Comments 18
Далее система Check Point наблюдает за поведением запущенного документа (создание дополнительных файлов, изменения ключей в реестре, установление коммуникаций с C&C-серверами).
Регламентируемая задержка при проверке статическим и динамическим анализом – до 2 минут.
А если создатель malware предусмотрит задержку между выполнением эксплоита и всеми дальнейшими действиями, например, в 15 минут? Получается, вся эта дорогостоящая защита — насмарку?
Такой вариант поведения экспорта тоже предусмотрен разработчиками. Виртуальные машины и железки работают в ускоренном режиме времени как защита от такого рода поведения эксплоита. Заметьте, не прокрутка самих часов, а ускоренный режим работы виртуальной машины, время в которой очень быстро протекает.
Название APT просто вырывает мозг и душу. Читаю ленту «Атаки нулевого дня, APT...»
Думаю, ну всё, полный п-ц пришёл, бедный дебиан. И тут, уф, пронесло, всякая шушера корпоративная.
Думаю, ну всё, полный п-ц пришёл, бедный дебиан. И тут, уф, пронесло, всякая шушера корпоративная.
UFO just landed and posted this here
Исходящий коллбек может идти по 80/tcp. С учетом того, что описанная здесь атака — это атака на рабочую станцию пользователя, это вполне работоспособный сценарий. Или у вас пользователи ходят в интернет только на строго определенный перечень сайтов? :) Если да — то как вы этого добились? :)
UFO just landed and posted this here
они часто не попадают в логи (и как правило не откидываются на системы аудита), к ним меньше человеческого внимания, этим правилам очень часто много лет и их страшно трогать и т.п. Внимание, в общем, allow не сильно привлекает :-)
Мне всегда казалось, что меньше внимания стоит уделять discard-правилам, особенно, если мы не внедряем, а только обслуживаем :) А все allow как раз стоит логировать для дальнейшего изучения, если что вдруг произойдет. Касательно же обратных туннелей… Ну да, есть атаки типа split-handshake, только они детектриуются чуть ли не любым stateful inspection firewall'ом. И да, можно завести и http over tcp/80, но тот же C&C-трафик ходит и по http, да и загрузка может быть по нему же. wget отвались, согласен, но не им единым. Опять же, если мы говорим о более-менее обеспеченном заказчике, то на входе будет стоять еще и IPS, который поможет гораздо сильнее, чем прокси :)
И это не так страшно и сложно, как можно подумать на первый взгляд.
It depends. Далеко не каждый заказчик имеет в приоритете сохранение конфиденциальности.
Не так уж много организаций использует контроль исходящих подключений.
По факту данная статья является очень полным пересказом презентации от самих CheckPoint, которую они показывают перед партнерами и ни чего более!
- Как организована защита виртуальной среды, в которой производится анализ нагрузки? Как вы предотвращаете бегство малвари из «песочницы»?
- Планируется ли, если да — то когда, расширять количество «песочниц»?
Все же адресные атаки не ограничиваются почтой в кач-ве точки входа. А как же периметр? В нем не бывает дыр? Прямые атаки на сетевое оборудование, в том числе это может быть зеродэй, атаки через веб-ресурсы компании, атаки на пользователей как на серферов через веб-ресурсы, зараженные или полностью фейковые. Поэтому пункт 1 в ответе на вопрос «Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?» слишком категоричен, дать бы там пояснения, что это один из способов, достаточно распространенный, потому что легче реализуется адресность и точечность и прочая-прочая.
Да, конечно, зеродей может быть написан и для поражения непосредственно самого маршрутизатора или на поражение веб-ресурсов компании. Для этого нужно знать, какое оборудование стоит у потенциальной жертвы, версии ОС, на котором оно работает, версии приложения и т.д. Поэтому гораздо более распространен способ проникновения по email (довольно часто их узнают из сети Linkedin). Доступ к потенциально фейковым и зараженным сайтам обычно ограничен веб-шлюзом, находящимся в компании.
Sign up to leave a comment.
Атаки нулевого дня, APT-атаки и защита от них с использованием решений Check Point