О пользе security awareness programs
Apr. 21st, 2016 11:37 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineКомпания получила рассылку Драйдекса, потому что почтовый фронтэнд его пропустил.
Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.
Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.
И о перспективах детекции Драйдекса антивирусами:
Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.
Выводы наши читатели делают сами
Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.
Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.
И о перспективах детекции Драйдекса антивирусами:
Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.
Выводы наши читатели делают сами
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-04-21 05:57 pm (UTC)1. Шлюз в любом случае пропустит 0day сабж в виде docx
2. Антивирус на Exch - тоже
3. Антивирус на компе - тоже
4. И только если в GPO стоит "НАХУЙ не подписанные нашим сертификатом макросы" есть шанс не подцепить
5. Ну и SRP понятно
Кстати вот тут парни делают отличную штуку)
https://www.foolishit.com/cryptoprevent-malware-prevention/
Как минимум позволяет выцепить целый список грамотных масок для SRP в сером режиме
no subject
Date: 2016-04-21 06:52 pm (UTC)А потом этот человек интересуется, как так у него в /23 сети конфликт включается.
Вовней, не расстраивайся! если к вам такое придет - смело ребутай сервер!
no subject
Date: 2016-04-21 07:19 pm (UTC)no subject
Date: 2016-04-21 06:57 pm (UTC)5 у нас не помогло, пока разбираются как и чо, используется проприетарная софтина ну то же самое что и СРП, только круче и с центральной консолью для мониторинга и политик.
Драйдекс дело в том что это длл, у которой расширение тмп, запускается при помощи рандлл и встраивается в эксплорер.ехе, поэтому в списке процессов его не найти
no subject
Date: 2016-04-21 07:17 pm (UTC)т.е. зловред стартует штатную rundll32.exe + dll из папки %temp%??? вот сука такая!!!!
no subject
Date: 2016-04-21 07:38 pm (UTC)no subject
Date: 2016-04-21 06:36 pm (UTC)Может там из 1000 человек открыло-бы 500, а не 100.
Но в целом да, хреново :(
no subject
Date: 2016-04-21 06:52 pm (UTC)no subject
Date: 2016-04-21 07:18 pm (UTC)no subject
Date: 2016-04-21 07:37 pm (UTC)манда расшарила для подруги программулечку, да или ворд док, хехе с макросами, и привет, подруга завтра файло откроет
или например менетшер с админ правами
на флешку влезет
есть ещё вектор, чуваки на работе мобылу заряжают, а она по дефолту или мтп или сторадж или ваще андроед дивайс с включенным дебаг интерфейсом и рутованный
или не, коннектится в ц унд ц сорвер, выдаёт версии софтов и кочает 0дэй пэйлоады для смб, самбы и прочего домена
no subject
Date: 2016-04-21 07:44 pm (UTC)Я думал - шифровальщик, да еще и самораспространяемый
no subject
Date: 2016-04-21 07:53 pm (UTC)no subject
Date: 2016-04-21 07:37 pm (UTC)no subject
Date: 2016-04-21 07:40 pm (UTC)no subject
Date: 2016-04-21 07:40 pm (UTC)no subject
Date: 2016-04-21 07:48 pm (UTC)no subject
Date: 2016-04-21 07:49 pm (UTC)-
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008
-
Тут дело даже не боевым репостом пахнет ..
no subject
Date: 2016-04-21 08:21 pm (UTC)С ноября по март я как раз был без работы, кризис же
no subject
Date: 2016-04-22 07:17 pm (UTC)no subject
Date: 2016-04-22 07:26 pm (UTC)no subject
Date: 2016-04-22 07:28 pm (UTC)no subject
Date: 2016-04-22 07:31 pm (UTC)поднялся, в Мск переехал
все пучком
no subject
Date: 2016-04-22 07:48 pm (UTC)no subject
Date: 2016-04-21 07:43 pm (UTC)no subject
Date: 2016-04-21 08:03 pm (UTC)Edit: Nvm, я понял, это внутренний номер, название штата сверху, и разрешения камеры не хватает, чтобы его рассмотреть.
no subject
Date: 2016-04-22 04:06 pm (UTC)http://pikabu.ru/story/komanda_dlya_obkhoda_windows_applocker_umeshchaetsya_v_odin_tvit_4152504
no subject
Date: 2016-04-22 04:33 pm (UTC)no subject
Date: 2016-04-22 05:51 pm (UTC)no subject
Date: 2016-04-22 07:20 pm (UTC)no subject
Date: 2016-04-22 10:01 pm (UTC)Хипс должен был алертнуть на нечто, врубающее из темпа рандлл, не? Или на клиентах ничего не стоит?
no subject
Date: 2016-04-22 10:35 pm (UTC)В отношении ХИПС тут зоопарк, есть транзишн от одного АВ вендора к другому, который продолжается уже 9 месяцев и хз ещё сколько протянется, поэтому половина хостов там, половина здесь, есть поглощённые компании со своими антивирусами до сих пор не переведённые на мэйнстримный, есть разные антивирусы на разных типах эндпоинтов по лицензионным соображениям и т.п. Некоторые из этих антивирусов тупые (Майкрософтовский) некоторые продвинутые (ТМОС и Каспер). В начале месяца не ловил никто, щас подтягиваются, но плохо. Дело в том, что используется какая-то полиморфная технология, поэтому штаммы разного размера и т.п. Т.к. малварь мультифункциональная я думаю, что в разных файлах могут быть разные модули. На всех инфицированных есть хотя бы один файл, а на некоторых есть по нескольку, все разные. Если их кормить антивирусам в т.ч. с ХИПС функционалом -- на некоторые срабатывают, на некоторые нет.
Рандлл32-то штатный, он не запускается из темп. Он запускается, как и положено, из %виндир%\систем32, а вот длл-ка с расширением .тмп запускается из юзерпрофайла.
Вполне допускаю, что теоретически можно отследить малварь поступающую так, но это будет непросто, т.к. её нужно будет отличать, как минимум, от этой тройки мудаков: Гуглохром, Сиско Вебекс, Ситрикс Го2Митинг, все из которых работают или могут работать из юзерпрофайла, срав на Майкрософтовские рекомендации. А многие юзеры в десктоп толкают всякое говно для разработки и просто какой-то непонятный софт. Проще всего тут просто запретить запуск любых неподписанных экзекьютаблов из юзерпрофайла, но начальство отказывается идти на эту меру, т.к. пойдёт вонь от юзеров, которые будут гундосить начальству, начальство начальству и т.д., в результате начальство нашего начальства придёт и надаёт ему по башке, а зачем ему это надо? Вы что, хотите чтобы оно не получило своих бонусов за год, хехе
no subject
Date: 2016-04-23 10:30 am (UTC)Проще всего да, административно и позапрещать ставить непонятный софт без обоснования необходимости. Зоопарк разведут. Но если под угрозой бонусы, то понятно. Лучше схватить xtbl, да.
Однако если какая-то неподписанная хрень из тмп занимается этим, хипсу уже должно показаться странным. Вес такого объекта высок.
no subject
Date: 2016-04-23 03:27 pm (UTC)Это очень верно. Слава идиотам, с одной стороны, и русским хакерам, с другой стороны