Источник: https://github.com/AnaktaCTF/CTF/blob/main — Forensic/Masquerading.md

Оглавление

• Введение
• Почему masquerading опасен?
• Какие инструменты используются?
• Методы Masquerading
  • Подмена имен файлов (File Name Masquerading)
  • Использование ложных расширений (False File Extensions)
  • Подделка цифровых подписей (Digital Signature Forging)
  • Использование легитимных утилит для выполнения вредоносного кода (Living off the Land Binaries)
  • Process Hollowing
  • DLL Sideloading
  • Таймстомпинг (Timestomping)
• Методы защиты от Masquerading
  • Защита от подмены имен файлов
  • Защита от использования ложных расширений
  • Защита от подделки цифровых подписей
  • Защита от использования легитимных утилит для выполнения вредоносного кода
  • Защита от Process Hollowing
  • Защита от DLL Sideloading
  • Защита от таймстомпинга (Timestomping)
• Примеры реальных атак
• Технические особенности эксплуатации
• Заключение
• Ссылки и ресурсы

---

Введение

Masquerading — это техника сокрытия вредоносной активности, используемая атакующими для обхода механизмов безопасности. Она заключается в модификации внешних характеристик файлов, процессов или служб, чтобы они выглядели легитимными и не вызывали подозрений у систем обнаружения угроз.

Этот метод активно применяется для сокрытия вредоносных исполняемых файлов, загрузчиков и инструментов удаленного администрирования (RAT). Маскировка может включать подмену имен файлов, изменение атрибутов, использование ложных расширений, а также подделку цифровых подписей. В результате вредоносный код остаётся незамеченным на этапе анализа поведения и статического сканирования.

В данной статье будут рассмотрены механизмы реализации Masquerading, примеры его использования в реальных атаках, а также методы обнаружения и противодействия данной технике.

Почему Masquerading опасен?

1️⃣ Обход механизмов обнаружения

Masquerading позволяет атакующему:

• Замаскировать вредоносные файлы под легитимные системные процессы (svchost.exe, explorer.exe).
• Использовать ложные расширения (invoice.pdf.exe) для обмана пользователей.
• Подделывать цифровые подписи файлов, создавая видимость доверенности.

Опасность: Традиционные антивирусы и EDR-системы не обнаруживают вредоносное ПО, так как оно выглядит как легитимное.

---

2️⃣ Усложнение анализа поведения

Атакующий может:

• Имитировать действия стандартных системных процессов.
• Запускать вредоносные команды через легитимные утилиты (rundll32.exe, msiexec.exe).
• Маскировать свое ПО под браузеры, антивирусы и офисные приложения.

Опасность: Анализ поведения становится неэффективным, так как вредоносные действия кажутся легитимными.

---

3️⃣ Использование социальной инженерии

Masquerading активно применяется в фишинговых атаках:

• Вредоносные файлы выглядят как документы (docx.exe, report.pdf.scr).
• Поддельные установщики программ загружают вредоносный код.
• Используются похожие на реальные иконки и названия файлов.

Опасность: Пользователи самостоятельно запускают вредоносное ПО, не подозревая угрозы.

---

4️⃣ Долговременное скрытое присутствие

После успешного проникновения атакующий может:

• Менять временные метки файлов, чтобы они не выделялись.
• Использовать легитимные процессы (svchost.exe, winlogon.exe) для выполнения вредоносного кода.
• Применять Process Hollowing для внедрения в системные процессы.

Опасность: Вредоносное ПО остается незамеченным неделями или месяцами, продолжая атаковать систему.

---

5️⃣ Использование в APT-атаках

Группировки APT активно используют Masquerading для:

• Шпионских операций и кражи данных.
• Долговременного присутствия в корпоративных сетях.
• Подготовки к разрушительным атакам на критически важные системы.

Опасность: Компании могут не замечать компрометации вплоть до крупных утечек данных или разрушительных атак.

---

Какие инструменты используются?

1️⃣ PowerShell и Living-off-the-Land Binaries (LOLBins)

Описание: Использование встроенных утилит Windows для выполнения вредоносного кода без скачивания дополнительных файлов.

Примеры команд:

Copy-Item C:\Windows\System32\notepad.exe C:\Windows\System32\svchost.exe
Start-Process C:\Windows\System32\svchost.exe

✅ Вывод: Запуск подмененного исполняемого файла.

---

2️⃣ Metasploit

Описание: Фреймворк для эксплуатации уязвимостей, содержащий модули для маскировки полезной нагрузки.

Команды:

msfvenom -p windows/meterpreter/reverse_tcp -f exe -o explorer.exe

✅ Вывод: Генерация вредоносного файла с маскировкой под explorer.exe.

---

3️⃣ Process Hollowing

Описание: Техника внедрения вредоносного кода в легитимные процессы.

Инструменты:

• Cobalt Strike
• Process Hacker
• SysWhispers

Пример использования SysWhispers (C):

CreateProcess("C:\\Windows\\System32\\svchost.exe", ...);
WriteProcessMemory(hProcess, ...);
ResumeThread(hThread);

✅ Вывод: Код исполняется в доверенном процессе.

---

4️⃣ DLL Sideloading

Описание: Злоумышленники помещают поддельную библиотеку в директорию, из которой легитимное приложение загружает её автоматически.

Пример команды:

Move-Item malware.dll C:\Program Files\TrustedApp\good.dll
Start-Process "C:\Program Files\TrustedApp\TrustedApp.exe"

✅ Вывод: Вредоносная DLL загружается доверенным процессом.

---

5️⃣ Таймстомпинг (Timestomping)

Описание: Изменение временных меток файлов для сокрытия активности.

Инструменты:

• timestomp.exe (из Metasploit)
• SetFile (macOS)

Пример:

timestomp.exe C:\Windows\System32\svchost.exe -m "01/01/2020 12:00:00"

✅ Вывод: Вредоносный файл теперь выглядит как старый системный.

---

6️⃣ WinSCP и PuTTY для сокрытия активности

Описание: Используются для скрытой загрузки и передачи файлов в обход средств мониторинга.

Пример команды:

WinSCP.exe /script=transfer.txt

✅ Вывод: Маскировка вредоносных передач как легитимных действий пользователя.

---

Методы Masquerading

1. Подмена имен файлов (File Name Masquerading)

Подмена имен файлов — это метод, при котором атакующие изменяют имя вредоносного файла так, чтобы оно выглядело как имя системного или легитимного приложения, что позволяет избежать обнаружения системой безопасности.

Как работает:

• Злоумышленники могут заменить имя вредоносного файла на название известного системного процесса, например, svchost.exe или explorer.exe.
• Иногда используется подмена файлов с помощью ложных расширений, например, invoice.pdf.exe или image.jpg.exe, что делает файл похожим на обычный документ или изображение.

Пример:

mv malicious.exe svchost.exe
start svchost.exe

Защита:

• Использование проверок целостности файлов с помощью утилит, таких как Tripwire или AIDE.
• Отключение отображения расширений известных типов файлов в операционной системе.

---

2. Использование ложных расширений (False File Extensions)

Ложные расширения — это метод, при котором злоумышленник создает файл с расширением, вводящим в заблуждение пользователя. Это может быть использовано для маскировки исполняемых файлов как изображений или документов.

Как работает:

• Злоумышленник может создать файл с расширением, похожим на изображение или документ (например, report.pdf.exe), чтобы обмануть пользователя, заставив его открыть файл.

Пример:

mv malicious.exe report.pdf.exe

Защита:

• Отключение отображения расширений известных типов файлов в операционной системе.
• Применение политики блокировки исполнимых файлов с расширением .exe, если они находятся в папках пользователей, например, в папке Загрузки.

---

3. Подделка цифровых подписей (Digital Signature Forging)

Подделка цифровых подписей позволяет атакующим имитировать подпись легитимного разработчика или издателя, чтобы файлы выглядели как доверенные приложения, что обходит системы безопасности, основанные на проверке подписей.

Как работает:

• Злоумышленник может создать поддельную цифровую подпись для своего вредоносного ПО с помощью инструментов, таких как SignTool или OpenSSL, чтобы оно выглядело как подписанный доверенным сертификатом файл.

Пример:

signtool sign /f certificate.pfx /p password /tr http://timestamp.com /td sha256 malicious.exe

Защита:

• Включение политики проверки подписей цифровых сертификатов в операционной системе.
• Мониторинг и контроль за обновлением сертификатов и криптографических ключей.

---

4. Использование легитимных утилит для выполнения вредоносного кода (Living off the Land Binaries)

Living off the Land Binaries (LOLBins) — это метод, при котором атакующие используют встроенные в операционную систему инструменты для выполнения вредоносного кода, не загружая дополнительных исполнимых файлов.

Как работает:

• Атакующие могут использовать стандартные утилиты, такие как rundll32.exe или msiexec.exe, для запуска вредоносных команд или скриптов.

Пример:

rundll32.exe malicious.dll,EntryPoint

Защита:

• Ограничение прав доступа к критическим системным утилитам.
• Внедрение мониторинга для анализа использования командной строки и PowerShell.

---

5. Process Hollowing

Process Hollowing — это метод, при котором злоумышленник внедряет свой вредоносный код в адресное пространство легитимного процесса, который затем выполняет этот код.

Как работает:

• Злоумышленник создает новый процесс, например, svchost.exe, и затем заменяет его память на вредоносный код. Это позволяет выполнить вредоносную программу, маскируя её под доверенный процесс.

Пример:

CreateProcess("C:\\Windows\\System32\\svchost.exe", ...);
WriteProcessMemory(hProcess, ...);
ResumeThread(hThread);

Защита:

• Использование решений для обнаружения изменения памяти процесса, таких как Windows Defender ATP.
• Ожидание повышенной активности в процессах, что может сигнализировать о внедрении вредоносного кода.

---

6. DLL Sideloading

DLL Sideloading — это метод, при котором вредоносная библиотека загружается в программу вместо легитимной, если она находится в том же каталоге или в недоверенной директории.

Как работает:

• Атакующие размещают поддельную DLL-библиотеку рядом с доверенным приложением, заставляя его загрузить вредоносную DLL вместо оригинала.

Пример:

Move-Item malicious.dll C:\Program Files\TrustedApp\good.dll
Start-Process "C:\Program Files\TrustedApp\TrustedApp.exe"

Защита:

• Использование контроля целостности каталогов и проверка загружаемых DLL.
• Включение политики только для подписанных DLL.

---

7. Таймстомпинг (Timestomping)

Таймстомпинг — это процесс изменения временных меток файлов с целью скрыть их реальные даты создания и модификации, чтобы избежать обнаружения.

Как работает:

• Злоумышленники могут использовать утилиту timestomp.exe из Metasploit или другие инструменты для изменения времени создания и последнего изменения файлов.

Пример:

timestomp.exe C:\Windows\System32\svchost.exe -m "01/01/2020 12:00:00"

Защита:

• Мониторинг изменений временных меток файлов с помощью систем защиты целостности.
• Использование анализа журналов системы для поиска аномалий в активности файлов.

---

Методы защиты от Masquerading

1. Защита от подмены имен файлов

Злоумышленники могут использовать метод подмены имен файлов, чтобы скрыть вредоносные программы, придавая им имена, похожие на легитимные системные процессы или программы. Защита от подмены имен файлов направлена на предотвращение маскировки файлов как доверенных приложений.

Как защитить:

• Используйте решения для контроля целостности файлов (например, Tripwire или AIDE), чтобы отслеживать любые изменения в именах файлов и их содержимом.
• Применяйте политику ограничения на расширения файлов, чтобы запретить запуск приложений с подозрительными или незнакомыми расширениями в критических системных каталогах.

Дополнительные меры:

• Отключите возможность изменения расширений файлов для всех пользователей, кроме администраторов.
• Включите проверку цифровых подписей приложений, чтобы все файлы с расширением .exe или другими исполнимыми файлами были подписаны доверенными сертификатами.

---

2. Защита от использования ложных расширений

Использование ложных расширений — это распространенный метод маскировки вредоносных файлов под изображения или документы. Чтобы предотвратить такие атаки, следует ограничить возможность создания и использования файлов с потенциально опасными расширениями.

Как защитить:

• Настройте систему так, чтобы показывались расширения всех файлов, и запрещайте использование расширений, маскирующих вредоносные файлы (например, .jpg.exe).
• Включите системы контроля приложений и утилит, такие как AppLocker или Windows Defender Application Control, чтобы разрешать запуск только проверенных и подписанных приложений.

Дополнительные меры:

• Примените фильтрацию входящих файлов на уровне почтовых серверов и сетевых шлюзов, блокируя файлы с опасными расширениями.

---

3. Защита от подделки цифровых подписей

Подделка цифровых подписей позволяет атакующим выдать вредоносный файл за легитимный. Чтобы избежать этого, важно настроить систему так, чтобы она проверяла цифровые подписи всех критических файлов.

Как защитить:

• Включите проверку цифровых подписей на всех критических серверах и устройствах.
• Используйте решения для управления цифровыми сертификатами, чтобы гарантировать, что только доверенные подписи могут быть использованы для выполнения программ.

Дополнительные меры:

• Примените мониторинг цифровых подписей с помощью специализированных инструментов, которые отслеживают изменения в подписях файлов в реальном времени.

---

4. Защита от использования легитимных утилит для выполнения вредоносного кода

Атакующие могут использовать встроенные в операционную систему утилиты для выполнения вредоносного кода, что делает их трудными для обнаружения. Защита от такого рода атак включает в себя блокировку и мониторинг критичных системных утилит.

Как защитить:

• Используйте политики управления приложениями (например, AppLocker) для контроля запуска утилит, таких как rundll32.exe и msiexec.exe.
• Включите мониторинг процессов с помощью инструментов, таких как Sysmon, для отслеживания всех исполнимых команд, включая стандартные утилиты.

Дополнительные меры:

• Ограничьте доступ к системным утилитам для пользователей с низким уровнем привилегий.

---

5. Защита от Process Hollowing

Process Hollowing позволяет злоумышленникам внедрять вредоносный код в адресное пространство легитимного процесса. Это позволяет скрыть выполнение вредоносного кода под видом доверенной программы.

Как защитить:

• Используйте инструменты для анализирования поведения процесса и выявления признаков инъекции кода в чужие процессы.
• Включите защиту памяти, чтобы предотвратить изменение содержимого памяти процессов, таких как svchost.exe.

Дополнительные меры:

• Применяйте контроль доступа к памяти с помощью решений для предотвращения инъекций в процессы и мониторинга их состояния.

---

6. Защита от DLL Sideloading

DLL Sideloading позволяет злоумышленникам подменить легитимные DLL-файлы на вредоносные, заставляя доверенные приложения загружать несанкционированные библиотеки.

Как защитить:

• Применяйте политику загрузки только подписанных DLL-файлов в вашей организации.
• Используйте инструменты для отслеживания загрузки DLL, чтобы обеспечить, что только доверенные библиотеки загружаются в критичных приложениях.

Дополнительные меры:

• Применяйте контроль целостности файлов, чтобы обнаруживать изменения в системных DLL и других ключевых файлах.

---

7. Защита от таймстомпинга (Timestomping)

Timestomping позволяет злоумышленникам изменять временные метки файлов, чтобы скрыть их реальные данные о создании и изменении.

Как защитить:

• Включите мониторинг временных меток с помощью инструментов безопасности, таких как Sysmon, для отслеживания любых изменений в временных метках файлов.
• Используйте контроль целостности файлов, чтобы предотвратить изменение атрибутов файлов.

Дополнительные меры:

• Применяйте журналирование всех операций с файлами, включая изменение их атрибутов, чтобы своевременно обнаружить попытки таймстомпинга.

---

Эти методы защиты направлены на минимизацию рисков, связанных с маскировкой атак, и должны быть интегрированы в общий процесс защиты инфраструктуры.

---

Примеры реальных атак

1️⃣ NotPetya (2017) – Кибератака на Украину

Описание:

• Вредоносное ПО NotPetya изначально распространялось через зараженное обновление бухгалтерского ПО M.E.Doc.
• Использовало Mimikatz для извлечения паролей из памяти Windows.
• Распространялось по сети с помощью Pass-the-Hash и уязвимости EternalBlue.

Последствия:

• Парализовало работу банков, энергетических компаний, аэропортов и государственных учреждений.
• Потери бизнеса – более 10 миллиардов долларов.

---

2️⃣ Атака на Sony Pictures (2014)

Описание:

• Хакеры из группы Lazarus Group (предположительно связаны с КНДР) проникли в сеть Sony Pictures.
• Использовали Credential Dumping для получения учетных данных сотрудников.
• Скомпрометировали серверы и уничтожили тысячи файлов.

Последствия:

• Утечка конфиденциальных данных, включая фильмы и личные данные сотрудников.
• Ущерб оценивается в более 100 миллионов долларов.

---

3️⃣ WannaCry (2017) – Массовая атака шифровальщика

Описание:

• Использовал уязвимость EternalBlue для заражения компьютеров.
• Применял Mimikatz для сбора паролей и дальнейшего распространения в сети.
• Шифровал файлы пользователей и требовал выкуп в биткоинах.

Последствия:

• Затронул более 200 000 компьютеров в 150 странах.
• Пострадали такие компании, как FedEx, Renault, NHS (Национальная служба здравоохранения Великобритании).
• Ущерб оценен в 4 миллиарда долларов.

---

4️⃣ Атака на Marriott International (2018)

Описание:

• Хакеры проникли в систему бронирования сети отелей Marriott и использовали Credential Dumping для получения доступа к базе данных.
• Скомпрометировали 500 миллионов записей клиентов.
• Украдены номера паспортов, данные банковских карт и контактная информация гостей.

Последствия:

• Крупнейшая утечка данных в индустрии гостиничного бизнеса.
• Штраф от властей США в размере 124 миллионов долларов.

---

5️⃣ Атака на SolarWinds (2020)

Описание:

• Группа хакеров APT29 (Cozy Bear) внедрила бэкдор в обновление ПО SolarWinds Orion.
• После проникновения в сеть использовали Mimikatz и другие инструменты для сбора учетных данных.
• Получили доступ к конфиденциальным данным американских госорганов и частных компаний.

Последствия:

• Пострадали Министерство финансов США, Microsoft, Cisco и другие компании.
• Ущерб оценивается в более 90 миллионов долларов.

---

Технические особенности эксплуатации методов Masquerading

---

1. Использование легитимных файлов и процессов

Описание:

Один из основных методов Masquerading — это маскировка вредоносного ПО под легитимные файлы и процессы, чтобы избежать обнаружения антивирусами и средствами мониторинга. Злоумышленники могут использовать имена файлов, которые напоминают системные процессы или популярные приложения.

Технические особенности эксплуатации:

• Псевдонимы файлов: Злоумышленники могут использовать имена, схожие с легитимными системными файлами (например, svchost.exe или explorer.exe) для маскировки вредоносных программ.
  • Часто применяется использование скрытых расширений или пробелов в именах файлов (например, svchost.exe или explorer.exe. ), что может сбить с толку пользователя или систему мониторинга.
• Запуск из системных папок: Вредоносное ПО может быть размещено в системных каталогах, таких как C:\Windows\System32, чтобы маскироваться под обычные системные файлы.
  • Некоторые из этих файлов могут быть защищены от изменений, что делает их менее подозрительными для антивирусных систем.

---

2. Маскировка через сторонние приложения и утилиты

Описание:

Злоумышленники могут использовать популярные или доверенные приложения для запуска вредоносных действий. Это может быть, например, использование легитимных командных утилит или сторонних программ для запуска вредоносных файлов.

Технические особенности эксплуатации:

• PowerShell: PowerShell — мощный инструмент для автоматизации задач в Windows. Злоумышленники могут использовать PowerShell для выполнения вредоносных команд, маскируя их под легитимные действия.
  • PowerShell scripts могут быть скрыты в таких формах, как скрипты или командлеты, вызываемые через имена, как powershell.exe -Command, что может быть воспринято как нормальная административная активность.
  • Использование EncodedCommand (например, powershell.exe -EncodedCommand) для скрытия истинных команд.
• Windows Management Instrumentation (WMI): Злоумышленники могут использовать WMI для выполнения удаленных команд на других машинах, при этом маскируя свои действия под стандартные системные запросы.
  • Пример использования: злоумышленник может запустить вредоносный скрипт с помощью WMI через команду wmic или через утилиты Windows Management Instrumentation Command-line (WMIC).

---

3. Использование системных ярлыков и задач планировщика

Описание:

Маскировка через использование ярлыков и задач планировщика помогает злоумышленникам скрыть свою активность, создавая задачи или ярлыки с именами, напоминающими системные.

Технические особенности эксплуатации:

• Задачи планировщика (Task Scheduler): Злоумышленники могут создать задачу планировщика, которая будет выполняться под видом обычной системной задачи.
  • Пример: создание задачи с именем "Windows Update" или "Microsoft Security Essentials". Это может скрыть реальную цель атаки и снизить вероятность обнаружения.
  • Использование инструментов, таких как schtasks.exe для создания задач с командами, скрывающимися под именами системных обновлений или обслуживания.
• Ярлыки: Для обхода антивирусов можно создать ярлыки, которые будут ссылаться на вредоносный файл, но с внешним видом, как будто это системный файл.
  • Использование символов или пробелов в именах ярлыков также помогает скрывать их от пользователя.

---

4. Использование легитимных сетевых протоколов

Описание:

Маскировка через сетевые протоколы позволяет скрывать коммуникации злоумышленника под нормальные сетевые запросы, такие как HTTP, HTTPS, или DNS, что затрудняет обнаружение.

Технические особенности эксплуатации:

• DNS Tunneling: Злоумышленники могут использовать протокол DNS для передачи данных между зараженной системой и командным сервером (C2), скрывая свои действия под нормальные DNS-запросы.
  • Например, злоумышленники могут отправлять команды или передавать данные в виде DNS-запросов или ответов, что делает их трудными для обнаружения традиционными средствами безопасности.
• HTTPS: Использование шифрованных каналов (например, через HTTPS) позволяет скрывать вредоносную активность. Вредонос может использовать стандартные порты HTTPS для связи с внешними серверами, маскируясь под легитимный веб-трафик.
  • Пример: использование HTTPS для командования и контроля, чтобы обойти блокировки по IP или портам.

---

5. Маскировка под процесс обновления

Описание:

Злоумышленники могут маскировать свою активность под процессы обновления, чтобы пройти незаметно через системы безопасности.

Технические особенности эксплуатации:

• Использование утилит обновления: Злоумышленники могут использовать утилиты для обновления программного обеспечения, такие как Windows Update, для выполнения своих команд.
  • Маскировка с использованием стандартных инструментов обновления системы, например, с именем "update.exe" или "setup.exe", что делает вредоносные процессы менее заметными для антивирусных систем.
• Использование подписей для подделки: Чтобы увеличить вероятность того, что процесс будет принят как легитимный, злоумышленники могут подписывать свои файлы с использованием поддельных цифровых подписей, имитируя обновления от известного поставщика.

---

Заключение

Методы Masquerading (T1036) представляют собой мощные техники, используемые злоумышленниками для обхода систем безопасности и скрытного выполнения атак. Маскировка вредоносных действий под легитимные процессы, файлы или сетевые протоколы значительно усложняет их обнаружение средствами защиты, такими как антивирусные программы или системы мониторинга.

Технические особенности эксплуатации этих методов включают использование популярных инструментов и утилит, которые позволяют злоумышленникам замаскировать свою активность под обычные системные процессы или безопасные операции. Применение таких техник, как маскировка под процесс обновления, использование командных оболочек, манипуляция с ярлыками и задачами планировщика, а также применение безопасных протоколов, создаёт дополнительные вызовы для специалистов по безопасности.

Для эффективной защиты от таких атак необходимо обеспечить комплексный подход к безопасности: использование продвинутых систем мониторинга, анализ поведения приложений и процессов, а также своевременное обновление программного обеспечения и внедрение методов обнаружения аномалий в сетевом трафике. Важно помнить, что злоумышленники постоянно адаптируются к новым методам защиты, и только постоянное совершенствование средств безопасности может обеспечить эффективную защиту от атак, использующих Masquerading.

---

Ссылки и ресурсы

• MITRE ATT&CK Framework – подробная документация по методам, техникам и тактикам, включая Masquerading (T1036).
• Mimikatz – инструмент для извлечения паролей и хешей из памяти Windows, часто используемый в атаках Masquerading.
• Sysmon – утилита для мониторинга и логирования системных событий, полезная для отслеживания подозрительных действий, связанных с Masquerading.
• Process Explorer – инструмент для анализа процессов, который может быть использован для обнаружения аномальных процессов, связанных с Masquerading.
• Advanced Threat Protection (ATP) – решение для защиты от атак, включая Masquerading, с использованием машинного обучения и других технологий.
• Kali Linux – дистрибутив для проведения тестов на проникновение, включающий инструменты для анализа и эксплуатации уязвимостей, таких как Masquerading.
• Red Teaming Tools – ресурсы для специалистов по безопасности, обучающих использованию техник Masquerading в реальных атаках.
• CVE Details – база данных для поиска зарегистрированных уязвимостей и уязвимостей, которые могут быть использованы в атаках Masquerading.
• Exploit Database – база данных известных эксплойтов и уязвимостей, включая те, которые могут быть использованы для Masquerading.
• Offensive Security – обучение и ресурсы для пентестеров и исследователей по безопасности.