Jak cyberprzestępcy wykorzystują DNS

okej tym który udało się wejść do cieszę się bardzo może tak po krótce bo jak zwykle z obsługą czasową taka tradycja nie wiem że istnieje może nam się uda później to z jednym z elementów wypracować później jeśli chodzi o ceny ósma edycja jak co roku rok temu wiem że nie będzie następnej przekonali mnie no cóż no myślę że to samo tylko otworzyć i to jest witam was wszystkich

no cóż no abstrakcja tak wysłał nie będę opowiadał o to aby nas

odcinki dobre piotrek płaska mam przyjemność dzisiaj poopowiadać troszeczkę o dane się jak tego używać security ok na przykład z mównicy czemu w ogóle taki temat czemu warto jakby to się zainteresować dsm w obszarze security prosta odpowiedź w zasadzie właśnie w temacie to znaczy dlatego że przestępcy używają więc faceci o tym wiedzieć czemu przestępcy używają no bo generalnie obrońcy dosyć słabo się do nas interesują słabo monitorem ten protokół więc jak jesteś atakującym to naturalne jest że wybiera się taki obszar który sobie monitorowany więc spójrzmy na inny dzień w jaki sposób na których etapach ataku atakujący używają dns a przede wszystkim jeden z najważniejszych etapów to jest rekonesans i zdecydowanie dane są na to żeby troszeczkę informacje wyciągnąć na temat

sieci w celu w szczególności dużo można dostać informację z pasywnego dla nes-a bo tam czasami się znajduje rzeczy których w ogóle się w zasadzie publicznie powinno znaleźć włącznie z prywatną organizacją host jakie są jakieś aplikacje można z tego wyciągnąć i tak dalej więc jest to dosyć ciekawa opcja zbierania informacji zdecydowanie fazą delivery się wyróżniał tutaj bo ten służy do zmiany nazwy do nowej na adres ip więc jeżeli nie chcemy poddawać w linku do jakiegoś złośliwego podglądu albo do serwera command lub control postaci adresu ip które byłoby łatwo gdzieś tam zablokować na fermach no to fajnie go podać w postaci nazwę nowej co umożliwia nam łatwą zmianę adresów ip i i no i stąd też jakby takie najprostsze

wykorzystanie adresu z kolei po stronie obrońców to jest po prostu brak lista różnych domenach uznanych za złośliwe złą reputację i tak dalej o takim wykorzystanie będziemy mówić bo to jest proste i oczywiste ciekawsza opcja jeżeli chodzi o delivery to w momencie kiedy przeprowadzamy stage czyli mamy jakiś tam ma dostarczaniem do lodów w kilku fazach czy jest jakiś tam mały tam loader który już ma za zadanie ściągnąć główny złośliwy i roads może służyć jako protokół do dostarczania tego poglądu i on jest o tyle miły poza tym że jest jakby słabo monitorowany że bds jest de facto serwera proxy tak każde zapytanie które wysłała do serwera dns de facto potem na jego bazie serdecznie stworzy nowe zapytanie więc

nawet czasami jak nam się wydaje że jakiś host nie ma dostępu do internetu ale ma dostęp do serwera dns może rysować nazwę internetowe no to de facto znaczy że on ma dostęp do internetu więc jest to dość ciekawa opcja o tym będziemy rozmawiać w fazie eksploatacji tutaj głównie skupiają się na wykorzystaniu różnych podatnością w same serwerach dns bądź też myślę że do tej fazy można zaliczyć na przykład przyjęcie domeny bardzo fajna ciekawa doskonale kontroli dns jest dosyć popularna ostatnio wykorzystywany po pierwsze znowu do rysowania nazwę serwera control i to są różne opcje w jaki sposób przejść obecny system rekrutacyjne po drugie do samej komunikacji control over the means of production koledze sowy w zapytaniach w odpowiedziach

możemy ukrywać obszerne informacje w jedną i w drugą stronę więc jest to taka dosyć ciekawa opcja no i finalnie action obiektyw kiedy chcemy osiągnąć jako atakujący pewne cele typu na przykład kradzież danych dbms może służyć do trudnego do wykrycia wycieku danych który po prostu może się odbywać bardzo bardzo długim okresie czasu to też zobaczymy na paru przykładach okej skupmy się na rysowaniu na takich bardziej ciekawych przypadkach wykorzystanie adresu do rysowania tak jak powiedziałem najprostszy test po prostu życie jakieś nadzwyczajne solowej jest żeby po prostu zapewnić sobie możliwość zmiany adresu ip i łatwo natomiast pojawiły się system ochrony ostatnich coraz więcej pół sekundy dns usługi różne też które po prostu są playlistą zawierającą złośliwe domeny no

i to jakby troszeczkę życie przestępcą trudne w związku z tym że te systemy działają na reputacji no to naturalny wydaje się obejść a w poprzez korzystanie z domem który reputacji nie posiadają czyli domem świeże świeże zarejestrowanych albo świeżo o to pytany co tutaj widzimy to jest taki złośliwej pierwszy punkt tym cyklu to jest kiedy ona została zarejestrowana drugi kiedy pojawia się jakiś pierwsze zapytania o domenę a potem zwykle po znacznie dłuższym czasie gdzieś jest punkt w którym ta domena została uznana za złośliwą ktoś dodał jakiś brak jest cześć i tutaj jeżeli chodzi o obrońców jakby no i najprostszym wyjściem wydaje się po prostu kwarantanna taki świeży domen czyli to jest coś co nam pozwala dodać dodatkowy

czas na wykrycie szkodliwe działalności używając tej domeny zobaczmy jak to w praktyce wygląda przypadek z kimś innym niż jestem singlem popularna kampania trwa miesiącami w zasadzie bez zmian używa tej techniki cały czas czyli mamy takie same który mówi tam premium sms horoskopy został aktywowany otrzymać jeden horoskop za jedyne 30 zł dziennie ale oczywiście możesz to usługa anulować na tej stronie jak wejdziemy sobie na tą stronę no to dostajemy informację że jak najbardziej możemy tą usługę dla ciebie anulować natomiast musimy się jakoś uwierzytelnić i sposobem na powiedzenie nie ma tutaj być przelew na jedną złotówkę i dla ułatwienia dostajemy link do elektronicznych płatności jak spojrzymy na ten link tutaj mamy na przykład domenę instant kreska transfer kropka com które

oczywiście odpowiem nie ma nic wspólnego natomiast ta domena de facto zmienia się praktycznie codziennie to może być na przykład fast paint.net was kreska paint.net sferis.pl w i tak dalej i tak dalej generalnie praktycznie codziennie albo co kilka dni pojawia się nowa domena link się zmienia bo to że jeżeli ktoś wrzucił do jakiegoś systemu operacyjnego no to po prostu ten system jest bardzo prosty sposób obchodzimy jak spojrzymy sobie na przykład domenę fakt feynman kropka nawet ona została stworzona 15 maja 22 32 minuty później była dostępna w różnych firmach które udostępniają listę świeżych domen i następnego dnia kiedy kampania się zaczęła pojawiła się jako kategoria fishing o 14 30 bardzo szybko zresztą po kampanii ale zawsze jest to po kampanii także i

dodajemy coś w stylu to znaczy że to jest złośliwe czyli miał jakąś nową działalność czyli generalnie mówimy o przeszłości więc proaktywnie trudno jest jakby tutaj użytkowników zabezpieczyć momencie kiedy stosujemy takie blokowania świadomego gwarantowane tutaj różne są rekomendacje 1 2 3 dni niektórzy spekulują nawet dłużej daj mi się że kilka dni to jest opcja taka idealna nie powoduje to specjalnie pozytywów bo praktycznie nikt nie potrzebuje korzystać ze świeżych domen najczęściej pojawiają się jakieś hity powiedzmy niezłośliwe to w najlepszym przypadku to jest po prostu adres bo on też próbuje obejrzeć systemy różne bloki blokujące różne domeny i to czasem też się pojawia i inny przykład zastosowania używania domeny świeże i to już jest na fazie c to gdzie mamy przykład który też

miesiącami zasadniczo już trwa przykład tutaj w smaku kwietnia rano przychodzi informacje o zamierzam szczęścia kontroli skarbowej umówiliśmy się z panem skontaktować potrzebujemy przyprowadzić aby dobre załączniku jest lista dokumentów które prosimy żeby dostarczyć no i załącznik jest taki dosyć nietypowy formacie ac3 jest to format archiwum po prostu dosyć słabo popularny był płatny natomiast zwykle kompresja była bezpłatna czemu przestępcy używają takiego formatu generalnie w wiele security po prostu sobie nie poradzi i taki załącznik zostanie sprawdzony jakby to było zimno to dowolny kierunek więc spokojnie sobie go może otworzyć i zajrzeć do środka jeszcze jeden powód jest możliwe a co miało winna że gdzieś do stycznia chyba był dostępny exploit można było poprzez otwarcie jakiego mam chcę napisać dowolny plik na folder natomiast

wydaje mi się że tutaj chyba to nie było wykorzystane jestem pewien ale wydaje mi się że nie a potem ten format zresztą zmienia no i dobrze zajrzymy sobie do tego pliku ac wirus to to jest dostępny i sam po środku jest plik z tym filmiku no i co w tym wieku w środku mamy no generalnie jest jakiś komentarz potem jest ząbkowany kod żeby było go troszeczkę ciężej odczytać i wykryć natomiast nawet że tak powiem niezorientowany osoby są w stanie tutaj łatwo złapać domenę z którą ten mały będzie się łączy mamy tutaj https youtu.be info generalnie ten maluch łączy się z domeną naszej wystawie najpierw połączyć się z serwerem i zaciąga to można informacji między innymi na przykład fejkowy

certyfikaty a który potem rzuca do rejestru dzięki czemu można sobie potem wybrać dowolny certyfikaty ta stacja ten certyfikat przyjmie spójrzmy na to domena chaosu info to tutaj widzimy na niebiesko to są zapytania do tej domeny można zauważyć że zapytania o tanią domenę miał praktycznie miejsce tylko w momencie przeprowadzenia kampanii raz czyli mamy ranek przychodzi mail ludzie otwierają te załączniki klikając w norwegii i domena jest rysowana i to widzimy tutaj czujne oko zauważy trochę różnice w czasie ale tam mamy strefę czasową i tutaj mamy utility więc stąd jest różnica ta osoba później dnia w późniejszych godzinach późniejszych są tylko pojedyncze rysowania tej domeny które wynikają z tego że naprawdę nie ma wielu 100 tam w systemach po prostu okresowo domenę

ktoś tam sprawdzał de facto przestępca używa tylko raz czyli potem dodanie tej domeny do playlisty jakby w ogóle nam nie pomaga jedyne co to możemy vlogach sobie sprawdzać historycznie czy ktoś został jakby tym dotknięty czy ktoś otworzył tego wideo albo języka natomiast nie jesteśmy w stanie pani użytkownika w ten sposób to widać też na tą pomarańczową kreskę co widzimy to jest liczba detekcji przez różne silnik antywirusowe według wielu istota które uznają ten domek emanuela złośliwy w momencie kiedy tego najbardziej potrzebowaliśmy czyli tutaj tych detekcji było 4 na 70 jakby no szału nie ma wieczorem było ich około 20 to też nie jest dobrym wynikiem to wynika z tego po prostu że ta kampania jest sterowana tylko polskich

użytkowników w związku z tym przez wiele lat i wirusów wiele systemów ochrony w zagranicznych ekranie słabo rozpoznawana natomiast tutaj nie ma znaczenia no bo ten wieczór to już jest zdecydowanie za późno żeby kogokolwiek ochronić jak widzimy bo rysowania odbywało się z frankiem tak kiedy wszyscy przychodzą do pracy dostałem maila od kontroli skarbowej i po prostu wszystko cześć jak sobie spojrzymy potem na dalszy ciąg tej kampanii i to domena chaosu info ona została stworzona 7 kwietnia 15 03 dokładnie pół dnia w zanim jakby kampania została przeprowadzona i w różnych firmach ze świeżymi dwoma milionami pojawiła się 15 13 16 00 i od tego momentu można było użytkownika już jakoś chronić kolejne dni powszednie i cały czas

zasadzie to się dzieje są używane różne inne domeny z info passing to i tak dalej i tak dalej natomiast technika pozostaje niezmienna czyli cały czas jakby przestępcy korzystają z tego że obchodzą systemy operacyjne poprzez spożywanie świeżych domem to pokazuje też jakby różnicę pomiędzy blokowanie mają i wskaźników komentowania które łatwo można zmienić czyli właśnie taka nazwa domowa dresa epic pliku przestępstw jest stosunkowo łatwo to zmienić natomiast cały czas tutaj używa tej samej techniki jeżeli chcemy mu przeszkodzić to musimy się skupić na wykryciu tej techniki blokowania tej techniki a nie na blokowaniu de facto jest i no popularną techniką żeby zmylić użytkowników jest stosowanie domen które wyglądają podobnie do najbardziej popularnych przedmiotów różne serwisy typu paypal apple właśnie dotrze i tak

dalej mówimy to domenach typu też na przykład 20 użyte zamiast o 3 o co ciekawe jak sobie próbujecie zarysować google.com z pseudolosowych ilością literę o to jest bardzo duża szansa że taka domeny istnieje praktycznie wszystkie są rejestrowane no po prostu ludzie się też myślą i ktoś kto próbuje wykorzystywać takie przypadki typu a polkom który wygląda tutaj podobnie różnica de facto nie jest jakaś skomplikowana bo tutaj zależy tylko czcionki czcionki więc mamy dużą literkę e l no jak sobie przez szukamy świeże domeny pod kątem właśnie takich domeny lub krajowych tutaj mamy przykład z wyciągnięcie takiej informacji z bazy z lewej mamy możliwość zobaczenia różnych takich domy które są dopiero co przygotowywane w ogóle do przeprowadzenia kampanii

marketingowych na przykład tutaj w code.org deska online oczywiście użytkownicy jakby tutaj i to jest smutne i to jest kreska to to nie specjalnie się przejmują potem mamy parking czyli i właściwą domenę ten palnik sugeruje że de facto ta kampania jest przygotowana dla użytkowników mobilnych gdzie po prostu jakaś długa domena się nie mieści na ekranie telefonu i po prostu w przeglądarce będziemy mieli głównie ten kawałek a pod kątem wagi tego jest mnóstwo generalnie co godzinę można sobie zaciągać ze świeżych do menu i i po prostu cały czas coś się pojawi ciekawszym przypadkiem w domu i jest wykorzystywanie chronografów czyli słów które wyglądają podobnie jak inne słowo ale mają kompletnie inne znaczenie no i tu mamy różne przypadki typu beta pod

trojan domena przypominająca dot com natomiast de facto tb jest i taką specjalną większości przeglądarek w tej chwili tego typu domeny jeżeli jednak literka będzie z poza standardowego zestawu znaków one zamieniają to na pół tygodnia więc od dwóch lat się tak dzieje pony kod czyli format tak jak tutaj mamy czyli a do b atb specjalne jest tutaj określone w kodzie wraz z przesunięciem tego znaku więc to powoduje jakby w przeglądarce bezpośrednio coraz ciężej jest taki domek olejkowy skorzystać niemniej jak wy sobie tam trzy tygodnie temu gmaila w outlooku no to outlook do mnie zamienia czy użytkownik dostaje maila z domeną holograficzną jak widzicie te kropki czasami na dole ponieważ to są linki podkreślone no to tak jak tutaj to

czasami ciężko jest rzeczywiście wyłapać mieliśmy takie przykłady w polsce wiadomości tekstowej rzeczy możemy sobie dostać dwa bezpłatne bilety na stronie środkom znowu teoria z kreską dołu z kropką dołu na whatsappie to właśnie treningu podkreślony więc generalnie da się na to nabrać po prostu na komórce wszystko jest troszeczkę mniejsze a czasami zabrudzony więc to dosyć łatwo się na to naciągnąć inny przykład do menu apple kropka com widzicie tutaj różnica

generalnie nie ma różnicy ale są to dwie różne domeny bo pierwsza jest w stolicy gdzie po prostu te same znaki salwa z łacińskiego są powtórzone natomiast mają inne kody i takich przykładów mamy co i rusz dosłownie w zeszłym miesiącu przygotowany napój pij komputer hewlett packard enterprise i fair na to mamy po prostu wystawioną stronę która teoretycznie twierdzi że można dostać by fala i tutaj była taka domena o witam ponownie w wodzie co myślimy o sobie ma oto jak ona by wyglądała generalnie żadnych różnic nie ma a jednak domena zupełnie inny

co ciekawe bułgaria miała z tym problem bo chciałem mieć taką domenę takie cyrylicy to jest naturalne jakby mnie natomiast ayn rand powiedziała że nie mogą mieć ponieważ nastolatek do brazylii więc przez wiele lat nie mogli takiego momentu uzyskania dopiero jakieś 4 5 lat temu finalnie i się zgodził okej idźmy dalej ciekawsze wykorzystanie infiltracja przesłanie wskaźniku głównego kodu na zainfekowany komputer jaki sposób można także przesłać przez dns do środka sieci to bardzo prosto wysłałam zapytanie dostajemy odpowiedź odpowiedź dostaniemy w jakimś rekordzie możemy korzystać z rekordu na przykład numer który jest wygodna o tyle że nie ma ograniczeń co do obaw o zawartości jest stosunkowo pojemności 256 bitów nie musimy stosować żadnego kodowania po prostu wrzucamy ceny oczywista wada z

punktu widzenia atakującego to że takie rekordy są bardzo rzadko generalnie występujące w normalnym ruchu w związku z tym łatwo obrońcy wykrycie jako jakąś anomalię troszkę bardziej typowe wykorzystanie rekordów txt natomiast trzeba pamiętać że kiedy te są wykorzystywane głównie przez serwery więc jeżeli ekspansja wysyła zapytania rekord txt no to nie jest to do końca typowe zachowanie w eksploatacji z tego powodu też takie najbardziej zaawansowana taki korzystają po prostu rekordów a mimo że to są tylko 4 bajty ale po prostu jest to bardzo trudne do wykrycia bo takich zapytanie znowu całe mnóstwo przykład ale o nazwie parasol wykryty przez i a można też znaleźć pod nazwą nes messenger bo ślisko tak to nazywało 2017 rok i właśnie mamy uzbrojony

dokumentów rządowych które nadal ma za zadanie zaciągnąć główny kod marvelu jak ten główny kod został przygotowany do ciągnięcia a mianowicie głównego twarz l została po prostu skompresowany zip następnie załadowany bez 64 pocięty na kawałeczki i wstawiony w rekord txt w domenie którą przestępcą sobie wcześniej przygotował więc potem ten downloader jedyne co musisz zrobić to po prostu kappy ta rekord txt na czerwono mamy i d zainfekowany maszyny postaci pakiet biurowy jakaś tam domena żeby było ciekawiej i pewnie to zanim zapytam rekord txt pyta rekord a w rekordzie a mamy zawartość sumę kontrolną tego co dostaniemy w epizodzie txt związku z tym jak dostaniemy kawałek danych txt obliczamy sumę kontrolną porównaniu z tym co mieliśmy w rekordzie

a jeżeli się zgadza to znaczy transmisji odbywa się poprawnie i możemy przejść do następnego pakietu jedyneczka zwróćcie uwagę że tutaj zmienia się domena i kolejny pakiet kolejna nowa domena po to żeby po prostu znowu uniknąć wykrycia anomalii w postaci takiej że wart stacja wysyła bardzo dużo zapytań do jednej domeny co byłoby troszeczkę podejrzane związku z tym tutaj przestępcy po prostu randomizowaną sobie kolejna domena rejestrują ich kilka kilkanaście i w ten sposób się to odbywa i tak zaciągamy sobie wszystko aż dostaniemy w odpowiedzi na rekord a adres 000 znowu pewien artefakt który po stronie obrońcy można było wykorzystać bo w sumie też to nie jest zbyt typowa odpowiedź z dns internetowego [Muzyka] dekorujemy d kompresujemy mamy twilight

sparkle główny odpalamy go i dalej już mamy pełną kontrolę nad maszyną 44 takie rekordy wystarczy żeby przesłać cały ten co ciekawe warto też zauważyć że tutaj w 2017 roku przestępcy wykorzystali koc z pakietu mieszanka jest pakiet dla bb testerów osoby dostępne od 2012 roku moduł dsx pomysł czyli generalnie zamiast się wysilać tworzyć coś od zera czyli po prostu gotowca lekko go zmodyfikować i i tyle czemu w ogóle tak to działa po prostu bardzo wiele firm nie przeprowadza jednak recyklingu nie próbuję robić tego co robią przestępcy i nie testują nawet właśnie takimi szlakiem bawarii szlakiem różnymi narzędziami czy ta technika jest wykrywana i w związku z tym po tym wszystkim co ma trochę łatwiej bo bierze gotowca i sobie

po prostu dom i hacking coraz popularniejszy generalnie dużo jest takich przypadków w mieliśmy nią na przykład w zeszłym roku cały ten sam usa został przyjęty po to żeby przejąć domem i ten wallet podstawić pod nią po prostu fałszywą stronę w ten sposób nam się udało nagrać babko kilkaset tysięcy dolarów były też takie kampanie globalne zeszłej jesieni były próby przejęcia też udane całego metod level typu grecka na przykład została przyjęta jest to taka metoda która troszkę jakby czasami jest łatwiejsza do zrealizowania no bo po co mam się włamywać do banku który ma niesamowicie rozbudowana działa security system obrony i tak dalej jeżeli tak jak w przypadku tutaj brazylii przejmuje domenę na 5 godzin co jest troszeczkę czasami prostsze bo

gdzieś tam wykorzystuje na przykład jakieś brak zmienionego hasła po stronie rejestratora dns brak wykorzystania modlitwa która tutaj właśnie znowu po stronie dyrektora ds przejmuje do menu po prostu wystawiam wojskową domem prawdziwą domenę z moim adresem ip wystają fejkowy serwer banku i klienci po prostu się tam blokują żeby było lepiej czy zobaczmy jak ten atak wyglądał w tutaj akurat nie na bank tu mamy domenę fortheirkids.com a ważna rzecz czyli mamy domenę to zasadniczo możemy robić wiele ciekawych rzeczy to znaczy możemy przejąć majątek szczery możemy zresetować pocztę na nasze serwery pocztowe no i możemy też wykorzystać wykreować jakby legalne certyfikat ssl tak jak zostało to zrobione tutaj po północy ktoś przejdź do menu fortheirkids.com o godzinie drugiej na 10 minut

przekierował pocztę na swoje serwery i dzięki temu mocno ale ten klip wygenerować sobie certyfikat ssl nowy potwierdzić mailem prawo domeny lub to zrobić w inny sposób kierować w tej domenie url odpowiedniego i tak dalej będzie mógł stworzyć legalny certyfikat ssl związku z tym potem użytkownicy logują się do twojego serwera widzą de facto właściwą domenę no i widzą też nie ma żadnych alertów na określone czerwone kurtki i tak dalej takie zmiany są też potem no trochę w długotrwała ich odkręcenie no bo dns jak wiemy smakowanie jeżeli przestępca litera na trzy dni no to niestety potem obrońcą musisz zadzwonić do większych operatorów w kraju i prosić ich o wypracowanie wyklarowanie kesza dla tej domeny tak żeby że tak powiem zmiany zostały

odkręcone ciekawe też sposobem są ataki i q a w tej chwili gdzie nie przejmujemy domeny wykorzystujemy dobrą domenę nic tam nie zmieniamy natomiast wykorzystujemy po prostu taki bałagan po stronie atakowanej firmy przykład marca domenę pl mamy sprawdza w marcu pasywnym tennesie i zauważam host windykacja kropka pl ostatnie zapytanie do tej domeny w marcu było widziane w styczniu czyli przez dwa miesiące domena była wpis nie był używany i prowadzi on do adresu ip i który po krótkiej analizie wychodzi na to że on nie jest jakby sieci wpadnij tam zewnątrz sprawdzamy co to jest no i mamy tutaj aha czyli opinia publiczna sytuacja idealna sprawdzamy ten adres ip pasywnym tennesie i co widzimy że w 9 stycznia

było ostatnie zapytanie jako windykacja pl i już 14 stycznia tutaj jest to wskazanie na jakiś innych osób jakiś sklep z ze sztućcami bodajże we francji to znaczy że przez kilka dni de facto ten adres był dostępny adres ip i to wykorzystują przestępcę przykład z usa z kolei w styczniu pojawił się taki blok na wpis na blogu opublikowanym w ameryce z przeanalizował jak szybko można dostać adres ipv4 ten który chcemy czyli znajdujemy taki właśnie windykacja pl wskazaniem na adres ip może publicznej ile trwa żeby w ogóle takie adres i przejąć robiąc to na zasadzie bardzo proste i że reprezentujemy poprzez api awesome w tym przypadku zmiany adresu ip do maszyny cały czas tak rysujemy rekrutujemy aż dostaniemy

to na czym nam zależy to zależy od regionu w się tu mamy azji i pacyfiku europa ameryka było to od 10 sekund do dwóch tygodni i to średnio macie mniej więcej między godzina i jeden dzień czyli stosunkowo krótki czas w którym ja dostaję ten adres co chce w tym momencie na adres e-deklaracje.gov.pl mam mój adres przejęte przeze mnie faktu adres ip na który mogę wystawić wszystko mogę wysłać maila z domeny windykacja pgpr informującego że faktura nie zostały zapłacone za gaz no i trzeba na przykład zapłacić albo będzie link do faktury który będzie wskazywał na windykację pl czyli host dobrej reputacji więc no ciężko byłoby użytkowników ochronić przed czymś takim i warto o tym pamiętać bo z uwagi na to że nie ma publiczność

się polaryzuje no to też coraz więcej takich przypadków będzie że ktoś coś przekierował na zewnątrz de facto poza swoją kontrolę domena jest nasza dobra reputacja adresu ip poza naszą kontrolą a potem zapomniał to po prostu usunąć tutaj muszę kolegów z tego pochwalić że po informacje o tym usunęli to bardzo szybko praktycznie od razu roman control znowu rysowanie adres serwera situ najprościej byłoby podać statyczny adres domowy ale wtedy się narażamy na blokady na playlistach co więc przestępcy robią korzystają z algorytmów jak ja algorytmów generowania domu czyli zamiast zmarłe że zamiast w kodzie na stałe ustawiać adres serwera z to postaci domowej wstawiają tam kawałek kodu który generuje cały czas nowe przypadkowe domeny tysiące dziennie przestępca wie

jak alfred działa więc wie jaki jaka jakie dokumenty zostaną wygenerowane danego dnia i jedno z takich działek po prostu sobie rejestruje na dany dzień czyli w praktyce to wygląda tak że mamy czerwoną maszynę powziąć ona generuje pierwszą domenę do której będzie próbowała połączyć rezerwuje ją tak nie została zarejestrowana mam odpowiedź no jestem a więc generuje następną nie ma takiej wygeneruje następną przestępca zarejestrował dostajemy odpowiedź w postaci adresu ip serwera i to i łączymy się z tym serwerem tu mamy przypadki prawdziwych takich do menu rodzinnego wykorzystując z tego że jest to sposób który po prostu pozwala ominąć takie ostateczne listy no bo te domy są tworzone na bieżąco nigdy wcześniej nie były wykorzystywane dopiero co rejestrowane

witam czy można w ogóle coś takiego zrobić taką wielką galaktykę z tych domen jak ja pan daniel one w ramach projektu the archive zebrał wszystkie przypadki znane maluchów korzystających z aby generować wszystkie możliwe domeny przez algorytmy w tych kolorach dostępne no i na 2015 rok wyszło mu 160 milionów domy więc generalnie stworzenie takiej listy i wrzucają na firewalla jest trochę trudne bo zwykle tam mamy do dyspozycji znacznie mniej setki tysięcy rekordów prawda na serwerach dns zwykle można więcej 40 milionów domen ale nadal jest to za mało jest tutaj jakby utworzenie playlisty w zasadzie jedyny sens czy to ma to jest w usługach chmurowych gdzie po prostu producent możesz ustawić sobie więcej tych planów rozłożyć kosztach

bardzo wielu klientów i po prostu wtedy to jakiś tam sens ma to co tutaj widzimy to jest taka matryca którą pan daniel stworzył gdzie mamy rodzinę marvelu na przykład konfiguracji ile maksymalnie domem ta rodzina jest w stanie wygenerować i konflikt jest tutaj wyjątkowo płodnym mamy 125 milionów domem czyli znakomita większość z route 15 milionów ale są też takie przypadki jak na przykład 134 może się zdarzyć też ponieważ to są przypadkowo generowane domeny że dwie rodziny malować tworzą taką samą domem generują taką samą i będziemy mieli konflikt jak myślisz jaki jest procent takich konfliktów w tych domach bahia ktoś chce strzelić 20 procent co myślisz że to jest więcej mniej dziesięć procent jeszcze jakiś strzał 5-7 odpowiedź jest 17

ale nie procenta domem czyli szansa na konflikt jest praktycznie zerowa 17 tylko domena 160 milionów co to oznacza dla nas jako obrońcy jak możemy to informacje wykorzystać

jeżeli widzimy na swoim tarasie czy właśnie takiej surowej jedną z tych domen no to de facto 2 wiemy dwie rzeczy pierwsza że mamy infekcję druga wiemy czym jesteśmy zainfekowanie że to znany mało już wcześniej no to domena praktycznie z dokładnością tak jak daje nam też plików antywirus sie tak samo i tutaj praktycznie ze stuprocentową pewnością wiemy jaki malware mam u siebie w sieci to co oczywiście ułatwia podjęcie działań obronnych no bo jeżeli jest znany to wiemy jak się rozwija i wiemy co można z tym zrobić oczywiście w systemy security są w stanie wykonywać do media dostęp przestępcy posiłek dalej zamiast pseudolosowych wybrać sobie znaczki domenę to małe zawiera słownik i po 100 200 300 słów 1 słownik drugi

słownik jak ma stworzyć dom energia to bierze sobie jedno słowo codziennego słownika drugie z drugiego tworzy sobie taką domenę no i coś takiego się zmagać ciężko wykręcić no bo o ile poprzednie takiej pseudo pseudolosowych znak jesteśmy w stanie wykryć obliczając entropia analizujące gramy obliczając procent cyfr w nazwie i tak dalej i tak dalej tutaj już tego rytmu sobie nie poradzą tutaj można sobie radzić w jedyny sposób jaki ja znam to jest algorytm który buduje grafy słów czyli generalnie to co jest typowe dla do media to to że te domeny się powtarzają czyli tak jak mówiłem planuje się w 1009 więc jeżeli mamy po 100 słów w słowniku no to zasadniczo te słowa będą się powtarzać tych domenach tak jeżeli po

1000 generujemy dziennie więc jeżeli się powtarzają to można podejść do tego także rysujemy gra słów bierzemy sobie domenę robimy w trakcie słów bierzemy następną domenę znowu w trakcie słów jeżeli słowo się powtarza tekst jest tutaj i tutaj to używamy go jako węzła łączącego grafie słów a te które się powtarzają jako węzeł końcowy no i wtedy taki gra słów wygląda zupełnie inaczej niż na ten moment dla do najbardziej popularnych bardzo wyraźnie widać wtedy które to słowa są używane słowniku i można dzięki temu te słowa wydobyć wtedy to blokować ale nie jest to trywialne cześć

w zakopanem control komunikacja podejmę się cześć kolejny przykład narzędzia dla webmasterów która jest wykorzystywane przez przestępców toast like [Muzyka] grupa 57 na przykład często z niego korzysta tutaj mamy na przykład jak ten jak ten jak ta transmisja się przeprowadzka odbywa ponieważ jest to znany narzędzie to są też pewne cechy w tym ruchu typowe dla kogoś z kim można to wykrywać nawet sygnatura ma oczywiście natomiast chodzi tutaj o generalnie nam komunikację komunikację command lub control czyli przesyłanie zapytać co mam wykonać jako stacja zainfekowana i dostanie odpowiedzi na przykład komendą do wykonania no i tutaj jakby zapytanie jest wysyłane w postaci hosta czyli wysłałam zapytanie biznesowe gdzie po prostu w części kostnej mam zakodowane pytanie co mam wykonać

natomiast w odpowiedzi typu w rekordzie txt czy w rekordzie a dostaje po prostu informacje na temat na przykład komendę którą powinienem wykonać to co jeszcze ciekawego jest grupie w 7 warto zauważyć w niektórych atak a tu mamy taką aktywność godzinową gdzie widać że grupa była aktywna między dziewiątką a 20 drugą i w tych godzinach korzystała z rekordów txt i kolegów do 60 sekund natomiast poza godzinami pracy celu zmieniali tryb działania na kilka lat 60 minut i rekordy a czyli po prostu w momencie kiedy się wycisza no to i oni też próbują się wyciszyć żeby ciężej było to wykryć inny przykład grupa osób lotus małe nazwie denis o tyle tutaj przestępca był pewny siebie że w ogóle na stałe wpisał

serwery dns których będzie korzystał zasadniczo większość zaawansowanych ataków korzysta z lokalnego serwera dns czyli wykorzystuje po prostu lokalnym microsoft sens czy by do niego przesyła informacje natomiast jeżeli ktoś atakuje nie wiem się stało racji w stanach to tam nie będzie w restauracji serwera dns po prostu są dostępne chmurowe więc tutaj przestępca zawsze google nsa i openbtsa jest o tyle ciekawe że użył serwisu służącego do ochrony na bazie dane sa na tyle był pewien jakby że technika jako taka nie jest wykrywana i tu mamy przykład z capture ruchu dosyć rzadki przypadek wykorzystania rekord wall zawsze ta informacja jakaś tam do materiału dokonam command lub control jak to działa na playliście w tym momencie na playliście gdzieś tam w

końcu wykrywa że to jest coś złośliwego i blokuje domenę no i tutaj mamy widzimy że domena została po raz pierwszy od pytania 7 marca natomiast na open się została dodana jako złośliwa pierwszego maja czyli po dwóch miesiącach no i co z tego że została dodana jak dla przestępców nie jest żaden problem tutaj żeby zmienić to na następną prawda to pokazuje nam znowu to co wcześniej mówiłem żeby skupiać się nie na blokowanie i c czyli wskaźniku skonfrontowania takich jak domena bo to jest bardzo bardzo łatwo obejść trzeba się skupić na tym żeby spróbować wykryć samą technikę czyli na przykład tutaj kodowanie danych w nazwie dane osobowe zaawansowane przykład komunikacji kontrolera sie grupa dar kwadrans zeszłego lata to zostało wykryte w

sensie lata z zeszłego roku tam mieliśmy tutaj maila z załącznikiem formacie larwy w środku plik w formacie i y ręka do góry kto wie co to jest za format jedna osoba i to jest to jest bardzo twardy bardzo nietypowe format on jest kojarzony z celem jest internet czyli w środku po prostu mamy url dla którego excel wybierz zawartość którą sobie wstawić do komórki no i tutaj pod tym numerem to była ta zawartość czyli online po prostu który miał za zadanie zaciągnąć właściwy kod on tutaj wstawiony jest do komórki a 0 uruchomiony i zaciąga po prostu właściwy główny kod i sama komunikacja z to dawał nam różne opcje w postaci upload konkretnego pliku do serwera z to dawno tak jakbyś nowego

modułu wykonanie dowolnej komendy i tak dalej i tak dalej no i generalnie pełna kontrola realizowana poprzez wysyłanie zapytań odpowiedzi tms czyli cała komunikacja flamenco ukryta w lesie tak jak poprzednio pokazywaliśmy taki tutaj domeny były randomizowane czyli zmieniały się w zapytaniach biznesowych żeby było ciekawiej randomizowane też były rozmiar zapytania powershell złośliwym były dwie zmienne minimum a maksimum quiz w czyli wartość długość zapytania po pierwsze zwróćcie uwagę że nie wykorzystuje się całej długości zapytania do nas owego 250 kilka znaków tylko staramy się użyć jakby wielkości takiej typowej średniej która wynosi 70 znaków to jest myślenie pytanie biznesowe więc tutaj sobie radę dominujemy między 30 a 40 trzy znaki plus do tego dodajemy domenę i to około tam wychodzi nam 50 60 70

żeby dalej i wykrycie randomizowane też był odstęp czasowy pomiędzy konkretnymi zapytaniami czy nie miała miejsce sytuacja że staramy się wysyłać zapytania jak najszybciej jak najwięcej danych przesłać tylko zrobimy sobie z patrzy sekundę co każde zapytanie a do tego jeszcze dodajmy zmienną liter która powoduje że de facto opóźnienie między zapytaniami jest między 2 4 3 6 sekundy dodatkowo jeszcze randomizowane były rodzaje rekordów czyli nie zawsze ten sam i korporacyjnego oraz baterię wraz z synem i tak dalej i tak dalej czyli starają się jakby żeby ta komunikacja wygląda jak najbardziej naturalną żeby nie była i miastach cech które były łatwe do wykrycia na systemach 1 s czy na nas je okej jak ten obiektyw w ekscytacja jak odbywa się w wycieku

danych w pakietach biznesowych jest to prosta bardzo technika przed atakiem musimy przygotować infrastrukturę czyli zarejestrować sobie domenę miejsce w danej osoby które będą w stanie obsłużyć i będzie dostawał zapytania oferty w tej domenie po prostu a potem gdy już jesteśmy właśnie w ostatniej fazie ataku czyli raczej są obiektyw sprawdź dane które chcemy wykraść zwykle otrzymujemy następnie musimy je zakodować musimy zakodować będą wysłane w formie zapytania dns czy będzie jakaś tam na naszą domenę sobie zarejestrowaliśmy i potem mamy tutaj zakodowany dane w wrażliwe ponieważ to jest zapytanie internetowym no to musi spełniać miejsce w którym mówi jak zapytanie ten wygląda nfc mówi że w zapytaniu wtf wtf wtf wtf wtf wtf wtf wtf wtf wtf wtf wtf i myśli i

podkreślenie czy tak 37 znaków do wykorzystania najprostszym sposobem załadowania danych w takiej nazwie to jest kodowanie i specjalne 16 znaków czyli spełniamy wymagania tych 37 same literki same cyferki idealne tak do tego jak z dostępne funkcje definiujące kodujące praktycznie w każdym języku sportowym więc jest to jakby najprostsza rzecz jeżeli byśmy chcieli zwiększyć gęstość opakowania na to byśmy mogli skorzystać z 32 bo znowu się widzimy w 37 meczach czasami spotyka się bez 64 natomiast jak sama nazwa wskazuje 64 znaki tutaj są coraz więcej trzydzieści siedem sześćdziesiąt cztery mamy duże małe litery mamy znaki specjalne typu plus czy bez w standardowym słowniku to powoduje że ryzykujemy w tym momencie takie zapytanie przejdę realia jednak są takie że większość serwerów dns jednak

do łóżka i po prostu takie zapytanie być 64 też przyjdzie niemniej jednak jest to też pewne anomalie które gdzieś tam nas je na systemie erp może ktoś mógłby próbować wykryć więc raczej się w zaawansowanych atakach tego nie stosuje jak już sobie to zakochujemy nie na kawałki po maksymalnie 63 znaki w kolejce mówi że między kropkami czyli dla danej osoby pod domena może mieć maksymalnie 63 znaki a następnie wysyłamy to do lokalnego serwera dna jakiegoś tam kontroler active directory w microsoft word który ten film jest tak dalej generalnie do domyślnego serwera nas firmy no i co no i takie zapytanie przez microsoft danych czyli bazy danych po prostu obsługiwany jest zgodne ze wszystko jest ok to jest wysyłane na

zewnątrz rysowane więc ponieważ nie dotyczy dajmy na to domeny i kropka com co trafia do tego kto to to moja wina nie obsługuje czyli do przestępcy osobie pozbiera dekoduje i dostaje dane jak to wygląda w praktyce krótkie demo zrobimy mam taką do dyspozycji infrastrukturę po prostu mamy parę rejestrowanych zbieramy z nich rogi jak coś bierzemy potrafi tutaj na tą chwilę mamy brak czegokolwiek stworzymy sobie skrypt który nam prześlę pliki od twojego komputera do stanów jestem w katalogu teraz na zainfekowanym maszynie w katalogu z danymi wrażliwymi niech to będzie test 1.0 projekt no i żeby zrobić taką sytuację to ja potrzebuję tylko powershell a w tym portfelu zasadniczo potrzebuje funkcji typu z content żeby pobrać z

bajek z tego pliku który chce wysłać dalej funkcja format 0 x czyli bierzemy ten bajt i prezentujemy w postaci heksadecymalny a i dalej funkcja sol benson która wysyła nam zapytania czyli tak naprawdę no mega proste technika fajne nie potrzebujemy żadnych narzędzi wgrywać żeby coś takiego przeprowadzić i wysyłamy tutaj ten plik postaci zapytań biznesowych czyli sam aspekt tej chwili zaszyty tutaj w części kostnej no ale mamy pewne dodatkowe dane których za chwilę

i tutaj zaczynam się już pojawiać ten którego wcześniej nie było to mimo to dojdzie w międzyczasie dwa słowa jeszcze o tym pytaniu mamy tutaj i i wysłanego zapytania jak myślicie po co nam w ogóle takie i może być przydatna o tak moi drodzy dane zwykle jest youtube i więc możemy po pierwsze może przyjść nie zgodnie z kolejnością wysyłania możemy coś stracić po drodze więc musimy zasymulować działanie i zwykle później jest it is a potem wcześniej wszystko jedno generalnie i tej maszyny czasami też celu jeżeli jakaś kampania szersza jakieś tam domy które sobie wcześniej tam po rejestrowaliśmy wracamy tutaj do santa clara mamy plik test 1 lub 2 przeszło wszystko akurat mieliśmy farta no i od tej chwili już nie jest swojego

komputera tylko tutaj z internetu ta technika działa praktycznie zawsze nie zdarzyło mi się w zasadzie chyba zaraz bo de facto jakiś system ochrony to nowy klip tego typu zapytania są proste bo jak widzieliście te pytania były wysłane szybko tak gdybyśmy robili tak jak grupa dark prince to wyglądało by to bardziej w ten sposób

zwróćcie uwagę na randomizowane właśnie domeny rekordu dodatkowo jeszcze zmieniali jakby długość zapytania tutaj mamy ten delay który jest pomiędzy 2 4 3 6 sekundy niestety takie zapytania wyglądają tak i coś takiego jest naprawdę jeszcze trudniej wykryć

cześć przykłady a tu jest jeszcze taka ciekawa uwaga bo tutaj stwierdziliśmy funkcji resolve dns najmniej tak resort and in de facto w małe że nie spotyka się raczej tego ponieważ ta funkcja pojawia się wsparcia lub po windows 7 i windows 7 popularnym systemem mmi 3g i 4g na internecie więc jak nie chcemy ograniczać wykorzystamy po prostu złapać ponieważ szkolenie które obrońcy zakładają że te słuchawki na podstawie nie jest potrzebne no to zdarzają się też przypadki tak jak opisane wczoraj przestalo gdzie mamy nazwie kasi używa po prostu ping ponga bo ping też jest metodą z rysowaniem a nawet chyba bardziej popularne wśród że tak powiem społeczności na zresetowanie nazwę domeny nowej tak więc jeżeli na słupie

zablokowanym to po prostu wysyłam jeden pakiet ping i dzięki temu de facto wysyłamy zapytanie brakuje mi dano nazwę ze sobą czyli prawda jak ja zrobię popin cookin tej domeny oto ona zostanie zastosowana czyli zapytanie pójdzie do serwera odpowiedzialnego za domenę

przypadki inna bardziej prosty youtube oraz wykryty przez posłańca w zeszłym roku tutaj mamy kradzież danych terminali płatniczych na temat kart kredytowych celowanie to właśnie w sieci restauracji w stanach i tutaj mamy zakodowane i i hosta been to znaczy transmisja binarna była też opcja w ping to znaczy że pakiety ip live a potem się zakodowane dane z numerem z danymi karty kredytowej cześć inny przykład alma komunikator też szerokie użycie dane są nie tylko inspiracja też komunikacja pełną kontrolę bo zwykle jak to się robi to jest filtracji po drugie to co mam kontrolę kto jest tym samym kanałem chcesz widać że tych danych tutaj nie jest jakoś strasznie dużo hodowlanych i to pokazuje też generalnie ktoś używa

dns atak filtracji czy dosyć to to zależy mu na tym żeby jak najwięcej danych wysłać na raz tylko żeby długo pozostać niewykrytym jak chcemy wysłać szybko w dużej ilości to są lepsze metody https z drive i tak dalej natomiast jeżeli chcemy długo pozostanie w ukryciu w niewykryte no to daenerys jest tutaj idealną opcją tak jak mówiłem słabo monitorowane no tylko jest to transmisja niespecjalnie szybka ale też to widać że jakby to na szybkości kompletnie nie zależy bo nie korzystamy z tych dwóch kilkudziesięciu banków tylko właśnie sobie że skracają po to żeby jakby to jeszcze trudniejsze było do wykrycia idealny przykład który pokazuje jak długo można zostać wykrytym kiedyś przynajmniej tak było teraz możesz trochę trudniej środek salon

gdzie w 2016 roku został wykryty ten atak przez semantyka z polskiego jednocześnie i klientów i aby te firmy stwierdziły że atak był aktywny w 2011 roku czyli przez pięć lat po prostu nie bylibyśmy w stanie wykryć dopiero w 2016 r dało się zauważyć taką działalność sama taką kierunkowy 30 organizacji dotknięty głównie sektor rządowy głównie kraje typu rosja i chiny ale były też takie przypadki jak szwecja irlandia więc nie ma tu widać że to jest atak typowo motywowane finansowo gdzie tam ktoś atakuje banki w danym kraju albo regionie tutaj kompletnie inna historia platforma modularnym na do wykorzystywania dodatku 50 milionów co ciekawe każdym z modułów miał możliwość odpalenia ze znakiem zapytania i dostawało się w karpaczu ewidentnie ktoś

spisał to dla kogoś a nie ktoś dla siebie prawda no i stąd też przypisywania jakby atrybuty jest tutaj dla jakiejś organizacji rządowej a prawdopodobnie w stanach oczywiście nigdy tego do końca nie wiadomo działanie pasywne kradzież danych typu klucze szyfrujące hasła i tak dalej żadnej instrukcji dla nas używany właśnie do eksploracji przykład tutaj zaraz po infekcji co robimy próbujemy dostać informacje na temat systemu i wysłać ją do serwera command lub control więc odpalamy moduł system info gotujemy dane otrzymane w bez 32 tworzymy zapytania o długości 30 znaków domena i wysyłamy je jako zapytania dane osobowe od 2016 roku generalnie widać więcej więcej przypadków używana do nsa do eksploatacji do konkurencji to między innymi myślę że to jest powód po prostu

no jak przestępcy komercyjnie motywowanie zobaczyć że taka technika się dobrze sprawdza no to po prostu prezentują w swoich rozwiązaniach bardzo ciekawy przykład opisany przez adama dzieje w maju tego roku na jego blogu to jest używania tak ataków w pad w płaczliwe prosto discovery każde windows momencie podłączymy go do momentu próbuję odkryć jego pracy serwera użyć i w tym celu wysyłania zapytań adresowe między innymi o strony www.frizona.pl danej firmy najczęściej w komiksach listy czyli www.mimaja.pl cześć wersji windowsów jeżeli nie znajdziesz takiego wpisu też wysyła zapytania na przykład wp.pl potem no i ludzie po rejestrowali sobie domeny typu wp.pl www.aceros-de-hispania.com i tak dalej i tak dalej w kropka software i po prostu zamiast włamywać się do kogoś czekamy aż

ten ktoś de facto do nas się do naszego procesu serwera podłączy bo dostaje od nas informację jego proces trwa używać interesujący przypadek to www.pafere.org tam plik konfiguracyjny do pracy mówił przeglądarce nie tylko żeby wysyłać po prostu do niej rekordy ale też żeby wysłać całą historię przeglądania w postaci zapytań biznesowych do tego po prostu address opracowali tu mamy pakiet capture zrobiony przez adam a gdzie widzimy i zainfekowany maszyny zakodowana historia przeglądania i www.softelnet.pl do której to trafia też bardzo interesujący przypadek wykorzystania eksploracji podnosi tylko muszę trochę przyspieszyć ostatni ciekawy temat to deser https na czym polega tutaj problem dla nas https po prostu wysyłanie zapytań biznesowych po https przypadku google a wysyłamy zapytania https google.com resort nazwa domeny

można się z dyskutować długo czy to jest dobre czy niedobre troszkę to psuje jakby warstwy i sos i powiedzmy dns nagle teraz teraz aplikacja ustawione i tak dalej ale to jakby nie tutaj jest problem od protokół jak protokół można używać możemy używać problem leży gdzie indziej mianowicie większości firm blokujemy a także dostęp do zewnętrznych serwerów dla nas czy nikt nie może sobie użyć google a nie możesz tego użyć czegokolwiek innego niż nasz wewnętrzny serwer daenerys pod naszą kontrolą blokujemy dostęp do portu pięćdziesiątego trzeciego ustaw zewnętrzny i tu się pojawia się problem no bo tutaj zapytanie nie idzie po prostu 53 lata blokady które mieliśmy zrobione od lat przez cały nagle funkcjonować więc problem jest jakby

tutaj no i oczywiście przestępcy mniej więcej od roku gdzie zaczęli wykorzystywać tutaj mamy przykład września tego roku silnik box który rezerwuje nazwę serwera z to właśnie korzystając z nie wysłać zapytanie do lokalnego dane sa tylko po https się do google no i to by nie było jeszcze takie złe straszne gdyby nie do mojej strony i czyli możliwość ukrycia w ruchu https owym czegoś innego mówimy tu o takiej technice że wysyłamy zapytanie http facebook.com resort i tak dalej ale w środku w pakiecie w nagłówku hd podajemy host teleskopem google.com czyli w zapytaniu dane sobie ktoś wysyła takie zapytanie w zapytaniu ofertowym będzie google.com bo musimy to się podłączyć dostać adresu i westeros.pl się z serwerem indyk i

szynka mamy google.com czyli w ruchu tym który jakby możemy zobaczyć niezaszyfrowanych widzimy tylko google.com oto jak zablokować musielibyśmy tak ogóle zablokować to jest raczej no rozwiązaniem dlatego blokującego raczej krótkoterminowym bo szybko zmienić pracę po tym prawdopodobnie dopiero w ruchu zaszyfrowanym a ty chodź chodźcie w nagłówku https google.com więc to przez rok działało i to było no generalnie funkcjonalności albo po prostu nie dało się tego bez dalszych racji zablokować trzeba było rozszyfrować https owy szukać nagłówka https kontent i tak dalej blokować na szczęście tutaj pokazuje na szczęście 24 września tego roku czyli 3 tygodnie temu google zablokował w końcu możliwość i już w tej chwili się tak nie da zrobić tak tej chwili blokowania kulowego dns https

jest stosunkowo proste blokujemy dostęp do adresu ip 888 844 do adresów ip x też warto pamiętać i zablokujemy wtedy funkcjonalność więc po prostu trzeba na swoich serwerach biznesowych na fermach też blokować nazwy dane osobowe i adres ip serwerów serwerów publicznych do no dobra kończymy kończy mi się czas więc o rozwiązaniach trochę mówiłem w trakcie generalnie no patrząc na matryce tego co można robić zasadniczo na jeżeli chodzi o te kwestie po pierwsze trzeba zbierać środki finansowe co większość ludzi jednak niestety nie robi a warto bo to jest coś takiego mniej więcej bling z telefonu komórkowego nie wiemy kto z kim nie wiemy o czym była rozmowa ale wiemy kto z kim ty rozmawiasz tak więc łatwo potem

z tych grup biznesowych wyciągnąć że ten skompromitowane serwer to łączy się z tym i z tym tego i tego dnia blokowanie no to generalnie funkcjonalność crp z na przy różnych serwerach biznesowych czyli jest polityką blokowanie na bazie playlist bądź żeby zacząć przeszkodzić komunikacji blokowanie na bazie jakiegoś wykrywania w postaci analityki typu bierzemy dystrybucja gramów entropię liczbę samogłosek i tak dalej rating gotowanie i ewentualnie też możliwość direct a czyli puszczenie ruchu w jakimś tam system ochrony cokolwiek robimy warto pamiętać o tym co też jabłkowa strike a kiedyś wpadnie na blogu napisał cokolwiek się robi trzeba to po prostu przetestować czy to się sprawdza także no testujcie swoje założenia kontra atakującego założenia tylko próby realne atakującego dziękuję w czasie zrobiliśmy

no i my też dziękujemy bardzo bardzo mocno masz kubek do kawy że się uczymy czekać z biologii