Антивирусная защита *

Антивирус, EPP, EDR и XDR… Многие слышали эти термины, но далеко не все понимают, чем они различаются и почему одного только антивируса сегодня уже недостаточно. В этой статье эксперты из Positive Technologies — Паша Попов, лидер практики по управлению уязвимостями, Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, и Кирилл Черкинский, руководитель практики защиты конечных устройств, — разбираются с помощью наглядных аналогий в средствах киберзащиты и их роли в управлении уязвимостями.

Информационная безопасность, Разработка ПО, VirusTotal, Гайд, Reverse Engineering

![Иллюстрация: разработчик в отчаянии смотрит на монитор с вердиктом VirusTotal "15/71", а вокруг него летают красные значки тревоги]

Привет, Хабр!

Вы — разработчик. Вы ночами не спали, пили литры кофе, писали чистый и элегантный код. И вот, ваше детище — полезная утилита, инди-игра или хитрый скрипт для автоматизации — готово. Вы с гордостью выкладываете его на сайт, делитесь с друзьями, и тут... в чат прилетает сообщение: «Эй, а твой экзешник — троян! VirusTotal ругается».

Знакомая боль? Если вы пишете под Windows, особенно на языках вроде AutoIt, Python (с PyInstaller), Go или используете коммерческие протекторы, то наверняка сталкивались с этой несправедливостью. Ваш абсолютно легитимный софт помечается красным флажком из-за эвристики, слишком "подозрительного" поведения или просто потому, что звёзды так сошлись.

Это называется ложное срабатывание, или False Positive (FP). И это не просто обидно. Это бьет по репутации, отпугивает пользователей и может похоронить ваш проект.

Сегодня мы разберем, что с этим делать. Как не просто смириться, а дать бой, доказать невиновность своей программы и помочь антивирусным вендорам стать немного умнее.

Привет, Хабр!

Представьте ситуацию: вам на почту падает «супер-важный» архив от контрагента. Или вы нашли в сети ту самую утилиту, которую искали полгода, но лежит она на каком-то noname-файлообменнике. Или друг в Telegram кидает ссылку с комментарием «зацени, умора». Сердце ёкает. А вдруг там?..

В такие моменты у большинства из нас в голове проносится одна мысль: надо бы проверить. И тут на сцену выходит герой нашей сегодняшней статьи — VirusTotal.

Многие о нем слышали, многие пользуются, но, как показывает практика, большинство использует лишь 10% его возможностей. Сегодня мы это исправим. Разберем, как выжать из этого бесплатного сервиса максимум, как правильно читать его вердикты и каких подводных камней стоит опасаться.

Слово «антивирус» сейчас для некоторых звучит как анахронизм, что-то из 90-х. Ну какой же, помилуйте, антивирус, когда тут иногда глубокоэшелонированная защита не спасает?!

На прошедшем в мае PHDays мы обсудили с ведущими вендорами и экспертами, как изменился рынок защиты конечных устройств и какие тренды сейчас определяют развитие антивирусных технологий.

Так вышло, что вести дискуссию доверили мне, Сергею Лебедеву, руководителю департамента разработки средств защиты рабочих станций и серверов Positive Technologies, и в этой статье я решил поделиться с вами основными выводами, которые для себя отметил.

Если вам интересно, жив ли пациент антивирус и как себя чувствует этот класс систем защиты информации — добро пожаловать под кат.

Многие люди публикуют свои проекты на github-подобных git-хостингах, для обеспечения общего доступа (это даёт множество преимуществ во многих случаях).

Часто, ввиду неопытности, при публикации, люди сливают чувствительные данные (в частности токены Telegram-ботов).

Вопрос масштабирования сервисов достаточно часто, и временами больно, встаёт ребром в самый неподходящий момент, ложа при этом за собой бизнес процессы, и вызывая нервный тик у администраторов.

В этой статье, на реальном примере из моего опыта инженерного обслуживания средств антивирусной защиты Kaspersky, мы с вами разберём шаги по недопущению таких трепещущих ситуаций.

За последний год ситуация с внедрением искусственного интеллекта в российских компаниях сильно изменилась. Если раньше использование ИИ в разработке ПО, включая code review и создание нового кода, носило точечный характер, то сегодня это стало массовым явлением. Однако широкое применение таких технологий создало целый список новых рисков. Прежде всего, это угрозы информационной безопасности и риски утечки данных. По мнению технического директора «Лаборатории Касперского» Антона Иванова, проблема заключается еще в том, что многие компании, в том числе российские, используют зарубежные облачные сервисы.

🚨 MalTerminal: первый вирус, который пишет себя сам — с помощью GPT-4

Представьте: хакеру больше не нужно быть гением ассемблера. Достаточно написать в чат: «Создай вредонос, который обойдёт защиту Windows 11» — и через минуту получить готовый, уникальный, никогда не виданный антивирусами код. Это не сценарий из киберпанка. Это — MalTerminal. Первое в истории вредоносное ПО, которое использует GPT-4 не как помощника, а как мозг всей операции.

Обнаружен он был исследователями SentinelOne — и сразу взорвал мозг экспертам по кибербезопасности. Почему? Потому что это конец эпохи сигнатур.

Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом.

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа.

Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций.

В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий.

Привет, Хабр!

Фишинг, тема стара как мир, но это по-прежнему один из самых популярных и рабочих инструментов хакеров. Эксперты уже отмечают рост фишинговых атак в 2025 году и то, что они становятся всё более изощрёнными.

Не знаю, как у вас, а у меня в Gmail и Яндекс таких писем почти нет, даже спама немного. А вот старый ящик на Рамблере, который я использую только для госоганов или HeadHunter, оказался куда интереснее.

Привет, Хабр!

Поскольку я тут впервые, для начала представлюсь. Меня зовут Мария, и я — системный инженер. Работаю в ИТ-департаменте «Лаборатории Касперского», в отделе телекоммуникационной инфраструктуры. Работу люблю и советую, но не всем. Самой интересно :)

Привет! Меня зовут Петр, я начал свой путь 1С разработчика в 2021 году, и за почти 5 лет стажа успел поработать в самых разных компаниях: с крупным бизнесом, корпорациями и даже государственными структурами. Все большие проекты, на которые меня выводили, были похожи друг на друга. Большая команда, 3–4 контура, автотестирование и т.д. всегда масштабно! Но к моему удивлению даже на таких больших проектах зачастую халатно относились к защите данных! Но были проекты, на которых данные клиента были защищены на очень достойном уровне.

Из своего опыта и опыта моих коллег, я пришел к такому тезису: если не защищать данные — могут поставить под угрозу бизнес и пользователей.

О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма. Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути.

Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.

Раньше VPN был как шапка-невидимка. А теперь — как табличка на лбу: «Я скрываюсь, спросите меня за что».

В России готовится закон: поиск запрещенных материалов + VPN = отягчающее. Это значит, что мы подходим к черте когда сам факт анонимности будет поводом для расследования. В будущем мы будем платить за то, чтобы оставаться анонимными.

На примере «Моя борьба» разберем примеры запросов, за которые тебе ничего не будет, и случаи, когда за ту же тему могут наказать.

В статье:
– Какие формулировки в поиске считаются «плохими»
– Как написать «Mein Kampf» так, чтобы не словить протокол
– Как извне определить, что ты используешь VPN?

ТОП-бонус внутри:
Технические данные для распознавания VPN, как построить твой уникальный UserID: пример кода и логика работы.

Представьте себе, что вам надо собрать автомобиль. Когда вы решаете построить машину с нуля, вам нужно подобрать множество компонентов. Вы ищете лучший двигатель, самые надежные шины, удобные кресла и качественные материалы для салона. Но даже идеальные детали — это только половина дела.

Главная сложность — собрать все компоненты в работоспособную систему. Без грамотной интеграции можно получить либо сразу Формулу-1, либо кучу дорогущего хлама весом в пару тонн. А иногда возникают неожиданные проблемы — например, когда прекрасное кресло гоночного болида просто не помещается в салон.

Точно такие же вызовы стоят перед нами при развитии софта для автоматического обнаружения атак. Мы должны не просто выбрать лучшие технологии, но и обеспечить их слаженную работу. Под катом вы узнаете все подробности.

Привет, Хабр!

Сегодня поделимся не историями грандиозных IT-побед, а скромными буднями борьбы с коварными, но редкими багами. Нам "повезло" столкнуться сразу с тремя такими на одном проекте. Спойлер: виноваты были забытые обновления Windows, коварный апдейт Касперского и упрямый PCI-райзер. Читайте, как мы их ловили, и берите на заметку наши шишки!

⚠️ Дисклеймер: Подвигов не будет, только серая, но поучительная реальность. Хотим напомнить, что путь настоящего самурая иногда состоит из мелких неудач и разного масштаба трудностей. Но самурай идет вперед.

Зачем вообще этим заморачиваться?

Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких компонентов — кулер процессора. Например, malware может проверять наличие кулера процессора, поискав в WMI класс Win32_Fan:

wmic path Win32_Fan get *

Они делают это, чтобы не запускаться в виртуальных машинах, усложнив таким образом процесс анализа для исследователей безопасности.

Зловредное ПО может определять, запущено ли оно в виртуальной машине, множеством разных способов. Есть различные классы WMI, позволяющие обнаружит присутствие виртуальной машины, например, Win32_CacheMemory, Win32_VoltageProbe и множество других.

В этом посте я расскажу о кулере процессора. Мне просто понравилась идея убедить виртуальную машину, что он у неё есть. Однако такой же подход можно применить к другим аппаратным компонентам и классам WMI.

Электронная подпись давно стала неотъемлемой частью корпоративных процессов. С её помощью подписываются важнейшие документы, подтверждаются сделки, и осуществляются финансовые операции. Но в то же время электронная подпись — это не только удобство, но и серьёзная угроза в случае её компрометации. В последние годы атаки на электронные подписи становятся всё более распространёнными, и более 90% таких инцидентов происходят через фишинговые письма с вложениями.

Злоумышленники могут использовать вашу подпись для создания фальшивых договоров, перевода средств, подписания тендерных заявок с невыгодными условиями или даже проведения рейдерского захвата компании. Подобные атаки могут также привести к финансовым потерям через подделанные сделки с имуществом компании или сотрудника. В случае с фальшивой сделкой с недвижимостью, сотрудник может подать иск к своему работодателю, что вызовет судебные разбирательства и ответственность за нарушения в области информационной безопасности.

Рассмотрим, как может происходить кража электронной подписи на примере операционной системы Windows.

Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект.