Антиспамы впервые протестируют

Александр Панасенко 17 Февраля 2009 - 12:36

...

Virus Bulletin планирует провести первый тест решений, предназначенных для защиты от спама. Предварительные итоги ожидаются в конце феврале, в начале марта 2009 г. Эксперты и участники рынка ИБ давно говорили о необходимости разработки и проведения тестов для антиспамов.

Но в отличие от антивирусной индустрии, где, кстати сказать, тоже не все так однозначно, выработать единые подходы и методики, устраивающие большинство крайне сложно. И дело здесь не только в качестве самого продукта. Очень многое зависит от набора тестовых сообщений, который отличается от реального потока и во времени, и географически и по другим параметрам. «Впервые разработчикам о новом тесте было объявлено в октябре 2008 г. во время конференции VB2008 в Оттаве, - рассказал CNews Андрей Никишин, директор департамента контентной фильтрации «Лаборатории Касперского». - Тогда же прошел ряд встреч с вендорами, и совместными усилиями была выработана методология.

На наш взгляд, методология тестирования антиспам-решений адекватна. За одним небольшим исключением. В отличие от вирусов, потоки нежелательных сообщений более локальны – скажем, российские пользователи получают больше спама на русском, а китайские – на китайском». Virus Bulletin планирует использовать в качестве источника спама сообщения с международных (COM) почтовых доменов и, разумеется, доля не англоязычных сообщений там будет наибольшей. Что не на 100% будет отражать ситуацию для стран с высокой долей локального спама. «Мы надеемся, что неизбежные небольшие шероховатости первого тестирования будут в дальнейшем отшлифованы, и мы получим хороший индустриальный тест», - говорит Андрей Никишин. В "Доктор Веб" надеются, что со временем VB наберет необходимый опыт в тестировании антиспамов и, может быть, сможет «избежать в нем тех ошибок, которые присутствуют в их антивирусных тестах».

Позицию представителей этого вендора можно понять, они ее не раз озвучивали при критике VB. Практически любой тест антивурусов, это ни в коем случае ни тест решения целиком, а только лишь некоторого его функционала, например, скорости сканирования, качества детектирования или самозащиты. В результате пользователь зачастую вводится в заблуждение относительно возможностей продукта в целом.

Системный инженер Symantec в России и СНГ Кирилл Керценбаум, полагает, что расширение спектра технологий ИБ, которые хочет охватить своим вниманием VB, выглядит вполне закономерно. Однако, своевременность такого шага трудно оценить высоко, так как антиспам-технологии настолько плотно вошли в нашу жизнь, что на результаты подобных тестов мало кто будет обращать большое внимание. Собственно, подобная ситуация уже произошла с тестами антивирусов, которые регулярно и достаточно давно проводит Virus Bulletin.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Декабря 2025 - 13:43

Solar JSOC Бэкдоры Целевые атаки Таргетированные атаки Малый и средний бизнес Корпорации ГК «Солар»

Незаметный бэкдор год сидел в сети подрядчика российской телеком-компании

Специалисты центра исследования киберугроз Solar 4RAYS (группа компаний «Солар») рассказали на SOC Forum 2025 о расследовании атаки на одну из телеком-компаний. В ходе инцидента они выявили новый бэкдор под названием IDFKA, который позволил злоумышленникам получить доступ к базе данных абонентов и до сих пор представляет угрозу для российских организаций.

В конце мая 2025 года Solar JSOC заметил запуск подозрительных команд в инфраструктуре оператора — от имени служебной учётной записи, которую администрировал ИТ-подрядчик.

Когда специалисты подключились к расследованию, выяснилось, что в сеть подрядчика проникли сразу две группировки:

Snowy Mogwai — известная азиатская команда, занимающаяся кибершпионажем;
NGC5081 — менее изученная группа, действовавшая параллельно.

Обе группировки интересовала одна цель — данные телеком-компании.

NGC5081 использовала два инструмента удалённого управления: азиатский Tinyshell и ранее неизвестный IDFKA. Его обнаружили в ходе реагирования — файл маскировался под легитимный сервис. Название отсылает к чит-коду IDKFA из игры Doom, который выдавал игроку все оружие и ключи.

IDFKA разработан «с нуля», что говорит о высокой подготовке нападавших. Он написан на Rust, что усложняет анализ, и использует собственный L4-протокол поверх IP, позволяющий скрывать трафик от систем мониторинга. Инструмент умеет многое: от удалённого управления системами подрядчика до продвижения внутри сети и сканирования инфраструктуры.

По данным Solar 4RAYS, IDFKA помог злоумышленникам оставаться в инфраструктуре подрядчика не менее 10 месяцев. С его помощью они могли выгружать базы абонентов и информацию о звонках — вероятно, эти данные действительно оказались в руках атакующих, хотя прямых следов похищения эксперты не нашли.

При этом инфраструктура управления IDFKA всё ещё активна. Это означает, что инструмент может использоваться и в будущих атаках на другие компании.

Solar 4RAYS очистили инфраструктуру оператора от бэкдора, устранили последствия деятельности NGC5081 и опубликовали индикаторы компрометации и Yara-правило для его обнаружения.

Чтобы защититься от IDFKA, эксперты советуют:

контролировать обращения инфраструктуры к известным серверам управления NGC5081;
обращать внимание на подозрительные файлы, написанные на Rust;
применять комплексные средства киберзащиты;
регулярно проводить оценку компрометации собственной среды.

Случай показывает, что даже крупные подрядчики могут оставаться под контролем хакеров месяцами, если в инфраструктуре появляется скрытый инструмент вроде IDFKA.

Антиспамы впервые протестируют

Читайте также