Перейти к содержанию
AM_Bot

В министерстве финансов обнаружен вирус двухлетней давности

Recommended Posts

AM_Bot

1397138[1].jpgВ ходе аудита систем безопасности, проведенного в министерстве финансов Японии, специалисты обнаружили вредоносное ПО более чем на сотне компьютеров. По имеющимся данным, проникший в систему троян, оставался незамеченным на протяжении двух лет.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Интересно, что гнездится в наших виндузятных министерских сетях.

Тоже, небось, на антивирусы надеются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

К сожалению, японцы не знают двух важных вещей:

1. Они не видели результаты этого теста http://www.anti-malware.ru/malware_treatment_test_2011

2. Они не знаю про CureIT и скорее всего про Kaspersky Removal Tool тоже весьма отдаленно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Сергей Ильин

У японцев наверняка есть многоэшелонная система защиты. Но ведь и аудит был хорош, верно? Повод обновить ПО и ИБ-политики

А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP :) Практика показывает, что подобный фокус в крупной сети позволяет найти приличное количество того, о чем никто не подозревает. И делать такое 2 раза в ределю ... А далее плановые и внеплановые проверки (частота их пропорциональна важности ПК) с использованием разнообразного инструментария - указанных CureIt и AVPTool, продвинутых антируткитов, разнообразных менеджеров процессов. Параллельно - мониторинг трафика на предмет активности малварей (и по источникам - пристальная разборка), системы IDS в сети, контроль логов системы антивирусной защиты, доменные политики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP :)

Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

Я в сотнях раз на практике вычищал всякую заразу из больших сетей (1000+ ПК) описанным образом, поэтому знаю, что говорю ... особенно смешно слушать в таком случае админа, рассказувающего, как он сканирует есть продуктами от Positive Technologies (как правило конечно ворованными - он дорогой), или разовыми антивирусными сканерами

Допустим, на ПК "условно-легитимная" закладка (коммерческий кейлоггер например, или удаленная управлялка, заботливо поименнованная как svchost.exe ИТ-шником инсайдером) или малварь, не детектируемая сигнатурно (например, заказной троянчик, или что-то самодельное). И толку от указанных программ будет ... ну в общем ровно нуль :) Так как сигнатурного детекта не будет, равно как не будет явной уязвимости. насмотреться на такое мне пришлось, и много - например:

- Remote Admin и ему подобные клоны (условие - чтобы не детектировался сигнатурно большинством антивирей, и ставился как можно проще ... в последнее время TeamView попадается)

- батники в планировщике, создающие левые учетки по расписанию (и готово - черный ход на ПК), или передающие заданные файлы "кому надо" (обычное копирование по сети), или открывающие папки на чтение в заданное время (админ наивно сканирует - все чисто)... кстати менеджер планировщика появился именно в ходе одной такой "зачистки", и дал любопытный результат

- нетипичное использование легитимных программ, например Punto, заботливо поставленные на ПК с включенным журналом (а это попросту делает его кейлоггером, причем визуально ничего не видно ... остается наладить отправку собранного журнала). Или например видел я я как-то SnagIt и его аналоги в роли скриншоттеров

- немного доработанные Интернет-пейджеры (видел я как-то один, доработан всего чуть - никто не детектил его сигнатурно и все считали его белым и пушистым, пока я не заметил в нем небольшую аномалию :) всего 30 байт патченного кода, зато эффект ... ) и почтовые программы

Перечисленные методы просты и при умном применении пробивают даже эшелонированную оборону, если применяются с умом (по понятным причинам я намекнул, как это делается, без деталей).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}
      Windows.StateRepositoryPS.dll используется в ShellExperienceHost.exe, который в результате и рубится из-за исключения уже в другой библиотеке - StartUI.dll при нажатии на кнопку меню с виндовым флажком, как это связано с Windows.StateRepositoryPS.dll не совсем ясно, поскольку в событиях не видно никаких проблем с соответствующим ему COM.
      "Для них недостаточно просто назначить Full Access для Everyone" тут это прокатывает и все работает если впрямую назначить Everyone и дать полный доступ, а uVS ранее просто и незатейливо сбрасывал dacl в null и отключал наследование, что если верить msdn обеспечивает полный доступ к ключу всем и оно так и есть, но как оказалось нравится это не всем причем таким странным образом, поэтому теперь и dacl и owner всегда возвращаются в исходное состояние во избежании.
    • Такси Курумоч
      Такси Курумоч Аэропорт Самара с квитанцией, чеком Сайт: http://g-transfer.ru
      Email: [email protected]
      Viber/Whatsapp +79272040919
      Телефон +79991709505   Воспользовался услугами данной трансферной компании, и решил обязательно поделиться со всеми)
    • Dragokas
      demkd, какой конкретно ключ? Если речь идёт о доступе служб к ключам, то начиная с Vista есть службы с так называемым Restricted SID (ServiceSidType = 3). Для них недостаточно просто назначить Full Access для Everyone (S-1-1-0).
    • demkd
      Неожиданно в Win10 всплыла нехорошая ошибка с правами доступа к ключам, как оказалось полный доступ к некоторым ключам может привести к неработоспособности отдельных компонентов Windows.
      К примеру исправление двойных слешей в Win10 1803 убивает меню пуск, почему ему не нравится полный доступ к ключу я так и не понял, но теперь такой проблемы нет и владелец и права доступа восстанавливаются после модификации ключа. ---------------------------------------------------------
       4.0.18
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса.
         "CPU" = загрузка всего процессора.
         "CPU 1 core" = загрузка в пересчете на 1 ядро.  o uVS теперь восстанавливает права доступа и владельца ключей после модификации параметров ключа.  o Исправлена ошибка из-за которой в лог могло выводиться обрезанное информационное сообщение о пути до ключа реестра.  o Исправлена ошибка из-за которой не удавалось изменить некоторые ключи реестра при запуске uVS под текущим пользователем.
         (Если права доступа запрещали изменение ключа для текущего пользователя).  o Исправлена финальная (когда не помогло использования ASA) функция удаления защищенных ключей реестра из веток *\CLSID.
         Ранее удаление завершалось с ошибкой "ключ не найден".
         (!) Внимательно следите за тем что вы удаляете, функция игнорирует системную защиту реестра (Win10) и защиту большинства антивирусных программ.  
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
×