Pull to refresh
  • by relevance
  • by date
  • by rating

Система IEEE Software Taggant: защита от ложных срабатываний антивируса

«Актив» corporate blogInformation SecurityProgramming
image

В этом посте я хочу рассказать о системе IEEE Software Taggant, которую разработала рабочая группа IEEE по вредоносным программам в сотрудничестве с ведущими компаниями по информационной безопасности.
В планы команды разработчиков Guardant давно входило добавить поддержку IEEE Software Taggant в протектор Guardant Armor, и вот наконец мы это сделали. Краткий обзор системы и практические выводы перед вами.
Читать дальше →
Total votes 12: ↑12 and ↓0+12
Views4K
Comments 4

Играем с Nextgen-антивирусом от Palo Alto Networks: он инжектирует свои dll в исполняемые процессы типа *.exe

КРОК corporate blogInformation SecuritySystem administrationServer Administration


Естественно, мы взялись его тестировать, потому что такого зверя ещё не видели.

Жила-была компания «Пало Альто», которая делала довольно неплохие межсетевые экраны уровня enterprise. Далее, в соответствии с технологическим трендом, в состав линейки решений вендора вошла песочница, как облачная, так и частная. До определённого момента и потоковые файерволы, и песочницы на входе закрывали задачу обеспечения ИБ. Но со временем и этого стало мало — появилась концепция «непрерывной защиты», которая требовала для полного счастья ещё и защиты конечных машин, так называемые end-point-решения. «Пало Альто» купила компанию Cyvera и её продукт допилила под себя. Вот так появился Трапс, «антивирус нового поколения».

Трапс инжектирует в исполняемые процессы (например, *.exe) свой код, позволяющий запускать всё в режиме своего рода маленького гипервизора, и смотрит за использованием памяти. Сигнатуры он не проверяет, только ловит странное поведение подконтрольного ПО.

Нет ничего смешнее, чем антивирус, который ведёт себя как вирус и работает даже под WinXP. Эта штука и есть Traps.
Читать дальше →
Total votes 30: ↑29 and ↓1+28
Views22K
Comments 58

Десять лучших антивирусов для Linux

RUVDS.com corporate blogConfiguring LinuxInformation SecuritySystem administrationAntivirus protection
Translation
Операционные системы — это очень сложные конструкции, в которых находится место для ошибок, проблем и других нежелательных явлений. Особые опасения вызывают искусственно созданные «явления», которые мы называем вирусами, троянскими конями, сетевыми червями и шпионскими программами. Операционные системы семейства Linux считаются неплохо защищёнными от подобного рода проблем, но вероятность их возникновения далеко не нулевая. Для защиты от вредоносного ПО специалисты по безопасности разрабатывают программы, которые обычно называют антивирусами.



Сегодня мы рассмотрим десять лучших антивирусов для Linux. В Сети можно найти немало рассуждений о «самых лучших антивирусах», но мы полагаем, что доверять стоит не рассуждениям, а фактам. Программы, представленные здесь, отлично показали себя в независимых исследованиях, и именно поэтому они попали в этот обзор.
Читать дальше →
Total votes 57: ↑30 and ↓27+3
Views99K
Comments 130

Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal

Information SecurityAbnormal programmingAntivirus protection


Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.
Читать дальше →
Total votes 60: ↑57 and ↓3+54
Views35K
Comments 126

Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 1. Выбор стратегии и решения

ZYXEL в России corporate blogInformation SecuritySystem administrationAntivirus protectionServer Administration
Наверное, не стоит много писать о необходимости уделять внимание ИТ безопасности и что будет, если этого не делать. Поэтому сразу перейдём к делу. В рамках одного из проектов понадобилось организовать комплексную защиту одной из сетевых ИТ-инфраструктур.
Читать дальше →
Total votes 7: ↑7 and ↓0+7
Views8.6K
Comments 4

Дистанционный индикатор вирусоносителей

Спецлаб corporate blog
Recovery mode
По всем каналам СМИ сегодня транслируются видеорепортажи, в которых явно можно узнать лейблы «Спецлаб» и «GOALcity»



Эта система, установленная на вокзалах и в аэропортах, позволяет в автоматическом режиме выявлять больных людей, прибывающих в нашу страну. В прошлые годы GOALcity уже потрудилась при профилактике птичьего и свиного гриппа, теперь стоит задача – не пустить коронавирус в Россию. Что может сказать хорошего разработчик?

image
Читать дальше →
Total votes 7: ↑4 and ↓3+1
Views4.1K
Comments 11

Если на свою беду вы накликали Baidu

iCover.ru corporate blogSoftwareDesktop PC'sIT-companies



”Baidu”, — этот зверь в семействе программ — вредоносов разместился особнячком, да и классическим вирусом по определению и поведению его назвать сложно. Свернувшись клубочком, он терпеливо поджидает тех, кто загружает как сомнительный, так и вполне полезный контент и, не раздумывая, запрыгивает на ходу, чаще без ведома пользователя, не оставляя никакой возможности согласиться или отказаться от его установки. О симптомах Baidu и о том, как корректно избавиться от навязчивого гостя из Поднебесной вы узнаете, прочитав нашу статью.
Читать дальше →
Total votes 27: ↑24 and ↓3+21
Views54K
Comments 24

Злоупотребление правом или как легко отнять фанатское сообщество (на примере антивируса Dr. WEB)

SoftwareSocial networks and communities
История о том, как я создал и развивал фанатскую группу, и как ее у меня отобрали.

«… Ты человек жестокий: берешь, чего не клал, и жнешь, чего не сеял».
От Луки (гл. 19, ст. 21):

В далеком 2007 году я на добровольных началах, не являясь сотрудником фирмы Доктор Веб (c одобрения ее сотрудников, с которыми я общался на официальном форуме), создал фанатскую группу во Вконтакте vk.com/drwebuser (обратите внимание на адрес группы, я оставил возможность фирме создать vk.com/drweb), объединяющую «счастливых» пользователей антивирусных продуктов данной компании. На самом деле не всегда счастливых, а часто заложников этих продуктов, потому что решения о выборе антивирусного ПО, часто принимаются руководителями организаций, и у юзеров не остается выбора чем пользоваться. Поэтому кроме развития данной группы, я добровольно и без вознаграждения длительное время в ней занимался технической и моральной поддержкой пользователей антивирусов Доктор Веб.



Почему я вообще создал подобную группу? Потому что меня интересовала антивирусная защита и методы борьбы с вирусами, и профессиональный своевременный обмен опытом на данную тему. Это ведь была золотая эпоха зарождения и расцвета винлокеров и USB-авторанеров. И я не одну организацию избавил от этих напастей и не мало неизвестных семплов послал в антивирусную лабораторию Доктора Веба.
Читать дальше →
Total votes 159: ↑147 and ↓12+135
Views72K
Comments 208

Баннер-вымогатель — казнить, нельзя помиловать

iCover.ru corporate blogComputer hardwareSocial networks and communities
Tutorial
Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.

Баннер-вымогатель
Читать дальше →
Total votes 28: ↑19 and ↓9+10
Views24K
Comments 41

CRISPR/Cas как сигнатурный антивирус. Часть 2

Popular scienceBiotechnologies
Продолжаем разбираться в иммунитете бактерий CRISPR/Cas через сравнение с антивирусом, подробнее рассматриваем механизмы распознавания и нейтрализации вирусов.



Читать дальше →
Total votes 11: ↑11 and ↓0+11
Views6.4K
Comments 10

Более миллиона пользователей Google Play скачали фальшивое приложение WhatsApp

Smartphones

Фальшивое приложение слева, настоящее справа

В каталоге Google Play вполне реально зарегистрировать вредоносное приложение и распространить его на огромную аудиторию пользователей Android-смартфонов. Это было известно и раньше, и вот теперь очередное подтверждение: более миллиона пользователей скачали из «защищённого» и «безопасного» каталога фальшивое приложение WhatsApp.

Скачало бы и больше, но 3 ноября 2017 года фальшивку обнаружили бдительные пользователи Reddit. Разумеется, после этого приложение удалили из каталога.
Читать дальше →
Total votes 34: ↑33 and ↓1+32
Views30K
Comments 56

Пользователи негодуют, что Chrome сканирует файлы на локальном диске

Software
На прошлой неделе отдельные пользователи браузера Chrome подняли тревогу. Утилита диагностики Sysinternals показала, что процесс chrome.exe считывает файлы на локальном диске.



Характер активности процесса даёт понять, что chrome.exe выполняет, скорее всего, антивирусное сканирование. Но зачем браузер занимается такой работой? Некоторых возмутило, что Chrome начал это без уведомления — и даже не спросил разрешения на доступ к папке «Мои документы». В наше время это выглядит крайне подозрительно.
Читать дальше →
Total votes 68: ↑67 and ↓1+66
Views83K
Comments 322

Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 3

ZYXEL в России corporate blogInformation SecuritySystem administrationAntivirus protection
Recovery mode

В этой части мы продолжим описание решения многоступенчатой защите на основе шлюзов USG Performance Series, в частности, Zyxel USG40W. Предыдущие части: первая и вторая. Но в начале стоит вспомнить о причинах, которые побуждают системных администраторов, специалистов по ИТ-безопасности использовать подобные устройства.

Далее мы перейдём к описанию Zyxel USG40W, взяв за основу оба варианта web-интерфейса: «Простой Режим» и «Режим Опытного Пользователя».
Читать дальше →
Total votes 6: ↑6 and ↓0+6
Views4.3K
Comments 3

Преимущества анализа приложений 7 уровня в межсетевых экранах. Часть 1. Основы

Information SecurityNetwork technologies

Новое поколение межсетевых экранов удобнее и безопаснее, благодаря новой архитектуре движка и новой идеологии управления сетевыми потоками.

Почему появилась эта статья?

Неоднократно приходил к коллегам-безопасникам, которые пользуются межсетевым экраном нового поколения и видел, что они продолжают писать правила по номерам портов. На мое предложение перейти писать по имени приложений, слышал «А вдруг так не заработает?». Если вам тоже «страшно» или непонятно зачем писать правила по приложениям, от эта статья для вас.

Читать дальше →
Total votes 14: ↑12 and ↓2+10
Views16K
Comments 23

Преимущества анализа приложений 7 уровня в межсетевых экранах. Часть 2. Безопасность

Information SecurityNetwork technologies


Новое поколение межсетевых экранов удобнее и безопаснее, благодаря новой архитектуре движка и новой идеологии управления сетевыми потоками.

Почему появилась эта статья?


Неоднократно приходил к коллегам-безопасникам, которые пользуются межсетевым экраном нового поколения и видел, что они продолжают писать правила по номерам портов. На мое предложение перейти писать по имени приложений, слышал «А вдруг так не заработает?». Если вам тоже «страшно» или непонятно зачем писать правила по приложениям, от эта статья для вас.
Читать дальше →
Total votes 22: ↑19 and ↓3+16
Views8.3K
Comments 9

Как взломать завод: системы радиоуправления как слабое звено современного производства

Trend Micro corporate blogInformation SecurityAntivirus protection
Sandbox


Компания Trend Micro выпустила исследование, в котором рассмотрела уязвимости системы дистанционного радиоуправления промышленного оборудования и то, насколько просто злоумышленники могут их использовать для атак на промышленные объекты

Недавно мы (специалисты Trend Micro) опубликовали результаты очередного исследования, которое на этот раз касается систем дистанционного радиоуправления, используемых для работы с промышленным оборудованием. В ходе исследования мы протестировали оборудование от семи крупных вендоров, чтобы найти уязвимости в системах его защиты, и способы, которыми преступники могут воспользоваться, желая перехватить управление этим оборудованием. И нашли, что характерно, и уязвимости, и способы. Потенциально их можно использовать для саботажа производства, воровства и даже шантажа.
Читать дальше →
Total votes 25: ↑25 and ↓0+25
Views6.6K
Comments 5

В каких приложениях ждать неизвестный вредоносный код?

Information SecuritySystem administration
Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. В первом столбце имя приложения. Во втором столбце указано сколько дней в году в этом приложении выдели zero-day. В третьем столбце — число сессий этого приложения или по сути число семплов в год. Статистика взята за весь 2018 год с января по декабрь.

Интересно, что есть приложения, по которым вредоносный код ходит редко, — например, приложение SOAP, но там его видят каждый день. Есть где каждый день и в больших объемах. Я на своем опыте вижу, что самые частые приложения для проверки в песочницах — SMTP и web-browsing. Остальные приложения, как правило, игнорируются. Скорее всего атаки и проходят как раз там, где их не ждут.
Читать дальше →
Total votes 17: ↑11 and ↓6+5
Views2.4K
Comments 3

Фишки VS Угрозы технологии контейнеризации

Trend Micro corporate blogInformation SecurityAntivirus protectionProgramming
Использование контейнеров для разработки и развёртывания софта давно превратилось в стандартную практику. Возможность с лёгкостью обеспечить программе стандартное окружение, независимое от хоста, на котором она выполняется, быстро изменить настройки, добавить или изменить какие-то компоненты в контейнере, оценили многие разработчики. А ведь это лишь малая часть всех фишек, которые даёт технология контейнеризации.



Как всегда, развитие технологии и рост её популярности сопровождаются выявлением различных способов нестандартного использования, в том числе и вредоносного. В этой статье мы также рассмотрим угрозы безопасности процесса разработки, связанные с использованием контейнеров, и поговорим о том, почему процессы DevOps следует трансформировать в DevSecOps.
Читать дальше →
Total votes 15: ↑12 and ↓3+9
Views3.5K
Comments 2