Varonis Systems corporate blog
Information Security
JavaScript
PowerShell
Comments 12
0

Мне вот интересно, что это за люди, которые скрывают расширения файлов и при этом не считают подозрительным файл, у которого оно не скрыто?..

+1
Простые невнимательные офисники. Условная баба Зоя не будет вдаваться в подробности, настроено ли у нее отображение расширений (по умолчанию — нет), увидела doc — ааа значит документ Word. И всё.
0

Так я к тому, что она, по идее, не должна видеть этот самый doc в нормальных условиях. А значит, цепочка "doc — значит, Word" не должна возникать.

+2
Офисный мыШ стандартный не задумывается, должен он видеть или нет расширение файла. И, зачастую, его даже отличие значка от соседнего «правильного» документа не смущает. Внимательных и аккуратных в обращении с интернетом/почтой сотрудников меньше, чем хотелось бы. Про домашних пользователей вообще молчу.
Я в свое время в большой госконторе админил и в защите информации работал, насмотрелся.
0

Я, видимо, не очень понятно объясняю свою мысль, спрошу чуть иначе: откуда этот самый "стандартный офисный мыш" вообще знает, что такое ".doc"?

0
Ну слова Микрософт Ворд, Эксель, док, икслс они, как правило, в рамках офисной деятельности осаваивают…
0
Знают, потому что им нужно банально сохранять документ. И этот самый «мыш», прекрасно знает, что такое .doc и .docx
0

Они знают разве что кнопку "сохранить". И то зачастую сохраняются только в самом конце работы, но сейчас спасает автосохранение.

0
Не сказал бы. Те же бухи сейчас знают во что надо сохранить файл. тот же экспорт из 1с в .xls. Даже больше скажу, они знают, что такое TeamViewer и даже спокойно могут сказать id.
0
«стандартный офисный мыш» и не знает, он тупо тычет во всё подряд, не пытаясь даже задуматься.
Вот буквально недавно меня вызвали к президенту компании, который упорно пытался запустить с флешки .dll, хотя рядом лежал .exe. Мои жалкие попытки объяснить, что надо делать, разбивались о железный аргумент — «А зачем тогда он тут лежит?» Раз лежит, значит надо запустить.
P.S. Это был какой-то вьювер результатов то ли томограммы, то ли ещё какого-то мед обследования.
0
Как говорится, все новое это хорошо забытое старое. Начинали с батников, пришли к повершеллу.
Только настоящая fileless малварь и обфусцированные скрипты это несколько разные вещи, хоть и имеющие некоторые точки пересечения.
+1
Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell

бестелесное вредоносное ПО это не святой дух, а код записанный не в виде файла, а скажем в реестр или за пределы файловой системы. Или извлекаемый из какого-то хранилища (не хранимый на диске непосредственно) и исполняемый непосредственно в памяти. Тоесть сигнатура у него есть и она выявляется в момент извлечения их хранилища или внедрения эксплойта
Вы же говорите о скриптовых троянах. Файлах, использующих для вредоносной деятельности системные утилиты и компоненты. Типичный пример шифровальщики, использующие битлокер

Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа
.
Вот как это достало. Сигнатурные антивирусы вымерли в момент появления onehalf. Но фразу эту пишут постоянно. Да ловля скриптов дело не простое, но их можно ловить и по сигнатурам и по поведению и по иным признакам

сценарий Visual Basic обфусцируется так, что он свободно уклоняется от антивирусов

Обфускация без полиморфизма возьмется сигнатурой. Вот с полиморфизмом да, сложно будет. А так да, задача решается в лоб — все образцы по сигнатурам в базу
Only those users with full accounts are able to leave comments. , please.