Новая версия набора эксплойтов Phoenix защищается от вирусных аналитиков

Новая версия набора эксплойтов Phoenix защищается от вирусных аналитиков

Последние выпуски набора эксплойтов Phoenix снабжены новыми приемами противодействия работе специалистов по защите информации. В частности, злоумышленники теперь используют обфускацию и генерирование случайных имен файлов, чтобы затруднить анализ своего "продукта".



Напомним, что Phoenix относится к числу наиболее популярных пакетов для эксплуатации уязвимостей в целях инфицирования персональных компьютеров вредоносным программным обеспечением. Когда жертва посещает зараженный или взломанный веб-узел, Phoenix изучает конфигурацию ее компьютера - определяет версии установленной операционной системы, обозревателя, популярных приложений наподобие Adobe Reader или Java, - и подбирает такие эксплойт-коды, которые гарантируют наибольшие шансы на успешный пробой защиты.


Аналитик Websense Крис Астасио отметил в корпоративном блоге, что новый установщик Phoenix, попавший в их исследовательскую лабораторию, обфусцирован. Для веб-пакетов на PHP, к числу которых относится этот набор эксплойтов, такое ранее не было характерно; по мнению г-на Астасио, это сделано специально для затруднения работы антивирусных экспертов - так им сложнее понять, как именно инсталлируется пакет. 


Вдобавок новые версии Phoenix случайным образом создают имена для генерируемых веб-страниц - т.е. тех файлов, которые злоумышленники загружают на свои серверы для общего управления набором эксплойтов, просмотра статистики его работы и т.д. Уникальные имена этих объектов повышают уровень защищенности вредоносного пакета, мешая аналитикам взламывать его и изучать изнутри.


"Очевидно, что разработчики Phoenix стараются защитить от обнаружения и исследования не только эксплойт-коды, но и саму вредоносную систему, управляющую их запуском и распределением", - заключил г-н Астасио.


Softpedia

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Участники CyberCamp рассказали, как киберучения помогли им в реальной жизни

С 20 по 25 октября пройдёт четвёртый по счёту онлайн-кэмп CyberCamp — одно из крупнейших практических событий в сфере кибербезопасности. В этом году основная тема — киберустойчивость: участники будут учиться не только защищать инфраструктуру, но и быстро восстанавливать работу систем после атак.

За шесть дней кэмпа более тысячи специалистов из сотен ИБ-команд будут разбирать реальные сценарии кибератак и способов реагирования на них.

В программе — десятки докладов, практические задания, командные учения и круглые столы. Спикерами выступят эксперты из ведущих российских компаний — от разработчиков решений в области ИБ до представителей крупных ИТ-структур.

Организаторы отмечают, что особенность CyberCamp — приближённость заданий к реальной практике. Участники работают в условиях, близких к тем, что бывают при настоящих инцидентах: анализируют подозрительный трафик, ищут точки проникновения, устраняют последствия атак и восстанавливают системы.

«Сценарии моделировали атаки на веб-приложения, проникновение во внутреннюю сеть, расследование инцидента, реагирование и восстановление. Всё это максимально похоже на реальные ситуации, когда нужно действовать быстро и без полной информации», — вспоминает Артём Серов, участник корпоративной лиги CyberCamp от компании Nordgold.

Для многих участников участие в кэмпе становится не только профессиональным, но и личным испытанием.

«Я участвовал ради азарта — поработать в условиях ограниченного времени и высокой концентрации. Это отличный способ встряхнуться, выйти из рутины и проверить себя», — рассказывает Максим Митрохин из Т1-Иннотех.

При этом CyberCamp остаётся открытым и для новичков. Здесь можно получить базовые практические навыки, познакомиться с инструментами и попробовать себя в роли аналитика по безопасности.

«На CyberCamp я впервые поработал с Wireshark, и потом эти знания пригодились на работе. Задания были максимально приближены к реальности: нужно было понять, как произошёл взлом и какие данные утекли. Главное — не бояться пробовать новое», — говорит студент МИФИ Данил Антипов.

Похожий опыт у студента ВШЭ Артёма Глазыринa:

«Кэмп дал мне навыки анализа логов и работы с SIEM-системами. Эти знания я потом использовал на стажировке. Но главное даже не победа, а опыт и атмосфера — они реально помогают в развитии карьеры».

CyberCamp воспринимается участниками не просто как соревнование, а как площадка, где можно проверить свои знания, получить обратную связь и обменяться опытом с профессионалами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru