Багамы под колпаком у АНБ

АНБ подслушивает телефонные звонки на Багамах

Агентство Национальной Безопасности США хранит на своих серверах все телефонные разговоры обитателей Багамских островов. Это популярный курорт, поэтому ведомство записывает разговоры не только местных жителей, но и приезжих. Еще один повод не доверять популярным каналам связи.

Шпионы работают без ведома и согласия багамских властей. Согласно данным ресурса The Intercept, правительство США создало крупную шпионскую сеть на территории островной страны. Об этом стало известно из материалов, опубликованных бывшим сотрудником АНБ Эдвардом Сноуденом (Edward Snowden).

Доклад экс-шпиона указывает, что наблюдение ведется в рамках сверхсекретной системы под кодовым названием SOMALGET. В свою очередь, SOMALGET – часть программы MYSTIC, которую АНБ использует для мониторинга телекоммуникационных систем на Багамах, Филиппинах, в Мексике и Кении. The Intercept отказалась называть другие страны, которым интересуется агентство, опасаясь за то, что публикация может вызвать эскалацию насилия в данных регионах.

Достоверно известно, что полная запись телефонных разговоров осуществлялась только на Багамах и в старне, которую The Intercept  не назвала. MYSTIC собирает метаданные звонков, а SOMALGET записывает и хранит содержимое разговоров. Файлы, которые опубликовал Сноуден, указывают на то, что MYSTIC используется в нескольких странах для шпионажа за четвертью миллиарда людей.

АНБ работала с Управлением по борьбе с наркотиками США для создания лазейки в сотовой сети Багам. Это позволяет агентству записывать и сохранять полные аудиофайлы разговоров, кому они адресовались в или за пределами страны. Данные хранятся на протяжение 4 месяцев. Согласно документам, каждый день записывается около 100 млн звонков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru