Ботнет из корпоративного ав? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
strat

Ботнет из корпоративного ав?

Автор strat, в Общий форум по информационной безопасности

Recommended Posts

strat    275

strat
Опубликовано

Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

такое вообще где-нибудь фиксировалось? насколько велика угроза? методы противодействия?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа :rolleyes: - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика. Если выполнены рекомендации 17799, PCI DSS - атака не получится.

Овчинка выделки не стоит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика.

Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег    402

Зайцев Олег
Опубликовано
Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

На самом деле пост #2 не опровергает вывод поста #3 :) Просто нужно расширить формулировку - можно хакнуть что-то, что управляет сетью. А на ум сразу приходит куда более распространенное и универсальное средство - контроллер домена. Достаточно захватить над ним контроль (например, стащив пароль админа или заразив ПК злобной вирусякой), и всю сеть можно поставить на колени. Я расследовал несколько подобных инцидентов, в одном например накрылось более сотни ПК разом - а цепочка событий именно такая и была - "заражение ПК растяпы-админа" - "заражение контроллера домена" - "заражение всех ПК в сети".

По поводу корпоративного АВ - там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется, как что там настроено ... а если будет действовать инсайдер (который все это может узнать), то ему не нужна будет указанная схема. Тем не менее я знаю пару рабочих сценариев с корпоративным AV практически любого типа - но озвучивать не буду, дабы не подать зловредописателям идею. Скажу только, что если админы опытные и грамотные, то эти сценарии не сработают

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется

А на практике на сайты вешаются эксплойты пробивающие либо pdf либо java либо doc уязвимости. Кто мешает сделать 3 эксплойта для самых распространенных корпоративных ав? риторический вопрос...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При работе с программой оператором зачастую выполняются одни и те же действия. Предлагаю в стартовое меню добавить команду: Выполнить определённое действие: 1 - 2 - 3 Пример: 1 - Запустить под текущим пользователем > Открыть категорию Скрипты > Применить F4 Или 2 - Для работы с удалённым PC по схеме... и т.д.  
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.12. В числе прочего добавлена функция «Защита экрана браузера».
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
      Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
      Пример из лога:
      Выполнено за 1,423 сек.
      Указанный каталог не содержит полной и доступной для чтения копии реестра.
      ----
      Выполнено за 1,423 сек. Что выполнено ?
      Как-то совсем нехорошо звучит. Не нужно так пугать.  :)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.5
      ---------------------------------------------------------
       o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач.
         Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS.

       o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой.

       o В лог добавлен вывод состояния флагов защиты uVS.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
         
×