Windows Defender считает дистрибутив Kali Linux вредоносной программой

Анна Козонина 06 Марта 2018 - 11:31

Средства тестирования на проникновение

...

Windows Defender считает дистрибутив Kali Linux вредоносной программой

Дистрибутив Kali Linux теперь доступен в Windows 10 Store и может использоваться с подсистемой Windows для приложений на базе Linux (Windows Subsystem for Linux, WSL). Только вот Windows Defender распознает дистрибутив как вредоносную программу и начинает посылать уведомления об угрозе безопасности.

Kali Linux (ранее известный как Backtrack) — это дистрибутив, содержащий множество утилит для проведения тестов на безопасность: от анализа уязвимостей веб-приложений до взлома сетей и сервисов. С помощью Kali можно загрузить программы для защиты и безопасности компьютера, такие как Metasploit, Armitage и Burp, и использовать их для проверки своей сети на наличие уязвимостей.

kali_windows

Чтобы начать пользоваться Kali, необходимо сначала установить WSL с панели управления Windows Features. После установки нужно зайти в Windows Store, найти Kali Linux и установить его бесплатно. Проблема в том, что после запуска Kali и начала установки инструментов программа зависнет и в конечном счете выйдет из строя, а Windows Defender начнет отображать предупреждения об обнаруженных угрозах. Судя по всему, разработчики из команды WSL Microsoft забыли сообщить команде Windows Defender о доступности Kali Linux.

quarantined-threats

Сейчас некоторые элементы Kali распознаются Защитником Windows как программы взлома, вирусы или эксплойты. Поэтому, чтобы начать устанавливать пакеты программ Kali, сначала понадобится приостановить работу антивируса. В помощь пользователям Offensive Security опубликовали демонстрационное видео об использовании Kali в Windows 10.

Напомним, что недавно Microsoft объявили, что Windows Defender ATP может обнаруживать FinFisher.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 17 Декабря 2025 - 08:46

Android Трояны Домашние пользователи

Новый Android-вредонос внедряется в установленные на смартфоне приложения

На киберпреступных форумах злоумышленники продвигают новый Android-зловред формата «вредонос как услуга» (malware-as-a-service, MaaS). Троян получил имя Cellik, а его главная «фишка» — возможность встраивать вредоносную начинку в любые приложения из Google Play, сохраняя их внешний вид и рабочую функциональность.

Схема выглядит просто и опасно одновременно. Злоумышленник выбирает популярное приложение из официального магазина, собирает его троянизированную версию — и на выходе получает APK, который ведёт себя как обычное приложение.

Интерфейс на месте, функции работают, а пользователь долгое время может не подозревать, что вместе с приложением установил зловред. Продавец Cellik даже утверждает, что такой подход помогает обходить Google Play Protect, хотя подтверждений этому пока нет.

На Cellik обратили внимание специалисты из iVerify. По их данным, зловред продаётся по подписке за 150 долларов в месяц или за 900 долларов за пожизненную лицензию.

По возможностям Cellik — это полноценный шпионский инструмент. Он умеет в режиме реального времени транслировать экран устройства, перехватывать уведомления, просматривать файловую систему, выгружать файлы, стирать данные и общаться с управляющим сервером по зашифрованному каналу.

Есть и скрытый браузерный режим, который позволяет злоумышленнику открывать сайты с заражённого устройства, используя сохранённые у жертвы cookies.

Отдельного внимания заслуживает система инъекций. Cellik позволяет накладывать фальшивые окна входа поверх любых приложений или внедрять код прямо в них, чтобы красть учётные данные.

Более того, зловред может «подсаживать» вредоносную функциональность в уже установленные приложения — и тогда даже давно знакомая программа внезапно начинает вести себя подозрительно.

Самый тревожный момент — интеграция Google Play в APK-билдер Cellik. Прямо из интерфейса инструмента злоумышленник может просматривать магазин приложений, выбирать нужные и сразу собирать их заражённые версии. В iVerify отмечают, что ставка делается именно на доверие к популярным приложениям: трояны, спрятанные внутри них, потенциально могут дольше оставаться незамеченными автоматическими проверками.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »