leo_sosnine: (Default)
leo_sosnine ([personal profile] leo_sosnine) wrote2016-04-21 11:37 am
  • Add Memory
  • Share This Entry
Entry tags:

О пользе security awareness programs

Компания получила рассылку Драйдекса, потому что почтовый фронтэнд его пропустил.

Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.

Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.

И о перспективах детекции Драйдекса антивирусами:



Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.

Выводы наши читатели делают сами
Threaded | Top-Level Comments Only

[identity profile] vovney.livejournal.com 2016-04-21 05:57 pm (UTC)(link)
Так а защита какая?

1. Шлюз в любом случае пропустит 0day сабж в виде docx
2. Антивирус на Exch - тоже
3. Антивирус на компе - тоже
4. И только если в GPO стоит "НАХУЙ не подписанные нашим сертификатом макросы" есть шанс не подцепить
5. Ну и SRP понятно

Кстати вот тут парни делают отличную штуку)
https://www.foolishit.com/cryptoprevent-malware-prevention/
Как минимум позволяет выцепить целый список грамотных масок для SRP в сером режиме
Edited 2016-04-21 17:57 (UTC)

[identity profile] ctapnep.livejournal.com 2016-04-21 06:36 pm (UTC)(link)
О пользе security awareness programs можно говорить только по сравнении с другой организацией, где такой программы не проводилось.
Может там из 1000 человек открыло-бы 500, а не 100.
Но в целом да, хреново :(

[identity profile] leo-sosnine.livejournal.com 2016-04-21 06:52 pm (UTC)(link)
Проблема в том, что в достаточно большой организации всегда найдётся хотя бы один идиот, остановить которого будет невозможно. А дальше внутри сетки Драйдекс расползается самостоятельно и с неплохой эффективностью.

[identity profile] scif-yar.livejournal.com 2016-04-21 06:52 pm (UTC)(link)
Инфобезопасник в треде.
А потом этот человек интересуется, как так у него в /23 сети конфликт включается.

Вовней, не расстраивайся! если к вам такое придет - смело ребутай сервер!

[identity profile] leo-sosnine.livejournal.com 2016-04-21 06:57 pm (UTC)(link)
4 ок, но трудно в крупной компании, дохера везде всяких макросов наработано за десятки лет работы, проект по подписыванию их всех и по обучению тех кто их разрабатывает и поддерживает подписывать новые версии это блин работы на год

5 у нас не помогло, пока разбираются как и чо, используется проприетарная софтина ну то же самое что и СРП, только круче и с центральной консолью для мониторинга и политик.

Драйдекс дело в том что это длл, у которой расширение тмп, запускается при помощи рандлл и встраивается в эксплорер.ехе, поэтому в списке процессов его не найти

[identity profile] vovney.livejournal.com 2016-04-21 07:17 pm (UTC)(link)
что это длл, у которой расширение тмп

т.е. зловред стартует штатную rundll32.exe + dll из папки %temp%??? вот сука такая!!!!

[identity profile] vovney.livejournal.com 2016-04-21 07:18 pm (UTC)(link)
Да как расползается-то????

[identity profile] volodymir-k.livejournal.com 2016-04-21 07:37 pm (UTC)(link)
ёба, как дети
манда расшарила для подруги программулечку, да или ворд док, хехе с макросами, и привет, подруга завтра файло откроет

или например менетшер с админ правами

на флешку влезет

есть ещё вектор, чуваки на работе мобылу заряжают, а она по дефолту или мтп или сторадж или ваще андроед дивайс с включенным дебаг интерфейсом и рутованный

или не, коннектится в ц унд ц сорвер, выдаёт версии софтов и кочает 0дэй пэйлоады для смб, самбы и прочего домена

[identity profile] scif-yar.livejournal.com 2016-04-21 07:37 pm (UTC)(link)
вовней, походу, проспал кидо

[identity profile] leo-sosnine.livejournal.com 2016-04-21 07:38 pm (UTC)(link)
yep

[identity profile] vovney.livejournal.com 2016-04-21 07:40 pm (UTC)(link)
Вовней походу был во главе борьбы с кило весной 2009))))

[identity profile] vovney.livejournal.com 2016-04-21 07:40 pm (UTC)(link)
Бля, с кидо конечно же

[identity profile] leo-sosnine.livejournal.com 2016-04-21 07:43 pm (UTC)(link)
Пока могу подтвердить только рассылки через аутлук. Т.е. вызывает юзерский аутлук, выбирает набор контактов из контакт-листа и рассылает документик с макросами. Поскольку почтоящик абсолютно легальный и доверенный, и партнёры и сотрудники той же компании испытывают повышенное доверие к такому письму. Да оно вообще от начальника прийти может.

[identity profile] vovney.livejournal.com 2016-04-21 07:44 pm (UTC)(link)
А, ну это-то понятно
Я думал - шифровальщик, да еще и самораспространяемый

[identity profile] scif-yar.livejournal.com 2016-04-21 07:48 pm (UTC)(link)
Боевым репостом чтоли ударял ?

[identity profile] scif-yar.livejournal.com 2016-04-21 07:49 pm (UTC)(link)
>весной 2009))))
-
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008
-
Тут дело даже не боевым репостом пахнет ..

[identity profile] leo-sosnine.livejournal.com 2016-04-21 07:53 pm (UTC)(link)
there is a crypto ransomware with worm functionality out there, it's called samsam

[identity profile] chescot.livejournal.com 2016-04-21 08:03 pm (UTC)(link)
На лайсенз плэйте написано CRJ 808 - это какой может быть штат?

Edit: Nvm, я понял, это внутренний номер, название штата сверху, и разрешения камеры не хватает, чтобы его рассмотреть.
Edited 2016-04-21 20:37 (UTC)

[identity profile] vovney.livejournal.com 2016-04-21 08:21 pm (UTC)(link)
Ой ну не надо тут выпендриваться)
С ноября по март я как раз был без работы, кризис же

[identity profile] leo-sosnine.livejournal.com 2016-04-22 04:33 pm (UTC)(link)
ахтунг ваще

[identity profile] vovney.livejournal.com 2016-04-22 05:51 pm (UTC)(link)
жесть

[identity profile] scif-yar.livejournal.com 2016-04-22 07:17 pm (UTC)(link)
Инфобезопасники вовней-класс нинужны ?

[identity profile] scif-yar.livejournal.com 2016-04-22 07:20 pm (UTC)(link)
Прелесть!

[identity profile] vovney.livejournal.com 2016-04-22 07:26 pm (UTC)(link)
Я тогда не был безопасником)

[identity profile] scif-yar.livejournal.com 2016-04-22 07:28 pm (UTC)(link)
можно подумать сейчас стал.

[identity profile] vovney.livejournal.com 2016-04-22 07:31 pm (UTC)(link)
пффф, ессно
поднялся, в Мск переехал
все пучком

[identity profile] scif-yar.livejournal.com 2016-04-22 07:48 pm (UTC)(link)
сертификат предъявите к осмотру.

[identity profile] xyrr.livejournal.com 2016-04-22 10:01 pm (UTC)(link)
По идее, учитывая метод распространения, эвристику откидывать не стоит. Сигнатурой или эвристикой, обнаруженное пойдёт по правилам ав либо в карантин, либо в блок и терминейт с алертом.

Хипс должен был алертнуть на нечто, врубающее из темпа рандлл, не? Или на клиентах ничего не стоит?

[identity profile] leo-sosnine.livejournal.com 2016-04-22 10:35 pm (UTC)(link)
Не стоит, согласен. Моя бы воля, я бы рубил вообще любые письма с аттачментами для офиса, которые содержат макросы. Нормальные люди не шлют офисные документы с макросами по почте.

В отношении ХИПС тут зоопарк, есть транзишн от одного АВ вендора к другому, который продолжается уже 9 месяцев и хз ещё сколько протянется, поэтому половина хостов там, половина здесь, есть поглощённые компании со своими антивирусами до сих пор не переведённые на мэйнстримный, есть разные антивирусы на разных типах эндпоинтов по лицензионным соображениям и т.п. Некоторые из этих антивирусов тупые (Майкрософтовский) некоторые продвинутые (ТМОС и Каспер). В начале месяца не ловил никто, щас подтягиваются, но плохо. Дело в том, что используется какая-то полиморфная технология, поэтому штаммы разного размера и т.п. Т.к. малварь мультифункциональная я думаю, что в разных файлах могут быть разные модули. На всех инфицированных есть хотя бы один файл, а на некоторых есть по нескольку, все разные. Если их кормить антивирусам в т.ч. с ХИПС функционалом -- на некоторые срабатывают, на некоторые нет.

Рандлл32-то штатный, он не запускается из темп. Он запускается, как и положено, из %виндир%\систем32, а вот длл-ка с расширением .тмп запускается из юзерпрофайла.

Вполне допускаю, что теоретически можно отследить малварь поступающую так, но это будет непросто, т.к. её нужно будет отличать, как минимум, от этой тройки мудаков: Гуглохром, Сиско Вебекс, Ситрикс Го2Митинг, все из которых работают или могут работать из юзерпрофайла, срав на Майкрософтовские рекомендации. А многие юзеры в десктоп толкают всякое говно для разработки и просто какой-то непонятный софт. Проще всего тут просто запретить запуск любых неподписанных экзекьютаблов из юзерпрофайла, но начальство отказывается идти на эту меру, т.к. пойдёт вонь от юзеров, которые будут гундосить начальству, начальство начальству и т.д., в результате начальство нашего начальства придёт и надаёт ему по башке, а зачем ему это надо? Вы что, хотите чтобы оно не получило своих бонусов за год, хехе

[identity profile] xyrr.livejournal.com 2016-04-23 10:30 am (UTC)(link)
Нормальные люди и не открывают такие аттачи с разрешением макросов, но были б люди нормальными, кое у кого не было бы фронта работ.

Проще всего да, административно и позапрещать ставить непонятный софт без обоснования необходимости. Зоопарк разведут. Но если под угрозой бонусы, то понятно. Лучше схватить xtbl, да.

Однако если какая-то неподписанная хрень из тмп занимается этим, хипсу уже должно показаться странным. Вес такого объекта высок.

[identity profile] leo-sosnine.livejournal.com 2016-04-23 03:27 pm (UTC)(link)
Нормальные люди и не открывают такие аттачи с разрешением макросов, но были б люди нормальными, кое у кого не было бы фронта работ.

Это очень верно. Слава идиотам, с одной стороны, и русским хакерам, с другой стороны
Threaded | Top-Level Comments Only