Ппи это расшифровка: ППИ | это… Что такое ППИ?

Содержание

ППИ | это… Что такое ППИ?

ТолкованиеПеревод

ППИ

ППИ

Пакистан Пресс Интернэшнл

англ.: PPI, Pakistan Press International

телеграфное агентство Пакистана


англ., Пакистан, связь

ППИ

Псковский политехнический институт


г. Псков, образование и наука, техн.

ППИ

пункт приёма информации

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ППИ

пилотажно-проекционный индикатор

ППИ

Пензенский политехнический институт

с 17 марта 1958 по 5 июля 1993

ранее:
ПИИ

после:
ПГТУ


г. Пенза, образование и наука, техн.

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ППИ

Пермский политехнический институт

с 10 августа 1960 по 7 декабря 1992

ранее:
ПГИ + ПВМИ

после:
ПГТУ


г. Пермь, образование и наука, техн.

Источник: http://pstu.ac.ru/history/stanovl.html

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ППИ

полупромышленные испытания

металлургия

ППИ

приёмо-передаточные испытания


техн.

ППИ

патрон помеховый инфракрасного излучения


в маркировке

Источник: http://www.arms-expo.ru/site.xp/049048052048124055057051.html


Пример использования

ППИ-50-3

ППИ

полипропилен изотактический

Источник: http://bpci.kiev.ua/paper/2001_09-10_P001-124_SUM.pdf

ППИ

пакет перевязочный индивидуальный


в маркировке


Пример использования

ППИ АВ-3

ППИ

производство пластмассовых изделий

Источник: http://www.regnum.ru/news/376200. html


Пример использования

ППИ ОАО «АВТОВАЗ»

ППИ

повторно признанный инвалид

Словарь сокращений и аббревиатур.
Академик.
2015.

Игры ⚽ Нужно решить контрольную?

  • АПГО
  • кратк. ф.

Полезное

Пакет перевязочный индивидуальный: назначение и применение

Пакет перевязочный индивидуальный (ППИ) – это средство для закрытия ран и ожогов при оказании само- и взаимопомощи.

Пакет перевязочный индивидуальный (ППИ)

Предназначение

Пакет перевязочный индивидуальный представляет собой стерильную повязку, заключенную в защитную оболочку и используемую для оказания первой медицинской помощи пораженным в целях остановки наружного кровотечения, предохранения раны (ожога) от вторичного инфицирования и воздействия неблагоприятных факторов окружающей среды.

Вскрытие и извлечение

Разорвать прорезиненную оболочку пакета по надрезу кромки, извлечь бумажный сверток, вынуть булавку и развернуть бумагу. Затем одной рукой взять конец бинта, другой – его скатку и развести руки так, чтобы подушечки развернулись и расправились. Касаться руками подушечек можно только со стороны, отмеченной цветной ниткой. Обратная сторона подушечек, предназначенная для наложения на раневую поверхность, должна сохраняться стерильной.

Вскрытие и извлечение ППИ

а – вскрытие наружного чехла по надрезу, б – извлечение внутренней упаковки

Состав

Пакет перевязочный индивидуальный состоит из марлевого бинта размером 175 х 7000 мм, двух стерильных ватно-марлевых подушек размером 320 x 175 мм, одна из которых фиксирована (неподвижная) на расстоянии 12-17 см от конца бинта, а другая подвижная (может передвигаться по бинту на заданное расстояние). Бинт с ватно-марлевыми подушечками завернут в пергаментную бумагу, в складку которой вложена безопасная булавка, и упакован в герметическую наружную оболочку из прорезиненной ткани.

Состав ППИ

Перевязочный материал в развернутом виде:
1 – конец бинта; 2 – подушечка неподвижная; 3 – цветные нитки; 4 – подушечка подвижная; 5 – бинт; 6 – скатка бинта

Наложение и способ применения

При наложении повязки подушечки стерильной стороной накладывают на рану или ожог в два слоя (одна на другую) или рядом (в один слой), если рана (площадь ожога) велика. При наличии входного и выходного отверстия раны, одно закрывают неподвижной подушечкой, а другое – подвижной, перемещаемой по бинту. При слепых, скальпированных ранах и ожогах подушечки накладываются друг на друга или рядом в зависимости от размеров раневой поверхности. Подушечки прибинтовывают и конец бинта закрепляют булавкой.

При необходимости упаковка из прорезиненной ткани может быть использована для герметизации раневых каналов (например, при проникающем ранении грудной полости). В этом случае она накладывается на рану стерильной (внутренней) стороной.

Хранение

Пакет перевязочный индивидуальный хранят в сухих складских помещениях, в фанерных или картонных ящиках, выложенных изнутри влагонепроницаемой бумагой, или в бумажных мешках. Стерильность пакета перевязочного индивидуального в таких условиях сохраняется в течение 5 лет.

Перевязочные пакеты с поврежденной наружной оболочкой для наложения асептической повязки непригодны.

Размеры

Габаритные размеры пакета 100 x 65 x 40 мм. Масса пакета – 0,075 кг.

 Также читайте дополнительный материал по теме: 

Индивидуальный противохимический пакет (ИПП): что это такое, назначение и способы применения

Источники: Пакет перевязочный индивидуальный (ППИ). Большая медицинская энциклопедия в 30-ти томах. Б 79 АМН СССР. Лапин В.П. Главный редактор Петровский Б.В. -3-е изд. –М., 1985; Медико-техническое обеспечение Всероссийской службы медицины катастроф. Книга «Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Медицина катастроф и реабилитация. Соболенко А.К. –М., 1999; Безопасность жизнедеятельности и медицина катастроф. Горячев С.Ф. –Ростов н/Д, 2006; ГОСТ 1179-93 Пакеты перевязочные медицинские. Технические условия.

Как защитить конфиденциальные данные на протяжении всего их жизненного цикла в AWS

Многие рабочие процессы клиентов Amazon Web Services (AWS) требуют приема конфиденциальных и регулируемых данных, таких как данные индустрии платежных карт (PCI), личная информация (PII) и защищенная медицинская информация (ФИ). В этом посте я покажу вам метод, предназначенный для защиты конфиденциальных данных на протяжении всего их жизненного цикла в AWS. Этот метод может помочь повысить уровень безопасности ваших данных и быть полезным для выполнения нормативных требований к конфиденциальности данных, применимых к вашей организации для защиты данных в состоянии покоя, в пути и при использовании.

Существующий метод защиты конфиденциальных данных в AWS — использование функции шифрования на уровне полей, предлагаемой Amazon CloudFront. Эта функция CloudFront защищает конфиденциальные поля данных в запросах на границе сети AWS. Выбранные поля защищены при приеме и остаются защищенными на протяжении всего стека приложения. Идея защиты конфиденциальных данных на ранних этапах их жизненного цикла в AWS является весьма желательной архитектурой безопасности. Однако CloudFront может защитить не более 10 полей и только в HTTP(S)-запросах POST, которые несут полезные данные в формате HTML.

Если ваши требования превышают встроенную функцию шифрования CloudFront на уровне полей, например необходимость обработки различных форматов полезной нагрузки приложений, различных методов HTTP и более 10 конфиденциальных полей, вы можете самостоятельно внедрить шифрование на уровне полей с помощью функции Lambda@Edge в Облачный фронт. Что касается выбора подходящей схемы шифрования, эта проблема требует асимметричной криптографической системы, которая позволит открыто распространять открытые ключи на границы сети CloudFront, сохраняя при этом соответствующие закрытые ключи в безопасном месте в ядре сети. Одной из таких популярных асимметричных криптографических систем является RSA. Соответственно, мы реализуем функцию Lambda@Edge, которая использует асимметричное шифрование с использованием криптосистемы RSA для защиты произвольного количества полей в любом запросе HTTP(S). Мы обсудим решение на примере полезной нагрузки JSON, хотя этот подход можно применить к любому формату полезной нагрузки.

Сложной частью любого решения для шифрования является управление ключами. Чтобы решить эту проблему, я использую службу управления ключами AWS (AWS KMS). AWS KMS упрощает решение и предлагает улучшенную систему безопасности и эксплуатационные преимущества, о которых подробно рассказывается ниже.

Обзор решения

Вы можете защитить данные при передаче по отдельным каналам связи с помощью безопасности транспортного уровня (TLS) и при хранении в отдельных хранилищах с помощью шифрования томов, объектов или таблиц базы данных. Однако при наличии важных рабочих нагрузок может потребоваться дополнительная защита, способная отслеживать данные по мере их перемещения по стеку приложений. Мелкозернистые методы защиты данных, такие как шифрование на уровне полей, позволяют защитить поля конфиденциальных данных в больших полезных нагрузках приложений, оставляя неконфиденциальные поля открытым текстом. Этот подход позволяет приложению выполнять бизнес-функции с неконфиденциальными полями без дополнительных затрат на шифрование и обеспечивает детальный контроль над тем, какие поля могут быть доступны для каких частей приложения.

Лучшая практика защиты конфиденциальных данных — уменьшить их раскрытие в открытом виде на протяжении всего жизненного цикла. Это означает защиту данных как можно раньше при приеме и обеспечение того, чтобы только авторизованные пользователи и приложения могли получить доступ к данным только тогда и когда это необходимо. CloudFront в сочетании с гибкостью, обеспечиваемой Lambda@Edge, обеспечивает подходящую среду на границе сети AWS для защиты конфиденциальных данных при приеме в AWS.

Поскольку подчиненные системы не имеют доступа к конфиденциальным данным, сокращается доступ к данным, что помогает свести к минимуму ваше влияние на соответствие требованиям для целей аудита.

Количество элементов конфиденциальных данных, для которых может потребоваться шифрование на уровне поля, зависит от ваших требований. Например:

  • Для медицинских приложений HIPAA регулирует 18 элементов персональных данных.
  • В Калифорнии Калифорнийский закон о конфиденциальности потребителей (CCPA) регулирует как минимум 11 категорий личной информации, каждая из которых имеет свой собственный набор элементов данных.

Идея шифрования на уровне полей состоит в том, чтобы защитить поля конфиденциальных данных по отдельности, сохраняя при этом структуру полезной нагрузки приложения. Альтернативой является полное шифрование полезной нагрузки, при котором вся полезная нагрузка приложения шифруется как двоичный двоичный объект, что делает ее непригодной для использования до тех пор, пока она не будет полностью расшифрована. При шифровании на уровне полей неконфиденциальные данные, оставленные в виде открытого текста, остаются пригодными для использования в обычных бизнес-функциях. При дооснащении защиты данных в существующих приложениях этот подход может снизить риск сбоев в работе приложения, поскольку сохраняется формат данных.

На следующем рисунке показано, как поля данных PII в конструкции JSON, которые приложение считает конфиденциальными, могут быть преобразованы из открытого текста в зашифрованный текст с помощью механизма шифрования на уровне поля.

Рисунок 1: Пример шифрования на уровне поля

Вы можете преобразовать открытый текст в зашифрованный текст, как показано на рис. 1, используя функцию Lambda@Edge для выполнения шифрования на уровне поля. Я обсуждаю процессы шифрования и дешифрования отдельно в следующих разделах.

Процесс шифрования на уровне поля

Давайте обсудим отдельные этапы процесса шифрования, как показано на рисунке 2.

Рисунок 2: Процесс шифрования на уровне поля

На рис. 2 показано, как CloudFront вызывает функцию Lambda@Edge при обработке запроса клиента. CloudFront предлагает несколько точек интеграции для вызова функций Lambda@Edge. Поскольку вы обрабатываете запрос клиента, а ваше поведение при шифровании связано с запросами, пересылаемыми на исходный сервер, вы хотите, чтобы ваша функция выполнялась при событии исходного запроса в CloudFront. Событие запроса источника представляет собой изменение внутреннего состояния в CloudFront, которое происходит непосредственно перед тем, как CloudFront перенаправит запрос на нижестоящий исходный сервер.

Вы можете связать Lambda@Edge с CloudFront, как описано в разделе Добавление триггеров с помощью консоли CloudFront. Снимок экрана консоли CloudFront показан на рис. 3. Выбран тип события Origin Request , а флажок Include Body установлен, чтобы тело запроса было передано в Lambda@Edge.

Рис. 3. Конфигурация Lambda@Edge в CloudFront

Функция Lambda@Edge действует как программируемая ловушка в потоке обработки запросов CloudFront. Вы можете использовать эту функцию, чтобы заменить тело входящего запроса телом запроса с зашифрованными полями конфиденциальных данных.

Процесс включает следующие этапы:

Шаг 1 — Генерация ключа RSA и включение в Lambda@Edge

Вы можете сгенерировать управляемый клиентом ключ RSA (CMK) в AWS KMS, как описано в разделе Создание асимметричных ключей CMK. Это делается во время настройки системы.

Примечание . Вы можете использовать существующие пары ключей RSA или создавать новые извне с помощью команд OpenSSL, особенно если вам необходимо выполнять расшифровку RSA и управление ключами независимо от AWS KMS. Ваш выбор не повлияет на фундаментальный шаблон проектирования шифрования, представленный здесь.

Для создания ключа RSA в AWS KMS требуется два входа: длина ключа и тип использования. В этом примере я создал 2048-битный ключ и назначил его использование для шифрования и дешифрования. Криптографическая конфигурация RSA CMK, созданного в AWS KMS, показана на рис. 4.

Рис. 4. Криптографические свойства ключа RSA, управляемого AWS KMS

Из двух алгоритмов шифрования, показанных на рисунке 4 — RSAES_OAEP_SHA_256 и RSAES_OAEP_SHA_1, в этом примере используется RSAES_OAEP_SHA_256. Комбинация 2048-битного ключа и алгоритма RSAES_OAEP_SHA_256 позволяет зашифровать максимум 190 байт данных, что достаточно для большинства полей PII. Вы можете выбрать другую длину ключа и алгоритм шифрования в зависимости от ваших требований к безопасности и производительности. Как выбрать конфигурацию CMK включает информацию о спецификациях ключа RSA для шифрования и дешифрования.

Использование AWS KMS для управления ключами RSA вместо самостоятельного управления ключами устраняет эту сложность и может помочь вам:

  • Принудительное применение политик IAM и ключей, описывающих административные разрешения и разрешения на использование ключей.
  • Управление доступом между учетными записями для ключей.
  • Мониторинг и оповещение о ключевых операциях через Amazon CloudWatch.
  • Аудит вызовов API AWS KMS через AWS CloudTrail.
  • Запись изменений конфигурации ключей и обеспечение соответствия спецификации ключей с помощью AWS Config.
  • Создайте высокоэнтропийные ключи в аппаратном модуле безопасности (HSM) AWS KMS в соответствии с требованиями NIST.
  • Безопасное хранение закрытых ключей RSA без возможности экспорта.
  • Выполните расшифровку RSA в AWS KMS, не раскрывая закрытые ключи коду приложения.
  • Категоризация и отчет по ключам с ключевыми тегами для распределения затрат.
  • Отключить ключи и запланировать их удаление.

Вам необходимо извлечь открытый ключ RSA из AWS KMS, чтобы включить его в пакет развертывания AWS Lambda. Это можно сделать из Консоли управления AWS, через SDK AWS KMS или с помощью команды get-public-key в интерфейсе командной строки AWS (AWS CLI). На рис. 5 показано Скопируйте и Загрузите параметры для открытого ключа на вкладке Открытый ключ консоли AWS KMS.

Рисунок 5: Открытый ключ RSA доступен для копирования или загрузки в консоли

Примечание . Как мы увидим в примере кода на шаге 3, мы встраиваем открытый ключ в пакет развертывания Lambda@Edge. Это допустимая практика, потому что открытые ключи в системах асимметричной криптографии не являются секретом и могут свободно распространяться среди организаций, которым необходимо выполнять шифрование. Кроме того, вы можете использовать Lambda@Edge для запроса открытого ключа AWS KMS во время выполнения. Однако это приводит к задержке, увеличивает нагрузку на квоту вашей учетной записи KMS и увеличивает ваши расходы на AWS. Общие шаблоны использования внешних данных в Lambda@Edge описаны в разделе Использование внешних данных в Lambda@Edge.

Шаг 2.

Обработка запросов HTTP API с помощью CloudFront

CloudFront получает запрос HTTP(S) от клиента. Затем CloudFront вызывает Lambda@Edge во время обработки исходного запроса и включает тело HTTP-запроса в вызов.

Шаг 3 — обработка Lambda@Edge

Функция Lambda@Edge обрабатывает тело HTTP-запроса. Функция извлекает поля конфиденциальных данных и выполняет шифрование RSA по их значениям.

Следующий код является примером исходного кода для функции Lambda@Edge, реализованной в Python 3.7:

 импорт Крипто
импортировать base64
импортировать json
из Crypto.Cipher импортировать PKCS1_OAEP
из Crypto.PublicKey импортировать RSA

# Открытый ключ RSA в формате PEM, скопированный из AWS KMS или ваш собственный открытый ключ.
RSA_PUBLIC_KEY = "-----НАЧАТЬ ПУБЛИЧНЫЙ КЛЮЧ-----<ваш ключ>-----КОНЕЦ ПУБЛИЧНОГО КЛЮЧА-----"
RSA_PUBLIC_KEY_OBJ = RSA.importKey(RSA_PUBLIC_KEY)
RSA_CIPHER_OBJ = PKCS1_OAEP.new(RSA_PUBLIC_KEY_OBJ, Crypto. Hash.SHA256)

# Пример имен полей конфиденциальных данных в объекте JSON.
PII_SENSITIVE_FIELD_NAMES = ["fname", "lname", "email", "ssn", "dob", "phone"]

CIPHERTEXT_PREFIX = "#01#"
CIPHERTEXT_SUFFIX = "#10#"

def lambda_handler (событие, контекст):
    # Извлечь HTTP-запрос и его тело в соответствии с документацией:
    # https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-event-structure.html
    http_request = событие['Записи'][0]['cf']['запрос']
    тело = http_request['тело']
    org_body = base64.b64decode (тело ['данные'])
    mod_body = protect_sensitive_fields_json (org_body)
    тело['действие'] = 'заменить'
    тело ['кодировка'] = 'текст'
    тело ['данные'] = mod_body
    вернуть http_request


Защита Protect_Sensitive_fields_json (тело):
    # Шифрует конфиденциальные поля в примере полезной нагрузки JSON, показанном ранее в этом посте.
    # [{"fname": "Алехандро", "lname": "Росалез", … }]
    person_list = json.loads(body.decode("utf-8"))
    для person_data в person_list:
        для field_name в PII_SENSITIVE_FIELD_NAMES:
            если field_name не в person_data:
                Продолжить
            открытый текст = данные_человека[имя_поля]
            зашифрованный текст = RSA_CIPHER_OBJ. encrypt (байты (открытый текст, 'utf-8'))
            ciphertext_b64 = base64.b64encode(зашифрованный текст).decode()
            # При желании добавьте уникальные шаблоны префикса/суффикса в зашифрованный текст
            person_data[имя_поля] = CIPHERTEXT_PREFIX + ciphertext_b64 + CIPHERTEXT_SUFFIX
    вернуть json.dumps(person_list)
 

Структура события, передаваемая в функцию Lambda@Edge, описана в разделе Структура события Lambda@Edge. Следуя структуре события, вы можете извлечь тело HTTP-запроса. В этом примере предполагается, что полезные данные HTTP содержат документ JSON на основе конкретной схемы, определенной как часть контракта API. Входной документ JSON анализируется функцией и преобразуется в словарь Python. Затем операторы родного словаря Python используются для извлечения значений конфиденциальных полей.

Примечание . Если вы заранее не знаете структуру полезных данных API или имеете дело с неструктурированными полезными данными, вы можете использовать такие методы, как поиск шаблонов регулярных выражений и контрольные суммы, чтобы искать шаблоны конфиденциальных данных и нацеливать их соответствующим образом. . Например, номера основных счетов кредитных карт содержат контрольную сумму Луна, которая может быть определена программно. Кроме того, такие сервисы, как Amazon Comprehend и Amazon Macie, можно использовать для обнаружения конфиденциальных данных, таких как PII, в полезных нагрузках приложений.

При переборе конфиденциальных полей значения отдельных полей шифруются с использованием стандартной реализации шифрования RSA, доступной в наборе инструментов криптографии Python (PyCrypto). Модуль PyCrypto включен в ZIP-архив Lambda@Edge, как описано в пакете развертывания Lambda@Edge.

В примере используется стандартное оптимальное заполнение асимметричного шифрования (OAEP) и свойства алгоритма шифрования SHA-256. Эти свойства поддерживаются AWS KMS и позволят позже расшифровать созданный здесь зашифрованный текст RSA с помощью AWS KMS.

Примечание . Вы могли заметить в приведенном выше коде, что мы заключаем в скобки зашифрованные тексты с предопределенными строками префикса и суффикса:

person_data[имя_поля] = CIPHERTEXT_PREFIX + ciphertext_b64 + CIPHERTEXT_SUFFIX

Это необязательная мера, которая используется для упрощения процесса расшифровки.

Строки префикса и суффикса помогают разграничить зашифрованный текст, встроенный в неструктурированные данные при последующей обработке, а также действуют как встроенные метаданные. Уникальные строки префиксов и суффиксов позволяют извлекать зашифрованный текст с помощью поиска строк или регулярных выражений (регулярных выражений) в процессе расшифровки без необходимости знать формат или схему тела данных или имена полей, которые были зашифрованы.

Отдельные строки также могут служить косвенными идентификаторами идентификаторов пары ключей RSA. Это может включить ротацию ключей и разрешить использование отдельных ключей для отдельных полей в зависимости от требований безопасности данных для отдельных полей.

Вы можете гарантировать, что строки префикса и суффикса не будут конфликтовать с зашифрованным текстом, заключив их в квадратные скобки с символами, которых нет в зашифрованном тексте. Например, символ решетки (#) не может быть частью строки зашифрованного текста в кодировке base64.

Для развертывания функции Lambda в качестве функции Lambda@Edge требуются определенные разрешения IAM и роль выполнения IAM. Следуйте инструкциям по развертыванию Lambda@Edge в разделе Настройка разрешений и ролей IAM для Lambda@Edge.

Шаг 4 — ответ Lambda@Edge

Функция Lambda@Edge возвращает измененное тело HTTP обратно в CloudFront и дает указание заменить исходное тело HTTP измененным, установив следующий флаг:

http_request['тело']['действие'] = 'заменить'

Шаг 5. Перенаправьте запрос на исходный сервер

.

CloudFront пересылает измененный текст запроса, предоставленный Lambda@Edge, на исходный сервер. В этом примере исходный сервер записывает тело данных в постоянное хранилище для последующей обработки.

Процесс расшифровки на уровне поля

Приложение, которому разрешен доступ к конфиденциальным данным для бизнес-функции, может расшифровать эти данные. Пример процесса расшифровки показан на рисунке 6. На рисунке показана функция Lambda в качестве примера вычислительной среды для вызова AWS KMS для расшифровки. Эта функция не зависит от Lambda и может выполняться в любой вычислительной среде, имеющей доступ к AWS KMS.

Рисунок 6: Процесс расшифровки на уровне поля

Шаги процесса, показанного на рис. 6, описаны ниже.

Шаг 1. Приложение извлекает зашифрованные данные на уровне полей

Пример приложения извлекает из постоянного хранилища зашифрованные данные на уровне полей, которые были ранее записаны в процессе приема данных.

Шаг 2. Приложение вызывает лямбда-функцию расшифровки

Приложение вызывает функцию Lambda, отвечающую за расшифровку на уровне полей и отправку полученных данных в Lambda.

Шаг 3. Lambda вызывает API дешифрования AWS KMS

.

Функция Lambda использует AWS KMS для расшифровки RSA. В примере вызывается API расшифровки KMS, который вводит зашифрованный текст и возвращает открытый текст. Фактическая расшифровка происходит в KMS; закрытый ключ RSA никогда не раскрывается приложению, что является очень желательной характеристикой для создания безопасных приложений.

Примечание . Если вы решите использовать пару внешних ключей, то сможете безопасно хранить закрытый ключ RSA в сервисах AWS, таких как AWS Systems Manager Parameter Store или AWS Secrets Manager, и контролировать доступ к ключу с помощью IAM и политик ресурсов. Вы можете получить ключ из соответствующего хранилища с помощью API хранилища, а затем расшифровать его с помощью стандартной реализации RSA, доступной на вашем языке программирования. Например, набор инструментов для криптографии на Python или javax.crypto на Java.

Код Python-функции Lambda для расшифровки показан ниже.

 импорт base64
импорт бото3
импортировать повторно

kms_client = boto3.client('км')
CIPHERTEXT_PREFIX = "#01#"
CIPHERTEXT_SUFFIX = "#10#"

# Эта лямбда-функция извлекает тело события, ищет и расшифровывает зашифрованный текст
# поля, окруженные предоставленными строками префикса и суффикса в произвольных текстовых телах
# и заменяет поля открытого текста на месте. 
def lambda_handler (событие, контекст):
    org_data = событие["тело"]
    mod_data = unprotect_fields(org_data, CIPHERTEXT_PREFIX, CIPHERTEXT_SUFFIX)
    вернуть mod_data

# Вспомогательная функция, выполняющая нежадный поиск строк зашифрованного текста в регулярных выражениях
# вводит данные и выполняет их RSA-расшифровку с помощью AWS KMS
def unprotect_fields (org_data, префикс, суффикс):
    regex_pattern = префикс + "(.*?)" + суффикс
    mod_data_parts = []
    курсор = 0

    # Итеративный поиск зашифрованных текстов с использованием модуля регулярных выражений Python
    для совпадения в re.finditer(regex_pattern, org_data):
        mod_data_parts.append(org_data[курсор: match.start()])
        пытаться:
            # В нашем примере зашифрованный текст был сохранен в кодировке Base64. Расшифруй это.
            зашифрованный текст = base64.b64decode(match.group(1))

            # Расшифровать зашифрованный текст с помощью AWS KMS
            decrypt_rsp = kms_client. decrypt(
                Алгоритм шифрования = "RSAES_OAEP_SHA_256",
                KeyId="<Идентификатор вашего ключа>",
                CiphertextBlob=зашифрованный текст)
            decrypted_val = decrypt_rsp["Обычный текст"].decode("utf-8")
            mod_data_parts.append(decrypted_val)
        кроме Исключения как e:
            print ("Исключение: " + str(e))
            возврат Нет
        курсор = match.end()

    mod_data_parts.append(org_data[курсор:])
    вернуть "".join(mod_data_parts)
 

Функция выполняет поиск по регулярному выражению в теле входных данных и ищет строки зашифрованного текста, заключенные в скобки с предопределенными строками префикса и суффикса, которые были добавлены во время шифрования.

При последовательном переборе строк зашифрованного текста функция вызывает API AWS KMS decrypt(). В примере функции используются те же свойства алгоритма шифрования RSA — OAEP и SHA-256 — и идентификатор ключа открытого ключа, который использовался при шифровании в Lambda@Edge.

Обратите внимание, что идентификатор ключа сам по себе не является секретом. С ним можно настроить любое приложение, но это не значит, что любое приложение сможет выполнять расшифровку. Контроль безопасности здесь заключается в том, что политика ключей AWS KMS должна разрешать вызывающему абоненту использовать идентификатор ключа для выполнения расшифровки. Дополнительный элемент управления безопасностью обеспечивается ролью выполнения Lambda, которая должна разрешать вызов API-интерфейса KMS decrypt().

Шаг 4. AWS KMS расшифровывает зашифрованный текст и возвращает открытый текст

Чтобы гарантировать, что только авторизованные пользователи могут выполнять операцию расшифровки, KMS настроен, как описано в разделе Использование политик ключей в AWS KMS. Кроме того, роль выполнения Lambda IAM настраивается, как описано в роли выполнения AWS Lambda, чтобы разрешить ей доступ к KMS. Если выполняются условия как политики ключей, так и политики IAM, KMS возвращает расшифрованный открытый текст. Lambda заменяет открытый текст шифротекстом в инкапсулирующем теле данных.

Шаги три и четыре повторяются для каждой строки зашифрованного текста.

Шаг 5 — Lambda возвращает расшифрованное тело данных

После того, как весь зашифрованный текст был преобразован в открытый текст и заменен большим телом данных, функция Lambda возвращает измененное тело данных клиентскому приложению.

Заключение

В этом посте я продемонстрировал, как можно внедрить шифрование на уровне полей, интегрированное с AWS KMS, чтобы защитить рабочие нагрузки с конфиденциальными данными на протяжении всего их жизненного цикла в AWS. Поскольку ваш Lambda@Edge предназначен для защиты данных на границе сети, данные остаются защищенными на протяжении всего стека выполнения приложений. Помимо повышения уровня безопасности данных, эта защита может помочь вам соблюдать правила конфиденциальности данных, применимые к вашей организации.

Поскольку вы создаете собственную функцию Lambda@Edge для выполнения стандартного шифрования RSA, у вас есть гибкость в отношении форматов полезной нагрузки и количества полей, которые вы считаете конфиденциальными. Интеграция с AWS KMS для управления ключами RSA и их расшифровки обеспечивает значительную простоту, более высокий уровень безопасности ключей и широкие возможности интеграции с другими сервисами безопасности AWS, что позволяет создать надежное решение для обеспечения безопасности в целом.

Используя зашифрованные поля с идентификаторами, как описано в этом посте, вы можете создавать детализированные элементы управления доступом к данным в соответствии с принципом безопасности наименьших привилегий. Вместо того, чтобы предоставлять полный доступ или не предоставлять доступ к полям данных, вы можете обеспечить минимальные привилегии, когда данная часть приложения может получить доступ только к тем полям, которые ей нужны, когда это необходимо, вплоть до управления доступом поле за полем. Доступ к полям можно включить, используя разные ключи для разных полей и управляя соответствующими политиками.

Помимо защиты рабочих нагрузок, связанных с конфиденциальными данными, в соответствии с рекомендациями по нормативным требованиям и безопасности, это решение можно использовать для создания обезличенных озер данных в AWS. Поля конфиденциальных данных остаются защищенными на протяжении всего их жизненного цикла, а поля неконфиденциальных данных остаются открытыми. Этот подход может позволить аналитике или другим бизнес-функциям работать с данными, не раскрывая конфиденциальные данные.

Если у вас есть отзывы об этом сообщении, отправьте комментарии в Комментарии раздел ниже.

Хотите больше инструкций по безопасности AWS, новостей и анонсов функций? Следуйте за нами на Twitter.

Радж Джайн

Радж — старший облачный архитектор в AWS. Он увлечен тем, что помогает клиентам создавать приложения с хорошей архитектурой в AWS. Радж публикуется в Техническом журнале Bell Labs, является автором 3 стандартов IETF и имеет 12 патентов в области интернет-телефонии и прикладной криптографии. В свободное время Радж любит проводить время на свежем воздухе, готовить, читать и путешествовать.

Подпольная экономика бизнеса с оплатой за установку (PPI)

История бизнеса с оплатой за установку

Бизнес-модель с оплатой за установку (PPI) существует уже много лет. Когда бизнес PPI только начинался, он использовался для распространения рекламы. Сегодня он в основном используется для распространения шпионского и вредоносного ПО. PPI начинается с «партнера», заинтересованного в создании сети зараженных компьютеров или в зарабатывании денег. Партнер регистрируется на сайте PPI и получает файл от поставщика PPI. Файлы, предоставленные PPI, изначально были вариантом рекламной программы. Партнер «связывает» файл, предоставленный PPI, с другой программой, которую он может разместить на своем сайте. Связующее — это программа, которая может комбинировать рекламное ПО, предоставляемое сайтом PPI, с известной программой. Тот, кто загружает программу, получает рекламное ПО на свой компьютер. Партнеру платят за установку того рекламного ПО, которое ему отправил сайт PPI.

PPI эволюционирует от распространения рекламного ПО к шпионскому и вредоносному ПО

За последние годы бизнес PPI претерпел значительные и вредоносные изменения. Вместо того, чтобы жертвы неосознанно загружали и устанавливали рекламное ПО, они заставляли их загружать и устанавливать шпионское и вредоносное ПО. В то время как некоторые сайты PPI все еще распространяют рекламное ПО, большинство распространяет вредоносное и шпионское ПО среди ничего не подозревающих пользователей. Эти сайты PPI создают подпольную экономику, которая получает прибыль от установки вредоносных программ. Эта экономика настолько распространена, что существует даже побочный бизнес по продаже программ, усложняющих пользователям компьютеров обнаружение того, что они устанавливают что-то вредоносное.

Сначала мы рассмотрим www.pay-per-install.org. На этом сайте находится форум, на котором партнеры собираются вместе, чтобы обсудить бизнес PPI и способы заработка. Этот сайт используется по разным причинам:

  • Список партнерских программ, организованных таким образом, чтобы партнеры могли получить представление о том, какой бизнес PPI платит больше всего и надежно платит за установки.
  • Предоставляет форум для партнеров, где они могут обсудить, как максимально быстро заработать деньги и как рекламировать свои ссылки, чтобы жертвы загружали свои установки.
  • Учебники и руководства, которые помогут аффилиатам начать работу с PPI.

Методы и инструменты

Многие филиалы различных сайтов PPI используют различные методы и инструменты, чтобы максимизировать эффективность загрузки своих вредоносных программ. Одним из предлагаемых методов является использование одноранговых (P2P) сетей. Партнеры рекомендуют использовать BitTorrent или eMule, две самые популярные сети P2P. После того, как партнер зарегистрируется на сайте PPI и получит вредоносный файл, партнер должен выбрать файл для «привязки» к вредоносному файлу. Большинство аффилированных лиц получают доступ к BitTorrent и загружают законную программу или взлом игры, связывают вредоносный файл с загруженной легитимной программой, загружают связанный файл на торрент-сайты и рекламируют этот файл как исходный немодифицированный файл. Цель состоит в том, чтобы пользователи компьютеров загружали вредоносный связанный файл и запускали его, думая, что на самом деле они устанавливают полезную программу, а не вредоносное ПО. Партнер получает оплату после того, как файл будет установлен на компьютер жертвы.

Seedboxes

Одна из проблем, с которой сталкиваются партнеры, заключается в том, что они должны выполнить от сотен до тысяч установок, чтобы получить хоть какой-то значительный доход, поэтому такие сайты, как www.pay-per-install.org, существуют для предоставления рекомендаций. Чтобы решить эту проблему, многие партнеры используют seedbox или частный выделенный сервер, используемый для загрузки и скачивания цифровых файлов. Партнеры используют seedbox для быстрого распространения своих файлов, зараженных вредоносным ПО, с помощью BitTorrent и eMule, избегая необходимости размещать файлы на своем компьютере. Это может быть трудоемким процессом, потому что как только P2P-сайт обнаруживает вредоносное ПО в загруженном партнерском файле, этот файл удаляется или блокируется в P2P-сети. Многие партнеры принимают меры предосторожности, чтобы избежать этого сценария, используя специальные инструменты, такие как программы шифрования, для сокрытия своих файлов.

Шифровщики

Один тип программ, которые продает www.pay-per-install.org, называется шифровальщиками. Криптеры — это программы, которые скрывают вредоносные файлы от антивирусных (AV) решений, предназначенных для защиты вашего компьютера. Шифровщики используются для того, чтобы сделать вредоносный файл полностью необнаруживаемым (FUD). Создание файлов FUD — это прибыльный бизнес в мире вредоносных программ. Например, шифровальщик на сайте www.pay-per-install.org называется PXCrypter и в настоящее время имеет версию 1.1. Партнеры обычно получают бесплатные обновления, когда автор обновляет шифровальщик. Этот шифровальщик продается за 75 долларов и включает в себя 1 заглушку; дополнительные заглушки стоят 25 долларов. Заглушка — это код, который расшифровывает остальную часть программы при ее выполнении. Поскольку заглушка должна быть доступна для выполнения расшифровки, она не может быть зашифрована и в конечном итоге идентифицируется антивирусными программами как вредоносная. Чтобы избежать этой ситуации, криптографы продаются с несколькими заглушками, а дополнительные доступны за дополнительную плату.

 

PXCrypter был написан для работы со многими аффилированными файлами PPI, имеет множество функций, позволяющих избежать обнаружения антивирусным программным обеспечением, и предотвращает запуск вредоносного файла в песочнице. Песочницы часто используются исследователями безопасности для создания виртуальной среды, в которой вредоносные программы могут запускаться и наблюдаться, не причиняя вреда компьютеру или его операционной системе. Песочница — это хороший способ определить поведение вредоносных программ и разработать эффективные методы защиты и меры противодействия.

Trojan Download Manager

Другим типом инструментов, используемых аффилированными лицами, является Trojan Download Manager. Trojan Download Manager обычно встречается в сообществах черных вредоносных программ, потому что он позволяет злоумышленнику обновлять любое вредоносное ПО, загруженное компьютером жертвы, устанавливать дополнительные вредоносные программы и выполнять любые другие функции, разработанные автором программного обеспечения Trojan Downloader Manager.

На сайте www.pay-per-install.org продается программа Trojan Downloader Manager под названием SDdownloader или Silent Downloader. SDdownloader обычно продается за 300 долларов; однако в настоящее время он продается по специальной цене 225 долларов. Это в версии 3 и включает в себя:

  • Одна уникальная заглушка для расшифровки вредоносного ПО и минимизации его видимости для антивирусного программного обеспечения
  • Программное обеспечение Binder для объединения файла вредоносного ПО с другим файлом, разыскиваемым жертвой
  • Веб-интерфейс для отслеживания статистики зараженных компьютеров
  • Интерфейс для превращения зараженного ПК в SOCKS-прокси, позволяющий злоумышленнику направлять вредоносный сетевой трафик через зараженный компьютер
  • Инструменты для загрузки дополнительных вредоносных программ на уже зараженный компьютер

Менеджеры загрузки троянов популярны, потому что они не только позволяют злоумышленникам заразить компьютер, но также могут заставить компьютер загружать и устанавливать любые файлы PPI или вредоносные программы по команде злоумышленника.

Страница входа и настройки загрузчика для SDdownloader:

Статистика для машин, зараженных SDdownloader:

С тех пор, как в июне 2009 года была написана первая версия CTU для SDdownloader, автор этой программы объединился с другой программой. программист, чтобы предложить несколько продуктов через свою компанию. Продукты, которые они предлагают, включают программное обеспечение, которое может отображать всплывающую рекламу на зараженных компьютерах, управлять зараженными компьютерами аналогично функциям SDdownloader, сборщика учетных записей Gmail, связующего и низкотехнологичной версии SDdownloader. Они называют себя разработчиками инструментов интернет-маркетинга.

Черная поисковая оптимизация (SEO)

Мошенник, который не хочет использовать P2P, но хочет, чтобы трафик направлялся на их сайт, на котором размещены вредоносные файлы, может использовать черные методы SEO. Черное SEO увеличивает объем трафика на веб-сайт, манипулируя поисковыми системами. Пользователь щелкает ссылку в ответ на свой поисковый запрос, и компьютер жертвы посещает сайт, где эксплойты захватывают уязвимые компьютеры, используя технику, известную как загрузка с диска. После того, как сайт скомпрометирует компьютер жертвы, злоумышленник может успешно перенести и установить столько вредоносных программ, сколько захочет.

Для выполнения этих задач злоумышленники используют такие инструменты, как XRumer. XRumer — это программа автоматической отправки сообщений, которая размещает сообщения на форумах, в гостевых книгах, на досках объявлений и в каталогах. Цель автоматического отправителя — объявить URL-адрес сайта злоумышленника по всему Интернету, чтобы повысить рейтинг в поисковых системах и отобразить сайт на вершине или рядом с ней в результатах поиска. Это программное обеспечение также помогает рекламировать URL-адрес сайта злоумышленника, поэтому больше людей могут захотеть нажать на него в гостевой книге или на форуме.

Дорвеи

Другой метод, используемый злоумышленниками для увеличения трафика, чтобы больше жертв посещали их сайт и загружали вредоносные файлы, — это использование дорвеев или дорвеев. Дорвеи похожи на SEO, но цель состоит в том, чтобы повысить поисковый рейтинг страницы дорвея, а не сайта злоумышленника. Дорвей — это просто веб-страница, на которой может быть указано множество ключевых слов в попытке повысить рейтинг поисковой системы. Эта страница дорвея не будет содержать никаких вредоносных файлов для загрузки, поэтому она не будет удалена из поисковых систем или занесена в черный список. Вместо этого дорвейная страница содержит сценарии, которые перенаправляют компьютер жертвы на страницу вредоносного или мошеннического рекламного ПО злоумышленника, откуда вредоносное или рекламное ПО может быть загружено на уязвимые компьютеры.

Сайты PPI

Pay-per-install.org ссылается на ряд сайтов PPI, которые предлагают платить партнерам за установку программ на компьютеры жертв. Большинство аффилиатов оценивают сайты PPI по двум основным критериям: сколько они платят и насколько они честны. На жаргоне PPI «сбривание» — это неучет некоторых установок аффилированными лицами. Некоторые сайты PPI обвиняют в том, что они урезают часть установок из общего числа аффилиатов. Большинство аффилиатов хотят зарегистрироваться на сайте PPI, который имеет хорошую репутацию и своевременно платит. Партнеры могут работать со многими разными сайтами PPI одновременно, чтобы максимизировать свой доход.

InstallsCash

Первый исследованный CTU сайт PPI ​​назывался InstallsCash, который, похоже, изменил свое название на Earning4u. Когда он вел бизнес как InstallsCash, этот сайт утверждал, что подсчитывает партнерские установки в режиме реального времени, и утверждал, что он не сокращает количество установок своего партнера. InstallsCash платит только за 1000 установок. Плата составляет 140 долларов США за компьютеры в США, 110 долларов США в Великобритании, 60 долларов США в Италии, 30 долларов США во Франции и 6 долларов США за любой компьютер в Азии (за тысячу установок). Партнерам можно платить через Fethard, Webmoney, Wire, Western Union, MoneyGram, Anelik и EPassporte. Сайт утверждает, что запуск файла InstallsCash на компьютере жертвы устанавливает панель инструментов и номеронабиратель. Номеронабиратель позволяет компьютеру жертвы автоматически «звонить домой» или переходить на указанный веб-сайт. InstallsCash утверждает, что номеронабиратель запускается через 15-30 минут после первоначального запуска.

Файл, который InstallsCash платит аффилированным лицам за установку на компьютеры жертв, — это троян Piptea Downloader. По состоянию на май 2009 года 16 из 40 антивирусных программ обнаруживают Piptea, согласно данным веб-сайта анализа вредоносных программ Virustotal (http://www.virustotal.com/analisis/7cb2cf1ad9ed861273572f037d95c293).

Piptea — троян-загрузчик

Троян-загрузчик используются для загрузки и установки других вредоносных программ. Загрузчик использует Интернет, чтобы связаться с управляющим сервером и запросить файл для загрузки, обычно через HTTP, чтобы избежать обнаружения. Первоначальный контакт позволяет серверу управления записывать IP-адрес, операционную систему (ОС), язык и другую информацию, опрашивая веб-браузер зараженного компьютера. Используя эту информацию, управляющий сервер может отправлять настроенные вредоносные программы на компьютер жертвы в зависимости от версии ОС, языка и страны происхождения. Когда CTU исследовал Piptea, он «позвонил домой» (то есть связался) с сервером в России в 195.2.XXX.XXX для загрузки дополнительных вредоносных программ, которые впоследствии были идентифицированы антивирусными поставщиками как Virut . Затем зараженный компьютер начнет связываться с другим российским сервером nxxx.tv (91.212.XXX.XXX) для выполнения двух разных типов трафика «домашнего телефона». При просмотре веб-сайта http://nxxx.tv/gda отображается вход в систему, которая, вероятно, является сервером C&C (Command and Control), используемым «ботмастером» для управления зараженными компьютерами.

Зараженный компьютер загрузит еще одну вредоносную программу, обнаруженную как Koobface, из 195.2.ххх.ххх. Зараженный компьютер выполняет еще одну операцию по телефону на wnxxx.com/achcheck. php, загружая вредоносное ПО вспомогательного объекта браузера (BHO) с сервера в Китае по адресу 218.93.xxx.xxx. Зараженный компьютер снова звонит на китайский сервер по адресу 221.12.xxx.xxx, так что бот-мастер теперь может общаться с вредоносным ПО (также называемым «ботом») с использованием специального зашифрованного протокола.

Когда CTU загрузил и установил новую версию файла InstallsCash через несколько недель после первоначального расследования в июне 2009 г., список загружаемых вредоносных программ изменился. Piptea по-прежнему была первой инфекцией, за ней последовали TDSS и Rustock . Троянец Rustock рассылает спам и звонит домой на сервер в США. Piptea также загрузила около 10 дополнительных вредоносных и шпионских программ. Последовательность загрузки файлов InstallsCash, по-видимому, меняется в зависимости от того, с кем они в настоящее время ведут бизнес, что может означать, что InstallsCash оплачивается одним или несколькими деловыми партнерами. Скриншоты показывают, сколько компьютеров еженедельно заражается только от одного филиала.

Установки, зарегистрированные аффилированными лицами из InstallsCash. (Источник: Pay-Per-Install.org)

Earning4u.com (ранее InstallsCash)

Сайт Earning4u.com является относительно новым и, как сообщается, является продолжением InstallsCash. InstallsCash прекратил работу примерно в то же время, когда этот сайт стал активным. Earning4u.com имеет те же цены, что и InstallsCash, в зависимости от вознаграждения партнера за 1000 установок. На снимках экрана реального сайта показана разбивка цен, аналогичная той, что используется в InstallsCash, которая показывает, что некоторые вещи не изменились. Внешний вид сайта отличается, но он имеет те же параметры русского и английского языков, что и InstallsCash. Сайт имеет российский IP-адрес и зарегистрирован на софтверную компанию в Китае.

Сайт утверждает, что работает с 2001 года, предположительно нанимает команду из 20 профессионалов и утверждает, что имеет более 1000 зарегистрированных филиалов. Сайт обрабатывает платежи с использованием тех же платежных систем, что и InstallsCash, в дополнение к e-gold и PayPal. Интересен тот факт, что они отказываются платить за установку на компьютеры в России или странах СНГ (Содружества Независимых Государств или бывших советских республик).

Как и InstallsCash, программное обеспечение «тихого загрузчика», которое может быть загружено и распространено партнером, загрузит и установит неприятную комбинацию вредоносных программ. Исходным исполняемым файлом является троянский загрузчик Iframecash, известный вредоносный продукт, доступный уже много лет. Однако владельцы сайтов PPI переупаковывают это вредоносное ПО, чтобы как можно дольше не обнаруживать его. CTU заметил, что уровень обнаружения этого троянского загрузчика приблизился к 50% всего через 66 часов после его первоначальной доступности. Высокая скорость обнаружения подчеркивает, почему большинство аффилиатов предпочитают использовать криптографы, чтобы избежать или отсрочить обнаружение.

Earning4u.com предъявляет те же требования к установщику, что и установщик InstallsCash. Они утверждают, что это не вредно и только изменяет домашнюю страницу веб-браузера, а также настраивает номеронабиратель для связи с веб-сайтами. После того, как компьютер жертвы запускает загрузчик Iframecash, программа звонит домой по адресу http://ae4xxx.com, расположенному в Соединенных Штатах. Этот сервер зарегистрирован на ту же китайскую компанию-разработчика программного обеспечения, что и Earning4u.com.

Домашний телефонный трафик на http://ae4xxx.com состоит из HTTP-запросов GET для загрузки нескольких вредоносных программ, а также домашнего телефонного трафика, позволяющего вредоносному ПО зарегистрироваться на C&C-сервере. Другие вредоносные программы, загруженные Iframecash, включают Rustock, Vundo, Zeus Banking Trojan, Piptea и Rogue AV.

Ya!Bucks

Третье место, исследованное CTU, называется Ya!Bucks. Этот сайт отличается тем, что он не только платит за установки, но и помогает аффилированным лицам найти способы заставить жертв устанавливать файлы. На сайте утверждается, что они предлагают 75% доли дохода, выплаты в течение всего срока службы программного обеспечения, выплаты раз в две недели, необнаруживаемое программное обеспечение и 10% комиссионных бонусов за рефералов. На этом сайте также есть окно чата на каждой странице, чтобы партнеры могли общаться с другими партнерами, которые используют сайт, и задавать вопросы.

Один из способов, который предлагает Ya!Bucks для помощи аффилированным лицам в распространении вредоносных программ, заключается в предоставлении ряда ссылок на веб-сайты, на которые аффилированные лица могут направлять трафик. Эти ссылки на веб-сайты ведут на страницы с хитрыми способами заставить жертв загрузить вредоносное ПО. Один из таких сайтов рекламирует программное обеспечение под названием AdwareHelp 2009 , которое рекламирует мошенническое антивирусное решение.

Еще одна ссылка на сайт привлекает жертв, предлагая скачать пиратские игры. Этот веб-сайт содержит ключевые слова для улучшения SEO, чтобы жертвы могли найти его в результатах поиска. Конечно, любые файлы, загруженные с этих веб-сайтов, будут вредоносными по своей природе.

Расследование Ya!Bucks, проведенное CTU, показало, что их исполняемый файл был загружен с китайского сервера по адресу http://inxxx.cn/stubfiles/ (210.51.xxx.xxx). Большая часть веб-сайта Ya!Bucks написана на английском и русском языках. На сайте даже упоминается предоставление кода эксплойта партнерам, которые генерируют хороший объем трафика на свой сайт. В мае 2009 года файл, который Ya!Bucks предоставил аффилированным лицам для установки на компьютеры жертв, имел коэффициент обнаружения 6/40 и детектировался как 9.0043 Донтово или MSAntispyware 2009 .

TrafCash

Четвертый сайт, который исследовал CTU, называется TrafCash. Этот сайт платит 6 центов за установку в США и 5 центов за установку в Великобритании. Сервер, на котором размещается этот сайт, находится в Германии и зарегистрирован с использованием защиты конфиденциальности, чтобы владелец сайта не был разоблачен. На сайте написано: «Мы устанавливаем рекламный модуль PPC и антивирусный модуль. Вы можете установить оба из них, или только один из них. Обратитесь в службу поддержки, чтобы получить антивирусный модуль».

TrafCash направляет аффилированных лиц на http://malxxx.com/install/ для получения установочного файла для компьютеров жертв. На этой веб-странице перечислены около 500 доступных установочных файлов для всех, кто зарегистрирован на сайте.

Файл, который TrafCash отправляет партнерам для установки, имел уровень обнаружения 7/39 в мае 2009 г. и определялся как троянский загрузчик Cbeplay. (http://www.virustotal.com/analisis/893e44d75c13803cd4acc2d6878825fbe487448ea15e239b4b593ce2a83b7f69-1243370884).

Троянец Cbeplay выполняет множество действий, например запускает программу Avast!Antivirus , которая маскируется под законное антивирусное программное обеспечение. Затем Cbeplay звонит домой и вставляет идентификатор партнера TrafCash в домашний пакет телефона.

POST /stat.php
os=2600&ver=0.0.0.162&idx=aad5f0c0-7d77-11dc-b3a9-806d6172696f& user=XXX &ioctl=20&data=3c8b978ebdf779f52de6f22cae18270d-2.cdd7a26b823b214edac34dd1bb04dd68-2

Зараженный компьютер пытается загрузить вредоносные программы Malware Doctor и Ambler.D с адреса 66.199.xxx.xxx. Malware Doctor — фиктивная антивирусная программа с коэффициентом обнаружения 15/39 (http://www.virustotal.com/analisis/e95a0dfdf8458df7b2d4549c3cf6a51d78d454b8a826e62656a9e380239-1243461741).

Ambler.D — второе загруженное вредоносное ПО с коэффициентом обнаружения 21/40. Ambler.D пытается позвонить домой на malxxx.info, IP-адрес которого совпадает с http://malxxx.com (http://www.virustotal.com/analisis/11c47b28065684b7dfe2c9).f9652bdf76e4a8080d2d891b74a5e0db18517ec9ed-1243462477).

Заключение

Чтобы защитить свой компьютер и свою компанию от угроз такого типа, в вашей организации должны быть строгие политики в области информационных технологий (ИТ) и обучение пользователей. ИТ-политики не должны разрешать использование одноранговых сетей (P2P), поскольку совместное использование файлов может легко привести к загрузке вредоносных файлов. Пользователям также следует запретить устанавливать пиратское или нелицензионное программное обеспечение, так как это программное обеспечение часто содержит вредоносное ПО.

Будьте осторожны при использовании поисковых систем для поиска загружаемых программ. Загружайте программное обеспечение только с авторитетных сайтов, поскольку методы SEO часто используются для отображения вредоносных сайтов загрузки в рейтинге поисковых систем.

В зависимости от потребностей вашей организации в области безопасности и бизнеса рассмотрите возможность запрета конечным пользователям устанавливать какие-либо программы на свои рабочие компьютеры. Пользователи должны быть осведомлены о причинах этих политик, а также о распространенных мошеннических схемах, используемых для запуска троянских программ (таких как соблазнительные фильмы, поддельные кодеки, поддельные антивирусные программы и трояны на основе спама).