Перейти к содержанию
strat

Ботнет из корпоративного ав?

Автор strat, в Общий форум по информационной безопасности

Recommended Posts

strat    275

strat
Опубликовано

Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

такое вообще где-нибудь фиксировалось? насколько велика угроза? методы противодействия?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа :rolleyes: - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика. Если выполнены рекомендации 17799, PCI DSS - атака не получится.

Овчинка выделки не стоит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика.

Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег    402

Зайцев Олег
Опубликовано
Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

На самом деле пост #2 не опровергает вывод поста #3 :) Просто нужно расширить формулировку - можно хакнуть что-то, что управляет сетью. А на ум сразу приходит куда более распространенное и универсальное средство - контроллер домена. Достаточно захватить над ним контроль (например, стащив пароль админа или заразив ПК злобной вирусякой), и всю сеть можно поставить на колени. Я расследовал несколько подобных инцидентов, в одном например накрылось более сотни ПК разом - а цепочка событий именно такая и была - "заражение ПК растяпы-админа" - "заражение контроллера домена" - "заражение всех ПК в сети".

По поводу корпоративного АВ - там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется, как что там настроено ... а если будет действовать инсайдер (который все это может узнать), то ему не нужна будет указанная схема. Тем не менее я знаю пару рабочих сценариев с корпоративным AV практически любого типа - но озвучивать не буду, дабы не подать зловредописателям идею. Скажу только, что если админы опытные и грамотные, то эти сценарии не сработают

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется

А на практике на сайты вешаются эксплойты пробивающие либо pdf либо java либо doc уязвимости. Кто мешает сделать 3 эксплойта для самых распространенных корпоративных ав? риторический вопрос...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
×