А разве не проще защититься тем, что не открывать письма, которые уже на вид просто левые? Это же базовые навыки защиты. Не?
Проще, но во-первых, у тех кто вынужден много писем открывать в рамках повседневной деятельности - фокус рассеивается (если из 1000 писем 1 будет фишинговое, то странно ожидать что человек каждое письмо будет старательно проверять). Во вторых - злоумышленники тоже не стоят на месте в этом плане, и используют все возможности для подделки письма под легитимщину. Например - тайпсковттинг.
> "И второй вопрос, разве касперский может пропустить зараженный ZIP-файл???" Вы имеете ввиду почтовый антивирус? Или хостовой? Тут разные ситуации могут быть, за другой продукт говорить не могу. Если в общем обсуждать - на примере данного кейса видим, как любое средство статического анализа может пропустить данный архив, если оно ищет сигнатуру ZIP ищет только по офсету 0 от начала файла. Можно предположить, что именно поэтому детекты на такое ВПО на всяких вт появляются не сразу. Например, ваш дефолтный распаковщик архивов десктопный, скорее всего ищет сигнатуру ZIP как минимум несколько мегабайт от начала файла. Именно такая гибкость открывает потенциальную проблему для СЗИ.
Спасибо за советы! 1) Действительно, на linux подобных атак меньше. Но есть мнение, что это лишь до тех пор, покуда linux менее востребованы на рынке desktop. Например, в linux есть .desktop-файлы (аналоги ярлыков в Windows), которые также могут представлять угрозу. 2) подобный харденинг действительно очень важен, но в данной ситуации он сработает лишь в случае открытия LNK непосредственно из интерфейса архиватора. Если пользователь вдруг решит отдельно распаковать и запустить - уже не получится защититься. Впрочем, тогда и вся цепочка может оказаться под угрозой.
Интересная мысль, но мне кажется, что такая реализация не отменяет 1) "физическую" ограниченность полосы пропускания, 2) ограниченность аппаратных мощностей атакуемых серверов)
Спасибо за вопрос! Сервис доступен на всех версиях Windows, даже куда более ранних чем Win10. Данные уязвимости, однако (судя по сайту MSRC) затрагивают Win10, win11, и почти все редакции Windows-серверов По дефолту он не должен быть включен, однако устанавливаемые 3rd-party приложения могут на него опираться и включать при установке
Дорогу осилит идущий! На самом деле, если знать изначально куда копать, то всё это проделать не так уж сложно. Но если ничего неизвестно, как было в данном случае - да, придётся запастись терпением и пытаться, пытаться, пытаться...
Спасибо! Надеюсь, что было полезно! Действительно, пришлось попотеть, тут постарался задокументировать только "правильный" путь. Помимо этого, сделать кучу ошибок, которые даже не стал подробно описывать - и так много, да и не упомнишь всё)
Одной из целей ставил, чтобы было полезно и интересно для тех, кто не совсем в данной теме, так что очень рад видеть Ваш коммент, спасибо! А про сложность - это чистая правда, но относится и к другим сферам, по себе знаю) Обилие неструктурированной информации входит в противоречие с количеством свободного от работы временем, пытаешься от случая к случаю зачитываться материалом, а на большее уже и не хватает
Спасибо! Не думаю, что разработчики инструмента ставили себе задачу от чего-то скрываться, но Ваша идея интересная, и на мой взгляд вполне осуществимая если бы ею занялись сами разработчики pyarmor, так как уникальная ключевая информация в каждом экземпляре присутствует
Тут почему-то начались минусные осадки, и тем не менее, спасибо вам на добром слове, будем пытаться создавать ещё больше полезных и интересных материалов!
По поводу того что инструмент слабый - мне кажется, что разработчики бы с вами не согласились. Да и учебную функцию он не выполняет, вся конфигурация и цели зашиты внутри инструмента и инфраструктуры на github) Но по поводу других интересных разрезов анализа этого ПО - это Вы верно подметили, спасибо
Спасибо за вопрос! На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что через рцеху в этом оркестраторе установили и запустили докер-контейнер вредоносный, других артефактов не нашли
Проще, но во-первых, у тех кто вынужден много писем открывать в рамках повседневной деятельности - фокус рассеивается (если из 1000 писем 1 будет фишинговое, то странно ожидать что человек каждое письмо будет старательно проверять). Во вторых - злоумышленники тоже не стоят на месте в этом плане, и используют все возможности для подделки письма под легитимщину. Например - тайпсковттинг.
> "И второй вопрос, разве касперский может пропустить зараженный ZIP-файл???"
Вы имеете ввиду почтовый антивирус? Или хостовой? Тут разные ситуации могут быть, за другой продукт говорить не могу. Если в общем обсуждать - на примере данного кейса видим, как любое средство статического анализа может пропустить данный архив, если оно ищет сигнатуру ZIP ищет только по офсету 0 от начала файла. Можно предположить, что именно поэтому детекты на такое ВПО на всяких вт появляются не сразу.
Например, ваш дефолтный распаковщик архивов десктопный, скорее всего ищет сигнатуру ZIP как минимум несколько мегабайт от начала файла. Именно такая гибкость открывает потенциальную проблему для СЗИ.
Спасибо за советы!
1) Действительно, на linux подобных атак меньше. Но есть мнение, что это лишь до тех пор, покуда linux менее востребованы на рынке desktop. Например, в linux есть .desktop-файлы (аналоги ярлыков в Windows), которые также могут представлять угрозу.
2) подобный харденинг действительно очень важен, но в данной ситуации он сработает лишь в случае открытия LNK непосредственно из интерфейса архиватора. Если пользователь вдруг решит отдельно распаковать и запустить - уже не получится защититься. Впрочем, тогда и вся цепочка может оказаться под угрозой.
Интересная мысль, но мне кажется, что такая реализация не отменяет 1) "физическую" ограниченность полосы пропускания, 2) ограниченность аппаратных мощностей атакуемых серверов)
Спасибо за вопрос! Сервис доступен на всех версиях Windows, даже куда более ранних чем Win10. Данные уязвимости, однако (судя по сайту MSRC) затрагивают Win10, win11, и почти все редакции Windows-серверов
По дефолту он не должен быть включен, однако устанавливаемые 3rd-party приложения могут на него опираться и включать при установке
Дорогу осилит идущий! На самом деле, если знать изначально куда копать, то всё это проделать не так уж сложно. Но если ничего неизвестно, как было в данном случае - да, придётся запастись терпением и пытаться, пытаться, пытаться...
Спасибо! Надеюсь, что было полезно! Действительно, пришлось попотеть, тут постарался задокументировать только "правильный" путь. Помимо этого, сделать кучу ошибок, которые даже не стал подробно описывать - и так много, да и не упомнишь всё)
Спасибо, Стараемся!
Одной из целей ставил, чтобы было полезно и интересно для тех, кто не совсем в данной теме, так что очень рад видеть Ваш коммент, спасибо!
А про сложность - это чистая правда, но относится и к другим сферам, по себе знаю) Обилие неструктурированной информации входит в противоречие с количеством свободного от работы временем, пытаешься от случая к случаю зачитываться материалом, а на большее уже и не хватает
Спасибо! Не думаю, что разработчики инструмента ставили себе задачу от чего-то скрываться, но Ваша идея интересная, и на мой взгляд вполне осуществимая если бы ею занялись сами разработчики pyarmor, так как уникальная ключевая информация в каждом экземпляре присутствует
Спасибо Вам! будем и дальше пытаться не слишком упрощать контент
К светлому будущему, с легко-поддерживаемым, расширяемым, портируемым кодом!
sarcasm_off
А с будущим выходом Mojo, быть может, к производительному и статически-типизированному настоящему
Не уверен, что залетело бы, всё таки у ПО из того списка предполагается полезный функционал изначально, а тут...
Спасибо! если ещё найдётся интересный и познавательный кейс, обязательно расскажу о нём)
Очень приятная оценка, спасибо за поддержку!
Спасибо за Вашу оценку! Постараюсь держать планку, хоть статья и не без огрехов!
Тут почему-то начались минусные осадки, и тем не менее, спасибо вам на добром слове, будем пытаться создавать ещё больше полезных и интересных материалов!
Рад стараться, спасибо Вам!)
Спасибо Вам, "будем постараться"!)
По поводу того что инструмент слабый - мне кажется, что разработчики бы с вами не согласились. Да и учебную функцию он не выполняет, вся конфигурация и цели зашиты внутри инструмента и инфраструктуры на github)
Но по поводу других интересных разрезов анализа этого ПО - это Вы верно подметили, спасибо
Спасибо за вопрос! На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что через рцеху в этом оркестраторе установили и запустили докер-контейнер вредоносный, других артефактов не нашли