Varonis Systems corporate blog
Information Security
System Programming
PowerShell
Visual Basic for Applications
Comments 4
0
Так видят антивирусы этот скрипт или нет?
Обфускация сама по себе не спасение — распутывание кода в антивирусах есть со времен полиморфных вирусов. Типичная фраза из отчета антивирусной компании — «При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ»
0
Конкретно в данном примере отчет с Virus total был неудовлетворительный на дату первоначальной статьи, что собственно и побудило ее написать. В общем же случае этот пример показывает, что зачастую антивирусы не могут обнаружить в почтовом вложении вредонос, который использует запутанные техники обфускации и при этом для выполнения загрузки и укрепления в системе применяются привычные всем администраторам инструменты, начиная от встроенных утилит в составе ОС и заканчивая скриптами на JS и PS. И поэтому не стоит опираться только на защиту периметра, а предположив, что злоумышленники уже внутри периметра организации затруднить их присутствие и постараться обнаружить их с использованием поведенческих моделей и средств оперативного обнаружения угроз.
0
Вывод однозначно правильный — полагаться, что антивирус знает все вирусы никак нельзя.
Тут же как. Антивирус может взять вирус или по записи в базе (которая не обязательно сигнатура) или по поведению. В статье рассматривается случай обнаружения по базе. Тут тоже два варианта. Или мы знаем ситнатуру/признаки вредоносного ПО, которое обфусцировали, или не знаем (в том числе эвристиком). Если не знаем, то обфускация к факту пропуска отношения не имеет. А вот если знаем — то это вопрос к антивирусу, почему он не разобрал обфускацию
0
неспособность традиционных средств защиты периметра остановить такие атаки

По какой причине в вашей организации не используется настройка безопасности, разрешающая только запуск макросов, подписанных сертификатом? Через известные платные приложения можно использовать даже ГОСТовский сертификат для шифрования почты.

Only those users with full accounts are able to leave comments., please.