Co tam w SOCu słychać ciekawego? odc. 2
Cześć wszystkim! Oto drugi artykuł z serii „Co tam w SOC-u słychać ciekawego?”. Jak ten czas leci! Nawet się człowiek nie obejrzał, a tu już kolejny odcinek. Dla przypomnienia – w tej serii opowiadamy o przemyśleniach na temat trybu pracy zespołu Security Operations Center lub ogólnie o zdarzeniach, z których możemy wysnuć cyberwnioski lub cybermorał.
Dzisiejszy wpis dotyczy historii, która z pewnością przydarzyła się w jakiejś formie większości osób korzystających z komputerów stacjonarnych czy laptopów. W końcu kto nie usłyszał kiedyś mrożącego krew w żyłach sygnału dźwiękowego „Wykryto zagrożenie” z ust antywirusa podczas pobierania plików z internetu? Aczkolwiek alert Windows Defender detected malware, o którym mowa, nie dotyczył byle jakiego pliku – tym razem zagrożeniem był tak zwany crack do gry komputerowej.

Czy to jest praca? Czy to gamingowanie?
Crack to najczęściej modyfikacja plików aplikacji (w tym przypadku gry) mająca na celu ominięcie zabezpieczeń zastosowanych przez producenta. Dzięki temu osoba korzystająca z cracka nie musi nabywać gry czy subskrypcji i może nielegalnie z niej korzystać. Pomijając oczywistą kwestię, że jest to niezgodne z prawem (i zależnie od kraju może grozićkarą więzienia lub ogromnymi karami finansowymi), warto zadać sobie pytanie, czysłużbowy sprzęt należący do infrastruktury firmy jest odpowiednim miejscem do pobierania i przechowywania tego typu plików.
Z reguły cracki nie są wysoce szkodliwe, aczkolwiek warto dmuchać na zimne. W końcu takie pliki aż proszą się o to, by adwersarze wyposażyli je we wszelkiego rodzaju szkodliwe oprogramowanie, a ich łatwość rozprzestrzeniania się tworzy ogromną bazę potencjalnych ofiar.
Tak naprawdę jedyną granicę stanowi wyobraźnia i umiejętności atakującego. Dobrym przykładem jest przypadek AsyncRAT-a, którego schemat działania został dokładnie opisany przez McAfee. Wspomniany malware był maskowany jako zcrackowane wersje popularnych programów, takich jak CCleaner, YouTube Downloader czy AnyDesk. Ofiara, myśląc, że pobiera zcrackowany program, tak naprawdę ściągała Remote Access Trojana (RAT), który dawał autorowi tego „cracka” nieautoryzowany dostęp do komputera.
Taki incydent mógłby mieć katastrofalne skutki dla firmy, gdyby komputer był częścią jej infrastruktury. A skoro już mowa o nieautoryzowanych dostępach – w 2015 roku przy użyciu RAT-a zdobyto w Ukrainie dostęp do systemu SCADA, kontrolującego krytyczne zasoby oraz infrastrukturę miasta. W rezultacie wyłączono prąd dla dziesiątek tysięcy mieszkańców na kilka godzin.
Morał tego strumienia świadomości może być następujący – następnym razem, jeśli będziemy instalować zcrackowane oprogramowanie, zastanówmy się, czy jesteśmy gotowi ponieść odpowiedzialność np. za wyłączenie prądu w połowie kraju.
Autorem artykułu jest Kacper Gołębiowski, młodszy specjalista w dziale SOC
Kacper hobbistyczne poszerzanie wiedzy i pozyskiwanie certyfikatów z zakresu cyberbezpieczeństwa przekuł w ścieżkę zawodową. W Network Expert zajmuje się zagadnieniami związanymi z technologiami SIEM oraz SOAR, aczkolwiek kompetencje poszerza również w kierunkach sieciowych oraz pentesterskich.
Prywatnie od najmłodszych lat pasjonat wszystkiego co związane z technologią. W wolnych chwilach zajmuje go czytanie książek, sporty walki oraz e-sport.
