Ботнет из корпоративного ав? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

strat

Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

такое вообще где-нибудь фиксировалось? насколько велика угроза? методы противодействия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа :rolleyes: - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика. Если выполнены рекомендации 17799, PCI DSS - атака не получится.

Овчинка выделки не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика.

Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

На самом деле пост #2 не опровергает вывод поста #3 :) Просто нужно расширить формулировку - можно хакнуть что-то, что управляет сетью. А на ум сразу приходит куда более распространенное и универсальное средство - контроллер домена. Достаточно захватить над ним контроль (например, стащив пароль админа или заразив ПК злобной вирусякой), и всю сеть можно поставить на колени. Я расследовал несколько подобных инцидентов, в одном например накрылось более сотни ПК разом - а цепочка событий именно такая и была - "заражение ПК растяпы-админа" - "заражение контроллера домена" - "заражение всех ПК в сети".

По поводу корпоративного АВ - там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется, как что там настроено ... а если будет действовать инсайдер (который все это может узнать), то ему не нужна будет указанная схема. Тем не менее я знаю пару рабочих сценариев с корпоративным AV практически любого типа - но озвучивать не буду, дабы не подать зловредописателям идею. Скажу только, что если админы опытные и грамотные, то эти сценарии не сработают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется

А на практике на сайты вешаются эксплойты пробивающие либо pdf либо java либо doc уязвимости. Кто мешает сделать 3 эксплойта для самых распространенных корпоративных ав? риторический вопрос...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×