А если же вы получали уже детекты то либо ваша система заражена (маловероятно но никто не отменял) Либо вы используете какие то методы компиляции или упаковки которые кажутся анализаторам каким то подозрительными или вредоносными, Кстати, смотрю вы C++ разработчик, на чем пишете?
Смешно, я лично проверял кучу своих программ на хайбриде он либо показывал suspicious (это норма т.к я проверял свои утилиты которые обычно глубоко лезут в систему) либо показыал чисто
Ну слушайте, по сути каждая песочница может ошибиться. Даже та же песочница касперского. Кстати, респект за использование открытого Inno Setup:) Но, если бы инструмент выдавал бы 100 процентов фалзов им бы никто не пользовался, Но хайбрид чаще всего используют профи. У него есть свои плюсы типо можно посмотреть те же скриншоты того что делает программа, и не каждый умеет делать реверс инжениринг, кому то проще просто закинуть в песочницу и получить конкретный ответ.
Достаточно глубоко, чтобы отличить полезную нагрузку от вредоносного стиллера, который скрытно ставит Root CA и скриншотит экран каждые 30 секунд. Если есть желание обсудить конкретные опкоды или методы обфускации этого форка — я только за, можем разобрать в деталях
Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?
Вот! Именно для этого я и пишу. Иногда мы так зарываемся в сложные архитектуры и реверс-инжиниринг, что забываем: для многих пользователей компьютер — это всё еще очень трудно, и их нужно учить элементарной защите. Спасибо за пример, прямо в точку!
Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?
Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса
Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?
@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность
И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы
@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет loop-uh.Zapret2 был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.
Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:
Или вот, он пытается отключить стандартный защтник Windows. Доказательство:
Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?
Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей
Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос
А если же вы получали уже детекты то либо ваша система заражена (маловероятно но никто не отменял) Либо вы используете какие то методы компиляции или упаковки которые кажутся анализаторам каким то подозрительными или вредоносными, Кстати, смотрю вы C++ разработчик, на чем пишете?
Смешно, я лично проверял кучу своих программ на хайбриде он либо показывал suspicious (это норма т.к я проверял свои утилиты которые обычно глубоко лезут в систему) либо показыал чисто
Ну слушайте, по сути каждая песочница может ошибиться. Даже та же песочница касперского. Кстати, респект за использование открытого Inno Setup:) Но, если бы инструмент выдавал бы 100 процентов фалзов им бы никто не пользовался, Но хайбрид чаще всего используют профи. У него есть свои плюсы типо можно посмотреть те же скриншоты того что делает программа, и не каждый умеет делать реверс инжениринг, кому то проще просто закинуть в песочницу и получить конкретный ответ.
Спасибо :)
Если не знаешь про что я щас сказал, можешь прочитать мою еще одну статью, там все четко говорится
Достаточно глубоко, чтобы отличить полезную нагрузку от вредоносного стиллера, который скрытно ставит Root CA и скриншотит экран каждые 30 секунд. Если есть желание обсудить конкретные опкоды или методы обфускации этого форка — я только за, можем разобрать в деталях
Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?
Вот! Именно для этого я и пишу. Иногда мы так зарываемся в сложные архитектуры и реверс-инжиниринг, что забываем: для многих пользователей компьютер — это всё еще очень трудно, и их нужно учить элементарной защите. Спасибо за пример, прямо в точку!
Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?
поправочка:честно, я опечатался
Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса
Смотрите, на том же VirusTotal когда заливаете файл есть кнопочка Behavior
После того как нажали, листаем чуть ниже,и видим вот эту надпись:
и там расписывается что делает программа,
Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?
@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность
И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы
@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет
loop-uh.Zapret2был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:
Или вот, он пытается отключить стандартный защтник Windows. Доказательство:
Кстати спасибо за идею скоро напишу статью "how-to как открыть браузер " :)
Ну так то не все знают как проверять файлы на вирусы, и как найти и понять где вирус а где нет
Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?
Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей
Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос
Наконец то я дождался одобрения от модераторов