] on (2412,992):00h:40m:12s:992ms (. )
Мышь Ozon Neon, dpi 6400, в игре сенса 0.2, виндовс сенса 2, Могу тебе демо скинуть сам посмотришь
Сообщений: 648
Благодарностей: 231
Полезность: 241
Исправил добавленное в прошлой версии ложное срабатывание на AIM TYPE 6
демо чекеры, программы для выявление читов, запрещённого софта, алиасов, скриптов
Tes1a
На главной странице сайта mircs.ru В разделе «Демочекер» идёт отсыл на старую версию. Возможно на момент создания сайта она и была актуальной, да и называется она правильно View Demo Helper (c) Radius,
Так как эта тема мне знакома и интересна, я практически первым становлюсь обладателем новых версий, включая тэстовые бэтки. И с удовольствием готов поделиться с участниками форума, адмэнами проекта миркс, крайними релизами, программами и инструкциями по работе с ними, для того что бы выявлять и усложнять читерюшкам жизнь на просторах CS
Mr. Famas
Tes1a
Пасхалка юзающим View Demo Helper
Tes1a
не знаю, правильно ли создавать новый месседж, о выходе новых версий чекеров, или же лучше править уже созданный. Админы, если что подскажите как лучше.
Unreal Demo Scanner Обновление v1.53b13
* Отключение desync обнаружение для двигающихся игроков
краткий комментарий по работе с унреалом:
В последних версиях исправлено ложное срабатывание, во время смерти игрока (применимо к режиму «воскрешение»)
(Теперь будет писать [WARN] [AIM TYPE 8.2] at (279,0134):00h:04m:39s:022ms (DEAD)
Демосканер не ловит на 100% читы.
Демоксанер не ловит ВалХак вообще, Игрок может использовать спокойно ВХ(ESP,боксы,стрелки,радар) Подобный софт выявляется визуально, по манере игры и применением esp в демо хелпере
Игрок может использовать тонко настроенные(LEGID) приватные читы, которые не палятся Демосканером. Паблик (бесплатные) читы ловит с вероятностью 95%. Приватные читы в RAGE режиме 95%
Есть ложные варны/обнаружения, прежде чем банить ещё раз проанализируйте демку визуально в демоплеере кс 1.6.
При анализе результатов в Unreal Demo Scanner и View Demo Helper ОБЯЗАТЕЛЬНО учитывайте используемые на стороне сервера режимы и плагины! например такие как уменьшенный разброс (rcs), увеличенное количество патронов в обойме (разброс x,y после деф количества выстрелов, будет сильно отличаться от привычного), повышенный урон, восстановление hp (вампиризм), гравитация, присутствие дамага (вводит в заблуждение при наблюдении за игроком который пользуясь дамагером простреливая через дым, воспринимается как ВХ), воскрешение, csdm и тд
Помните.
— чекер программы, являются лишь дополнительным инструментарием, в помощь адМЭНам, для более детализированного и ускоренного анализа DEMO по выявлению читерастов!
— если Вы занимаетесь выяснением читер или нет игрок, то только Вы «судья», который должен руководствоваться фактами, а не мнением, доводами и неверно истолкованными вами данными чекеров!
What is a hacker attack?
“One ought never to turn one’s back on a threatened danger and try to run away from it. If you do that, you will double the danger. But if you meet it promptly and without flinching, you will reduce the danger by half.” Winston Churchill
T he hacker can be anyone if he/she has a basic knowledge, desire, motivation, and (sometimes) some money. In addition to these characteristics, the successful hacker must have a large dose of patience and planning workability. However, neither all hackers are all the same, nor all hackers have the same goals. [1] Hacker attack can be defined as illegal computer system penetration in order to manipulate the PC and all the associated systems. This goal is being reached with the help of special scripts or programs, that manipulate the processing of data received via a network connection to get an access to confidential information. Hacking techniques include the use of viruses, worms, Trojans, cryptographers, browser hijackers, rootkits and DoS attacks.
Sources of hacker attacks
Preconfigured hacker scripts are available for download online for everyone, including novice users. In fact, any person who is patient and determined enough can learn how to hack computer systems, and people who are interested in stealing data for their own petty aims can easily learn how to do that. However, these people are not the main source of problems connected with hacker’s attacks. The biggest problems cause professional hackers who modify scripts and develop new hacking techniques, as they are the most serious threat to data and system security. [2]
How to recognize a hacker attack?
The fact that your computer got hacked is obvious if your friends, colleagues and other people from your contact list receive phishing emails from your email address or if your computer is blocked by a coder. There can be also a different, less obvious situation, when your browser is being hijacked, In that case, when a user is trying to get to his online banking, hacked browser opens fake pages of online banking and collects all the data a user enters. This hacking becomes apparent only when funds disappear from a bank account, or when a third party starts to use your online personality. Quantifying losses caused by the cyber-attacks is very difficult and unprecise. Losses consist not only of the direct cost of lost money, but of the costs of cleaning up and the investigation, as well. In addition, every day improving protection costs money. The year 2011 was called “The Year of the Hack” [3]
I use only Facebook and I am not a secret agent, why someone should be interested in hacking me?
Such a neglect of one’s own security on the Web leads to massive hacking attacks and infection of devices with lots of viruses. Most of hacker attacks are aimed for a commercial gain. If there is no information regarding bank cards or accounts, or any of state or commercial secrets, such an information can be found on an account connected to the current one (friends, relatives, colleagues, etc.). This makes easier to get into computers or systems related to the victim’s system or simply ask for help using the victim’s personality and ask for some bank details or passport data,
No one can hack my password
Such passwords as 123456″, “123456789”, “qwerty”, “12345678” and “111111” have become the most common for people who were hacked. Password management software program named Keeper has figured out 25 most used passwords, and these passwords are used by 50% of all the web users. [4] That said, it is enough to enter one of the passwords offered by one of the similar systems to get into someone’s mailbox, online banking security system or a cloud storage. Such kind of programs can pick the correct 5-digit password by brute-force attack method within several seconds. A password should consist of at least 10 digits and contain letters, digits and punctuation marks; letters part should have both uppercase and lowercase to increase security. Symbols of a password should not form any words or set phrases (even in transliteration). You should not use the same password for different web pages and use such secret questions, such as “your first pet’s name” or “your mother’s maiden name”, etc. It is difficult to memorize several complicated passwords, that is why there are password managers that help to generate, remember and store such passwords safely.
I have the most complicated password, am I safe now?
A complicated password is not enough to guarantee full security from hacker attacks. That is the reason why most services now use two-factor authentication. Using this method, a system recognizes its user by two different signs. On the first stage it is usually something that user knows, like password or pin code. The second stage requires a usage of something that belongs to a user, such as smartphone. A user can receive an SMS notification with one-time use password or push notification which helps to confirm the input. One more possible factor is using of biometric information. This can be a fingerprint or a face recognition system. It is not safe to use only one of the methods listed above. Even a fingerprint can be “removed” from the screen of a smartphone or restored from a photo, as the hacker Starbug did, forging the fingerprints of German Defense Minister Ursula von der Leyen. [5]
Nothing bad can happen if I follow the link sent by my friend, even if we do not keep in touch for a while
Most likely, this friend was hacked. And they are trying to hack you too. This is called “phishing” — a hacker is trying to override user’s vigilance with an allegedly important message, using the following headings: “invoice”, “contract” or “see what video I found with you” that easily catch attention and make a user qurious. When a user launches the received attachment, the malware that looks like a common text file is being downloaded to a user’s device. But if you click on the properties of the “contract”, you can see that this file has the extension exe instead of txt. Or a user follows the link and gets to a starting page of a social network or mail service. Thinking that he was just accidentally logged out of the system, the user can re-enter his login and password. However, the “start” page is only a fake, and user data gets in the hands of intruders. The similar situation happened with one of the members of the US Democratic Party. As a result of following the wrong link he filled out a form on the website which supposed to be a mailbox. However, it was not a mailbox, and this is how attackers got an access to inbox of Hillary Clinton’s party member and got email addresses of the rest of the members. In case if you identify a similar email, you need to mark it as spam. And yes, don’t open it as well. [6]
How can I recognize that a website is not fake?
If you clicked on a link in a letter that forwards you to a popular website, double check its URL. For example, a fake Google email site can contain “hmail.com” in URL address instead of “gmail.com”. The difference is not obviously recognizable, but really efficient. Also pay attention to the security protocol of the site (these are the very first letters that are in front of the address body). Fake sites rarely use the https protocol because it uses encryption. By the way, it’s better to use https protocol than http. It does not mean that those websites are harder to crack, but if hackers intrude into the transfer of information between the site and the user, then they will understand nothing in it.
I have antivirus, even two! Am I safe now?
Antivirus can be useful, but only if we are talking about viruses that have been already recognized and added to its library. If the virus is completely new, then the antivirus will not recognize the malware.
What else can I do to be safe?
Recently, attacks of extortionists have become more and more frequent. For example, hackers can encrypt data on a victim’s computer. They are not interested in the contents of the hard disk of the computer, but in bitcoins, which they ask for decryption. It is important not to pay the blackmailers, as there are no guarantees that they will keep their promise and decrypt the data or keep it confidential. There was a so-called WannaCry virus attack spring of the last year. It showed the importance of updating the operating system on time and how it is dangerous to use cracked pirate software. The WannaCry virus used a bug in Windows operating system that was further corrected in next versions of OS. Those who used the cracked version of software or did not have time to update Windows became victims of cyber attacks. [7]
Please also remember to create a backup of your systems (PC, your smartphone, etc.) to be able to restore all the necessary data in case of a hacker attack. By the way, most encryption viruses activate after a reboot, so if you realize that you got a virus, do not rush to turn off the computer. Try to get rid of it during the working session with the help of antivirus or computer backup.
Матрица ATT&CK. Как устроен язык описания угроз и как его используют
Содержание статьи
Итак, что такое MITRE и что за атаки? MITRE — это некоммерческая организация, которая работает в США и управляет центрами исследований и разработок на уровне федерального правительства и местного самоуправления. В зону интересов MITRE входят: искусственный интеллект, квантовая информатика, информатика в области здравоохранения, космическая безопасность, обмен данными о киберугрозах и средствах защиты и так далее.
В сфере информационной безопасности корпорация MITRE известна благодаря списку CVE (Common Vulnerabilities and Exposures) cve.mitre.org. Это база общеизвестных уязвимостей, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, где структурируют и хранят данные по багам в ПО. Именно эти базы используют злоумышленники при первой попытке проникнуть в инфраструктуру жертвы после сканирования сети.
CVE — не единственный проект MITRE, связанный с защитой информации. Существуют и активно развиваются также такие направления:
Отечественные регуляторы, кстати, тоже занимаются подобными исследованиями — 5 февраля 2021 года ФСТЭК России выпустил методическое пособие по оценке угроз безопасности информации. На тридцатой странице показан пример сценария атаки.
Фрагмент методического пособия
В народе эту таблицу уже прозвали FST&CK, но это уже совсем другая история.
Зачем нам ATT&CK
MITRE представил матрицу ATT&CK в 2013 году как способ описания и категоризации поведения злоумышленников (составления паттернов поведения) на основе реальных наблюдений. Прежде чем начать разбирать, как пользоваться матрицей, давай пройдемся по основным понятиям (не переживай, их всего три).
APT (Advanced Persistent Threat) — это группа злоумышленников или даже страна, которые участвуют в продолжительных кибератаках на организации или страны. Дословный перевод термина — продвинутая постоянная угроза. Прочитав всю статью, ты поймешь, что особо продвинутого ничего нет.
Большой список известных APT-групп, который ведут фанаты информационной безопасности.
Наборы TTP (техники, тактики и процедуры), расшифровываются следующим образом:
Как вообще действует атакующий? Он открывает свой учебник для мамкиных хакеров, где на второй странице знакомится с понятием Kill Chain. Kill Chain, то есть «цепочка убийства», — модель, определяющая последовательность действий, ведущих нарушителя к цели. Она состоит из ряда обычно последовательных этапов:
Матрица MITRE ATT&CK началась с внутреннего проекта, известного как FMX (Fort Meade Experiment). В рамках его специалистам по безопасности поставили задачу имитировать враждебные TTP против сети, а данные об атаках на эту сеть затем собирали и анализировали. Именно эти данные потом легли в основу ATT&CK. Поскольку матрица ATT&CK представляет собой довольно полное описание поведения, которое злоумышленники используют при взломе сетей, матрица полезна для различных наступательных и защитных измерений, представлений и других механизмов (например, моделирования угроз по ФСТЭК).
MITRE разбил ATT&CK на несколько сводных матриц:
В каждой из них — тактики и техники, связанные с предметом этой матрицы. Самая популярная матрица — Enterprise. Она, в свою очередь, состоит из ответвлений, ответственных каждое за свое:
Дальше мы рассмотрим именно эту матрицу. Разбивка на подматрицы сделана не просто так. Например, PRE Matrix и остальные части можно наложить на этапы киллчейн следующим образом.
Матрица ATT&CK Enterprise для модели Kill Chain
Как видишь, в PRE Matrix содержатся данные, которые касаются подготовительных этапов атаки, например сканирование и инвентаризация сети, фишинг или социальная инженерия. А остальные подтаблицы матрицы Enterprise содержат самое интересное. В верхней части матрицы расположено 14 категорий. Каждая категория содержит тактики, которые может использовать злоумышленник.
Категории матрицы ATT&CK Enterprise и количество вложенных техник в каждой категории
Разберем, например, тактику Execution (исполнение). Сколькими способами можно что‑либо запустить на конечной системе? Выдумывать велосипед и собирать консорциум уже не нужно, все давно продумали умные дяди. Раскроем выбранную тактику TA0002 Execution и увидим, сколько техник исполнения бывает. Их всего десяток, не считая подтехник:
У техники могут быть свои подтехники. Если ты кликнешь на правую часть (невразумительную серую трапецию), они раскрываются.
Подтехники T1059 Command and Scripting Interpreter
Скрипты и команды указаны для разных популярных ОС, которые могут использоваться при проведении вредоносной кампании. Если кликнуть по надписи, открывается страница, посвященная описанию определенной техники, как пример — по клику на Command and Scripting Interpreter открывается доступ ко всей связанной информации, касающейся этого метода, а именно: краткое описание техники, примеры процедур по различным группировкам и меры для снижения рисков.
При моделировании угроз по новой методике ФСТЭК ты должен использовать набор TTP, как конструктор Lego. Видишь атаку — формируй все пути ее реализации (сценарии) из кубиков TTP, причем MITRE ATT&CK указывается как один из возможных источников для формирования исходных данных.
Чтобы выделить используемые техники, тактики и процедуры, после анализа вредоносной программы можно воспользоваться MITRE ATT&CK Navigator вместо Excel. Для примера можешь посмотреть разложения целевой атаки Carbanak на TTP.
Короче, матрицу MITRE ATT&CK использовать можно и нужно — и в рамках анализа вредоносного ПО, и для сопоставления тактик и методов разных группировок. В качестве примера можешь посмотреть исследование Group-IB, в котором разбирается шифровальщик ProLock. Там есть раздел MITRE ATT&CK Mapping, где расписаны используемые тактики и техники.
Для автоматизации маппинга можно использовать официальный инструмент (пока он beta) Threat Report ATT&CK Mapper (TRAM), который с помощью механизмов NLP (обработка текстов на естественном языке) по ключевым словам предлагает соответствующую тактику или технику. Аналитику в таком случае остается только подтвердить либо отклонить предложение. Эту утилиту мы рассмотрим в одном из будущих материалов.
Правила CAPA
Разрешения, которые запрашивает при установке почти любое приложение для Android, давно привлекают внимание ИБ‑специалистов. Обычно просят и доступ к камере, и к микрофону, и к сети. Конечно же, чтобы отправлять все это твоему куратору!
Исследователям из FireEye это понравилось — а что мешает проверить, какие возможности есть у определенного исполняемого файла? Сказано — сделано, и тут в игру вступают правила CAPA.
Пример Android-приложения с его разрешениями
При динамическом анализе объекта он запускается в изолированной среде и мониторится вся активность на уровне гипервизора или специальных утилит. Используя CAPA-правила (они, кстати, опенсорсные), аналитик может сократить время, провести предварительный статический анализ объекта и сконцентрироваться на потенциальных активностях и возможностях программы по матрице MITRE ATT&CK.
Пример анализа с помощью правил САРА файла 1.exe
Видим, что анализируемый файл использует три тактики и пять техник по матрице MITRE ATT&CK. Помимо этого, CAPA выводит список возможностей исполняемого файла по используемым функциям.
Используемые функции объекта 1.exe
Автоматическое определение возможностей в CAPA реализовано через поиск характерных артефактов. Это используемые вызовы API, строки, константы, создание мьютексов и сокетов, подгружаемые либы. Эти артефакты задаются правилами (похожими на правила YARA), которые помогают выявить функции, реализованные во вредоносе.
Рассмотрим пример правила САРА.
CAPA-правило: schedule task via command line
В первую очередь CAPA извлекает строки и константы, которые могут быть именами функций или о чем‑то говорить эксперту. Найденное разделяется на файловые свойства и результаты дизассемблирования (строки, константы, вызовы). Файловые свойства — это заголовки и импортируемые API (в том числе названий используемых функций). В примере выше используется логическое условие:
То есть правило детектирует консольные команды, с помощью которых создаются задачи в планировщике Windows.
Выводы
Сообщество людей, заинтересованных в поддержке философии MITRE ATT&CK, с каждым годом все больше, поэтому и применение этой матрицы становится мейнстримовым. К примеру, вендоры используют ATT&CK для создания алертов в своих продуктах. Такой подход упрощает расследование инцидентов и реагирование на них. В общем, ATT&CK — это не просто хайп, а важная и для всего рынка кибербезопасности база знаний.
Матрица MITRE ATT&CK в отчете Group-IB Polygon комплекса Threat Hunting Framework
Матрица позволяет строить модели угроз для разных типов компаний и показывать, какие из известных угроз можно закрыть конкретными решениями. В теории это выглядит так: компания, выбирающая решения для защиты своей инфраструктуры, проецирует возможности злоумышленника на матрицу ATT&CK и смотрит, какие актуальные угрозы остались незакрытыми.
Профиль кибергруппировок и их кампаний по MITRE ATT&CK помогает понять, какие инструменты используют злоумышленники, ознакомиться с их техниками и тактиками. Эти знания позволяют прогнозировать вероятную точку входа в организации.
Активное и повсеместное применение базы знаний ATT&CK позволит унифицировать подход всего сообщества кибербезопасности — как бы поможет говорить на общем языке.
При этом важно помнить, что две последние буквы в сокращении ATT&CK означают Common Knowledge, то есть «общеизвестные вещи». Матрица строится на основе уже проведенных атак и дает поведенческую справку о том, какие TTP использовались. Бесспорно, это отличная база знаний, которая удобна в использовании, и у нее очень сильная поддержка. Однако парадокс в том, что она никогда полностью не опишет абсолютно все техники злоумышленника, хоть и стремится именно к этому.
Борис Осепов
Специалист ИБ. Увлекаюсь средствами анализа вредоносного ПО. Люблю проверять маркетинговые заявления на практике 🙂
