Comments 25
“We identified a malicious PHP backdoor that was deployed under medoc_online.php in one of the FTP directories on M.E.Doc's server,”
Исследователи ESET, а вот есть ссылка официальная на ESET?
Дата обновления файла 31 мая 2017 года.
Предположение. Могли в принципе следить за чужой бухгалтерией и раньше. Тем более админ не мог не знать об этом файле.
Вирусная защита была отключена для этой программы у всех пользователей, поголовно. Касперский не определял, если был отключён для программы как мог определять?
Официоз. Настройка антивирусов-файерволов — Me-doc.dp.ua
Исследователи ESET, а вот есть ссылка официальная на ESET?
Дата обновления файла 31 мая 2017 года.
Предположение. Могли в принципе следить за чужой бухгалтерией и раньше. Тем более админ не мог не знать об этом файле.
Вирусная защита была отключена для этой программы у всех пользователей, поголовно. Касперский не определял, если был отключён для программы как мог определять?
Официоз. Настройка антивирусов-файерволов — Me-doc.dp.ua
Почему «не мог не знать»?
Честно говоря на газетные перепечатки и новости, даже ссылаемые на кого-то, не хочется читать, а где официальные ссылки, пруфы?
AdmReg
0B 1 месяц назад
ARM
64.4MiB 3 года назад
assistant
59.9MiB 1 год назад
BANK
614.3MiB 4 года назад
CORP
66.8MiB 4 года назад
dealers
2.3GiB 1 год назад
Dist
19.8GiB 1 месяц назад
Dist_ORA
1.1GiB 3 года назад
DKU
11.2MiB 4 года назад
ESV
31.6MiB 3 года назад
FIREBIRD
16.2MiB 5 года назад
GNAU
690.2MiB 4 года назад
HotFixForWindows
28.3MiB 5 года назад
ptah
1GiB 1 месяц назад
TEST
2.7GiB 1 месяц назад
TESTUpdates
14.5GiB 1 месяц назад
Updates
5.8GiB 1 месяц назад
AdmReg
0B 1 месяц назад
ARM
64.4MiB 3 года назад
assistant
59.9MiB 1 год назад
BANK
614.3MiB 4 года назад
CORP
66.8MiB 4 года назад
dealers
2.3GiB 1 год назад
Dist
19.8GiB 1 месяц назад
Dist_ORA
1.1GiB 3 года назад
DKU
11.2MiB 4 года назад
ESV
31.6MiB 3 года назад
FIREBIRD
16.2MiB 5 года назад
GNAU
690.2MiB 4 года назад
HotFixForWindows
28.3MiB 5 года назад
ptah
1GiB 1 месяц назад
TEST
2.7GiB 1 месяц назад
TESTUpdates
14.5GiB 1 месяц назад
Updates
5.8GiB 1 месяц назад
в известном мне случае стоял эсет, исключений для медка не было. отработал и петя, и миша идущий с ним в комплекте (шифровка файлов до ребута).
в случаях когда петя приходил на почту — антивирус тоже молчал.
в случаях когда петя приходил на почту — антивирус тоже молчал.
это стандартный бэкдор, который использует Telegram Bot API
Не совсем понятно в каком ПО находится этот бэкдор. Или под словом «бэкдор» вы подразумеваете саму вредоносную программу?
Печаль с этими Петями и Мишами, у меня сосед уже несколько дней ПК не включает, вирусов боится ))
Я вот не понимаю чем занимаются антивирусные компании… В свое время — с блокировщиками, теперь вот с шифровальщиками. Почему антивирусы борются с последствиями, а не с первопричиной? Что это за защита вообще, которая срабатывает, когда уже поздно? А завтра выйдет «Вася» — и антивирусы опять разведут руками и выпустят обновление баз когда уже будет поздно?
Я не понимаю в чем причина отследить активность диска? Если какая-то программа начала массово править файлы на диске — причем файлы разных типов — то остановить ее и спросить пользователя. Это — сложно? Или надо быть гениальным программистом, чтобы до такого додуматься, спустя несколько лет и кучу эпидемий шифровальщиков?
Да даже когда с диском работает легальная программа (та же pgp — она же обычная программа, а не вирус сама по себе) — что, это так сложно уточнить у клиента он ли является инициатором или это работает вирус?
Но, в общем-то, мне понятно почему всё вот так. Ведь очень удобно «героически» бороться с угрозами, которые не представляют из себя никаких технических сложностей, и потом брать с клиентов деньги типа за защиту, которая по факту полностью бесполезна. Зато клиент доволен — его же защищают! И несет деньги — ему же страшно, а вдруг?
Я не понимаю в чем причина отследить активность диска? Если какая-то программа начала массово править файлы на диске — причем файлы разных типов — то остановить ее и спросить пользователя. Это — сложно? Или надо быть гениальным программистом, чтобы до такого додуматься, спустя несколько лет и кучу эпидемий шифровальщиков?
Да даже когда с диском работает легальная программа (та же pgp — она же обычная программа, а не вирус сама по себе) — что, это так сложно уточнить у клиента он ли является инициатором или это работает вирус?
Но, в общем-то, мне понятно почему всё вот так. Ведь очень удобно «героически» бороться с угрозами, которые не представляют из себя никаких технических сложностей, и потом брать с клиентов деньги типа за защиту, которая по факту полностью бесполезна. Зато клиент доволен — его же защищают! И несет деньги — ему же страшно, а вдруг?
Пользователи такой функционал быстро отключают ибо тормозит\раздражает и вообще это проблема не антивирусов (их вообще не должно быть) а ОС, надо менять архитектуру безопасности на взрослую, сквозной мандатный доступ, то се.
Это не реально. Никому такая ОС и даром не нужна. Именно в полном отсутствии ограничений и есть преимущество windows. Это именно то, что дало ей такую популярность. И любые попытки вводить дополнительные ограничения будут приводить только к падению популярности и оттоку клиентов.
Но проблема — не в ОС. *nix-системы точно так же взламывают через уязвимости ОС, уязвимости софта, подбор паролей и всякое такое. Просто их в целом меньше и проблемы менее заметны глобально.
Так что проблема — она не только и не столько в ОС, сколько в защитном софте, который просто не выполняет своих функций.
Я еще помню 90-е годы и антивирусы, которые могли детектировать неизвестные им вирусы просто на основе их поведения. И лечить, да. Без всяких записей в антивирусных базах, да. И песочница была — для детектирования того самого «неправильного» поведения, да. А потом — как отрезало. С выхода как минимум WinXP (а может и пораньше) — антивирусы начали искать вирусы исключительно на основе записей в антивирусных базах. Тупо по хеш-суммам файлов. Лечение вообще исчезло как класс — только удаление. Ну, тут и вирусы поменялись, лечить стало как бы нечего, однако, какое-то время старое поколение вирусов, заражающих исполняемые файлы продолжало существовать, вот только лечения уже в антивирусах не стало.
А потом пришли блокировщики. Вот скажите мне, в чем сложность найти и блокировать любую программу, запускающуюся по автозагрузке и/или подменяющую explorer на рабочем столе и при этом имеющую размеры окна во весь экран и без кнопок закрытия и меню? Это настолько сложно, что блокировщики, написанные школьниками на дельфи свободно распространялись по всему миру? А «защита» от автозапуска с флешек появилась вообще через год после появления проблемы. Причем придумал ее вообще левый чувак, не имеющий отношения к антивирусным компаниям. Т.е. целый год (а может и больше — я уже точно не помню) антивирусы просто позволяли любому файлу автоматически запускаться с внешних носителей и даже не пытались как-то бороться с проблемой. С той проблемой, которая как раз и должна была бы быть в ведении антивирусов, да. Просто представьте, сколько за этот год у антивирусных компаний появилось новых клиентов — просто потому, что любая флешка могла заразить компьютер очередным блокировщиком!
А сейчас вот шифровальщики… И ровно та же картина: антивирусы нам рассказывают как они героически борются с проблемой (при этом не объясняя, в чем же такая сложность побороть эту беду окончательно), при этом всё «лечение» заключается в добавлении хеша файлов в базы антивирусов. Достаточно немного поменять файл вируса — и всё, антивирусы уже ничего не детектируют и ни от чего не защищают.
О какой-то превентивной защите от угроз я уже даже и не заикаюсь. Причем разницы в защите в антивирусах для дома и для организаций просто нет, они одинаково не справляются с новыми вариантами одних и тех же вирусов.
Антивирусы — бесполезны. Они создают иллюзию защиты за деньги клиентов, при этом ни от чего не защищая.
Но проблема — не в ОС. *nix-системы точно так же взламывают через уязвимости ОС, уязвимости софта, подбор паролей и всякое такое. Просто их в целом меньше и проблемы менее заметны глобально.
Так что проблема — она не только и не столько в ОС, сколько в защитном софте, который просто не выполняет своих функций.
Я еще помню 90-е годы и антивирусы, которые могли детектировать неизвестные им вирусы просто на основе их поведения. И лечить, да. Без всяких записей в антивирусных базах, да. И песочница была — для детектирования того самого «неправильного» поведения, да. А потом — как отрезало. С выхода как минимум WinXP (а может и пораньше) — антивирусы начали искать вирусы исключительно на основе записей в антивирусных базах. Тупо по хеш-суммам файлов. Лечение вообще исчезло как класс — только удаление. Ну, тут и вирусы поменялись, лечить стало как бы нечего, однако, какое-то время старое поколение вирусов, заражающих исполняемые файлы продолжало существовать, вот только лечения уже в антивирусах не стало.
А потом пришли блокировщики. Вот скажите мне, в чем сложность найти и блокировать любую программу, запускающуюся по автозагрузке и/или подменяющую explorer на рабочем столе и при этом имеющую размеры окна во весь экран и без кнопок закрытия и меню? Это настолько сложно, что блокировщики, написанные школьниками на дельфи свободно распространялись по всему миру? А «защита» от автозапуска с флешек появилась вообще через год после появления проблемы. Причем придумал ее вообще левый чувак, не имеющий отношения к антивирусным компаниям. Т.е. целый год (а может и больше — я уже точно не помню) антивирусы просто позволяли любому файлу автоматически запускаться с внешних носителей и даже не пытались как-то бороться с проблемой. С той проблемой, которая как раз и должна была бы быть в ведении антивирусов, да. Просто представьте, сколько за этот год у антивирусных компаний появилось новых клиентов — просто потому, что любая флешка могла заразить компьютер очередным блокировщиком!
А сейчас вот шифровальщики… И ровно та же картина: антивирусы нам рассказывают как они героически борются с проблемой (при этом не объясняя, в чем же такая сложность побороть эту беду окончательно), при этом всё «лечение» заключается в добавлении хеша файлов в базы антивирусов. Достаточно немного поменять файл вируса — и всё, антивирусы уже ничего не детектируют и ни от чего не защищают.
О какой-то превентивной защите от угроз я уже даже и не заикаюсь. Причем разницы в защите в антивирусах для дома и для организаций просто нет, они одинаково не справляются с новыми вариантами одних и тех же вирусов.
Антивирусы — бесполезны. Они создают иллюзию защиты за деньги клиентов, при этом ни от чего не защищая.
Чет я не понял, с начало говорите — давайте введем ограничения на поведение программ — выводить подтверждения на действия, а потом что не надо никаких дополнительных ограничений.
Ну да ладно, я же пишут про то что нужно поменять чтобы снизить ограничения наблюдаемые пользователем с одновременным решением существующих проблем безопасности.
Ну да ладно, я же пишут про то что нужно поменять чтобы снизить ограничения наблюдаемые пользователем с одновременным решением существующих проблем безопасности.
со стороны ОС любой шифровальщик — это нормальная программа делающая что-то полезное. Единственное, что может сделать ОС, это запретить этой программе трогать системные файлы — и то, только если программа запущена не под админской учеткой. Поэтому мне совершенно не понятно, какие у вас претензии к ОС, при том, что проблему неправильных программ решают именно антивирусы.
Вы рассуждаете в рамках существующей (вин, лин) архитектуры безопасности, а в другой архитектуре, шифровальщик будет по прежнему нормальной программой делающей что-то полезное но при этом толком молча ничего не зашифрует, в худшем случае ОС спросит админа а действительно ли надо разрешить шифровать MBR.
Вот, на *nix системах есть rm -rf /* — как вы от предлагаете защищаться от нее? Рядовая команда, просто действие слишком глобальное. И да, даже то, что не удалится до конца сильно владельца ПК не спасет — потому что, то, к чему он имел доступ удалится наверняка. И никакая ОС тут не защитит. И даже если она будет спрашивать при попытке удалить системные файлы этой командой, то никто не мешает ее просто сразу натравить на профиль пользователя. Или запустить по результатам поиска доступных файлов.
В том же и суть современных шифровальщиков — некоторые из них вообще написаны на .bat файлах и используют абсолютно легальную не модифицированную версию программы pgp или любой другой. И от того, что зашифруются только те файлы, к которым юзер имел доступ, сильно легче не станет, уж поверьте.
Я про это и пытаюсь сказать: именно задача антивируса выявлять и предотвращать странное поведение программ. Любых программ! Собственно, многие из них это даже декларируют. И рассказывают нам про песочницу и детектирование аномального поведения. Только за последние лет 17 я ни разу не видел, чтобы антивирусы блокировали бы хоть что-то, чего нет в их базах.
В том же и суть современных шифровальщиков — некоторые из них вообще написаны на .bat файлах и используют абсолютно легальную не модифицированную версию программы pgp или любой другой. И от того, что зашифруются только те файлы, к которым юзер имел доступ, сильно легче не станет, уж поверьте.
Я про это и пытаюсь сказать: именно задача антивируса выявлять и предотвращать странное поведение программ. Любых программ! Собственно, многие из них это даже декларируют. И рассказывают нам про песочницу и детектирование аномального поведения. Только за последние лет 17 я ни разу не видел, чтобы антивирусы блокировали бы хоть что-то, чего нет в их базах.
Команда выполнится только если ее набил человек в консоли в отношении файлов на которые он имеет право удалять, если был скачан sh файл из, допустим, инета она удалит только то что было сделано из под файла sh, даже если запущена по админской учеткой.
Конечно это не защитит от ситуации когда человеку придет емейл с указание выполнить эту команду в консоли, у таких людей будет стоять запрет на консоль.
Смысл в том что носителями прав являются не только учетные записи но и другие объекты ОС, например файлы и не только исполняемые. Некое подобие уже делают, теже разрешения для приложений в мобильных ОС.
Конечно это не защитит от ситуации когда человеку придет емейл с указание выполнить эту команду в консоли, у таких людей будет стоять запрет на консоль.
Смысл в том что носителями прав являются не только учетные записи но и другие объекты ОС, например файлы и не только исполняемые. Некое подобие уже делают, теже разрешения для приложений в мобильных ОС.
Но никто же не мешает вашу консоль подменить. Или передать в нее нажатия клавиш — за счет программы, которая вешает глобальный хук на клавиатуру. Можно даже перехватить реальные нажатия и подменить на свои — переслав их в консоль. И еще миллион способов как передать что-то в программу, у которой есть права. Так что это — не защита :)
И вы пишете:
кто им этот запрет поставит? Дома?
Более-менее близкое к глобальной защите — у подхода эппла в iOS или в модерн-приложениях Windows. Но юзабилити таких систем стремится к нулю — именно из-за вот этих ограничений области действия программ. И именно поэтому iOS есть только на смартфонах, а планшеты с Windows RT вообще не взлетели.
Описанное вами имеет смысл с контролируемой среде, например, в условиях корпоративной сети. Но для большинства обычных пользователей такая защита принесет больше проблем, чем пользы.
И я еще раз говорю: защищаться от неправильного использования обычных программ — это не задача ОС. Ее задача просто из выполнить и не дать вмешаться в работу других выполняющихся программ. Всё. Остальное — задача защитных программ, которые, как мы уже неоднократно видим эту задачу не выполняют вообще, в лучшем случае защищая только от уже прошедших угроз.
И вы пишете:
у таких людей будет стоять запрет на консоль.
кто им этот запрет поставит? Дома?
Более-менее близкое к глобальной защите — у подхода эппла в iOS или в модерн-приложениях Windows. Но юзабилити таких систем стремится к нулю — именно из-за вот этих ограничений области действия программ. И именно поэтому iOS есть только на смартфонах, а планшеты с Windows RT вообще не взлетели.
Описанное вами имеет смысл с контролируемой среде, например, в условиях корпоративной сети. Но для большинства обычных пользователей такая защита принесет больше проблем, чем пользы.
И я еще раз говорю: защищаться от неправильного использования обычных программ — это не задача ОС. Ее задача просто из выполнить и не дать вмешаться в работу других выполняющихся программ. Всё. Остальное — задача защитных программ, которые, как мы уже неоднократно видим эту задачу не выполняют вообще, в лучшем случае защищая только от уже прошедших угроз.
Опять двадцать пять, существующие проблемы юзабилити следствие используемой архитектуры, в другой их будет как минимум меньше чем сейчас.
Подмена консоли не поможет, прав у нее не будет, если же удалось слать нажатия в другую консоль, значит захачили драйвер, антивирус тут тем более не поможет.
А зачем дома консоль? сколько времени понадобится объяснить человеку бездумно исполняющему команды пришедшие по почте, что такое консоль? что мешает в письме указать что если антивирус что-то спросит — ответить — разрешить? и человек дошедший до этой фазы ее скорее всего выполнит.
Вот и получается большинство пользователей отключит это функционал антивируса потому что тормозит\раздражает, те кто не выключит скорее всего надавят разрешить.
Эвристика антивируса спасет «единицы», изменение архитектуры НЕ спасет «единицы».
Подмена консоли не поможет, прав у нее не будет, если же удалось слать нажатия в другую консоль, значит захачили драйвер, антивирус тут тем более не поможет.
А зачем дома консоль? сколько времени понадобится объяснить человеку бездумно исполняющему команды пришедшие по почте, что такое консоль? что мешает в письме указать что если антивирус что-то спросит — ответить — разрешить? и человек дошедший до этой фазы ее скорее всего выполнит.
Вот и получается большинство пользователей отключит это функционал антивируса потому что тормозит\раздражает, те кто не выключит скорее всего надавят разрешить.
Эвристика антивируса спасет «единицы», изменение архитектуры НЕ спасет «единицы».
ну вот тот же петя — он пришел из-за уязвимости ОС. На этом этапе — ни ОС не смогла его заблокировать (в вашей «новой» архитектуре — тоже не смогла бы, потому что уязвимость, да), ни антивирус не смог отдетектить, потому, что новый вирус и вообще пришел по стандартному протоколу (ну, так это выглядит со стороны антивируса). А вот дальше пришедшая программа запустилась и начала трогать файлы по диску. Причем без явной команды пользователя. Сама. И вот тут-то и должен был сработать антивирус с эвристикой. Да-да — не ОС, ее-то уже взломали, а именно антивирус, потому что их вариантов много и вероятность, что хотя бы часть из антивирусов не будет обойдена через какую-то их собственную уязвимость — высока. По крайней мере — для вирусописателей уже возникает дополнительная проблема поиска уязвимости не только в ОС, но еще и во всех антивирусах для этой ОС, причем с учетом нескольких их поколений назад, чтобы в итоге охватить заражением как можно больше систем.
И большинство пользователей — пользуется настройками по умолчанию всегда. Так что никто ничего отключать не будет, можно даже не сомневаться. А единицы, которые это сделали — они не играют существенной роли.
И большинство пользователей — пользуется настройками по умолчанию всегда. Так что никто ничего отключать не будет, можно даже не сомневаться. А единицы, которые это сделали — они не играют существенной роли.
Как раз еслиб была архитектура с мандатным подходом то Петя не пришел бы ни через медок ни через смб, точнее пришел-бы но ничего не зашифровал потому что права у него были-бы только на те файлы которые созданы согласно мандату медок или смб в не интерактивном режиме, т.е. максимум временные файлы и файлы конфигурации этих служб.
И большинство пользователей — пользуется настройками по умолчанию всегда.
И что? это как-то помешает отключить после пары вопросов от антивируса в день? тут UAC массово за меньшее отключают.
Sign up to leave a comment.
Petya и другие. ESET раскрывает детали кибератак на корпоративные сети