#technique

Fastjson2 Blacklist Bypass and Exploitation

https://paper-seebug-org.translate.goog/3017/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

DebugAmsi is another way to bypass AMSI through the Windows process debugger mechanism.

https://github.com/MzHmO/DebugAmsi

#ParsedReport #CompletenessMedium
29-08-2023

Peeling Back the Layers of RemcosRat Malware

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware

Report completeness: Medium

Threats:
Remcos_rat
Pe_injection_technique
Syk_crypter
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1086, T1117, T1218, T1045, T1140, T1056, T1035, T1053, T1082, T1083, have more...

IOCs:
Command: 1
File: 6
IP: 1
Hash: 5

Soft:
windows defender, microsoft visual c++

Algorithms:
rc4, zip, base64, xor

Functions:
GetDelegateForFunctionPointer

Win API:
GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты McAfee Labs наблюдали вредоносную кампанию Remcos RAT, в ходе которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) использовал различные методы обфускации и защиты от отладки, чтобы избежать обнаружения, и специалисты McAfee Labs успешно распаковали вредоносную полезную нагрузку. McAfee предлагает надежное программное обеспечение для обнаружения и защиты от угроз, подобных RemcosRat.
-----

Специалисты McAfee Labs обнаружили вредоносную кампанию Remcos RAT, в рамках которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) предоставляет злоумышленнику черный доступ к зараженной системе и собирает различную конфиденциальную информацию. Для того чтобы избежать обнаружения, Remcos использует различные методы обфускации и защиты от отладки.

Логика деобфускации сначала ищет любые переменные, содержащие mdR, в данном случае это MaximumDriveCount. Путем выделения символов из определенных позиций (3, 11, 2) выявляется строка iex (Invoke-Expression). Вредоносная программа обфусцирует команду, чтобы избежать статического обнаружения. Для выполнения расшифрованных DLL в памяти вредоносная программа использует отражающую загрузку кода. Это подразумевает внедрение и выполнение расшифрованного кода в одном и том же процессе с использованием параметра load в функции NewLateBinding.LateGet().

Расшифрованная DLL dGXsvRf.dll - это троянец SykCrypter, который использует ресурс SYKSBIKO, содержащий зашифрованную полезную нагрузку. SykCrypter расшифровывает конечную полезную нагрузку и множество строк, связанных с определением наличия антивирусного ПО, методами персистенции и антиотладочными методами. Для расшифровки данных используется простая операция XOR с ключом 170 и текущим индексом. Кроме того, вредоносная программа сбрасывает свою копию в папку %appdata% с помощью команды cmd. Для сохранения перезагрузки системы вредоносная программа создает в папке Documents файл быстрого доступа с расширением .pif, а также создает запись в реестре Run key.

SykCrypter DLL расшифровывает и загружает файл .NET и вызывает свою функцию GetDelegateForFunctionPointer, создавая делегирование всем API из kernel32 и NTDll.dll с помощью одного и того же метода. Он загружает GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection и другие. Конфигурационный файл Remcos присутствует в RCData SETTINGS, который зашифрован алгоритмом RC4. Он содержит информацию о C2 (IP-адрес и номер порта), мьютекс, созданный вредоносной программой, и другие сведения о конфигурации. Эта вредоносная программа способна собирать информацию из различных приложений, таких как браузеры, почтовые клиенты, криптовалютные кошельки и т.д. Кроме того, она обеспечивает удаленный доступ для злоумышленника и может выступать в качестве дроппера для других вредоносных программ.

Специалисты McAfee Labs успешно распаковали вредоносную кампанию Remcos RAT и обнаружили, как она загружает и исполняет сценарии VBS и PowerShell, разворачивает различные уровни и загружает конечную полезную нагрузку Remcos для удаленного доступа. Компания McAfee стремится предоставить своим клиентам надежную и эффективную защиту от угроз, которая обнаруживает и защищает от таких угроз, как RemcosRat и многих других семейств. Наше программное обеспечение для обеспечения безопасности использует комбинацию сигнатур, машинного обучения, анализа угроз и поведенческих методов обнаружения для выявления и пресечения угроз, чтобы обеспечить вашу безопасность.

#ParsedReport #CompletenessLow
29-08-2023

Compromised OpenCart Payment Module Steals Credit Card Information

https://blog.sucuri.net/2023/08/opencart-payment-module-steals-credit-card-information.html

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Opencart website

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1503, T1132, T1140

Soft:
opencart, oscommerce, wordpress

Crypto:
bitcoin

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Magecart - это разновидность веб-вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Обычно она представлена в виде вариантов на базе JavaScript или PHP, причем варианты на базе PHP сложнее обнаружить. В данном случае речь шла о PHP-инфекции, которая подделала легитимный платежный шлюз, и похищенные данные были зашифрованы и помещены в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом.
-----

Magecart - это разновидность вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Впервые она появилась в 2015 году и была нацелена на сайты, созданные на платформе Magento, но с тех пор получила распространение и на другие платформы, такие как OSCommerce, WordPress/WooCommerce и OpenCart. В 2021 году количество заражений Magecart, обнаруженных SiteCheck в средах WooCommerce WordPress, превысило количество заражений Magento.

Варианты Magecart могут иметь две формы: JavaScript или PHP. Варианты, основанные на JavaScript, обычно легче обнаружить, и их можно заблокировать с помощью плагина для браузера, блокирующего сценарии. Варианты на базе PHP обнаружить сложнее, поскольку они могут быть скрыты в внутреннем коде сайта, что затрудняет доступ к ним исследователей.

В данном случае мы исследовали PHP-инфекцию, которая вмешалась в работу легитимного платежного шлюза. Мы начали с изучения страницы оформления заказа, поскольку подобные вредоносные программы обычно загружаются только после того, как товар помещен в корзину. Затем мы установили временной интервал начала хищения, используя отчеты компаний, обслуживающих кредитные карты. Это позволило нам определить источник скиммера, который находился в одном из ключевых файлов, отвечающих за обработку платежной информации.

Вредоносная программа собирала все обычные данные, такие как имена, адреса и платежные реквизиты. Однако вместо того, чтобы передать похищенные данные на сторонний сервер, злоумышленники решили зашифровать их и сбросить в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом Plisio. Возможно, это была попытка придать заражению более аутентичный вид.

#ParsedReport #CompletenessLow
29-08-2023

Stealthy Android Malware MMRat Carries Out Bank Fraud Via Fake App Stores. Distribution analysis

https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html

Report completeness: Low

Threats:
Mmrat
Gigabud_rat
Vultur
Strat_rat

Victims:
Mobile users in southeast asia

Industry:
Financial, Government

Geo:
Asia, Vietnamese

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1
Hash: 52

Soft:
android, wechat

Platforms:
apple

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java/tree/master

#ParsedReport #ExtractedSchema

Classified images:
code: 24, windows: 14, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MMRat - новый банковский троян для Android, ориентированный на пользователей мобильных устройств в Юго-Восточной Азии. Для осуществления банковского мошенничества он использует специализированный C&C-протокол, фишинговые сайты, а также ряд технологий, таких как кейлоггинг, захват экрана и удаленное управление устройством. Кроме того, он способен удалять себя после выполнения поставленных задач, что затрудняет отслеживание его деятельности.
-----

Новый банковский троян для Android, получивший название MMRat, с конца июня 2023 года атакует пользователей мобильных устройств в Юго-Восточной Азии.

Он способен перехватывать пользовательский ввод и содержимое экрана, а также дистанционно управлять устройствами-жертвами.

MMRat маскируется под официальное государственное приложение или приложение для знакомств, а затем представляет жертвам фишинговый сайт.

Он злоупотребляет сервисом Accessibility для предоставления себе прав и перехвата пользовательского ввода и действий.

Кроме того, он использует API MediaProjection для записи экрана жертвы и передачи содержимого на удаленный сервер.

Для осуществления банковского мошенничества он выполняет несколько шагов по обходу пользователя, после чего удаляет себя, получив C&C-команду UNINSTALL_APP.

#ParsedReport #CompletenessMedium
29-08-2023

New Remo Android Banking Trojan Targets Over 50 Banking Applications And Crypto Wallets

https://cyble.com/blog/new-remo-android-banking-trojan-targets-over-50-banking-applications-and-crypto-wallets

Report completeness: Medium

Threats:
Roamer
Omni

Victims:
Banking and cryptocurrency wallet applications in thailand, vietnam, and indonesia

Industry:
Retail, Financial

Geo:
Chinese, India, Vietnam, Asia, Indonesia, China, Thailand

TTPs:
Tactics: 5
Technics: 4

IOCs:
File: 17
Url: 12
Hash: 7

Soft:
android

Wallets:
metamask, tokenpocket

Crypto:
binance

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что троян Remo Banking Trojan представляет собой сложную киберпреступную угрозу, направленную на приложения для банковских операций и криптовалютных кошельков в Юго-Восточной Азии, и что пользователи и организации должны принять меры по защите от этой и других возникающих угроз.
-----

Киберпреступность - это растущая проблема, поскольку злоумышленники постоянно находят новые способы использования технологий в своих корыстных целях. В июне 2023 года компания Cyble Research and Intelligence Labs (CRIL) обнаружила мошенничество с добычей криптовалют, распространявшее троянца Remo Android Banking Trojan, который был нацелен на банковские приложения во Вьетнаме и Индии. Дальнейший анализ вредоносного ПО выявил возможного китайского угрожающего актора (TA), стоящего за этой деятельностью. Вредоносный APK распространялся через фишинговые сайты и после установки устанавливал соединение с C&C-сервером, позволяющим ему осуществлять свою вредоносную деятельность.

Вредоносная программа была нацелена на более чем 50 банковских приложений и криптовалютных кошельков в Таиланде, Вьетнаме и Индонезии, обеспечивая утечку конфиденциальной информации из этих приложений. Злоумышленник использовал сервис Accessibility для выполнения действий банковского троянца, предотвращения деинсталляции и предоставления автоматических разрешений, а также перехватывал весь видимый текст на текущем экране из целевых приложений и передавал его на C&C-сервер. Кроме того, сервис отслеживал редактирование текстовых полей в целевых приложениях и передавал любую введенную конфиденциальную информацию, а также похищал все контакты, сохраненные на зараженном устройстве, и отправлял их на C&C-сервер.

Банковский троянец Remo представляет собой сложную угрозу, использующую различные методы обхода обнаружения, включая сильные методы обфускации и собственные процессы шифрования и дешифрования. Для кражи конфиденциальной информации из банковских приложений и криптовалютных кошельков он также использует фишинг, кейлоггинг и эксплуатацию сервисов доступа. Использование поддельной платформы Binance подчеркивает растущую изобретательность и находчивость киберпреступников в разработке мощных и опасных угроз.

Учитывая, что вредоносная программа была ориентирована на Юго-Восточную Азию, предположение о ее китайском происхождении, хотя и является спекулятивным, позволяет говорить о причастности к ней ТА с высоким уровнем сложности. В связи с этим пользователям необходимо сохранять бдительность при работе с веб-сайтами и загрузке приложений, а также соблюдать осторожность при вводе личной или конфиденциальной информации. Организациям также необходимо быть в курсе возникающих угроз, а также иметь надежные средства защиты от них.

#ParsedReport #CompletenessLow
29-08-2023

FortiGuard AI Detects Malicious Packages Hidden in the Python Package Index

https://www.fortinet.com/blog/threat-research/fortiguard-ai-detects-malicious-packages-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что угрозы могут быстро развернуть вредоносную полезную нагрузку, поэтому организациям важно проявлять бдительность и принимать превентивные меры для защиты от злоумышленников.
-----

В данном случае речь идет о двух разных угрозах, связанных с Nokoyawa ransomware. Распространитель вредоносного HTML-файла отслеживается компанией Proofpoint под кодовым именем TA551, а исполнитель - компанией Microsoft под кодовым именем Storm-0390. Вредоносный HTML-файл был доставлен по электронной почте и содержал защищенный паролем ZIP-файл с ISO-файлом, в котором была развернута вредоносная программа IcedID. Эта вредоносная программа IcedID устанавливала постоянство на хосте с помощью запланированного задания и инициировала подключение к серверам Cobalt Strike. Затем угрожающий агент получал доступ к учетным данным через LSASS и использовал PsExec и WMIC для перемещения файлов между системами в сети. Двоичный файл ransomware и пакетный скрипт копировались на хосты и выполнялись на контроллере домена.

Угроза использовала Windows xcopy для переименования rundll32.exe в entails.exe, а затем внедрила его в процесс cmd.exe. Затем он использовал AdFind для поиска данных на контроллере домена и SoftPerfect Netscan для финального сканирования сети на предмет обнаружения. Угрожающий агент также подключался к различным узлам сети по RDP, туннелируя через процесс beacon, и передавал 1.dll (Cobalt Strike DLL), а также двоичный файл ransomware и пакетный скрипт через Windows File Explorer.

Двоичный файл ransomware был настроен на шифрование сети, загрузку скрытых дисков и удаление теневых копий томов. Кроме того, он был настроен на пропуск определенных каталогов и расширений файлов. Перед началом развертывания программы-вымогателя угроза также подключалась к серверу резервного копирования и открывала консоль резервного копирования на хосте.

ET HUNTING обнаружил подозрительные пустые SSL-сертификаты, RDP-ответы внешним хостам, Win32/IcedID-запросы, openSSL Demo CA, создание службы PsExec, передачу исполняемых файлов SMB, SMB2 NT Create AndX-запросы на .bat-файлы, DLL-файлы, исполняемые файлы и исполняемые файлы в временных каталогах, доступ к менеджеру удаленного управления сервисами DCERPC SVCCTL, поведенческий необычно быстрый трафик терминального сервера, поведенческий необычный трафик портов 135 и 445, оболочку PowerShell и Windows-команд.

Время распространения вымогательского ПО (TTR) составило чуть более 12 часов с момента первоначального заражения, что показывает, насколько быстро эти угрожающие субъекты могут развертывать свои вредоносные полезные нагрузки. Важно всегда быть бдительным и знать о последних угрозах, а также принимать превентивные меры для защиты организации от злоумышленников.

#ParsedReport #CompletenessMedium
30-08-2023

DuckTail - A Threat Actor Expos

https://www.zscaler.com/blogs/security-research/ducktail-threat-actor-expose

Report completeness: Medium

Threats:
Ducktail_stealer
Timestomp_technique

Victims:
Users working in the digital marketing and advertising space, facebook and tiktok business accounts, and google ad accounts

Industry:
Financial

Geo:
American, Vietnamese, Turkey, Vietnam

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 58
File: 5

Soft:
tiktok, telegram, chatgpt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Zscaler ThreatLabz провела расследование, в ходе которого были раскрыты детали цепочки атак DuckTail, и что участники угроз DuckTail являются активными продавцами в подпольной экономике краденых учетных записей в социальных сетях.
-----

Для того чтобы разобраться во вредоносных операциях DuckTail, специалисты Zscaler ThreatLabz провели глубокое расследование, длившееся 3 месяца в мае 2023 года. В ходе исследования мы выяснили важные детали различных элементов цепочки атак DuckTail, начиная с разведки и заканчивая процедурами после компрометации.

В основном DuckTail атакует пользователей, работающих в сфере цифрового маркетинга и рекламы, с помощью социальной инженерии, осуществляемой через сообщения LinkedIn. Полезная нагрузка вредоносного ПО обычно представляет собой исполняемые файлы .NET, но также может быть представлена в виде надстроек Excel или расширений для браузеров. Как правило, полезная нагрузка распространяется через вредоносные архивы, размещенные на публичных "облачных" хостингах, URL-адреса Rebrandly или поддельные сайты.

Угрозы DuckTail успешно используют в своих целях популярные в последнее время платформы генеративного искусственного интеллекта, такие как ChatGPT и Google Bard AI. Они также используют частные прокси-сервисы для входа во взломанные учетные записи и не дают жертвам возможности восстановить учетную запись.

По нашим наблюдениям, участники угроз DuckTail являются активными продавцами в подпольной экономике краденых аккаунтов в социальных сетях. Аккаунты продаются в зависимости от их свойств, таких как тип аккаунта (персональный или бизнес-менеджер), ежедневный рекламный бюджет, количество рекламных аккаунтов, которые он контролирует, возраст аккаунта, наличие и валидность сохраненных способов оплаты, история успешных платежей аккаунта. Низкокачественные аккаунты могут быть проданы примерно за 350 000 вьетнамских донгов (\~15 долл. США), а более ценные - за 8 000 000 вьетнамских донгов (\~340 долл. США).

Поняв тактику, технику и процедуры DuckTail, мы сможем лучше защитить себя от их вредоносной деятельности.

#ParsedReport #CompletenessLow
30-08-2023

Threat Actor Interplay \| Good Day s Victim Portals and Their Ties to Cloak

https://www.sentinelone.com/blog/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak

Report completeness: Low

Threats:
Good_day_ransomware
Arcrypt
Arcrypter
Babuk

Geo:
Germany, Taiwan, Italy, France

ChatGPT TTPs:
do not use without manual check
T1203, T1104, T1070, T1083, T1486, T1490, T1491

IOCs:
Email: 1
Hash: 5
File: 6
Command: 1

#ParsedReport #ExtractedSchema

Classified images:
code: 4, chats: 1, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Good Day/ARCrypter ransomware начала распространяться с мая 2023 года и в основном нацелена на Германию, Италию, Тайвань и Францию.-----

Программа Good Day (ARCrypter) ransomware впервые появилась в мае 2023 года, и с тех пор ее присутствие неуклонно растет. Жертвам рассылаются письма с выкупом, содержащие адрес электронной почты MikLYmAklY555@cock.li, и угрозы утечки данных или их продажи на сайте Cloak, если они не заплатят выкуп. Чаще всего эта программа-вымогатель атакует Германию, Италию, Тайвань и Францию.

Программа Good Day ransomware предназначена для запуска через дроппер или скрипт. После запуска он пытается перечислить все локальные тома и запущенные процессы, а также удалить теневые копии томов. Кроме того, он содержит жестко заданный список папок и файлов, которые должны быть исключены из шифрования. Наконец, он откладывает выполнение полезной нагрузки с помощью скрытой команды и проверяет, запущен ли он в отладчике.

Хотя связь между Good Day и сайтом утечки информации Cloak уже установлена, полезные нагрузки вымогательского ПО еще не развились на основе ARCrypter. Поэтому важно сохранять бдительность и следить за любыми изменениями, чтобы опередить потенциальных злоумышленников.

#ParsedReport #CompletenessLow
30-08-2023

An Ongoing Open Source Attack Reveals Roots Dating Back To 2021

https://checkmarx.com/blog/an-ongoing-open-source-attack-reveals-roots-dating-back-to-2021

Report completeness: Low

Victims:
Cryptocurrency developers

Industry:
Financial

IOCs:
File: 3
IP: 7
Domain: 12

Algorithms:
zip

YARA: Found

Links:
https://github.com/os-scar/yara-signatures/tree/main
https://gist.github.com/masteryoda101/01eee19e50054733dcde5b7364949550

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный агент угроз с 2021 года атакует разработчиков криптовалют, используя пакеты npm для утечки конфиденциальных данных с компьютеров жертв. Угрожающий агент идентифицирован, и для защиты от атаки и понимания TTP злоумышленника необходимо собрать данные обо всех пакетах с открытым исходным кодом из различных репозиториев.
-----

Разработчики криптовалют подвергаются атакам злоумышленников, использующих пакеты npm для утечки конфиденциальных данных, таких как исходный код и конфигурационные файлы с компьютеров жертв. Судя по всему, угрожающий агент действует с 2021 года, постоянно публикуя вредоносный код. В данном отчете были представлены новые пакеты и индикаторы компрометации (IOC), связанные со злоумышленником.

Вредоносный пакет связан с криптовалютной областью и ссылается на такие организации, как CryptoRocket и Binarium. В результате изучения метаданных пакета его автор был идентифицирован как "lexi2". Дальнейший анализ пакетов с открытым исходным кодом в базе данных по перекрестным ссылкам на "lexi2" и другие специфические атрибуты кода выявил вредоносные пакеты, датируемые 2021 годом.

Важно понимать, что вредоносные пакеты npm - это не просто проблема пакетов, а проблема противника. Для эффективной защиты требуется комплексное объединение данных обо всех пакетах с открытым исходным кодом из различных репозиториев, что позволяет лучше понять тактику, технику и процедуры злоумышленника (TTP). Эти данные помогут выявить и предотвратить любые будущие атаки.