Комментарии 7
Класс!
Какое по вашему мнению самый эффективный инструмент противодействия или набор мер безопасности, что бы минимизировать вероятность неприятностей от таких специально сконструированных зловредных нагрузок? ( с учетом что сеть большая, пользователей много, и кто-та по закону больших чисел да купится на фишинг).
Действительно, вероятность открытия вложения из письма пользователем есть. Но минимизировать ущерб от подобного рода атак, Вам помогут в совокупности:
1.Правильно выстроенная архитектура сети и отлаженный процесс реагирования на инциденты.
2.Постоянный мониторинг неизвестной ранее активности в сетевом трафике и на хостах.
3.Правильно настроенные средства защиты информации и высококвалифицированные специалисты ИБ.
4. Организационные меры (обучение сотрудников/проведение фейковых рассылок в организации).
Спасибо.
Из своего опыта борьбы с подобными зловредами, очень эффективно, когда средства безоапсности, умеет не просто "проверять антивирусом", а задавать политики контроля структуры документов, например:
на периметре:
1) если документ msoffice, pdf содержит скрипты или внедренные OLE объекты - в треш сразу, без игр с антивирусом.
локально:
2) если процесс адоба, ворда и т.п. создает (create file) исполняемый файл или запускает из себя внешний процесс (exec process) - блокировать. (это упрощенное описание поведенческих политик а-ля лайт песочница)
и т.п.
может, с точки зрения простого пользователя, лучше на все скачаные pdf сразу
ставить восьмеричный атрибут 0444 и открывать их не в браузере, а в вьювере
Я правильно понимаю, что на Линукс такие зловреды не будут работать? Нужно ведь запустить приложение, а для этого сделать файл исполняемым, что потребует рут прав.
А вообще зреет, как и груши в саду, у меня желание отключить совсем JS в браузере. Включать его только иногда, когда совсем уж припрет.
Без прав рута системе навредить сложнее, но тут в дело вступают инфостилеры, им не нужны рутовые права, ваши данные STEAM или пароли в браузере они утащат и так и с радостью подключат вас к скрытому майнингу + если вдруг не обновляли систему давно, то тот же polkit предоставит им рутовые права.
Под Linux системы сейчас выходит достаточно много малвари, попробую сделать разбор интересной в ближайшее время)
Расщепляем Malware PDF. Практический разбор фишинга на примере GetPDF от Cyberdefenders.com