{ "alerts": { "PROTO-01": { "title": "Обнаружено подключение {}, ведущее за пределы локальной сети к {}.", "description": "Протокол {} обычно используется во внутренних сетях. Проверьте, выдавало ли устройство {} другие предупреждения, которые могут свидетельствовать о вредоносной активности." }, "PROTO-02": { "title": "Подключение {} к {} установлено на порте, равном или более {}.", "description": "Обнаружено {} подключений к {} с использованием порта {}. Использование нестандартного порта иногда может свидетельствовать о вредоносной активности. Рекомендуется проверить репутацию этого устройства, просмотрев другие предупреждения и выполнив их поиск в интернете." }, "PROTO-03": { "title": "Установлено HTTP-подключение к устройству {}", "description": "Ваше устройство обменивается данными с устройством {} по незашифрованному протоколу HTTP. Даже если такое поведение само по себе не является вредоносным, фоновое исходящее HTTP-подключение является нетипичным для приложений, работающих на смартфоне в фоновом режиме. Проверьте репутацию устройства, выполнив поиск в интернете." }, "PROTO-04": { "title": "Установлено HTTP-подключение к устройству {} через нестандартный порт ({}).", "description": "Ваше устройство обменивается данными с устройством {} по незашифрованному протоколу HTTP через порт {}. Такое поведение является нетипичным. Проверьте репутацию устройства, выполнив поиск в интернете." }, "PROTO-05": { "title": "Сервер {} не разрешался никакими DNS-запросами во время сеанса", "description": "Это, вероятно, означает, что сервер {} не разрешен ни одним доменным именем или разрешение уже кешировано устройством. Если устройство фигурирует в других предупреждениях, проверьте его." }, "IOC-01": { "title": "Установлено соединение с {} ({}), отмеченным как {}.", "description": "Устройство {} было явно занесено в черный список за выполнение вредоносных действий. Ваше устройство, вероятно, взломано. Требуется более тщательное расследование специалистами по IT-безопасности." }, "IOC-02": { "title": "Подключение к {}, отмеченному как {}, в рамках бесклассовой адресации {}.", "description": "Сервер {} размещен в сети, в которой размещаются объекты, выполняющие вредоносные действия. Даже если такое поведение само по себе не является вредоносным, необходимо проверить, не упоминается ли это устройство в других предупреждениях. При наличии сомнений выполните поиск этого устройства в интернете и выясните, является ли его поведение легитимным." }, "IOC-03": { "title": "Выполнен DNS-запрос к {}, отмеченному как {}.", "description": "Доменное имя {}, обнаруженное при сборе данных, явно отмечено как вредоносное. Это указывает на то, что ваше устройство, вероятно, взломано и требуется тщательное расследование." }, "IOC-04": { "title": "Выполнен DNS-запрос к {}, отмеченному как {}.", "description": "Доменное имя {}, обнаруженное при сборе данных, явно отмечено как геотрекер. Это указывает, что одно из активных приложений отслеживает ваши перемещения." }, "IOC-05": { "title": "Выполнен DNS-запрос к домену {}, использующему бесплатную службу DNS.", "description": "Доменное имя {} использует бесплатную службу DNS. Такие службы обычно используются киберпреступниками или спонсируемыми государством злоумышленниками для атак. Очень подозрительно, что приложение, работающее в фоновом режиме, использует такую службу. Требуется расследование." }, "IOC-06": { "title": "Выполнен DNS-запрос к домену {}, содержащему подозрительный домен верхнего уровня.", "description": "Доменное имя {} использует подозрительный домен верхнего уровня ({}). Даже не являясь вредоносным, этот не универсальный домен верхнего уровня регулярно используется киберпреступниками или спонсируемыми государством злоумышленниками. Проверьте этот домен, выполнив поиск в интернете. Если с этим устройством связаны другие предупреждения, это очень подозрительно." }, "IOC-07": { "title": "Сертификат, связанный с действиями {}, был обнаружен при взаимодействии с {}.", "description": "Сертификат ({}), связанный с {}, явно отмечен как вредоносный. Это указывает на то, что ваше устройство, вероятно, взломано и требуется провести экспертный анализ." }, "IOC-08": { "title": "Выполнен HTTP-запрос к {}, отмеченному как {}.", "description": "Доменное имя {}, обнаруженное при сборе данных, явно отмечено как вредоносное. Это указывает на то, что ваше устройство, вероятно, взломано и требуется тщательное расследование." }, "IOC-09": { "title": "Выполнен HTTP-запрос к домену {}, использующему бесплатную службу DNS.", "description": "Доменное имя {} использует бесплатную службу DNS. Такие службы обычно используются киберпреступниками или спонсируемыми государством злоумышленниками для атак. Очень подозрительно, что приложение, работающее в фоновом режиме, использует такую службу. Требуется расследование." }, "IOC-10": { "title": "Выполнен HTTP-запрос к домену {}, содержащему подозрительный домен верхнего уровня.", "description": "Доменное имя {} использует подозрительный домен верхнего уровня ({}). Даже не являясь вредоносным, этот не универсальный домен верхнего уровня регулярно используется киберпреступниками или спонсируемыми государством злоумышленниками. Проверьте этот домен, выполнив поиск в интернете. Если с этим устройством связаны другие предупреждения, это очень подозрительно." }, "IOC-11": { "title": "Соединение с {} ({}), которое упоминается как узел TOR.", "description": "На сервер {} ссылаются как на узел в сети анонимизации TOR. Анализируемое устройство, по-видимому, использует TOR или взаимодействует с сервером, настроенным как входной или выходной узел TOR. Некоторые злоумышленники используют TOR на своих серверах, чтобы замести следы." }, "IOC-12": { "title": "заявка запрашивает законную услугу, которая может иметь двойное назначение .", "description": "Сервер {} используется в законных целях. Однако некоторые злоумышленники могут использовать его для взаимодействия со своими имплантатами. Рекомендуется проверить, что анализируемое устройство содержит законное приложение, которое использует эту службу." }, "IOC-13": { "title": "По крайней мере одно приложение использует зашифрованные DNS запросы", "description": "Во время захвата был установлен контакт с DNS через сервер HTPs {}. Это, кажется, указывает на то, что по крайней мере одно приложение использует эту технику для шифрования своих DNS-запросов. Эта функция ограничивает возможности сканирования SpyGuard. Если эта функция не включена на анализируемом устройстве, возможно, стоит выяснить, какое приложение использует этот метод." }, "ACT-01": { "title": "Домен {} использует подозрительный сервер имен ({}).", "description": "Доменное имя {} использует сервер имен, который явно отмечен как связанный с вредоносными действиями. Многие киберпреступники и спонсируемые государством злоумышленники пользуются такими регистраторами, поскольку они позволяют использовать криптовалюту и анонимные платежи. Рекомендуется исследовать этот домен и связанные с ним работающие приложения, выполнив экспертный анализ телефона." }, "ACT-02": { "title": "Домен {} был создан недавно ({} дней назад).", "description": "Доменное имя {} новое. Даже это не является вредоносным по своей сути, злоумышленники довольно часто создают новую инфраструктуру для каждой кампании атаки, что может привести к использованию недавно зарегистрированных доменных имен." }, "SSL-01": { "title": "SSL-подключение к {} выполнено через нестандартный порт ({})", "description": "SSL-подключение со смартфонов с использованием нестандартных портов является нетипичным. Даже если это действие является абсолютно легитимным, рекомендуется проверить репутацию {}, просмотрев его запись WHOIS, связанную автономную систему, дату создания, а также выполнив поиск в интернете." }, "SSL-02": { "title": "SSL-подключение к {} использует бесплатный сертификат.", "description": "Бесплатные сертификаты, такие как Let's Encrypt, широко используются командными серверами, связанными со встраиваемым вредоносным кодом или фишинговыми веб-страницами. Рекомендуется проверить устройство, связанное с этим сертификатом, изучив его доменное имя, дату создания и репутацию в интернете." }, "SSL-03": { "title": "Сертификат, связанный с {}, является самоподписанным.", "description": "Использование самоподписанных сертификатов типично для инфраструктуры злоумышленников. Рекомендуется проверить устройство {}, связанное с этим сертификатом, изучив его доменное имя (если имеется), запись WHOIS, дату создания и репутацию в интернете." }, "SSL-04": { "title": "Сертификат, связанный с {} связан с вредоносной деятельностью ({})", "description": "Сертификат, связанный с сервером {} был явно классифицирован как вредоносный. Ваше устройство выглядит скомпрометированным и нуждается в дальнейшем исследовании профессиональной командой." }, "SSL-05": { "title": "Конфигурация SSL {} связана с вредоносной деятельностью ({}).", "description": "Связанный с сервером хэш JARM {} был явно связан с вредоносной деятельностью. Ваше устройство, возможно, скомпрометировано и нуждается в дальнейшем расследовании профессиональной командой." }, "ADV-01": { "title": "Проверьте предупреждения для {}", "description": "Проверьте репутацию устройства {}. Оно кажется вредоносным, поскольку для него сработало {} предупрежд. во время сеанса." }, "SNORT-01": { "title": "Сработало правило Suricata: {}", "description": "Сработало правило обнаружения в сети. Вероятно, ваше устройство взломано или ведет себя подозрительно." } }, "report": { "numbers": [ "один", "два", "три", "четыре", "пять", "шесть", "семь", "восемь", "девять" ], "suspect_title": "Подозрительные подключения", "uncat_title": "Неклассифицированные подключения", "whitelist_title": "Разрешенные подключения", "protocol": "Протокол", "domain": "Домен", "dst_ip": "IP-адрес назначения", "dst_port": "Номер порта назначения", "device_mac": "MAC-адрес устройства", "report_generated_on": "Дата формирования отчета", "capture_duration": "Продолжительность сбора данных", "packets_number": "Количество пакетов", "capture_sha1": "Сбор данных SHA1", "report_for_the_capture": "Отчет для сбора данных", "report_footer": "Этот отчет был автоматически сформирован устройством SpyGuard. С любыми вопросами, сообщениями об ошибках или отзывами обращайтесь по адресу spyguard@protonmail.com.", "high_msg": "Вероятно, ваше устройство взломано, поскольку у вас {} предупрежд. высокого уровня.", "moderate_msg": "У вас {} предупрежд. среднего уровня. Возможно, ваше устройство взломано. Внимательно изучите их.", "low_msg": "У вас {} предупрежд. низкого уровня, проверьте их.", "none_msg": "Предупреждения отсутствуют, система выглядит защищенной. Не забывайте проверять неклассифицированные подключения, если они имеются.", "detection_methods": "Mетоды обнаружения", "analysis_duration": "Время анализа", "instance_uuid": "SpyGuard Экземпляр", "seconds": "секунды" } }