Перейти к содержанию
priv8v

Александр Матросов или "такие товарищи нам совсем не товарищи"

Recommended Posts

priv8v

Хотелось бы обсудить с общественностью текущую деятельность Александра Матросова - вирусного (не поворачивается язык сказать "антивирусного") аналитика компании ESET.

Думаю, что особо пояснять и комментировать его деятельность не нужно, сами можете видеть, что им генерируется значительная доля информации в нашем антивирусном пространстве.

Вообще, принято обсуждать его компетенцию в этой области, но дело это не благородное, потому постараюсь от этого воздержаться.

Исходным толчком к созданию этой темы послужили его многочисленные обзоры трояна Gapz, в которых он подробно и со вкусом описывает его технологии. Свое поведение Матросов объясняет так:

"Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать"

(это он ответил на сообщение типа "а не офигел ли он помогать зловредописателям, публикуя такие подробности").

Не могу удержаться и не поиронизировать над тем, что для него это был _новый_ трюк обхода... но речь не об этом. Дело в том, что своими публикациями он наносит вред не только пользователям других антивирусов, но и пользователям nod32. Он раскрывает такие технические подробности, что по ним потом можно исходный код писать с закрытыми глазами (что и было сделано - код был опубликован на гитхабе).

Считаю, что такое явление как он - это позор для нашего фронта (фронта борцов с малварью).

Ситуация такая: Матросов находить зловред с новой технологией, изучает его и трубит со всеми подробностями через СМИ. В данной ситуации хочется благодарно и с уважением взглянуть в сторону других АВ-компаний, которые упомянули данного трояна лишь вскользь без подробностей, только намекнув на некие новые технологии.

http://habrahabr.ru/company/eset/blog/171929/ - тут в первых комментариях директор Центра вирусных исследований и аналитики компании ESET Александр Матросов снизошел до того чтобы мне ответить...

PS: данный пост никем не проплачен. если кто желает проплатить - я не против :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mr.triggers

Данный инжект продавался на закрытых форумах как "обход HIPS".

Купить его код и встроить себе мог почти любой желающий, у кого были деньги.

Теперь же обход в паблике и лежит на github'е, а ваше негодование настораживает: Неужели вы были в доле?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

Security by obscurity или спрятать под ковер ;) неработает оно никогда и нигде

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Лично я тут скорее воздержусь и от защиты и от обличения.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

А проблемы клиентов ESET из-за отсутствия у ESET способов борьбы с описываемыми ими методами - это в первую очередь проблемы самого ESET.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Security by obscurity или спрятать под ковер ;) не работает оно никогда и нигде

Только "Security by obscurity" тут не к месту.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

Так не помогает :) Лично я заметил лишь увеличение семейств малвары (уже семейств так 7-8, хотя до публикации есетом было 4, из которых два - один и тот же код на базе power loader - они продали его разработчикам буктита CPD) с таким инжектом (не один в один, но передача управления через ту же апи).

Нам то все-равно, мы детектим такое поведение, а вот остальные...

Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО

Жаль не пояснил, в какой такой выгодной позиции находятся разработчики и какие именно :)

З.Ы. Все эти статьи от есет публикуются с целью одной лишь рекламы себя, а не как Матросов пытается всех убедить "Security by obscurity", "в более выгодной позиции находятся все разработчики защитного ПО".

З.Ы. Пусть выбрали такой путь - пжлста, но если бы они своих же пользователей защищали от публикуемого ими инжекта, могли детектировать и лечить те буктиты, о которых они уже где только можно написали... Так они этого не делают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

VFaR, толсто троллите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тут сложная ситуация. С одной стороны, Матросов рассказывает о методах обхода защиты, что должно стимулировать сознательных вендоров совершенствовать защиту. Если они конечно его читают (А читают ли?). С другой стороны, это подстава юзеров со слабой защитой.

ИМХО, Александр просто слишком увлекся самопиаром и в погоне за славой уже забывает тщательно взвесить все за и против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis
По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Ну наконец-то прямой честный вердикт о продуктах Eset.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×