Ботнет из корпоративного ав? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
strat

Ботнет из корпоративного ав?

Автор strat, в Общий форум по информационной безопасности

Recommended Posts

strat    275

strat
Опубликовано

Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

такое вообще где-нибудь фиксировалось? насколько велика угроза? методы противодействия?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
Поразмышлял и подумал что такая возможность существует. Как видится:

1) дроппер через какую-нибудь уязвимость в агенте рабочей станции попадает на сервер администрирования

2) заражение сервера и дальнейшее прописывание в исключения компонент на всех подконтрольных станциях

3) создание задания сервером на скачку и запуск из инета новых вредоносов и соответствующие исключения

Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа :rolleyes: - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика. Если выполнены рекомендации 17799, PCI DSS - атака не получится.

Овчинка выделки не стоит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
Слишком целевая атака. Даже на ав не нужно так нацеливатся - будет дешевле (пинч).

Чтобы дропперу (как вы назвали, хотя дроппер - несколько иное. пральное название - инсайдер) попасть на сервер ав необходимо чтобы пакет содержал как минимум три функции. Ну, или заражать комп админа - потом сервер или взять пароли.

Если админ с глазами - не увидеть задания на сервере или при централизованном сборе логов он не может.

Измененение политики исключений - также будет видна в логах.

Вообщем, стоимость такого рода взлома и атаки очень велика.

Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег    402

Зайцев Олег
Опубликовано
Корпоративный ав - подчиняются десятки/сотни/тысячи компов. Заразить достаточно один выходящий в инет, через него и попасть на сервер.

Целевая атака это одна разработка конкретного виря и внедрение его потенциально в сотни корпораций. Стоимость разработки может окупиться. Но в целом будем считать что это невыгодно и значит не будет в реале. Быть посему :)

На самом деле пост #2 не опровергает вывод поста #3 :) Просто нужно расширить формулировку - можно хакнуть что-то, что управляет сетью. А на ум сразу приходит куда более распространенное и универсальное средство - контроллер домена. Достаточно захватить над ним контроль (например, стащив пароль админа или заразив ПК злобной вирусякой), и всю сеть можно поставить на колени. Я расследовал несколько подобных инцидентов, в одном например накрылось более сотни ПК разом - а цепочка событий именно такая и была - "заражение ПК растяпы-админа" - "заражение контроллера домена" - "заражение всех ПК в сети".

По поводу корпоративного АВ - там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется, как что там настроено ... а если будет действовать инсайдер (который все это может узнать), то ему не нужна будет указанная схема. Тем не менее я знаю пару рабочих сценариев с корпоративным AV практически любого типа - но озвучивать не буду, дабы не подать зловредописателям идею. Скажу только, что если админы опытные и грамотные, то эти сценарии не сработают

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
там все в теории возможно, но в основном в теории - ведь никто не знает на практике, какой антивирус применяется, какая версия управляющего ПО применяется

А на практике на сайты вешаются эксплойты пробивающие либо pdf либо java либо doc уязвимости. Кто мешает сделать 3 эксплойта для самых распространенных корпоративных ав? риторический вопрос...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности
×