Как стать автором
Обновить

Комментарии 18

Далее система Check Point наблюдает за поведением запущенного документа (создание дополнительных файлов, изменения ключей в реестре, установление коммуникаций с C&C-серверами).

Регламентируемая задержка при проверке статическим и динамическим анализом – до 2 минут.

А если создатель malware предусмотрит задержку между выполнением эксплоита и всеми дальнейшими действиями, например, в 15 минут? Получается, вся эта дорогостоящая защита — насмарку?
Такой вариант поведения экспорта тоже предусмотрен разработчиками. Виртуальные машины и железки работают в ускоренном режиме времени как защита от такого рода поведения эксплоита. Заметьте, не прокрутка самих часов, а ускоренный режим работы виртуальной машины, время в которой очень быстро протекает.
И сколько виртуального времени может пройти так?
Такие данные запрещены к публикации, так как, зная этот параметр, разработчики зловредов будут писать свои эксплоиты, чтобы обойти этот механизм защиты.
А если разработчик зловреда напишет код, который выполняет вредные действия скажем в 50% случаев?
Название APT просто вырывает мозг и душу. Читаю ленту «Атаки нулевого дня, APT...»

Думаю, ну всё, полный п-ц пришёл, бедный дебиан. И тут, уф, пронесло, всякая шушера корпоративная.
НЛО прилетело и опубликовало эту надпись здесь
Исходящий коллбек может идти по 80/tcp. С учетом того, что описанная здесь атака — это атака на рабочую станцию пользователя, это вполне работоспособный сценарий. Или у вас пользователи ходят в интернет только на строго определенный перечень сайтов? :) Если да — то как вы этого добились? :)
НЛО прилетело и опубликовало эту надпись здесь
они часто не попадают в логи (и как правило не откидываются на системы аудита), к ним меньше человеческого внимания, этим правилам очень часто много лет и их страшно трогать и т.п. Внимание, в общем, allow не сильно привлекает :-)


Мне всегда казалось, что меньше внимания стоит уделять discard-правилам, особенно, если мы не внедряем, а только обслуживаем :) А все allow как раз стоит логировать для дальнейшего изучения, если что вдруг произойдет. Касательно же обратных туннелей… Ну да, есть атаки типа split-handshake, только они детектриуются чуть ли не любым stateful inspection firewall'ом. И да, можно завести и http over tcp/80, но тот же C&C-трафик ходит и по http, да и загрузка может быть по нему же. wget отвались, согласен, но не им единым. Опять же, если мы говорим о более-менее обеспеченном заказчике, то на входе будет стоять еще и IPS, который поможет гораздо сильнее, чем прокси :)

И это не так страшно и сложно, как можно подумать на первый взгляд.


It depends. Далеко не каждый заказчик имеет в приоритете сохранение конфиденциальности.
НЛО прилетело и опубликовало эту надпись здесь
Не так уж много организаций использует контроль исходящих подключений.
По факту данная статья является очень полным пересказом презентации от самих CheckPoint, которую они показывают перед партнерами и ни чего более!
По факту я в глаза не видел эту презентацию.
P.S. Вся музыка – плагиат. Ведь нот всего-то семь
  1. Как организована защита виртуальной среды, в которой производится анализ нагрузки? Как вы предотвращаете бегство малвари из «песочницы»?
  2. Планируется ли, если да — то когда, расширять количество «песочниц»?
Гипервизор, на котором работают машины, является проприетарной разработкой, таким образом малварь не узнает, что она находится в песочнице одной из известных платформ виртуализации.
Дальнейшее развитие по расширению количества песочниц неизвестно.
Все же адресные атаки не ограничиваются почтой в кач-ве точки входа. А как же периметр? В нем не бывает дыр? Прямые атаки на сетевое оборудование, в том числе это может быть зеродэй, атаки через веб-ресурсы компании, атаки на пользователей как на серферов через веб-ресурсы, зараженные или полностью фейковые. Поэтому пункт 1 в ответе на вопрос «Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?» слишком категоричен, дать бы там пояснения, что это один из способов, достаточно распространенный, потому что легче реализуется адресность и точечность и прочая-прочая.
Да, конечно, зеродей может быть написан и для поражения непосредственно самого маршрутизатора или на поражение веб-ресурсов компании. Для этого нужно знать, какое оборудование стоит у потенциальной жертвы, версии ОС, на котором оно работает, версии приложения и т.д. Поэтому гораздо более распространен способ проникновения по email (довольно часто их узнают из сети Linkedin). Доступ к потенциально фейковым и зараженным сайтам обычно ограничен веб-шлюзом, находящимся в компании.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий