Comments 6
А каким образом служба безопасности Тинькова допустила использование на рабочем месте ПО, которое может такую фигню творить? Да ещё и из обычного вложения в письме?
Т.е. чем руководствовалась компания, когда одобряла использование табличного процессора, который умеет качать файлы из интернета, запускать их, управлять запущенными окнами и т.д.?
У меня два варианта:
а) This is fine.
б) Все так делают и мы так делаем.
-5
Привет, спасибо за вопросы, не совсем понял, причём тут разрешение или запрет запуска ПО, ведь статья все-таки про анализ варианта дроппера. Поясню.
Данный функционал, который используется дроппером, встроен в стандартный механизм excel, мы говорим об этом в статье. В случае, если бы пользователь получил такое письмо, оно в любом случае было бы заблокировано внутренними контролями, а пользователю отобразилось бы сообщение — “Предупреждение системы безопасности. Запуск макросов отключён.“
Еще в статье не упоминается о таком механизме как “использование табличного процессора“, поэтому делать выводы о том, что его разрешали и тем более запрещали, не совсем корректно. В любом случае, в статье присутствуют ссылки и отсылки к официальной документации и функциям, которые встроены в механизм Excel.
Данный функционал, который используется дроппером, встроен в стандартный механизм excel, мы говорим об этом в статье. В случае, если бы пользователь получил такое письмо, оно в любом случае было бы заблокировано внутренними контролями, а пользователю отобразилось бы сообщение — “Предупреждение системы безопасности. Запуск макросов отключён.“
Еще в статье не упоминается о таком механизме как “использование табличного процессора“, поэтому делать выводы о том, что его разрешали и тем более запрещали, не совсем корректно. В любом случае, в статье присутствуют ссылки и отсылки к официальной документации и функциям, которые встроены в механизм Excel.
+2
а расскажите как вы узнали об этом файле? кто-то из сотрудников вам переслал или у вас система обнаружила и отправила на анализ автоматом?
+3
Привет! Внутри компании и на периметре настроены контроли и различные средства защиты информации, которые в случае атаки либо вредоносной активности, сообщают что стоит обратить внимание на аномалию.
+1
А можно как-то групповой политикой отключить исполнение всего этого "добра" в Excel ?
0
Sign up to leave a comment.
Будни Tinkoff Security Operations Center: Анализ одного загрузчика