Pull to refresh

Comments 5

Так видят антивирусы этот скрипт или нет?
Обфускация сама по себе не спасение — распутывание кода в антивирусах есть со времен полиморфных вирусов. Типичная фраза из отчета антивирусной компании — «При создании троянца злоумышленники использовали обфускацию кода и приемы антиотладки, чтобы избежать детектирования антивирусами и затруднить его анализ»
Конкретно в данном примере отчет с Virus total был неудовлетворительный на дату первоначальной статьи, что собственно и побудило ее написать. В общем же случае этот пример показывает, что зачастую антивирусы не могут обнаружить в почтовом вложении вредонос, который использует запутанные техники обфускации и при этом для выполнения загрузки и укрепления в системе применяются привычные всем администраторам инструменты, начиная от встроенных утилит в составе ОС и заканчивая скриптами на JS и PS. И поэтому не стоит опираться только на защиту периметра, а предположив, что злоумышленники уже внутри периметра организации затруднить их присутствие и постараться обнаружить их с использованием поведенческих моделей и средств оперативного обнаружения угроз.
Вывод однозначно правильный — полагаться, что антивирус знает все вирусы никак нельзя.
Тут же как. Антивирус может взять вирус или по записи в базе (которая не обязательно сигнатура) или по поведению. В статье рассматривается случай обнаружения по базе. Тут тоже два варианта. Или мы знаем ситнатуру/признаки вредоносного ПО, которое обфусцировали, или не знаем (в том числе эвристиком). Если не знаем, то обфускация к факту пропуска отношения не имеет. А вот если знаем — то это вопрос к антивирусу, почему он не разобрал обфускацию
неспособность традиционных средств защиты периметра остановить такие атаки

По какой причине в вашей организации не используется настройка безопасности, разрешающая только запуск макросов, подписанных сертификатом? Через известные платные приложения можно использовать даже ГОСТовский сертификат для шифрования почты.

Sign up to leave a comment.