Ну во первых если вам что то не нравится не пишите, это первое. Второе, мои действия реально спасли многие системы. Вы наверняка не пользовались тем же Winget)
Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?
Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?
Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса
Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?
@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность
И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы
@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет loop-uh.Zapret2 был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.
Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:
Или вот, он пытается отключить стандартный защтник Windows. Доказательство:
Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?
Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей
Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос
Ладно, извиняюсь был не прав
Ну во первых если вам что то не нравится не пишите, это первое. Второе, мои действия реально спасли многие системы. Вы наверняка не пользовались тем же Winget)
Спасибо :)
Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?
Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?
поправочка:честно, я опечатался
Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса
Смотрите, на том же VirusTotal когда заливаете файл есть кнопочка Behavior
После того как нажали, листаем чуть ниже,и видим вот эту надпись:
и там расписывается что делает программа,
Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?
@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность
И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы
@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет
loop-uh.Zapret2был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:
Или вот, он пытается отключить стандартный защтник Windows. Доказательство:
Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?
Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей
Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос
Наконец то я дождался одобрения от модераторов