4 पॉइंट द्वारा GN⁺ 2025-06-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कई ransomware variants में एक safety check होता है: अगर Windows पर Russian या Ukrainian keyboard इंस्टॉल हो, तो वे इंस्टॉलेशन रोक देते हैं। यह पूर्वी यूरोप से जुड़े malware में व्यापक रूप से दिखने वाली evasion condition है
  • DarkSide जैसे ransomware-as-a-service ऑपरेशन रूस, यूक्रेन और अन्य पूर्वी यूरोपीय देशों के पीड़ितों से बचने के लिए infection exclusion zone रखते हैं, ताकि स्थानीय law enforcement का ध्यान न जाए
  • Colonial Pipeline हमले के बाद DarkSide ने खुद को “गैर-राजनीतिक” बताया, लेकिन malware के region-based execution rules खुद geopolitical constraints को दर्शाते हैं
  • Russian keyboard या संबंधित registry values जोड़ना कुछ रूस-आधारित malware के खिलाफ एक मुफ्त preventive measure हो सकता है, लेकिन यह defense-in-depth और सुरक्षित उपयोग की आदतों की जगह नहीं ले सकता
  • हमलावर language check हटा सकते हैं, लेकिन Unit221B की Allison Nixon के अनुसार तब रूसी hackers को कानूनी सुरक्षा खोने और कमाई घटने के बीच चुनना पड़ सकता है

ransomware जिन भाषाओं और क्षेत्रों से बचता है

  • कई ransomware variants यह जांचते हैं कि Microsoft Windows system पर कोई खास virtual keyboard इंस्टॉल है या नहीं, और अगर Russian या Ukrainian जैसी भाषाएँ मिलती हैं, तो इंस्टॉलेशन रोक देते हैं
  • malware operators अपने ही क्षेत्र में पीड़ित न बनें, इसके लिए ऐसे fail-safe लगाते हैं
  • स्वतंत्र राष्ट्रमंडल (CIS) क्षेत्र, पूर्वी यूरोप से आए कई malware के infection exclusion list से काफी हद तक मेल खाता है
  • DarkSide में भी CIS के प्रमुख सदस्य देशों के लिए hardcoded no-install list है, जिसे Cybereason ने प्रकाशित किया था

Colonial Pipeline और DarkSide का मामला

  • यह चर्चा Colonial Pipeline ransomware attack से जुड़ी है
    • इस हमले ने इस महीने की शुरुआत में 5,500-mile fuel pipeline को लगभग एक हफ्ते तक ठप कर दिया
    • इसके कारण पूरे अमेरिका में gas stations पर supply shortage और कीमतों में बढ़ोतरी हुई
    • FBI ने हमले के लिए DarkSide को जिम्मेदार बताया
  • DarkSide एक अपेक्षाकृत नया ransomware-as-a-service ऑपरेशन है, जो कहता है कि वह केवल बड़े व्यवसायों को निशाना बनाता है
  • DarkSide और अन्य Russian-speaking affiliate revenue programs लंबे समय से रूस और यूक्रेन समेत पूर्वी यूरोप के कई देशों के computers पर malware इंस्टॉल होने से रोकते रहे हैं

regional avoidance क्यों इस्तेमाल होता है

  • रूस में आम तौर पर माना जाता है कि जब तक कोई घरेलू कंपनी या व्यक्ति औपचारिक शिकायत न करे, तब तक अधिकारी अपने नागरिकों से जुड़े cybercrime की जांच शुरू नहीं करते
  • अपराधियों के लिए अपने ही देश में पीड़ित न बनने देना, domestic law enforcement की नजर से बचने का सबसे आसान तरीका है
  • Biden प्रशासन के cybersecurity executive order में नाम आने के बाद DarkSide ने Colonial Pipeline हमले से दूरी बनाने की कोशिश की
    • अपने victim disclosure blog में उसने कहा कि वह “गैर-राजनीतिक” है
    • उसका दावा था कि उसका लक्ष्य पैसा कमाना है, समाज के लिए समस्या पैदा करना नहीं
    • उसने यह भी कहा कि आगे से partners जिन कंपनियों को encrypt करना चाहेंगे, उनकी समीक्षा की जाएगी ताकि सामाजिक परिणामों से बचा जा सके
  • लेकिन DarkSide जैसे digital extortion groups का malware इस तरह बनाया गया है कि वह सिर्फ खास क्षेत्रों में चले, इसलिए यह platform खुद regional political conditions को दर्शाता है

REvil, GandCrab और infection exclusion list

  • security researchers लंबे समय से DarkSide और REvil, यानी Sodinokibi, के बीच संबंध की ओर इशारा करते रहे हैं
  • REvil को पहले GandCrab के नाम से जाना जाता था, और GandCrab तथा REvil दोनों ने affiliates को Syria के victims को संक्रमित करने से रोका था
  • DarkSide की exclusion list में भी Syria शामिल है
  • बाद में DarkSide ने कहा कि उसके servers और Bitcoin funds जब्त कर लिए गए हैं और उसने अपना ऑपरेशन बंद करने की घोषणा की; इसी प्रक्रिया में REvil से उसके संबंध भी सामने आए

Russian keyboard इंस्टॉल करने की सीमाएँ

  • Russian जैसी भाषा इंस्टॉल करने से Windows computer हर तरह के malware से सुरक्षित नहीं हो जाता
  • बहुत से malware location या language की परवाह ही नहीं करते
  • यह तरीका defense-in-depth और online जोखिम भरे व्यवहार से बचने की आदतों का विकल्प नहीं है
  • इसका नुकसान बहुत बड़ा नहीं है, लेकिन गलती से language setting बदलने पर menus Russian में दिख सकते हैं
    • ऐसे में Windows key और Spacebar एक साथ दबाकर इंस्टॉल की गई भाषाओं के बीच जल्दी switch किया जा सकता है

क्या हमलावर language check बदल सकते हैं?

  • हमलावर उन बचावों पर जल्दी प्रतिक्रिया देते हैं जो उनकी profitability घटाते हैं, और वे malware को language check ignore करने के लिए बदल सकते हैं
  • वास्तव में, Mandiant द्वारा विश्लेषित DarkSide के हाल के versions ने system language check नहीं किया था
  • Unit221B की Allison Nixon का मानना है कि language check हटाने से हमलावर की व्यक्तिगत सुरक्षा और संपत्ति पर नजरअंदाज न किए जा सकने वाले जोखिम बढ़ जाते हैं
  • Nixon के अनुसार रूसी hackers, रूस की विशिष्ट legal culture के कारण, ऐसे checks का इस्तेमाल यह सुनिश्चित करने के लिए करते हैं कि वे केवल रूस के बाहर के victims को निशाना बनाएं
  • सिर्फ Cyrillic keyboard इंस्टॉल करने या कुछ खास registry entries को RU में बदलने से ही कुछ malware किसी user को रूसी समझकर target list से बाहर कर सकते हैं

बड़े पैमाने पर अपनाने से बन सकने वाला दबाव

  • Nixon का मानना है कि अगर बहुत से लोग यह तरीका अपनाएँ, तो अल्पकाल में यह कुछ users की रक्षा कर सकता है
  • दीर्घकाल में रूसी hackers को कानूनी सुरक्षा खोने के जोखिम और कमाई खोने के जोखिम में से एक उठाना पड़ सकता है
  • पश्चिमी defenders की तरह, रूसी hackers के लिए भी असली घरेलू computers और घरेलू computers का रूप धरे विदेशी computers में फर्क करना मुश्किल हो जाएगा

VM detection bypass और registry तरीका

  • कुछ readers ने Windows registry में virtual machine (VM) जैसी entries जोड़ने का तरीका भी सुझाया
  • Unit221B के Lance James का मानना है कि VM होना अब पहले जितना malware को नहीं रोकता
    • क्योंकि बहुत-सी organizations रोजमर्रा के काम में virtual environments इस्तेमाल करती हैं
    • आज देखे जाने वाले कई ransomware VM में भी चल जाते हैं
  • James, CIS देशों की language list जोड़ने के विचार का समर्थन करते हैं, और उन्होंने Windows PC को Russian keyboard इंस्टॉल किया हुआ दिखाने के लिए two-line batch script बनाई
  • यह script Microsoft से अतिरिक्त script library डाउनलोड किए बिना, उन खास Windows registry keys में Russian references जोड़ देती है जिन्हें malware चेक करता है

Windows 10 में language कैसे जोड़ें

  • Windows 10 में सीधे दूसरी keyboard language इंस्टॉल करने के लिए Windows key और X दबाएँ, फिर Settings चुनें
  • उसके बाद “Time and Language” चुनें, और Language menu में दूसरा character set इंस्टॉल करने का विकल्प चुनें
  • भाषा अगली reboot पर इंस्टॉल हो जाएगी
  • भाषा बदलने के लिए Windows+Spacebar shortcut इस्तेमाल करें

1 टिप्पणियां

 
GN⁺ 2025-06-30
Hacker News टिप्पणियाँ
  • मशीन को malware execution sandbox जैसा दिखा दें, तो बहुत-सा malware analysis से बचने के लिए बंद हो जाता है
    ऐसी चीज़ें आखिरकार बिल्ली-चूहे के खेल का ही हिस्सा हैं

    • उन्नत malware PC के CPU core count, hard disk capacity की जाँच करता है, और कुछ तो hardware temperature या debugger की मौजूदगी तक देखते हैं
      Windows malware पिछले 30 सालों में काफी परिष्कृत हो गया है
    • आजकल Windows servers ज़्यादातर virtualized होते हैं, इसलिए पक्का नहीं कि यह तरीका अब भी काम करेगा या नहीं
      हालांकि दूसरे indicators देखे जा सकते हैं
    • firmware में VirtualBox strings डाल दीजिए :)
    • यह बात front page की एक और पोस्ट में भी आई थी, और शायद यह submission भी वहीं से निकला है: https://news.ycombinator.com/item?id=44413185
  • इस बात के सबूत हैं कि यह Petya जैसे ransomware या Fancy Bear, Cozy Bear, Conti जैसे groups पर काम आया
    आम तौर पर वजह यह है कि अगर target रूस नहीं है, तो Russian government अनौपचारिक तौर पर छूट की गारंटी देती है
    साथ ही अगर आप खुद को Russian बताते हैं या chat/email में Russian भाषा में लिखते हैं, तो वे system को मुफ्त में decrypt भी कर देते हैं

    • AI translation के दौर में यह कैसे काम करेगा, जानने की उत्सुकता है
      बिल्कुल वही बात नहीं है, लेकिन याद है कि एक Russian shareware developer था जो Russians को free licenses देता था
    • मुझे नहीं लगता यह इतना सरल है
      Russian लोग हर जगह बहुत हैं और victim company में भी काम कर रहे हो सकते हैं, इसलिए अगर ransom लाखों dollars में है तो सिर्फ Russian होना काफी नहीं होगा
      शायद यह समझाना पड़े कि company Russian-owned है, या पिता FSB में काम करते हैं, कुछ ऐसा
    • आपने यहाँ असल मुद्दा पकड़ लिया
      अपने ही tent के अंदर पेशाब मत करो वाली policy लगभग सभी Russian groups अच्छी तरह समझते हैं
    • मुझे लगता है Russians पर attack न करने की वजह यह है कि अगर victim police में report करे, तो police को investigation शुरू करनी ही पड़ेगी
      foreigners उस मायने में समस्या नहीं बनाते
      मुझे नहीं लगता कि कोई खास immunity जैसी चीज़ है
      हालांकि foreigners भी कभी-कभी समस्या बना सकते हैं
      हाल ही में Joe Biden की report से शुरू हुई investigation के बाद कई cyber experts को दोषी ठहराया गया
  • 2000s के आखिर में tech-savvy न रहे school friends के computers से बहुत सारे winlocker हटाने वाले Russian के तौर पर, मैं इससे सहमत नहीं हो पाऊँगा :D
    हालांकि वे शायद कम sophisticated रहे होंगे
    वे files encrypt नहीं करते थे, बस ऐसी window दिखाते थे जिसे बंद नहीं किया जा सकता था और payment मांगते थे
    कभी-कभी “adult sites quick access widget install करने के लिए धन्यवाद” जैसे मज़ेदार वाक्य भी होते थे

  • अगर ऐसा कोई malware न हो जो सिर्फ Cyrillic keyboard enabled systems को target करता हो, तो मुझे उल्टा आश्चर्य होगा

    • Cyrillic keyboards कई तरह के होते हैं
      Bulgarians पर attack मत कीजिए :)
    • जाहिर है CIA जैसी agencies को अपने targets अलग पहचानने होते हैं
  • किसी भी Windows version में malware से सबसे अच्छी रक्षा यह थी कि रोज़ इस्तेमाल होने वाले default account को administrator account नहीं बनाया जाए
    एक अलग full administrator account भी बनाना चाहिए, और वह local account भी हो सकता है
    password अनिवार्य रूप से अलग होना चाहिए
    जब भी कुछ install करना हो या PowerShell/CMD को administrator privileges के साथ run करना हो, administrator account से अलग login मांगने वाला popup आता है
    यह मूल रूप से Linux के sudo तरीके जैसा है, और एक सही professional IT department Windows को इसी तरह चलाता है
    अगर आपने खुद trigger नहीं किया और administrator privilege elevation popup आ जाए, तो समझ सकते हैं कि कुछ गड़बड़ है, और ज़्यादातर malware install नहीं हो पाएगा
    साथ ही normal account के लिए अपेक्षाकृत सामान्य लेकिन बहुत छोटा नहीं password रख सकते हैं, और administrator login के लिए कहीं ज़्यादा complex password रख सकते हैं
    खासकर “दादी के PC” जैसे उन लोगों के लिए अच्छा है जिनसे गलत click होने का जोखिम ज़्यादा होता है

    • malware “install” हुए बिना भी बहुत कुछ कर सकता है
      भले ही वह non-privileged user के रूप में run हो, उस user को accessible file system में वह कुछ भी कर सकता है, और ज़्यादातर सामान्य setups में external internet connection भी बिना रोक-टोक संभव होता है
      यानी इस तरह का privilege separation data exfiltration, user की महत्वपूर्ण files को target करने वाले ransomware, या साधारण damage को नहीं रोकता
    • 2000s की शुरुआत से करीब 2012 तक मैं सहमत होता
      Vista के बाद malware ने UAC के हिसाब से खुद को ढाल लिया, और अब हर malware normal user privileges में भी अच्छे से काम करता है
      normal user जिस data तक पहुँच सकता है, वह local हो या remote CIFS server, ransomware का target बनता है
      administrator privileges सीमित करने से malware को data तक पहुँचने से नहीं रोकता
      persistence भी per-user, non-admin तरीकों पर shift हो गई
      user जब IT department को bypass करने के लिए software ढूँढकर install करता है, तो तरह-तरह के quasi-malicious customized Chromium भी इसी तरह चलते हैं
      फिर भी मेरा मानना है कि रोज़मर्रा के Windows user को administrator privileges नहीं देने चाहिए
      लेकिन malware के खिलाफ इससे खास मदद नहीं मिलती
      सबसे sensitive activities, आम तौर पर banking, के लिए मैं physically separated device इस्तेमाल करता हूँ, लेकिन अलग non-admin Windows login रखकर और ransomware से बचाए जाने वाले data access को compartmentalize करके लगभग वैसा ही असर मिल सकता है
      Windows के अलग-अलग user accounts के बीच isolation वास्तव में काफी ठीक है, बस accounts के common access वाले data को सीमित करना होगा
      निजी तौर पर मैं Qubes इस्तेमाल करके physically separated machine छोड़ना चाहता था, लेकिन उसकी खास व्यवस्था सीखने का समय नहीं निकाल पाया
      सुधार: मुझे Chrome नहीं, “quasi-malicious customized Chromium” कहना चाहिए था
    • अभी जो बताया गया, वह Windows Vista यानी 2006 से User Account Control (UAC) जो करता आ रहा है, वैसा लगता है
    • आम तौर पर individuals organized-crime ransomware attacks के target नहीं होते
      companies data वापस पाने के लिए अक्सर कहीं ज़्यादा पैसा देती हैं, और Petya ransomware इसका अच्छा उदाहरण है
      फिर भी अगर intruder के पास किसी machine पर normal user privileges हैं, तो वह उस machine और network पर actively administrator accounts खोज सकता है और sessions चुरा सकता है
      अंतिम लक्ष्य Domain Admin privileges हासिल करना होता है
      इसके अलावा data delete/encrypt करने या software run/hide करने के लिए administrator privileges ज़रूरी नहीं होते
      session theft के अलावा, unpatched software, गलत user privileges, zero-days, social engineering आदि से administrator privileges हासिल करने के कई तरीके हैं
      user जिस उपयोगी software को install करना चाहता है, उसमें malware या ransomware bundle कर देना भी आम तरीका है
    • किसी भी Windows version में malware से सबसे अच्छी रक्षा Windows का इस्तेमाल न करना है
  • “यह आसान और मुफ्त बचाव उपाय अपनाने में कोई नुकसान है? मुझे तो नहीं दिखता” पर, तुरंत समझ आने वाला नुकसान यह है कि यूज़र गलती से कीबोर्ड बदल देंगे और support cost बढ़ जाएगी
    कीबोर्ड बदलने का shortcut अक्सर गलती से दबाना मुश्किल नहीं होता, और खासकर ज़्यादातर अमेरिकी यूज़र शायद यह नहीं समझ पाएंगे कि उन्होंने क्या किया है या इसे वापस कैसे करें

    • मैं Windows यूज़र नहीं हूं, लेकिन क्या system administrator इस कीबोर्ड को चालू रखकर switching shortcut बंद नहीं कर सकता?
  • Brian Krebs ने 2021 में इसे पूरी दुनिया के सामने प्रकाशित किया था, उसके बाद भी यह अभी भी सच में काम करता है या नहीं, यह जानने की उत्सुकता है

    • यह पहले से ऐसा था और आगे भी ऐसा ही रहेगा
      रूस और उत्तर कोरिया ransomware को वैध economic activity मानते हैं
      यह hybrid warfare strategy का हिस्सा है
    • हां, बिल्कुल ऐसा है
      यह मुख्यतः कानूनी और enforcement से जुड़ा निर्णय है
      अगर आप रूसी authorities से बचते हैं, तो वे भी आपसे बचते हैं
      साथ ही रूस, अमेरिका जितना उपजाऊ target नहीं है
      अमेरिका में ऐसे कम वेतन वाले junior office workers बहुत हैं जो Business Email Compromise (BEC) के झांसे में आकर AP payment जानकारी खुशी-खुशी update कर देंगे
      2024 में BEC losses 2.77 अरब डॉलर के साथ सबसे अधिक लाभदायक category थी, और अमेरिका में कुल नुकसान 859,532 reports में 16 अरब डॉलर था
      जिस एक जांच में मैं शामिल था, उसमें चीन के एक threat actor ने social engineering के ज़रिए एक अमेरिकी कंपनी में employee account बनवाया था
      वे इतने convincing थे कि किसी खास branch में नए employee account बनाते समय identity workflow approval process में अपना account admin की तरह शामिल कराने में भी सफल हो गए
      मकसद सिर्फ कर्मचारियों को मिलने वाले discount benefits को हड़पना था, और उन्हें resell करके कई वर्षों में करीब 10 लाख डॉलर का नुकसान कराया
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • मुझे जानना है कि cyber attacks के स्रोत का कुछ हद तक भरोसे के साथ अनुमान लगाने का तरीका क्या है
    कई बार कहा जाता है, “इस्तेमाल की गई techniques रूसी groups की जानी-पहचानी techniques हैं, इसलिए हम जानते हैं कि वे रूसी हैं”, लेकिन अगर कोई technique किसी खास group या देश की इतनी साफ पहचान कराती है, तो क्या उसे copy करके ऐसा दिखाना आसान नहीं होगा कि वही लोग इसके पीछे हैं?
    अगर Russian flag लगा कोई warship अमेरिकी जहाज पर गोली चलाकर भाग जाए और पकड़ा न जाए, तो सिर्फ flag देखकर “100% रूस ही है” कहना मूर्खता लगेगा
    यह सचमुच false flag operation भी हो सकता है, और आजकल ऐसा करने की राजनीतिक प्रेरणा भी बहुत बड़ी है

  • Russian keyboard होने पर आप NSA malware के लिए आकर्षक target बन जाते हैं

    • रूस, चीन आदि अपनी military या संवेदनशील government employees के devices पर Windows के इस्तेमाल पर रोक लगाते हैं
      वे अपने Linux distributions इस्तेमाल करते हैं
  • Russian keyboard इस्तेमाल करने वाले के तौर पर भी, cybersecurity की basics जानने से पहले मुझे काफी बार virus infection हुआ था
    कुल मिलाकर यह तरीका असल में कितना व्यापक रूप से काम करता है, या लेख में इसे बढ़ा-चढ़ाकर बताया गया है, यह जानने की उत्सुकता है

    • मुझे लगता है यह targeted/campaign attacks से जुड़ी बात है
      rar files में मिलाकर फैलने वाला सामान्य virus spread काफी generic होता है
      उलटा, अगर कोई संगठन CIS देशों में operate करता है, तो internal security agencies का target बनने से बचने के लिए स्वाभाविक रूप से सावधानी से जांच करना logical है
      उदाहरण के लिए, अगर आप botnet बनाकर rent पर देते हैं, तो दूसरा group उससे सचमुच बड़ा नुकसान कर सकता है, इसलिए बस उसे विदेश में host करना ज्यादा सुरक्षित है