1 पॉइंट द्वारा GN⁺ 2023-10-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • स्पेन की एक एयरोस्पेस कंपनी के कर्मचारियों से LinkedIn पर Lazarus ने Meta रिक्रूटर बनकर संपर्क किया, और कंपनी डिवाइस पर भर्ती टेस्ट जैसे दिखने वाली फ़ाइल चलाने से शुरुआती घुसपैठ हुई
  • दुर्भावनापूर्ण असाइनमेंट Quiz1.exe और Quiz2.exe के रूप में भेजे गए; “Hello, World!” और Fibonacci sequence आउटपुट के बाद ISO image के अंदर मौजूद अतिरिक्त payload की स्थापना ट्रिगर हुई
  • घुसपैठ के बाद DLL sideloading के जरिए NickelLoader, miniBlindingCan और नया RAT LightlessCan तैनात किए गए; ESET ने इसे उच्च भरोसे के साथ Operation DreamJob से जुड़ी Lazarus गतिविधि बताया
  • LightlessCan, BlindingCan का अगला रूप लगता है; यह RAT के अंदर ही ipconfig, net, ping, systeminfo, sc जैसे Windows commands की functionality की नकल करता है ताकि console execution के निशान कम हों
  • हमले का लक्ष्य cyber espionage था, और commands को अंदर समाहित करने की तकनीक तथा payload को केवल पीड़ित की मशीन पर decrypt होने देने वाले execution guardrails की वजह से real-time detection और बाद की forensic analysis और कठिन हो गई

LinkedIn भर्ती के झांसे से शुरू हुई शुरुआती घुसपैठ

  • Lazarus ने स्पेन की एयरोस्पेस कंपनी के कई कर्मचारियों से LinkedIn Messaging के जरिए संपर्क किया
    • हमलावर ने खुद को Facebook, Instagram और WhatsApp की parent company Meta का recruiter बताया
    • भर्ती प्रक्रिया के हिस्से की तरह C++ programming कौशल साबित करने की मांग की गई
  • पीड़ित ने third-party cloud storage पर मौजूद Quiz1.iso और Quiz2.iso डाउनलोड किए और उनके अंदर की executable files कंपनी डिवाइस पर चलाया
    • Quiz1.exe: “Hello, World!” output करने वाले सरल task के रूप में छिपाया गया
    • Quiz2.exe: input value से छोटी सबसे बड़ी element तक Fibonacci sequence output करने वाले task के रूप में छिपाया गया
    • दोनों executable files ने सामान्य console application की तरह input और output संभालने के बाद अतिरिक्त malicious payload installation शुरू किया
  • पहला payload ESET द्वारा NickelLoader नाम दिया गया HTTP(S) downloader है
    • NickelLoader, पीड़ित के computer की memory में हमलावर की पसंद के programs deploy कर सकता है

Lazarus attribution के आधार और Operation DreamJob

  • ESET ने स्पेन के इस हमले को उच्च भरोसे के साथ Lazarus, खासकर Operation DreamJob से जुड़ी गतिविधि बताया
  • malware, infrastructure और targets पिछले Lazarus campaigns से overlap करते हैं
    • LinkedIn संपर्क के बाद भर्ती test के रूप में छिपी malicious file चलवाने की तकनीक Operation DreamJob के बाद Lazarus द्वारा इस्तेमाल की जाती रही tactic है
    • 2022 के Netherlands मामले में देखे गए intermediate loader और BlindingCan family backdoor के नए variants देखे गए
    • tools में AES-128 और 256-bit key इस्तेमाल करने वाला RC6 encryption इस्तेमाल हुआ, जो Amazon theme वाले campaign में भी इस्तेमाल किया गया था
  • हमलावरों ने first-stage C&C server सीधे बनाने के बजाय कमजोर सुरक्षा या कम maintenance वाली मौजूदा websites को compromise करके इस्तेमाल किया
  • एयरोस्पेस कंपनियों की know-how चोरी करना Lazarus के long-term goals से मेल खाता है
    • UN reports बताती हैं कि North Korea-linked APT groups संवेदनशील तकनीक और एयरोस्पेस ज्ञान तक पहुंच पाने के लिए aerospace companies पर हमला करते हैं

घुसपैठ के बाद tools की संरचना

  • NickelLoader execution के बाद हमलावर ने पीड़ित system पर दो तरह के RAT deploy किए
    • miniBlindingCan: Lazarus tool के रूप में ज्ञात BlindingCan backdoor का reduced-function variant
    • LightlessCan: पहले public रूप से documented नहीं किया गया नया RAT
  • execution chain अलग-अलग complexity के कई stages से बनी है, जिसमें final RAT execution से पहले droppers और loaders रखे जाते हैं
    • dropper embedded payload रखता है और file system पर लिखे बिना भी memory से सीधे load करके execute कर सकता है
    • loader embedded encrypted array के बिना file system से payload लोड करता है
  • प्रमुख files में ज्यादातर legitimate executable द्वारा malicious DLL load कराने वाली DLL sideloading structure है
    • PresentationHost.exe + mscoree.dll: trojanized NppyPluginDll based, NickelLoader deliver करता है
    • colorcpl.exe + colorui.dll: LibreSSL 2.6.5 based, miniBlindingCan deliver करता है
    • fixmapi.exe + mapistub.dll: Notepad++ के लिए Lua plugin 1.4.0.0 based, LightlessCan deliver करता है
    • tabcal.exe + HID.dll: Notepad++ के लिए MZC8051 3.2 based, LightlessCan deliver करता है

LightlessCan की मुख्य विशेषताएं

  • LightlessCan Lazarus के HTTP(S) RAT BlindingCan का successor लगता है, और मौजूदा version का internal version number 1.0 है
  • इसे अधिकतम 68 commands support करने के लिए configured किया गया है, और current version में उनमें से 43 commands में functionality implemented है
    • बाकी commands placeholder के रूप में मौजूद हैं लेकिन actual functionality नहीं है
    • shared commands का order काफी हद तक preserved है, इसलिए यह BlindingCan source code पर आधारित लगता है
  • सबसे बड़ा बदलाव कई Windows built-in commands की functionality को RAT के अंदर mimic करने का तरीका है
    • implemented command examples में ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir आदि शामिल हैं
    • पिछले Lazarus attacks में ये commands हमलावर द्वारा system में foothold हासिल करने के बाद console से कई बार चलाए जाने के मामले देखे गए थे
    • इस बार यह तरीका original console utilities को visibly execute किए बिना RAT के अंदर process करता है, जिससे EDR जैसे real-time monitoring और बाद के digital forensic tools के लिए detection मुश्किल हो जाता है
  • ESET का मानना है कि LightlessCan developers ने Windows core utilities की नकल करने के लिए closed-source binaries को reverse engineer किया होगा
    • Wine project में भी कई programs की implementations हैं, लेकिन LightlessCan द्वारा mimic की गई कुछ functionality Wine implementation से अलग थी या मौजूद नहीं थी

NickelLoader intrusion chain

  • NickelLoader infected system पर चलने वाला HTTP(S) downloader है, जिसका उपयोग आगे Lazarus payloads deliver करने के लिए होता है
  • जब victim quiz executable को manually run करता है, तो PresentationHost.exe automatic run होता है और उसी C:\ProgramShared\ path की malicious mscoree.dll sideload होती है
    • mscoree.dll, 2011 में inactive हो चुके General Python Plugins DLL for Notepad++ project के NppyPluginDll.dll की trojanized file है
    • इसमें legitimate mscoree.dll के exports और original NppyPluginDll.dll के exports शामिल हैं, और CorExitProcess export में malicious code है
  • embedded encrypted array decryption के लिए तीन 16-character keywords चाहिए
    • parent process name PresentationHost
    • binary में hardcoded internal parameter 9zCnQP6o78753qg8
    • command line से passed external parameter ‑embeddingObject
    • तीनों keywords को byte-wise XOR करके AES-128 decryption key बनाई जाती है
  • NickelLoader 5-letter commands में 4 commands पहचानता है
    • abcde: सामान्य लंबे sleep delay के बिना तुरंत अगली command request
    • avdrq: received buffer की DLL load कर hardcoded export info execute करता है
    • gabnc: received buffer की DLL load करता है
    • dcrqv: खुद को terminate करता है
  • ESET ने 5-letter command structure से अमेरिकी 5-cent coin के slang nickel को ध्यान में रखते हुए इस payload को NickelLoader नाम दिया

miniBlindingCan execution chain

  • NickelLoader द्वारा डाउनलोड और execute किए गए payloads में से एक miniBlindingCan है
    • यह BlindingCan RAT का simplified version है, जिसे September 2022 में Mandiant ने पहली बार AIRDRY.V2 नाम से report किया था
  • loading के लिए C:\ProgramData\Adobe\ से चलने वाला legitimate colorcpl.exe और malicious colorui.dll इस्तेमाल होते हैं
    • colorui.dll 64-bit malicious DLL है और VMProtect से obfuscated है
    • इसमें हजारों exports हैं, और LaunchColorCpl अगला stage execute करता है
  • dropper execution की शुरुआत में analysis evasion functionality इस्तेमाल करता है
    • PEB structure के BeingDebugged value की जांच करके anti-debugging करता है
    • sandbox environment detection से बचने के लिए anti-sandbox technique इस्तेमाल करता है
    • parent process colorcpl.exe है या नहीं, यह स्पष्ट रूप से check करता है; नहीं होने पर तुरंत exit करता है
  • final payload decryption में parent process name, dropper filename और external command-line parameter को जोड़कर बनी लंबी string XOR key के रूप में इस्तेमाल होती है
    • result string example: COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan में BlindingCan जैसी command processing logic है लेकिन functionality काफी कम है
    • यह system information भेजना, communication interval update करना, configuration भेजना और update करना, file download और decryption, तथा delivered shellcode execute करना support करता है
    • decrypted configuration 9,392 bytes की है और इसमें maximum 260 wide character size के 5 URLs शामिल हैं

LightlessCan simple execution chain

  • LightlessCan की simple chain C:\ProgramData\Oracle\Java\ से चलने वाले legitimate fixmapi.exe और malicious mapistub.dll का उपयोग करती है
  • mapistub.dll, Notepad++ के लिए Lua plugin 1.4 की trojanized DLL है
    • legitimate Windows mapi32.dll के exports copy किए गए हैं
    • FixMAPI export अगले stage decryption और loading के लिए जिम्मेदार है
    • अन्य exports publicly available MineSweeper sample project के legitimate code से भरे गए हैं
  • इस dropper में scheduled task के जरिए persistence set की गई है
    • ESET ने बताया कि इस task की details कम हैं, लेकिन parent process %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule लगता है
  • embedded data decryption में तीन keywords इस्तेमाल होते हैं
    • parent process name fixmapi.exe
    • internal parameter IP7pdINfE9uMz63n
    • command-line external parameter AudioEndpointBuilder
    • keywords byte-wise XOR होते हैं, और result 128-bit AES key बनता है

LightlessCan complex execution chain और execution guardrails

  • अधिक complex LightlessCan chain legitimate application, initial dropper, full dropper, intermediate dropper, configuration file, system information file, intermediate loader और final LightlessCan RAT तक जाती है
  • initial dropper malicious HID.dll है, जिसे C:\ProgramData\Adobe\ARM\ से चलने वाला legitimate tabcal.exe sideload करता है
    • HID.dll, Notepad++ के लिए 8051 C compiler plugin project के MZC8051.dll की trojanized file है
    • HidD_GetHidGuid export अगले stage drop के लिए जिम्मेदार है
  • पहले decryption stage के लिए तीन keywords चाहिए
    • parent process name tabcal.exe
    • internal parameter 9zCnQP6o78753qg8
    • %WINDOWS%\system32\thumbs.db file content LocalServiceNetworkRestricted
    • तीनों values को XOR करके 128-bit AES key बनाई जाती है
  • बनने वाले full dropper के पास AppResolver.dll नाम का InternalName resource है और इसमें दो encrypted data arrays शामिल हैं
    • 126-byte small array और 1,807,464-byte large array शामिल है
    • small array 256-bit key इस्तेमाल करने वाले RC6 से decrypt होता है और C:\windows\system32\oci.dll तथा C:\windows\system32\grpedit.dat paths देता है
    • large array decryption result में LightlessCan, intermediate dropper, और %WINDOWS%\System32\wlansvc.cpl में drop होने वाली 14,948-byte encrypted configuration file शामिल होती है
  • full dropper infected system की पहचान करने वाली कई characteristics %WINDOWS%\System32\4F59FB87DF2F में save करता है
    • values मुख्यतः Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS registry path से ली जाती हैं
    • इसमें SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName, और disk controller के अंतर्गत Identifier values शामिल हैं
    • इन values की concatenated string file system में encrypted grpedit.dat decryption के लिए जरूरी है
  • यह structure execution guardrail की तरह काम करता है
    • payload केवल intended victim computer पर ही decrypt हो, यह सुनिश्चित करता है, और security researcher के दूसरे devices पर decryption कठिन हो जाता है

detection evasion और analysis पर असर

  • LightlessCan attack के बाद के stages में अक्सर इस्तेमाल होने वाले Windows command-line programs के execution traces को काफी कम कर सकता है
    • command functionality को internal implementation से बदलकर original console utilities execution से बचता है
    • command history logging और real-time detection में observable traces घट जाते हैं
  • पूरे attack chain में कई defense evasion techniques जोड़ी गई हैं
    • DLL sideloading
    • VMProtect obfuscation
    • dynamic Windows API resolution
    • embedded payloads
    • reflective DLL injection
    • process injection
    • debugger और sandbox evasion
    • file system में encrypted tools और configurations
  • C&C communication भी analysis और detection को मुश्किल बनाने के लिए design किया गया है
    • LightlessCan और miniBlindingCan HTTP/HTTPS का उपयोग कर C&C से communicate करते हैं
    • C&C traffic AES-128 से encrypted है
    • traffic encoding में base64 इस्तेमाल होता है
    • LightlessCan में data exfiltration functionality भी है और यह C&C server पर data बाहर भेज सकता है

IoC और MITRE ATT&CK summary

  • प्रमुख initial file IoC
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, “Hello World” challenge के रूप में disguised initial dropper
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, Fibonacci sequence challenge के रूप में disguised initial dropper
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, NickelLoader dropper
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader HTTPS downloader
  • प्रमुख LightlessCan-related file IoC
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan dropper
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: mapistub.dll द्वारा drop किया गया LightlessCan
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, complex chain का initial dropper
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, complex chain में drop किया गया LightlessCan
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, intermediate dropper
  • C&C compromised legitimate sites का उपयोग करता है
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • MITRE ATT&CK के अनुसार इसमें social media reconnaissance, spearphishing links और services, malicious file user execution, scheduled tasks, DLL sideloading, execution guardrails, command history logging weakening, web protocol C&C, symmetric encrypted channel, और C2 channel के जरिए exfiltration mapped हैं

1 टिप्पणियां

 
GN⁺ 2023-10-02
Hacker News की राय
  • घर से किए जाने वाले LeetCode असाइनमेंट के जरिए घुसपैठ करना काफ़ी चतुराई भरा है
    मैं Apple सॉफ़्टवेयर डेवलप करता हूँ, और Xcode प्रोजेक्ट काफ़ी गहराई तक जा सकते हैं। Apple डाउनलोड किए गए प्रोजेक्ट खोलते समय चेतावनी तो दिखाता है, लेकिन अगर आप इसे घर से करने वाला असाइनमेंट समझ रहे हों, तो उसे लगभग नज़रअंदाज़ कर देते हैं
    ऑनलाइन असाइनमेंट भी पेचीदा access permissions मांग सकते हैं, और ऐसे targets के पास कंपनी के मुख्य assets तक काफ़ी ऊँचा access होने की संभावना भी अधिक होती है। बेशक नौकरी खोजने के लिए कोई कंपनी resources इस्तेमाल नहीं करेगा, लेकिन अगर कहा जाए कि ऐसा काफ़ी बार होता है, तो यहाँ सब लोग बहुत संवेदनशील प्रतिक्रिया देंगे

    • हमारी कंपनी भी candidates को घर से करने वाला असाइनमेंट देती है, और interview में साथ बैठकर code देखते हुए छोटे बदलाव करने को कहती है, ताकि communication और technical capability देख सकें
      एक applicant अपने ही project का REPL तक शुरू नहीं कर पाया, और जूझते-जूझते बड़बड़ाया, “काश कंपनी वाला computer ही इस्तेमाल कर लिया होता।” अपने personal computer पर सबसे बुनियादी run भी न हो पाना मतलब उसने assignment company computer पर किया था
    • मेरी पहली IT job में मैंने एक बड़ी local pharma company के hiring address पर भेजे गए mail का bounce message देखा था
      यह ध्यान रखना चाहिए कि 1996 में personal email addresses आज जितने आम नहीं थे, फिर भी यह एक शुरुआती स्तर की गलती थी। बहुत पहले से मैं company computer पर personal काम नहीं करते वाला सिद्धांत मानता आया हूँ, लेकिन यह आम रवैया नहीं था
    • नैतिक रूप से धुंधले हिस्सों को छोड़ भी दें, तो layoff agreement के हिस्से के रूप में मुझे नई job खोजने के लिए पूरा workday मिला था, और management ने भी इसे खुलकर support किया था
    • Apple ने हाल में sandboxed shell scripts जोड़ी हैं, जो build को ज़्यादा बंद environment में रखने की कोशिश का हिस्सा लगती हैं
      यह perfect solution तो नहीं होगा, लेकिन अच्छा होगा अगर project को ऐसे mode में खोला जा सके जहाँ सभी build steps sandbox में चलें। अगर fail हो, तो देख सकते हैं कि वह क्या करने की कोशिश कर रहा था
    • घर से किए जाने वाले assignments grade करते समय मैं सबसे पहले Xcode project file को vim में खोलकर suspicious चीज़ें देखता हूँ
      सच कहूँ तो लगता नहीं कि मेरे ज़्यादातर colleagues इसी level की due diligence करते हैं
  • जब भी मैं लोगों को मौजूदा company equipment से home assignment, headhunter emails, और दूसरी कंपनियों के interview calls करते देखता हूँ, हैरान रह जाता हूँ
    कई लोगों ने कहा है कि वे ऐसा करते हैं, लेकिन मुझे समझ नहीं आता। संभावित नतीजे बहुत ज़्यादा हैं। एक overly motivated manager ने कभी personal contacts के जरिए मेरे future employer को मुझे hire न करने के लिए मनाने की कोशिश भी की थी, सिर्फ़ इसलिए कि उसे पता चल गया था
    भले ही यह unethical या illegal हो, ऐसी चीज़ें सच में होती हैं, और बड़ी tech companies में भी होती हैं। job search की details अपने employer के साथ voluntarily share करने की बात सोचें तो अजीब लगता है। काम और personal life को धर्म और राज्य के अलगाव की तरह अलग नहीं होना चाहिए क्या

    • यह देखकर काफ़ी असहजता होती है कि मेरे कई colleagues के पास personal computer है ही नहीं और वे company laptop ही हर काम के लिए इस्तेमाल करते हैं
      वे software developers हैं और laptop खरीदने की हैसियत पूरी तरह रखते हैं। मैं इतना ही mix करता हूँ कि छोटा, हल्का और Bluetooth वाला company laptop इस्तेमाल करके बर्तन धोते समय harmless YouTube videos देख लेता हूँ। पहले कभी-कभी office में print करने के लिए भी इस्तेमाल किया था
    • रोज़ इस्तेमाल होने वाले device को नए काम के लिए भी इस्तेमाल करते रहना लगभग frictionless होता है, इसलिए यह बिल्कुल चौंकाने वाला नहीं है
      मैं पूरी तरह सहमत हूँ कि risk बड़ा है और ऐसा नहीं करना चाहिए, लेकिन अगर लोग गहराई से नहीं सोचते या लगातार alert नहीं रहते, तो यह आसानी से हो सकता है
    • कम से कम self-defense के तौर पर, ज़रूरत पड़े तो phone या tablet से interview दे सकते हैं
      बेवजह risk क्यों बढ़ाना। शायद उन्हें वही thrill पसंद हो
  • क्या attacker ने यह बहाना बनाकर .exe file भेजी कि victim को functionality C++ में replicate करनी है? जैसे ही कोई आपको .exe file भेजता है, यह attack होने का, या कम से कम sender के अविश्वसनीय रूप से technically incompetent होने का strong signal होना चाहिए
    हालांकि शायद मैं ऐसा इसलिए सोचता हूँ क्योंकि मैंने Windows 95 वाला दौर देखा है। लगता है कुछ lessons हर generation को फिर से सीखने पड़ते हैं

    • आकर्षक job offer हो, तो लोगों से भरी company में बस एक बार success चाहिए
      कितने लोगों से अजीब test करने को कहा गया और उन्होंने “तो मैं नहीं करूँगा” कहा, यह हमें पता नहीं। आजकल applications को sandbox में चलाना काफ़ी आसान है, फिर भी न करना मूर्खता है। Sandboxie free है और हमेशा काम करने की guarantee नहीं, लेकिन यह शायद successful हो सकता था, या कम से कम अजीब behavior को noticeable बना देता। Windows Pro में भी कुछ समय तक executable को sandbox में चलाने का right-click menu option था
      title देखकर पहले मुझे लगा था कि infection IDE के जरिए हुआ होगा। “क्या आप इस project author पर भरोसा करते हैं” जैसे सवाल होने की वजह होती है, और VS Code के मामले में Git settings trick से prompt से पहले code execution तक संभव है
      मैं program चलाने में सावधान रहूँगा, लेकिन अगर recruiter Git repository में अधूरे project के रूप में coding assignment भेजे, तो “allow code execution” button दबाने की संभावना काफ़ी है। खासकर remote interview में अगर वे live code देखते हुए कहें कि “हम problem approach देखना चाहते हैं,” तो यह और plausibly हो सकता है। यह attack बहुत basic है, लेकिन initial infection को समय पर detect करना मुश्किल बनाना कठिन नहीं है
    • शुरू में मुझे लगा था कि यह attack असल से ज़्यादा clever है
      downloaded या attached executable चलवाना simple है, लेकिन अभी भी effective लगता है। इससे ज़्यादा शातिर और effective तरीका यह होगा कि “assignment” project वाली GitHub repository की तरफ point किया जाए, और victim जब अपना solution test करे तो वह ऐसी compromised package को reference करे जो attacker की मनचाही चीज़ कर दे
    • वे क्या करना चाहते हैं यह जानकर तो मन करता है कि काश वे मुझे फँसाने की कोशिश करें
      मुझे पता है कि वे साधारण script kiddies नहीं हैं, लेकिन अगर counterattack की कोशिश की जाए तो वे कैसे react करेंगे, यह जानने की उत्सुकता है। अगर वे .exe देकर run करने को कहें, तो मैं उसे run नहीं करूँगा और hex editor में खोलकर inspect करूँगा। अगर “hello world” या Fibonacci generator बताई गई file expected से बहुत बड़ी हो, या उसमें encrypted जैसी दिखने वाली data या obfuscation attempts हों, तो मैं उसे नहीं चलाऊँगा
    • पहले मैंने black-box assignment के हिस्से के रूप में binary distribution का सुझाव दिया था
      अगर source को lock किया जा सके और हर candidate के लिए details बदली जा सकें, तो online posted solutions मददगार नहीं होंगे
    • शायद वह .exe नहीं बल्कि .msi installer file या zip file रही होगी
  • सरकारी प्रोग्राम्स की consulting करते समय मैंने जानबूझकर अपना résumé इंटरनेट पर नहीं डाला था
    मेरे पास ऐसा कोई access नहीं था जो किसी spy के काम आए, लेकिन कुछ keywords देखकर ऐसा लग सकता था। LinkedIn पर keyword search में दिखने वाले हर व्यक्ति को spam भेजने वाले recruiters की तरह
    मुझे पता था कि किसी भी security incident की report करनी होती है, और मुझे लगा कि कोई सतर्क bureaucracy incident को handle करते-करते contract और income रुकवा सकती है। इसलिए मैंने online résumé हटा दिया, और यह सुनिश्चित करने के उपाय भी किए कि कोई random चोर गलती से work laptop न चुरा ले
    अब मैं वह काम छोड़ चुका हूँ, इसलिए बाकी लोगों की तरह LinkedIn पर Junior Python Leetcode Hazing Engineer जैसी recruitment spam का आनंद ले रहा हूँ

    • समझ नहीं आता downvote क्यों मिल रहे हैं
      कुछ roles या industries में employment status को public न करना targeted attacks रोकने के लिए एक सामान्य security measure हो सकता है। real world में देखें तो CIA agents विदेश में CIA की मुहर वाले business cards बाँटते नहीं फिरेंगे
    • यह overreaction लगता है
      मैं भी कुछ हद तक नहीं चाहता कि कुछ लोगों को पता चले कि मैं कहाँ काम करता हूँ, लेकिन मुझे लगता है कि current job का ज़िक्र न करने वाला पुराना résumé online रहने देना ठीक है। मैंने HR head से यह भी कहा था कि public “हमारी team” page पर मेरा नाम कभी न डाला जाए
      side effect यह है कि targeted attack response methods और phishing email examples दिखाने वाली mandatory corporate security training में हर बार हँसी आ जाती है। अब तक penetration testing vendor के tests को छोड़कर मुझे एक भी targeted phishing नहीं मिली
  • कौन-सा बेवकूफ company equipment पर personal काम करता है, यही सोचता हूँ
    बात गरीब लोगों की नहीं है, बल्कि उन लोगों की है जिनके पास अपनी personal equipment खरीदने के लिए पर्याप्त पैसे हैं

    • मैं company laptop पर हमेशा personal काम करता हूँ
      मेरा personal computer एक तरह का heater है जो video games भी चला सकता है, इसलिए उसे default रूप से इस्तेमाल नहीं करता। तीसरा device खरीदने की हैसियत है, लेकिन उस पैसे से बेहतर काम किए जा सकते हैं
      हाँ, company के security rules follow करने की कोशिश करता हूँ। मैं company पर भरोसा करता हूँ। ऐसी company में काम नहीं करना चाहता जिसे मैं अपने browser cookies नहीं सौंप सकता। जिस jurisdiction में मैं रहता हूँ वहाँ law भी मेरे पक्ष में है। company सिर्फ इसलिए मुझे fire नहीं कर सकती कि मैंने company laptop पर कुछ ऐसा किया जो उसे पसंद नहीं है; इसके लिए बहुत valid reason चाहिए
    • मेरे roommate ने personal laptop पर पैसे खर्च नहीं करना चाहा, इसलिए work laptop को 2 साल तक personal laptop की तरह इस्तेमाल किया
      जब मैं college intern था और बहुत ज्यादा गरीब था, तब मैंने भी यही किया था
    • मैं company hardware पर personal काम तो करता हूँ, लेकिन सच में private चीजें नहीं करता
      login नहीं करता, और work laptop पर movie देखने तक सीमित रहने में मज़ा आता है
    • वह वही बेवकूफ होगा जो internet पर किसी अजनबी के भेजे Quiz1.exe को run करता है
    • जरूरत की वजह से भी ऐसा हो सकता है
      इस मामले में victim aerospace company में काम करता था। मैं उस industry के कुछ लोगों को जानता हूँ, वहाँ सभी बेहिसाब लंबे hours काम करते हैं। ऊपर से यह Spanish company थी, तो शायद 10 घंटे से ज्यादा काम करना सामान्य माना जाता हो
  • थोड़ा अलग विषय है, लेकिन अगर North Koreans को government employee बनने से पहले internet access भी मुश्किल से मिलता है, तो मैं सोचता हूँ कि Lazarus/HIDDEN COBRA इतने sophisticated state-sponsored attackers कैसे बन जाते हैं
    modern security research, open source projects, programming material और असली फैल रहे malware तक access न हो तो बेहतरीन hackers की पीढ़ी तैयार होना मुश्किल नहीं होगा? शायद वे firewall bypass करने वालों को पकड़कर unit jobs offer करते हों

    • यह कैसे पता कि उन्हें ये चीजें मिल नहीं सकतीं
      और मुझे यह भी जानना है कि लोग hackers को train कैसे किया जाता है, ऐसा क्या सोचते हैं। React nightly build से to-do app बनाना सिखाने से काम नहीं चलता। वे शायद Ethernet और TCP/IP stack बनाने वालों से भी बेहतर इन्हें रटकर, उल्टा भी सुना सकते होंगे, और सिर्फ इतना ही बहुत सी चीजें hack करने के लिए काफी है
    • लगता है मैंने Dutch cyber security agency की announcement में सुना था कि वे hackers को देश के अंदर train करते हैं, फिर China भेजते हैं, और निश्चित रूप से कड़ी निगरानी में internet cafes से operate करवाते हैं
    • शायद technically gifted 7 साल के बच्चों को पूरा access देकर hackers बनाने वाला कोई gifted education program हो
    • कहा जाता है कि schools से ही top talent को जल्दी चुन लिया जाता है और training भी बहुत intense होती है
      जिस देश में food, electricity आदि बहुत सी चीजों की कमी है, वहाँ यह बेहद coveted job है। और जानना हो तो Lazarus Heist podcast सुन सकते हैं
    • China से operate करते हैं, ऐसा मानना शायद ज्यादा सही हो सकता है
  • हमारे इलाके की 300 staffing agencies में से सिर्फ 23 के पास service के रूप में legally operate करने का permit है, इसलिए यह हैरानी की बात नहीं
    कौन fake है और कौन real, इसे verify करने की कोशिश करना एक ऐसा धागा है जिसे ज्यादातर companies और applicants खींचना नहीं चाहेंगे
    fake recruitment scams भी होते हैं। employee को attractive compensation package देकर निकाल लेते हैं, फिर competitor data निकालता है और evaluation period खत्म होने से पहले, आमतौर पर 6–10 महीनों के अंदर, उसे बाहर कर देता है। कई malicious actors बढ़ा-चढ़ाकर promises के साथ infected PDFs भी फैला रहे हैं
    सावधान रहना चाहिए, और 86Box Bochs/kvm की तरह read-only backing images और sessions support करता है: https://github.com/86Box/86Box/releases
    Apple M1 laptop पर भी चलता है, लेकिन slow है

  • ऐसी बुरी चीजें सच में होती हैं
    2019 में head office द्वारा दिए गए free Wi-Fi के जरिए laptop hack हो गया था और सभी SSH keys बदलनी पड़ी थीं

    • “head office के free Wi-Fi से hack हुआ” का ठीक-ठीक मतलब क्या है, यह जानना चाहूँगा
  • “दो malicious executables… पहला Hello World project… दूसरा input value से छोटे सबसे बड़े element तक Fibonacci sequence print करता है” — यह पहला संकेत होना चाहिए था कि कुछ गड़बड़ है
    Meta होता तो LeetCode medium या hard से शुरू करता

  • इस website की security शानदार है
    page content scroll करते समय arrow keys इस्तेमाल करने से रोक रखा है। यकीनन keyboard के जरिए किसी unknown attack vector की वजह से होगा। कमाल है