Pull to refresh

Comments 14

Мы воспользовались данной возможностью, чтобы показать, как кибер-преступники пытаются проникнуть в корпоративные сети.

… путем засылки исполняемого файла, замаскированного под ворд, который запускает скачивание следующей части атаки? Содержимое которой неизвестно?


Удивительно много новых и неизвестных ходов, несомненно.


Традиционный антивирус не работает против такого типа атак, т.к. они создаются специально под конкретную жертву, при этом хакеры уверены в том, что их вредоносная программа не обнаруживается сигнатурами, проактивными технологиями и другими модулями защиты у тех решений безопасности, которые используются жертвой

Так все-таки, как же именно ваш продукт определил, что идет потенциальное заражение?

Получатель письма обратился с просьбой проанализировать вложение, не открывая его?
Лучшая защита, кстати — просто не открывать вложение, пока не удостоверишься в подлинности отправителя.
Получатель письма обратился с просьбой проанализировать вложение, не открывая его?

И чем эта технология уникальна для рекламируемого продукта?

Я лишь предположил. Мне самому интересно, какой настоящий ответ и чем уникальна технология детектирования таких атак.
Если в целом прокомментировать данную ситуацию с этой гостиничной сетью, то хочу обратить внимание на следующее:
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель

2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.

3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware).

Ну то есть это банальный AppLocker.

Ну то есть это банальный AppLocker.


Нет, это не банальный appLocker.

1. Режим такой расширенной защиты работает полностью в автоматическом режиме, т.е. администратору не требуется создавать какие-либо правила

2. Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно. При этом облачная база знаний содержит информацию о более чем 1,5 миллиардах невредоносных процессов, ежесекундно обновляясь.

3. Ресурсоемкий анализ процессов работает в облаке, поэтому нет нагрузки на ресурсы компьютера

4. Система позволяет отслеживать развитие каждого процесса и взаимосвязь между его подпроцессами. В этом случае в зависимости от такой «контекстности» поведение защиты может быть разной в зависимости от ситуации, чтобы исключить ложные срабатывания.
Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно.

AppLocker можно настроить так, чтобы он блокировал все процессы, кроме разрешенных. На терминалах это разумное поведение.

AppLocker, по сути своей, это контроль приложений.

Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.

… через контроль приложений. То, что вы это не так называете, не означает, что смысл отличается. Не нравится слово AppLocker? Окей, давайте назовем это white-listing.

Мне кажется, простым пользователям давно пора запрещать выполнение любых *.exe файлов, за исключением тех, что установлены системным администратором. Сразу кучу проблем решит, с подобного рода маскировкой exe-шников под документы и картинки.
Я правильно понимаю, что проблема заключалась в том, что во вложении был исполняемый файл, который исполнялся почтовым клиентом не смотря на отсутствие флага "+x" для исполнения?

Я думаю, в этой ситуации не нужны антивирусы, а надо всего лишь не выполнять файлы не помеченные на выполнение.
У них на винде в качестве +x флага выступает .exe расширение по умолчанию. Хотя NTFS и имеет аттрибуты «исполнение», по умолчанию оно разрешено всему
Так это, чем городить специальную систему защиты от идиотства в дизайне, может быть, поправить идиотство в дизайне? Например, по-умолчанию не выставлять +x всему? Надо выполнить — поставь флаг. В этом случае почтовый клиент просто технически не сможет «запустить» исполняемое вложение — флаг-то не поставлен.
Only those users with full accounts are able to leave comments. Log in, please.