Как говорится, необъяснимо, но факт. Действительно, по моему опыту, доставка вредоносной нагрузки, замаскированной под PDF-документ, - один из основных способов в контексте Windows. Антивирусы не являются панацеей. Как Вы можете заметить, LNK-файл, сам по себе, не является вредоносным исполняемым файлом. Он просто вызывает POWERSHELL.EXE, который выполняет обычные операции с файлами в Windows. Антивирусу сложно отличить легитимный вызов PowerShell от вредоносного, особенно если команды хорошо замаскированы, уж тем более распознать, какие распакованные файлы окажутся с "секретом".
И тут возникает бесконечная дилемма: хотим ли мы использовать закрытую систему с ограниченным функционалом, но с хорошей защитой, или все же предпочтем более гибкую и удобную в использовании систему, но с "фичами", которые позволяют заинтересованным людям использовать их во вред?
Поэтому остается единственное решение - строить эшелонную защиту, которая включает AV + EDR + мониторинг + ограничения политиками + обучение.
Сложно сказать, является ли система перехвата основным методом скрытия в r3 или нет. Допускаю, что установка перехватчика с inline-hooking системой может быть выше по приоритету, чем перехватчик API у AV/EDR-решения. Это можно довольно легко проверить, написав свою или пропатчив текущую версию вредоноса.
Даже несмотря на то, что большинство решений находятся в r3, основной "сенсор" - это внедрение собственного API-перехватчика. Может быть, с внедрением ллм это изменится :)
Я всё-таки считаю, что для полноценного скрытия нужно использовать комплексный подход, который показан в статье (инъекция в системные процессы, различные виды обфускации и шифрования)
Как говорится, необъяснимо, но факт. Действительно, по моему опыту, доставка вредоносной нагрузки, замаскированной под PDF-документ, - один из основных способов в контексте Windows. Антивирусы не являются панацеей. Как Вы можете заметить, LNK-файл, сам по себе, не является вредоносным исполняемым файлом. Он просто вызывает POWERSHELL.EXE, который выполняет обычные операции с файлами в Windows. Антивирусу сложно отличить легитимный вызов PowerShell от вредоносного, особенно если команды хорошо замаскированы, уж тем более распознать, какие распакованные файлы окажутся с "секретом".
И тут возникает бесконечная дилемма: хотим ли мы использовать закрытую систему с ограниченным функционалом, но с хорошей защитой, или все же предпочтем более гибкую и удобную в использовании систему, но с "фичами", которые позволяют заинтересованным людям использовать их во вред?
Поэтому остается единственное решение - строить эшелонную защиту, которая включает AV + EDR + мониторинг + ограничения политиками + обучение.
Сложно сказать, является ли система перехвата основным методом скрытия в r3 или нет. Допускаю, что установка перехватчика с inline-hooking системой может быть выше по приоритету, чем перехватчик API у AV/EDR-решения. Это можно довольно легко проверить, написав свою или пропатчив текущую версию вредоноса.
Даже несмотря на то, что большинство решений находятся в r3, основной "сенсор" - это внедрение собственного API-перехватчика. Может быть, с внедрением ллм это изменится :)
Я всё-таки считаю, что для полноценного скрытия нужно использовать комплексный подход, который показан в статье (инъекция в системные процессы, различные виды обфускации и шифрования)
Спасибо за отзыв! Постараюсь учесть Ваши пожелания в будущих статьях :)
Если так подумать, то любой продукт от Майкрософт - это троян)...