Инструкция как внести в реестр обученных по охране труда

Инструкция по подаче информации о обученных сотрудниках по охране труда в реестр

Чтобы избежать ошибок при внесении информации о прошедшем обучении сотрудников по охране труда в реестр, специалисты ЦОКО№1 разработали простую инструкцию. В ней представлена таблица с пошаговым алгоритмом действий специалиста по охране труда, а также образец приказа работодателя о проведении обучения определенной категории сотрудников.

Реестр отечественного программного обеспечения: вызовы и решения

С 2016 года в реестре отечественного программного обеспечения было включено более 19 000 продуктов от более чем 7000 правообладателей. Несмотря на это, эксперты отмечают, что многие из них формально соответствуют требованиям импортозамещения.

Продукты, представленные в реестре, часто являются однотипными и не учитывают потребности отрасли в узкоотраслевых решениях, совместимых с отечественным оборудованием.

COM Hijacking: новый метод закрепления вредоносного ПО в Windows

По данным разработчиков вредоносного ПО, одним из наиболее распространенных методов закрепления зловредов в системе является COM Hijacking (T1546.015). Этот метод используется для закрепления вредоносных программ в операционной системе Windows через Component Object Model.

Примером успешного использования COM Hijacking является группировка Fancy Bear и их вредоносные программы Jumplump и RomCom.

COM: основные понятия и принципы работы

Component Object Model (COM) – это технология, используемая для создания и использования объектов в программах Windows. Понимание базовых концепций COM поможет лучше понять принцип работы атаки COM Hijacking и способы ее обнаружения.

В следующих статьях будет представлен более подробный анализ стратегий, которые злоумышленники могут использовать для выбора подходящего COM-объекта для атаки.

Симптомы атаки COM Hijacking

Один из способов обнаружения атаки COM Hijacking – использование средства проверки системных файлов Windows (SFC). Этот инструмент может помочь выявить изменения, внесенные в системные файлы операционной системы.

Причина атаки и методы решения

В данном контексте причины атаки COM Hijacking могут различаться. Для более эффективной борьбы с этим видом атак рекомендуется установить обновления безопасности, мониторить активность в системе и использовать средства антивирусной защиты.

Помимо описанных методов, важно обучать персонал компании по безопасности информационных систем и регулярно проводить аудиты для выявления уязвимостей и предотвращения атак.

Модификаторы

Базовое сканирование с помощью средства проверки системных файлов (SFC) с модификатором /scannow устраняет большинство проблем. Однако можно использовать другие модификаторы.

Функция модификатора

Существует четыре возможных сообщения о завершении:

1. Chromebox
2. Alienware
3. Inspiron
4. Legacy Desktop Models
5. OptiPlex
6. Vostro
7. XPS
8. G Series
9. Chromebook
10. G Series
11. Alienware
12. Inspiron
13. Latitude
14. Vostro
15. XPS
16. Legacy Laptop Models
17. Fixed Workstations
18. Mobile Workstations

окт. 2023

Процесс регистрации в реестре отечественного ПО

Ужесточение санкций влечет за собой множество последствий. Одним из них является риск, что зарубежные компании откажутся продавать новое ПО/обновлять его органам власти и госорганизациям. Поэтому лучше использовать проверенные российские программы из утвержденного списка. Для этого потребуется регистрация в реестре отечественного ПО. Рассмотрим, что из себя представляет этот процесс, и какие документы нужны.

Зачем нужен реестр отечественного ПО

Реестр представляет собой список отечественных ИТ-компаний, занимающихся созданием разработок. Главное условие – последние не должны быть основаны на иностранных системах и патентах. Другими словами, речь идет о программном обеспечении и базах данных, которые были созданы на территории РФ и могут функционировать автономно, без софта, созданного в недружественных государствах.

Льготные условия для разработчиков из реестра

Любой ИТ-продукт из реестрового списка может пользоваться льготными условиями от государства и преимуществами перед сервисами, не состоящими в нем. Например, можно:

• Получить налоговые льготы
• Отказаться от миграции на иностранные программы
• Использовать более выгодные для разработчиков сервисы и программные продукты

Важное условие – если у ИТ-компании есть 2 выпускаемых продукта, но только один находится в списке, то НДС с продаж второго придется платить.

Как устроен реестр отечественного ПО

Реестр представлен в форме таблицы, где собран софт и БД, прошедшие проверку. Они обязательно должны соответствовать законодательству.

Проверкой и ведением списка занимаются специалисты из Минцифры. При соответствии компании и софта всем требованиям, разработка попадает в реестр и начинает пользоваться всеми бонусами.

Минцифра занимается не только ведением списка с российскими программами, но и с программным обеспечением из стран Евразийского союза. Отличие последнего только в том, что около номера есть приписка еас.

Требования к правообладателям и программам

Подача заявления доступна для граждан и организаций. Для этого нужна подтвержденная учетка на Госуслугах.

Условия для правообладателей:

• Обязательство не передавать права использования ПО третьим лицам
• Соблюдение законодательства РФ и защита авторских прав

Условия для ПО и его составляющих:

• Создание на основе исходного кода из реестра
• Отсутствие использования иностранных технологий

Как включить свое ПО в реестр?

По желанию вы можете прикреплять и другие документы.

Как рассматривают заявку

Формальная экспертиза

Рассмотрение заявки на регистрацию программы в реестре отечественного ПО начинается с оценки формальных критериев – проверять будут наличие документации, кликабельность ссылок, правильность указания реквизитов и др. По времени занимает месяц.

Если возникнут вопросы или найдутся неточности, заявку попросят доработать. При отсутствии недостающих документов, сотрудники попросят их донести. В остальном – бумаги отдадут на рассмотрение по существу.

Экспертиза по существу

После прохождения формального этапа, заявка будет считаться принятой. Далее ею займутся эксперты – они оценят бумаги разработчика и ПО. Сведения о программе занесут в список проверки. Могут запросить дополнительную информацию у компании-разработчика. В конце выдают итоговое заключение. По времени процесс занимает также месяц.

Заседание экспертного совета

Окончательное решение принимают эксперты на последнем заседании. Решение принимают по каждой заявке, а затем публикуют приказ на сайте реестра. Там можно увидеть, включили ее в список или отказали.

Из-за чего могут отказать в регистрации

Вам откажут в регистрации ПО в реестре отечественного программного обеспечения, если:

• Не все документы предоставлены.
• Есть технические ограничения.
• Содержание программы не соответствует требованиям.

Что делать при отказе

Можно оспорить отказ в суде. Для этого необходимо собрать доказательства о том, что ПО соответствует требованиям. Если хотите избежать суда, тогда доработайте пакет документации или саму разработку и повторно подайте заявку через год.

Рекомендации по подаче заявки с документами в реестр отечественного ПО

Если не хотите тратить на это время, обратитесь к юристам, специализирующимся на внесении программного обеспечения в реестр. Они помогут сократить сроки сбора документации и с процессом регистрации.

Действия с реестром после одобрения

Как изменить сведения

Для исключения программы из реестра правообладатель или уполномоченное лицо должен подать заявку и получить решение в течение 10 рабочих дней. При нахождении нарушения или несоответствия, подайте обращение и дождитесь ответа в течение 45 рабочих дней. Основное условие – наличие у заявителя подтвержденной учетной записи на Госуслугах.

Частые вопросы

Какой класс должен быть указан в заявке для ПО, не предназначенного для продажи

Класс 05.07 Специализированное ПО органов исполнительной власти РФ, госкорпораций, фирм и юридических лиц с преимущественным участием России для внутреннего использования.

Оценка качества ПО и его соответствие требованиям

Помимо процесса включения в реестр, важно также оценить качество ПО и его соответствие требованиям для успешного использования. Наша компания предоставляет услуги экспертной проверки программного обеспечения на соответствие стандартам и требованиям. Мы поможем вам убедиться, что ваше ПО готово к включению в реестр и обеспечит вам конкурентное преимущество на рынке.

Мы предлагаем:

1. Экспертную оценку качества ПО
2. Анализ соответствия требованиям
3. Рекомендации по улучшению ПО
4. Подготовку необходимых документов для включения в реестр

С нами ваше программное обеспечение будет отвечать всем необходимым стандартам и требованиям, что позволит вам успешно пройти процесс включения в реестр отечественного ПО.

Не откладывайте свою регистрацию на потом – обратитесь к нам сегодня и получите профессиональную помощь во всех вопросах, связанных с жизненным циклом программного обеспечения.

На российском рынке не хватает систем для управления разработкой и хранения дистрибутивов, средств автоматизации сборки, перечисляет руководитель производственного блока нового российского вендора НОТА (холдинг Т1) Юрий Мацыгин.

Получите бесплатную консультацию

18 января 2024

Как попасть в реестр отечественного ПО?

Реестр ТОРП. Внесение организации в ТОРП Минпромторга

Как подавать сведения в реестр обученных по охране труда

Важно! Если в вашей компании есть представительный орган работников, обязательно запросите его мотивированное мнение. Получив его, подпишите у руководителя организации приказ о решении работодателя проводить обучение определенной категории сотрудников в своей организации. В приказе сделайте отсылку на Положение о СУОТ, в котором приведен перечень должностей сотрудников, для которых будет проводиться обучение по ОТ, с указанием конкретных программ обучения.

Обязательно посчитайте следующие параметры:

Если у вас обучению подлежит 1000 человек, но из них 30 обучаются в учебном центре, а 270 освобождены от обучения по программе «б» в п.46 Правил обучения № 2464, то получится, что обучать вам останется внутри вашей организации всего 700 человек. 700 человек = 7 мест для обучения. В приказе должны быть указаны эти места обучения (актовый зал, лаборатория, мастерская, кабинет охраны труда).

Этап Наименование этапа Организационно-технические мероприятия

1 Принятие решения о внутреннем обучении Посчитайте, сколько человек нужно обучить внутри своей организации, и по какой программе. Подготовьте приказ, но вначале запросите мнение представительного органа о согласии проводить внутреннее обучение по ОТ.

2 Авторизация На сайте https://lkot.mintrud.gov.ru нажмите «Вход в систему» — Единая общероссийская справочно-информационная система по охране труда.

3 Выдача прав доступа На госуслугах работодателя представляет руководитель организации. Но он вряд ли будет регистрировать личный кабинет. Поэтому в приказе на этапе 1 нужно прописать права доступа. Администратор предоставит такие права, и на странице «Профиль организации / Сотрудники» появится ваша фамилия.

4 Подача уведомления Уведомление подать нужно после того, как вы узнаете в отделе кадров среднесписочную численность работников, возьмете правильные реквизиты вашей организации. Я рекомендую взять бесплатно выписку из ЕГРН.

5 Передача сведений Передавать сведения в реестр необходимо вовремя: так, если сотрудник устроился на работу 1 апреля, до 30 мая нужно внести сведения об обучении в реестр. Если подадите сведения о них 1 июня, могут оштрафовать.

Правила реестра

Сейчас для желающих включить свой продукт в реестр российского ПО действуют строгие правила. Правообладатели из иностранных государств либо организации, владельцами которых являются иностранцы более чем на 50%, не смогут включить свои решения, указывает юрист «Афонин, Божор и партнеры» Олег Дульский. Также зарубежные граждане не могут участвовать в гарантийном обслуживании, технической поддержке и модернизации включаемой в реестр программы.

Минцифры не реже одного раза в год проверяет сведения, содержащиеся в реестре, продолжает Дульский. По результатам проверки ведомство может сообщить правообладателю о необходимости исправить ту или иную информацию, например актуализировать ссылки на пользовательскую документацию. Если правообладатель не выполняет запрос, доступ к реестровой записи ограничивается на 30 дней. По истечении срока Минцифры исключает запись о ПО из реестра, если в нее не было внесено изменений, объясняет юрист.

Также о несоответствии требованиям реестра в Минцифры могут сообщить третьи лица, говорит Дульский. Так, в ноябре 2023 г. «Ростелеком» обратился в Минцифры с просьбой проверить операционную систему «Ред ОС М» на предмет соответствия ее технических компонентов требованиям законодательства. Отдельным основанием исключения может быть предоставление подложных документов. Например, по этой причине программный комплекс Ankey SIEM от «Газинформсервиса» был исключен из реестра, после переработки решение вернулось в реестр.

Попасть обратно в реестр можно после повторной подачи и рассмотрения заявления, напоминает Дульский. По общему правилу заявление можно подать сразу, однако если программу исключили из-за предоставления недостоверных сведений или подложных документов, подать его можно будет только через год после исключения, говорит юрист. Опыт показывает, что при смене правообладателя продукта и несвоевременном обновлении сведений происходит исключение из реестра, обращает внимание руководитель направления производственных решений АСКОН Михаил Пономаренко. Для того чтобы попасть обратно, нужно вновь собрать документы и подать их на рассмотрение комиссии, которая собирается раз в месяц, говорит он.

В целом же основные проблемы у заявителей возникают не с технологическим стеком, который необходимо использовать, и не с доказыванием долей российских бенефициаров, а с большим комплектом документов, который необходимо подготовить, часть из которых является формальной, обращает внимание патентный поверенный РФ Борис Герасин. Таким образом, заявитель 30% документов готовит просто потому, что «надо». Еще одной проблемой является субъективное толкование экспертизой некоторых положений методических рекомендаций, за счет чего от эксперта к эксперту может разниться комплект документов, объясняет он.

Нужна модернизация

Сейчас реестр выглядит как список продуктов без подробных сведений о характеристиках, наличии пробных версий, уровне поддержки, стоимости и особенностях лицензирования, отмечает Денис Тюрин из «Ауриги». Указание в реестре возможности интеграции IT-решений в экосистему сильно бы стимулировало поток обращений к правообладателям, добавил GR-директор PIX Robotics Сергей Вотяков. Также стоит добавить отраслевую сегментацию для упрощения поиска нужного продукта, добавляет генеральный директор BSL Сергей Костин.

Еще одна проблема заключается в широком толковании классов ПО, из-за чего некоторые важные виды софта упускают из внимания, словно их не существует вовсе, говорит заместитель генерального директора Postgres Professional Иван Панченко.

Пока что реестр российского ПО напоминает data-lake, или неструктурированный массив данных, говорит старший менеджер практики «Стратегия роста и продаж» «Рексофт консалтинга» Антон Зуевич. Он выполняет функцию списка одобренных ПО и ПАК, но не выполняет функцию конфигуратора или маркетплейса, где можно подобрать нужную программу. Такой маркетплейс очень поможет заказчикам, поможет развитию реестра и внедрению системы рейтингов разработчиков и отзывов пользователей, предлагает эксперт. Это даст отрасли толчок к созданию качественных продуктов, соответствующих потребностям рынка, резюмировал он.

Немного определений

COM (Component Object Model) – это стандарт, позволяющий разработчикам повторно использовать в своем коде независимые компоненты ПО. При этом им не нужно знать внутреннее устройство данных компонентов, заниматься их совместимостью на разных языках программирования и повторной компиляцией.

Также в начале статьи я уже упомянула такое понятие, как COM-объект. За ним кроется определение объекта, в котором указаны данные о нем и о наборе интерфейсов для обеспечения его функциональности. COM-объект реализуется в форматах DLL или EXE.

На основе стандарта COM выполняется очень много процессов в Windows, поэтому отключить его с целью защитится от атакующих не получится. Соответственно, атаки с помощью COM-объектов становятся лакомым кусочком для злоумышленников.

Программное обеспечение для поиска необходимого COM-объекта использует реестр, поэтому далее мы рассмотрим, какие ключи задействованы в данном процессе и можно ли их применять для проведения атаки (Спойлер: ДА!).

Представление COM-объектов в реестре

Реестр содержит информацию обо всех установленных в системе COM-объектах, которая находится в следующих ветках:

Так как архитектура 64-битной операционной системы поддерживает совместимость с x86 приложениями, существуют дополнительные ветки в реестре, представленные под спойлером:

COM-объекты в x64 архитектуре ОС для x86 приложенийДля поддержания 32-разрядных приложений в 64-разрядный операционных системах Windows используются аналогичная структура ключей, но вложены они в Wow6432Node. Например:

Во всех выше перечисленных ветках есть подраздел CLSID, содержащий идентификаторы (GUID) класса. А дальше, в зависимости исходных данных атакующего, используются следующие подразделы:

Как мы видим, существует достаточно большое разнообразие ключей реестра. Здесь может возникнуть вопрос: а как система понимает, каким именно из этих ключей воспользоваться? Дальше мы как раз и поговорим о порядке проверки и применении ключей в реестре, что позволит в будущем нам оценить все возможные варианты атаки.

Порядок проверки ключей в реестре

Согласно документации Microsoft, параметры, указанные для интерактивного пользователя в HKCUSoftwareClasses, имеют приоритет над HKCR (HKLM). Если процесс запускается в интерактивном сеансе с правами администратор (т.е. уровень целостности выше среднего), и при этом UAC отключен, то применяется конфигурация, указанная в HKLM. Подробнее про UAC и методы его обхода можно почитать в статье моего коллеги. Процессы, которые не выполняются в контексте безопасности интерактивного пользователя, не используют HKCU и HKCR, а напрямую обращаются к HKEY_LOCAL_MACHINESoftwareClasses.

Итак, с приоритетом веток мы разобрались. Выбор между ProgID и CLSID тоже понятен – он зависит от обращение к COM-объекту: идет ли оно через GUID или используется текстовый идентификатор. А вот приоритет внутри CLSID между параметрами InprocServer, LocalServer и TreatAs пока не известен. Поэтому давайте проверим его на практике и для этого проведем небольшой эксперимент.

Выбор приоритета внутри CLSID

Как правило, сразу три параметра не указываются, но нам ничего не мешает сделать это. Для этого я создала два dll-файла (для ключей InprocServerи TreatAs) и exe (для ключа LocalServer) с разными MessageBox. Под спойлером представлен конфигурационный файл реестра для проведения эксперимента. В нем указаны сразу все три ключа, а также применение созданных мною соответствующих исполняемых файлов.

Далее производится вызов COM-объекта по ProgID "Hijack.COM". На рисунке 1 видно, что заданных всех выше перечисленных параметров наивысший приоритет имеет TreatAs. В свою очередь, Process Monitor показывает, что было обращение только к ключу TreatAs, остальные ключи не проверялись (рисунок 2).

Рисунок 1 – Сработал триггер, указанный в TreatAs

Рисунок 2 – Process Monitor показывает обращение к TreatAs

Ниже на рисунке 3 мы видим, что если из всех заданных ключей убрать TreatAs, а оставить LocalServer32 и InprocServer32, то в текущей ситуации приоритет будет иметь InprocServer32. При этом Process Monitor показывает, что сначала был запрос к TreatAs, но так как он не задан, запрос оказался безуспешным (рисунок 4). На следующем этапе было получено значение из InprocServer32, а потом из LocalServer32, но приоритет был отдан InprocServer32.

Рисунок 3 – Сработал триггер, указанный в InprocServer32

Рисунок 4 – Process Monitor показывает порядок обращений к ключам реестра

Логично, что убрав все ключи, кроме LocalServer32обращение будет произведено именно к нему (LocalServer32)(рисунок 5) . В то же время, Process Monitor показывает, что сохраняется последовательность обращений к реестру, но к TreatAs и InprocServer32 они безуспешны.

Рисунок 5 – Сработал триггер, указанный в LocalServer32

Рисунок 6 – Process Monitor показывает порядок обращений к ключам реестра

Интересно то, что приоритет этих ключей выше приоритета рассмотренных ранее веток. Это значит, что, например, наличие ключа InprocServer32 в HKCR приоритетнее, чем ключ LocalServer32 в HKCU. То есть более привилегированный ключ в менее привилегированной ветке будет иметь приоритет над менее привилегированным ключом в более привилегированной ветке реестра. Ниже показано это выглядит в схематичном виде:

Рисунок 7 – Приоритет ключей в реестре

Таким образом, определив приоритет выбора ключа, по которому будет исполняться COM-объект, мы поймем, что атакующий может этим воспользоваться и переопределить COM-объект, указав в более приоритетном ключе значение, ссылающееся на вредоносный объект.

Но то, какими правами нужно обладать для изменения этих ключей, разберем далее.

Права доступа на редактирование реестра

Как видно из рисунка 8, ветка HKCU может изменяться интерактивным пользователем без прав администратора.

А дальше мы видим, что HKLM и HKCR требует прав локального администратора или SYSTEM для изменения (рисунки 9 и 10) . Согласно документации Microsoft, если вносить изменения в HKCR, то они буду прописываться в HKEY_LOCAL_MACHINESoftwareClasses.

Рисунок 9 – Права на HKEY_LOCAL_MACHINESoftwareClasses

Рисунок 10 – Права на HKEY_CLASSES_ROOT

В Windows существует большое количество COM-объектов, а при установке дополнительного прикладного ПО, это количество только растет.

Тогда как же злоумышленнику определиться, какой COM-объект лучше всего атаковать? Для этого мы посмотрим, каким критериям должен соответствовать выбранный COM-объект, а затем разберем стратегии, которыми может пользоваться атакующий при выборе COM-объекта для атаки.

Выбор COM-объекта для атаки

Безусловно, можно создать новый COM-объект и дальше попытаться его вызвать, но чтобы сделать этого без "лишнего шума" лучше воспользоваться существующими ключами, которые могут быть уже настроены на вызов по какому-либо триггеру. Выбранный COM-объект должен соответствовать двум критериям: первый их них – часто запускаться, а второй – не ломать логику работы приложений.

Для выбора подходящего COM-объекта существует несколько стратегий, давайте их рассмотрим поподробнее.

Часто используемые COM-объекты

Первая стратегия будет основываться на использовании такого инструмента, как Process Monitor. Суть метода заключается в том, чтобы собрать события запросов к реестру с ключами InprocServer32, LocalServer32, TreatAs, ScriptletURL, ProgID или любой ключ в разделе Classes (рисунок 11), а далее оценить какие COM-объекты наиболее часто используются (рисунок 12). При этом для удобства можно выгрузить в CSV файл, а далее в EXEL посчитать статистику. На основании полученной оценки производится выбор наиболее подходящего COM-объекта для атаки COM-hijacking. О том, как используется выбранный объект дальше, я расскажу в последующих статьях.

Рисунок 11 – Пример фильтров в Process Monitor для сбора статистика по часто используемым COM-объектам

Рисунок 12 – Результат вывода Process Monitor с заданными фильтрами

Так с помощью данного метода можно обнаружить следующие COM-объекты:

Легитимное значение по умолчанию

Дроппер rtlstat.dll APT Space Pirates

Отсутствующие в HKCU COM-объекты

Вторая стратегия также основывается на использовании Process Monitor, но в данном случае выбираются не самые популярные, а отсутствующие в HKCU COM-объекты (рисунок 13). В HKCU проверка проходит раньше, чем в HKCR. Исключение составляют процессы с высоким уровнем целостности. Это сделано для того, чтобы предотвратить повышение привилегий.

Рисунок 13 – Пример фильтров в Process Monitor для получения COM-объектов, отсутствующих в HKCU

Полученный результат можно сохранить в CSV формате, а далее отфильтровать уникальные значения в EXEL. Или воспользоваться автоматизацией, "скормив" данный CSV-файл acCOMplice. Этот набор скриптов предназначен для изучения атаки COM-hijacking: с его помощью можно определить подходящий COM-объект для использования в атаке, а затем провести на выбранный объект атаку COM-hijacking. Так, например, функция Extract-HijackableKeysFromProcmonCSV выводит уникальные COM-объекты из CSV-файла (рисунок 14).

Рисунок 14 – Результат работы скрипта по поиску уникальных COM-объектов в csv файле

Использование обнаруженных COM-объектов вредоносным ПО представлено в таблице:

Фантомные COM-объекты

Третья стратегия базируется на выявлении COM-объектов, ссылающихся на несуществующие dll или exe файлы. Пример получения списка COM-объектов с отсутствующими исполняемыми файлами показан на рисунке ниже. Таким образом можно будет положить файл по требуемому пути с нужным именем и не изменять реестр. Подобные COM-объекты называются Phantom COM.

Рисунок 15 – Пример фильтра для получения списка COM-объектов, у которых отсутствует на диске исполняемый файл

Такого же результата возможно добиться и с помощью утилиты acCOMplice, что наглядно отображено на рисунке 16. В функции Find-MissingLibraries осуществляется получение значений ключей реестра inprocserver и localserver в ветке HKCRCLSID. Далее происходит проверка, на предмет существования на диске файла, полученного на предыдущем этапе из реестра. Дополнительно можно проверить права пользователя на данный файл. Если он не найден, то данный COM-объект является потенциальным для использования в атаке.

Рисунок 16 – Получение списка COM-объектов, у которых отсутствует исполняемый файл на диске, с помощью acCOMplice

Если в представленной выше утилите для получения списка COM-объектов использовались запросы к реестру, то аналогичную информацию можно узнать с помощью wmi, выполнив командуgwmi Win32_COMSetting.

COM-объекты в запланированных задачах

Рисунок 17 – Пример строк в xml файле с описанием запланированной задачи, которая использует COM в качестве

Просто запуск скрипта без каких-либо параметров выводит все задачи, использующие COM (рисунок 18).

Рисунок 18 – Пример вывода скрипта Get-ScheduledTaskComHandler без параметров

Если использовать параметр -PersistenceLocations, то в результате мы получим список задач, которые можно использовать для закрепления в системе с помощью COM Hijacked, что видно на рисунке 19. В данном случае осуществляется дополнительная проверка того, что задача выполняется в пользовательском контексте и запускается при входе пользователя.

Рисунок 19 – Получение списка COM-объектов пригодных для закрепления в системе с помощью Get-ScheduledTaskComHandler скрипта

Данный способ покрывает сразу два этапа атаки: выбор COM-объекта и вызов вредоносного объекта при каждом входе пользователя. Атакующему остается только заменить COM-объект на вредоносный (об этом будет рассказано в последующих статьях).

Примеры COM-объектов, используемые атакующими

Также мною были проанализированы отчеты по ransomware и APT за последнее время. Опираясь на них, можно сделать вывод, что наиболее популярными COM-объектами у атакующих в данной атаке являются следующие объекты:

Такие COM-объекты по умолчанию присутствуют в Windows и часто вызываются легитимными процессами. Например, как можно заметить, часть из этих объектов относятся к WMI. Многие встроенные в Windows утилиты по типу tasklist.exe, systeminfo.exe и др., под капотом используют WMI и, следовательно, используют данные COM-объекты. Этот факт гарантирует атакующему, что после выполнения замены COM-объекта на вредоносный он будет вызываться в системе жертвы и при этом достаточно часто.

Лицензионная чистота

Сейчас Минцифры рассматривает возможность ужесточения требований к включаемому в реестр ПО, знает директор по развитию и цифровой трансформации РДТЕХ Евгений Осьминин. Существующие формальные требования постепенно дополнятся рядом критериев: функциональностью, количеством внедрений, технологическим стеком, наличием сервисов поддержки и т. д., перечисляет он.

Особое внимание уделяется критериям совместимости программного обеспечения с отечественным аппаратным обеспечением, продолжает эксперт. Например, в начале декабря 2023 г. «Коммерсантъ» со ссылкой на источники писал о том, что уже в I квартале 2024 г. в реестре могут появиться две категории софта. В одну выделят поставщиков, которые докажут «достаточный уровень переработки» ПО, основанного на компонентах open source, обеспечат совместимость с российскими процессорами и браузерами и обучение пользователей. Они смогут пользоваться всеми преференциями. Софт второй части реестра сохранит только налоговые льготы.

Проблема реестра в том, что туда легко попадают недобросовестные разработчики, которые перепродают open source решения без дополнительных доработок продукта, говорит генеральный директор российского объектного хранилища Platformcraft Антон Аплемах. Такая практика демпингует рынок отечественных разработок и тормозит процесс развития самописных решений. К тому же часть из спектра компонентов ПО может попасть под санкции или просто исчезнуть с рынка, предупреждает исполнительный директор ВИСТ Николай Годунов.

Действительно существует распространенная практика включения в реестр СПО-продуктов (свободного ПО) с минимальным объемом доработок, подтверждает генеральный директор «МойОфис» Павел Калякин. «Мы считаем, что это не только нечестная конкуренция, но и серьезные риски в части информационной безопасности, доступа к данным и гарантии непрерывности бизнес-процессов для организаций, выбравших такие решения. Рано или поздно вопрос лицензионной чистоты станет головной болью как для заказчиков, так и для разработчиков, создававших свои продукты без оглядки на положения лицензий СПО», – сетует он.

Заказчики опасаются ситуаций, при которых из реестра будет исключено используемое ПО, а все инвестиции будут «выброшены в мусор», говорит генеральный директор АНО «Национальный центр компетенций по информационным системам управления холдингом» Кирилл Семион.

Как подать уведомление об обучении по охране труда

После того, как вы нажмете кнопку «Добавить», появится таблица с полями, которые нужно заполнить. Также вам необходимо подгрузить в специальное поле скан приказа (образец приказа прилагаю. Если вы допустили ошибку, не переживайте, всегда можно отредактировать.

После того, когда вы внесете все сведения, нужно нажать кнопку «Отправить». Пока у вас нет свой усиленной квалифицированной электронной печати, ваш руководитель подпишет уведомление своей подписью.

Что на практике. После того, как вы отправите заполненное уведомление, вам придется ожидать. На практике, я подала уведомление 12 апреля, а личный кабинет был зарегистрирован 19 апреля. Необходимо учитывать еще и то, что иногда сайт Минтруда очень «притормаживает».

Нажав на «Уведомление», вы можете посмотреть свои сведения, а можете внести изменения, если нажмете «Добавить».

Как внести в реестр обученных по охране труда

Нажмите на кнопку «Реестры», затем на кнопку «Добавить», после чего на «К ожидающим записям». В всплывающем окне нужно будет внести сведения о сотрудниках, которые прошли проверку знаний в вашей внутренней комиссии. Здесь потребуются СНИЛСы работников.

Рекомендуем запросить в отделе кадров сведения о принятых сотрудниках с указанием даты приема и СНИЛС. Так вы сможете запланировать своевременно обучение и проверку знаний.

Что на практике. Иногда у работников в паспорте не указано отчество. Например, есть гражданин России, знаменитый киноактер Стивен Сигал. Его отца зовут Сэмюэл. Но это не значит, что вы должны вносить Сигал Стивен Сэмюэльевич. Ничего от себя не придумывайте, как вам дали сведения кадровики, так их и вносите в реестр.

Обязательно проследите, чтобы выбрали оценку проверки знаний «удовлетворительно». Потому что по умолчанию там установлен «неуд». Хорошо проверьте данные перед загрузкой, но в панику не впадайте — пока данные не переданы в реестр с помощью ЭЦП, можно их редактировать.

Внимание! Если вы провели запись в реестр 20 апреля, но на следующий день нашли и исправили ошибку, то датой внесения будет считаться не 20, а именно 21 апреля.

Проверьте правильность выбора программы обучения. Она должна соответствовать записи в протоколе проверки знаний! Выберите нужную программу из выпадающего списка:

После того, как выгрузите данные в реестр, появится новая запись, в начале которой будет стоять регистрационный номер. Вот его вы и должны будете внести в протокол проверки знаний требований охраны труда.

Учтите, что есть исключения, когда работодатель может не вносить сведения в реестр, но тем не менее, проводить обучение и проверку знаний в своей комиссии. Это касается всех тех, кто связан с государственной тайной.

Заключение

В этой статье я рассмотрела базовые принципы устройства Component Object Model в Windows. Из всего выше сказанного особо важным является приоритет ключей InprocServer, LocalServer и TreatAs. Именно игра на приоритетах делает возможным проведение атаки COM-Hijacking. COM-объекты в ветке HKCU имеют больший приоритет, а также данная ветка дает права на запись для интерактивного пользователя, т.е. атакующему не требуется искать способы для повышения привилегий.

Кроме этого, мною были проанализированы четыре основных способа выбора COM-объекта, любым из которых можно воспользоваться. Уверена, данные способы не являются исчерпывающими. Но если цель атакующего – закрепление в системе, а атака COM-Hijacking относиться именно к закреплению, то важно учитывать, что выбранный COM-объект должен часто запускаться на устройстве жертвы и не ломать логику работы других процессов, использующих его.

Надеюсь данная статья оказалась для вас полезной! Если у вас появились вопросы, пишите в комментариях!

Update: А еще, у нас вышло продолжение материала. Тайная жизнь COM: погружение в методы Hijacking .