Comments 14
Мы воспользовались данной возможностью, чтобы показать, как кибер-преступники пытаются проникнуть в корпоративные сети.
… путем засылки исполняемого файла, замаскированного под ворд, который запускает скачивание следующей части атаки? Содержимое которой неизвестно?
Удивительно много новых и неизвестных ходов, несомненно.
Традиционный антивирус не работает против такого типа атак, т.к. они создаются специально под конкретную жертву, при этом хакеры уверены в том, что их вредоносная программа не обнаруживается сигнатурами, проактивными технологиями и другими модулями защиты у тех решений безопасности, которые используются жертвой
Так все-таки, как же именно ваш продукт определил, что идет потенциальное заражение?
+3
Получатель письма обратился с просьбой проанализировать вложение, не открывая его?
Лучшая защита, кстати — просто не открывать вложение, пока не удостоверишься в подлинности отправителя.
Лучшая защита, кстати — просто не открывать вложение, пока не удостоверишься в подлинности отправителя.
+1
Получатель письма обратился с просьбой проанализировать вложение, не открывая его?
И чем эта технология уникальна для рекламируемого продукта?
+1
Я лишь предположил. Мне самому интересно, какой настоящий ответ и чем уникальна технология детектирования таких атак.
0
Если в целом прокомментировать данную ситуацию с этой гостиничной сетью, то хочу обратить внимание на следующее:
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель
2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.
3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель
2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.
3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
+1
Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware).
Ну то есть это банальный AppLocker.
+1
Ну то есть это банальный AppLocker.
Нет, это не банальный appLocker.
1. Режим такой расширенной защиты работает полностью в автоматическом режиме, т.е. администратору не требуется создавать какие-либо правила
2. Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно. При этом облачная база знаний содержит информацию о более чем 1,5 миллиардах невредоносных процессов, ежесекундно обновляясь.
3. Ресурсоемкий анализ процессов работает в облаке, поэтому нет нагрузки на ресурсы компьютера
4. Система позволяет отслеживать развитие каждого процесса и взаимосвязь между его подпроцессами. В этом случае в зависимости от такой «контекстности» поведение защиты может быть разной в зависимости от ситуации, чтобы исключить ложные срабатывания.
-1
AppLocker, по сути своей, это контроль приложений.
Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
0
Мне кажется, простым пользователям давно пора запрещать выполнение любых *.exe файлов, за исключением тех, что установлены системным администратором. Сразу кучу проблем решит, с подобного рода маскировкой exe-шников под документы и картинки.
+2
Я правильно понимаю, что проблема заключалась в том, что во вложении был исполняемый файл, который исполнялся почтовым клиентом не смотря на отсутствие флага "+x" для исполнения?
Я думаю, в этой ситуации не нужны антивирусы, а надо всего лишь не выполнять файлы не помеченные на выполнение.
Я думаю, в этой ситуации не нужны антивирусы, а надо всего лишь не выполнять файлы не помеченные на выполнение.
+1
У них на винде в качестве +x флага выступает .exe расширение по умолчанию. Хотя NTFS и имеет аттрибуты «исполнение», по умолчанию оно разрешено всему
0
Так это, чем городить специальную систему защиты от идиотства в дизайне, может быть, поправить идиотство в дизайне? Например, по-умолчанию не выставлять +x всему? Надо выполнить — поставь флаг. В этом случае почтовый клиент просто технически не сможет «запустить» исполняемое вложение — флаг-то не поставлен.
0
Sign up to leave a comment.
Целенаправленные атаки на гостиничные сети: практический пример