В министерстве финансов обнаружен вирус двухлетней давности

[AM_Bot 48]

В ходе аудита систем безопасности, проведенного в министерстве финансов Японии, специалисты обнаружили вредоносное ПО более чем на сотне компьютеров. По имеющимся данным, проникший в систему троян, оставался незамеченным на протяжении двух лет.

подробнее

[Dfg 36]

Интересно, что гнездится в наших виндузятных министерских сетях.

Тоже, небось, на антивирусы надеются.

[Сергей Ильин 1538]

К сожалению, японцы не знают двух важных вещей:

1. Они не видели результаты этого теста http://www.anti-malware.ru/malware_treatment_test_2011

2. Они не знаю про CureIT и скорее всего про Kaspersky Removal Tool тоже весьма отдаленно.

[Виталий Я. 859]

Сергей Ильин

У японцев наверняка есть многоэшелонная система защиты. Но ведь и аудит был хорош, верно? Повод обновить ПО и ИБ-политики

А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

[Зайцев Олег 402]

А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP Практика показывает, что подобный фокус в крупной сети позволяет найти приличное количество того, о чем никто не подозревает. И делать такое 2 раза в ределю ... А далее плановые и внеплановые проверки (частота их пропорциональна важности ПК) с использованием разнообразного инструментария - указанных CureIt и AVPTool, продвинутых антируткитов, разнообразных менеджеров процессов. Параллельно - мониторинг трафика на предмет активности малварей (и по источникам - пристальная разборка), системы IDS в сети, контроль логов системы антивирусной защиты, доменные политики

[Виталий Я. 859]

Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP

Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

[Зайцев Олег 402]

Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

Я в сотнях раз на практике вычищал всякую заразу из больших сетей (1000+ ПК) описанным образом, поэтому знаю, что говорю ... особенно смешно слушать в таком случае админа, рассказувающего, как он сканирует есть продуктами от Positive Technologies (как правило конечно ворованными - он дорогой), или разовыми антивирусными сканерами

Допустим, на ПК "условно-легитимная" закладка (коммерческий кейлоггер например, или удаленная управлялка, заботливо поименнованная как svchost.exe ИТ-шником инсайдером) или малварь, не детектируемая сигнатурно (например, заказной троянчик, или что-то самодельное). И толку от указанных программ будет ... ну в общем ровно нуль Так как сигнатурного детекта не будет, равно как не будет явной уязвимости. насмотреться на такое мне пришлось, и много - например:

- Remote Admin и ему подобные клоны (условие - чтобы не детектировался сигнатурно большинством антивирей, и ставился как можно проще ... в последнее время TeamView попадается)

- батники в планировщике, создающие левые учетки по расписанию (и готово - черный ход на ПК), или передающие заданные файлы "кому надо" (обычное копирование по сети), или открывающие папки на чтение в заданное время (админ наивно сканирует - все чисто)... кстати менеджер планировщика появился именно в ходе одной такой "зачистки", и дал любопытный результат

- нетипичное использование легитимных программ, например Punto, заботливо поставленные на ПК с включенным журналом (а это попросту делает его кейлоггером, причем визуально ничего не видно ... остается наладить отправку собранного журнала). Или например видел я я как-то SnagIt и его аналоги в роли скриншоттеров

- немного доработанные Интернет-пейджеры (видел я как-то один, доработан всего чуть - никто не детектил его сигнатурно и все считали его белым и пушистым, пока я не заметил в нем небольшую аномалию всего 30 байт патченного кода, зато эффект ... ) и почтовые программы

Перечисленные методы просты и при умном применении пробивают даже эшелонированную оборону, если применяются с умом (по понятным причинам я намекнул, как это делается, без деталей).