Никому до вас ещё не удавалось найти способ проникнуть в Институт, так что ни одна фракция, включая минитменов, не может упустить возможность узнать о величайшей загадке Содружества как можно больше. Поэтому Стурджес, техник минитменов, помогающий вам строить перехватчик сигнала в рамках сюжетного квеста «Молекулярный уровень» , даёт вам голозапись с вирусом, который просканирует сеть Института и выгрузит информацию о нём.
Ваша задача вставить голозапись с вирусом в любой терминал Института запустить сканирование сети. Удобнее всего это сделать сразу по прибытию, пока вокруг вас нет не единой души и в вашем распоряжении терминал с открытым доступом. Не забудьте забрать запись с вирусом после сканирования.
Теперь вам нужно при любой удобной возможности отдать голографическую запись обратно Стурджесу, чтобы он проанализировал собранные данные. В любом случае сначала вам придётся пройти сюжетный квест «Учреждение закрытого типа» , в котором вы познакомитесь с Институтом, так как только после него вы сможете переместиться из здания Института.
-1) {_uWnd.alert("Вы уже оценивали данный материал!","Ошибка",{w:270,h:60,t:8000});$("#rating_os").css("cursor","help").attr("title","Вы уже оценили этот материал");$("#rating_os").attr("id","rating_dis");} else {_uWnd.alert("Спасибо за оценку!","Вы сделали своё дело",{w:270,h:60,t:8000});var rating = parseInt($("#rating_p").html());rating = rating + 1;$("#rating_p").html(rating);$("#rating_os").css("cursor","help").attr("title","Вы уже оценили этот материал");$("#rating_os").attr("id","rating_dis");}});">Мне нравится 21Информация
Почему же все не могут сосуществовать мирно? К сожалению, в постапокалиптической пустоши ресурсы ограничены, а инстинкт выживания, как правило, приводит к недоверию. Так что выбирайте к какой фракции вы хотите присоединиться и помните, вы всегда можете отдать голозапись, полученную от одой фракции, другой фракции, если захотите сменить сторону.
Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами. Вариации проведения атаки могут быть разными, однако обычно классический пентест - это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу. Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы. Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки. Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:
Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий. Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.
На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.
Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?
Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия. И в то же время зараженная флешка - это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся. Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе. Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.
На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:
Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла. Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки. Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».
Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:
String GetFlashSerial(AnsiString DriveLetter) { DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL, 0); String S; return S.sprintf("%X", VolumeSerialNumber); }
Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома. Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства. В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.
Теперь приступим к реализации самой эвристики.
Bool IsItABadFlash(AnsiString DriveLetter) { DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; if ((String(drive_fat)!="NTFS") && (FileExists(DriveLetter + ":\\autorun.inf"))) { DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) { badflash = true; } } if (!badflash) { TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) { DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) { badflash = true; } } } return badflash; }
Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf. Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный». Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.
Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин. Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад. Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.
Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.
Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее. Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем. Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы - и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.
Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении. Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.
Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики. Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом. Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.
Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные. Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней. Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности. Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.
Подводя черту, можно сказать, что главный недостаток этого метода - его неопределенность. Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода. Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба. Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену - человеку. ][
При заражении компьютера вирусом (или подозрении на это) важно соблюдать 4 правила:
Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говорится, "семь раз отмерь, один раз отрежь" - непродуманные действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера.
Тем не менее, одно действие должно быть выполнено немедленно, - надо выключить компьютер, чтобы вирус не продолжал свою работу. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи "аварийной" дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами находящимися только на защищенных от записи "аварийных" дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
Если Вы не обладаете достаточными опытом и знаниями для лечения компьютера, попросите о помощи более опытных коллег или даже специалистов.
1). Копирование информации и разграничение доступа:
Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых Вами пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса. Целесообразно так же скопировать на дискеты служебную информацию вашего диска, типа об энергонезависимой памяти компьютера.
Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.
2). Следует устанавливать защиту от записи на архивных дискетах. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.
3). Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, "скачанные" из интернета.
4). Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
5). На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
6). Используйте программы - фильтры для раннего обнаружения вирусов.
7). Периодически проверяйте диск программами типа AVP или Dr. Web для обнаружения возможных провалов в обороне.
8). Обновляйте базу антивирусных программ (AVP делает это за 8-10 минут).
И главное –не допускайте к компьютеру сомнительных пользователей.
1. Петров М. С., «Компьютерные вирусы», М.:2002г.
2. Фигурнов В.Э. «IBM PC для пользователя. Краткий курс», Инфра-М.:2001г.
3. Старков В.А. «Азбука персонального компьютера», М.:2000г.
4. Безруков Н. Н. " Компьютерная вирусология" : справ. руководство 1991 г.
Как завершить квест «Учреждение закрытого типа». Это последний квест из основного сюжета, после которого вам придётся сделать выбор на чью сторону встать.
Встаньте в перехватчик сигнала, который мы собрали в и ждите, пока устройство телепортирует вас в Институт. не могут проходить в Институт, они остаются снаружи и присоединяются к вам, когда вы выходите наружу.
Вы попали в «Институт», и кажется поиски сына почти завершены. Как только вы телепортируетесь и осмотрите непривычную обстановку из новых блестящих вещей, к вам обратится голос по громкой связи. Он скажет, что долго вас ждал и предложит воспользоваться лифтом в конце помещения. В этот момент начнется квест «Учреждение закрытого типа».
Лифт находится впереди. Воспользуйтесь им. По мере движения вы будете слышать голос, который расскажет вам об «Институте». Когда двери лифта откроются, идите вперед по коридору до следующего лифта. Используйте его. Наконец, вы попадете в помещение, где находится комната со стеклянной секцией, в которой спиной к вам сидит мальчик. Начните с ним разговор. Когда вы спросите про «Отца», диалог будет окончен и появится глава «Института», который отключит мальчика, оказавшегося синтом. Поговорите с «Отцом» — так он называет себя.
«Отец» расскажет вам, что он и есть ваш сын, что скорбит о смерти матери, которая , но не помнит этого момента, так как был младенцем. Вы можете сказать, что это бред и потребовать объяснить происходящее. Выслушайте сына, это и правда он. Вы узнаете всё о синтах, проводимых исследованиях, истории Института и причинах всего произошедшего с вами. В конце разговора «Отец» предложит вам вступить в ряды Института. Примите его предложение, чтобы обследовать весь комплекс.
«Отец» предложит вам пообщаться с четырьмя главными учеными Института, которые заведуют разными направлениями разработок. Для начала зайдите в комнату за его спиной и поднимитесь по лестнице. Там вы найдете ванну, где лежат шпильки и антирадин. Вообще в Институте полно разного добра — от новеньких вещей, которые можно разобрать на хлам для крафтинга, до аптечек со стимуляторам и антирадином.
Вернитесь в помещение, где вы видели мальчика. Пройдите через дверь напротив комнаты «Отца» и спускайтесь вниз по лестнице. На нижнем этаже вы найдете доктора Элли Филмор (у неё желтая одежда), побеседуйте с ней. После этого оглянитесь и вы увидите синта за прилавком, который торгует броней, оружием и прочими полезными предметами.
Закупите необходимые припасы выходите к сердцу «Института», откуда можно легко попасть в любое крыло комплекса. Вы видели в Fallout 4 зелёные деревья? Здесь они есть.
Теперь направляйтесь в отделение бионауки и ищите доктора Холден. У неё зеленая одежда. Поговорите с ней, и когда услышите все, что хотели, заканчивайте беседу. В этом отделении стоит обратить внимание на терминал с высоким уровнем защиты, ведущий в старую лабораторию Верджила. Здесь же можно найти обычный терминал, где хранятся интересные записи.
После этого идите в отделение высших систем. Чтобы не заблудиться, следуйте по маркеру и найдите доктора Ли. У неё синяя одежда. Доктор установит в ваш Пип-бой специальный чип, который позволит беспрепятственно телепортироваться в «Институт». Запомните этого доктора, если играете на стороне Братства Стали.
После знакомства со всеми заведующими вернитесь к «Отцу» и квест «Учреждение закрытого типа» будет завершен. Теперь вы сможете без проблем перемещаться в Институт через Пип-бой. Также вы получите первое задание от «Института» под названием «Задержание».
Теперь нужно выполнить задание по сканированию сети Института, если вы не сделали этого ранее. Задание вам дал техник той фракции, которому вы передали чертежи для постройки телепорта в предыдущей главе прохождения. Найдите ближайший терминал, загрузите в него голозапись и запустите сканирование. По завершению процесса заберите данные. Неважно, кому вы отдадите эти данные — в любой момент их можно отнести в .
Сейчас можно зайти ещё в одно место, но это не обязательно делать. Помните, когда мы выполнили , Верджил попросил нас достать из его старой лаборатории сыворотку вируса ВРЭ? Для этого необходимо попасть в закрытую часть Института, которая находится в отделении бионауки. В лабораторию можно попасть либо через терминал с очень высоким уровнем взлома, либо через дверь попроще в соседних складских помещениях. Внутри лаборатирии нет ничего особо интересного: много турелей и мёртвых котов, ходит штурмотрон, а на складе лежат модификации для оружия.
Когда заберёте сыворотку в лаборатории отнесите её Верджилу, чтобы он снова стал человеком. Отдав лекарство, загляните к нему через несколько дней. После выздоровления Верджила вы можете брать в его пещере-лаборатории всё что захотите. Хотя брать там особо нечего, но ведь мы обещали помочь ему…
Вам будет предложено загрузить «Вирус» на любом из терминалов Института. Это, в свою очередь, запустит новое задание «Под землей и под прикрытием».
Поэтапное руководство по загрузке вируса:
1. Найдите любой терминал в Институте
2. Вставьте голозапись (кнопка [R])
3. Выберете из списка «Вирус»
4. «Прокликайте» все пункты в меню – Сканирование сети / Сообщение от Тома / Копировать зашифрованное сообщение.
5. Вернитесь в главное меню. В нем должна появиться новая строчка про срочный ответ – открываем – готово.
В ответе будет сказано место встречи. Идем по маркеру на компасе и встречаем Лайама:
После разговора он предложит встретиться со «своим синтом», общаемся, узнаем, что у них есть еще 13 синтов, которые хотят сбежать из Института. И у Лайама есть идея, как отправить на поверхность сразу всех, но для этого нужна будет наша помощь – получить реквизиты доступа к старой охранной системе Технологического института – «Защитнику кода», которые находятся где-то в Содружестве.
Идем в подземку, разговариваем с Дездемоной.
Она попросит оставить отчет на терминале ПАМ идем к нему.
Выбираем «Открыть отчет об Институте». Затем говорим с роботом ПАМ, он стоит рядом (примечание: терминал ПАМ и робот ПАМ это разные вещи).
Нам сообщают место следующего посещения - «Лаборатория “Кембридж Полимер”», отправляемся туда.
В здании нас встречает робот Молли (довольно забавный робот, который даст дополнительное задание «Лаборатория “Кембридж Полимер”»). После разговора с роботом ищем вот такую комнату:
Чтобы попасть туда нужно будет или взломать терминал уровня «Сложный», или еще немного побегать по зданию, и найти проход в комнату через верхний этаж (там будет дыра в полу).
Добираемся до нужного терминала – там будет много пунктов, нам нужен «Запрос на выдачу пароля (архив)».
Чтобы выйти из комнаты – откройте дверь с помощью другого терминала в комнате.
Возвращаемся к Дездемоне, разговариваем. Затем возвращаемся в Институт и общаемся с Лайамом и Z1-14.
Последний скажет, что ему нужно время, чтобы поговорить с друзьями. Садимся на лавочке рядом и прокручиваем 24 часа. Вновь разговариваем с Z1-14.
Он скажет, что синты готовы сражаться за свободу, но им нужно оружие, которое они, в общем-то, могут сделать себе сами, но нужны материалы.
Отправляемся в туннель и убиваем охранников.
Возвращаемся к Z1-14, он скажет, что они начинают сборку оружия, но на это уйдет время.
Дальше задание будет «на паузе» до тех пор, пока не будет выполнено задание Запуск . После выполнения этого задания, сразу после совещания директоров, к вам подойдет синт и скажет что в вашей комнате потом нужно срочно туда сходить. Ясное дело, что никакого потопа нет, просто Z1-14 нужно с нами встретиться.
Он скажет, Институт тайно передал Братству стали месторасположение базы подземки, и их нужно срочно предупредить. Отправляемся в подземку, и говорим с Дездемоной.
На этом задание завершается.
