Будни Tinkoff Security Operations Center: Анализ одного загрузчика

[amarao]

А каким образом служба безопасности Тинькова допустила использование на рабочем месте ПО, которое может такую фигню творить? Да ещё и из обычного вложения в письме?

Т.е. чем руководствовалась компания, когда одобряла использование табличного процессора, который умеет качать файлы из интернета, запускать их, управлять запущенными окнами и т.д.?

У меня два варианта:

а) This is fine.
б) Все так делают и мы так делаем.

[windrower]

Привет, спасибо за вопросы, не совсем понял, причём тут разрешение или запрет запуска ПО, ведь статья все-таки про анализ варианта дроппера. Поясню.
Данный функционал, который используется дроппером, встроен в стандартный механизм excel, мы говорим об этом в статье. В случае, если бы пользователь получил такое письмо, оно в любом случае было бы заблокировано внутренними контролями, а пользователю отобразилось бы сообщение — “Предупреждение системы безопасности. Запуск макросов отключён.“
Еще в статье не упоминается о таком механизме как “использование табличного процессора“, поэтому делать выводы о том, что его разрешали и тем более запрещали, не совсем корректно. В любом случае, в статье присутствуют ссылки и отсылки к официальной документации и функциям, которые встроены в механизм Excel.

[somurzakov]

а расскажите как вы узнали об этом файле? кто-то из сотрудников вам переслал или у вас система обнаружила и отправила на анализ автоматом?

[windrower]

Привет! Внутри компании и на периметре настроены контроли и различные средства защиты информации, которые в случае атаки либо вредоносной активности, сообщают что стоит обратить внимание на аномалию.

[somurzakov]

а можно перечислить продукты или хотя бы вендоров? чтоб если какая-то компания тоже захочет такие же контроли у себя поставить?
Знаем про Cisco IronPort, хотелось бы узнать какие еще альтернативы или дополнительные средства существуют на рынке. Спасибо

[Abyss777]

А можно как-то групповой политикой отключить исполнение всего этого "добра" в Excel ?