Комментарии 5
Так видят антивирусы этот скрипт или нет?
Обфускация сама по себе не спасение — распутывание кода в антивирусах есть со времен полиморфных вирусов. Типичная фраза из отчета антивирусной компании — «При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ»
Обфускация сама по себе не спасение — распутывание кода в антивирусах есть со времен полиморфных вирусов. Типичная фраза из отчета антивирусной компании — «При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ»
Конкретно в данном примере отчет с Virus total был неудовлетворительный на дату первоначальной статьи, что собственно и побудило ее написать. В общем же случае этот пример показывает, что зачастую антивирусы не могут обнаружить в почтовом вложении вредонос, который использует запутанные техники обфускации и при этом для выполнения загрузки и укрепления в системе применяются привычные всем администраторам инструменты, начиная от встроенных утилит в составе ОС и заканчивая скриптами на JS и PS. И поэтому не стоит опираться только на защиту периметра, а предположив, что злоумышленники уже внутри периметра организации затруднить их присутствие и постараться обнаружить их с использованием поведенческих моделей и средств оперативного обнаружения угроз.
Вывод однозначно правильный — полагаться, что антивирус знает все вирусы никак нельзя.
Тут же как. Антивирус может взять вирус или по записи в базе (которая не обязательно сигнатура) или по поведению. В статье рассматривается случай обнаружения по базе. Тут тоже два варианта. Или мы знаем ситнатуру/признаки вредоносного ПО, которое обфусцировали, или не знаем (в том числе эвристиком). Если не знаем, то обфускация к факту пропуска отношения не имеет. А вот если знаем — то это вопрос к антивирусу, почему он не разобрал обфускацию
Тут же как. Антивирус может взять вирус или по записи в базе (которая не обязательно сигнатура) или по поведению. В статье рассматривается случай обнаружения по базе. Тут тоже два варианта. Или мы знаем ситнатуру/признаки вредоносного ПО, которое обфусцировали, или не знаем (в том числе эвристиком). Если не знаем, то обфускация к факту пропуска отношения не имеет. А вот если знаем — то это вопрос к антивирусу, почему он не разобрал обфускацию
неспособность традиционных средств защиты периметра остановить такие атаки
По какой причине в вашей организации не используется настройка безопасности, разрешающая только запуск макросов, подписанных сертификатом? Через известные платные приложения можно использовать даже ГОСТовский сертификат для шифрования почты.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Приключения неуловимой малвари, часть III: запутанные VBA-cкрипты для смеха и прибыли