О пользе security awareness programs

[leo_sosnine]

Компания получила рассылку Драйдекса, потому что почтовый фронтэнд его пропустил.

Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.

Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.

И о перспективах детекции Драйдекса антивирусами:



Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.

Выводы наши читатели делают сами

Comments

[xyrr.livejournal.com]

По идее, учитывая метод распространения, эвристику откидывать не стоит. Сигнатурой или эвристикой, обнаруженное пойдёт по правилам ав либо в карантин, либо в блок и терминейт с алертом.

Хипс должен был алертнуть на нечто, врубающее из темпа рандлл, не? Или на клиентах ничего не стоит?

[leo-sosnine.livejournal.com]

Не стоит, согласен. Моя бы воля, я бы рубил вообще любые письма с аттачментами для офиса, которые содержат макросы. Нормальные люди не шлют офисные документы с макросами по почте.

В отношении ХИПС тут зоопарк, есть транзишн от одного АВ вендора к другому, который продолжается уже 9 месяцев и хз ещё сколько протянется, поэтому половина хостов там, половина здесь, есть поглощённые компании со своими антивирусами до сих пор не переведённые на мэйнстримный, есть разные антивирусы на разных типах эндпоинтов по лицензионным соображениям и т.п. Некоторые из этих антивирусов тупые (Майкрософтовский) некоторые продвинутые (ТМОС и Каспер). В начале месяца не ловил никто, щас подтягиваются, но плохо. Дело в том, что используется какая-то полиморфная технология, поэтому штаммы разного размера и т.п. Т.к. малварь мультифункциональная я думаю, что в разных файлах могут быть разные модули. На всех инфицированных есть хотя бы один файл, а на некоторых есть по нескольку, все разные. Если их кормить антивирусам в т.ч. с ХИПС функционалом -- на некоторые срабатывают, на некоторые нет.

Рандлл32-то штатный, он не запускается из темп. Он запускается, как и положено, из %виндир%\систем32, а вот длл-ка с расширением .тмп запускается из юзерпрофайла.

Вполне допускаю, что теоретически можно отследить малварь поступающую так, но это будет непросто, т.к. её нужно будет отличать, как минимум, от этой тройки мудаков: Гуглохром, Сиско Вебекс, Ситрикс Го2Митинг, все из которых работают или могут работать из юзерпрофайла, срав на Майкрософтовские рекомендации. А многие юзеры в десктоп толкают всякое говно для разработки и просто какой-то непонятный софт. Проще всего тут просто запретить запуск любых неподписанных экзекьютаблов из юзерпрофайла, но начальство отказывается идти на эту меру, т.к. пойдёт вонь от юзеров, которые будут гундосить начальству, начальство начальству и т.д., в результате начальство нашего начальства придёт и надаёт ему по башке, а зачем ему это надо? Вы что, хотите чтобы оно не получило своих бонусов за год, хехе

[xyrr.livejournal.com]

Нормальные люди и не открывают такие аттачи с разрешением макросов, но были б люди нормальными, кое у кого не было бы фронта работ.

Проще всего да, административно и позапрещать ставить непонятный софт без обоснования необходимости. Зоопарк разведут. Но если под угрозой бонусы, то понятно. Лучше схватить xtbl, да.

Однако если какая-то неподписанная хрень из тмп занимается этим, хипсу уже должно показаться странным. Вес такого объекта высок.

[leo-sosnine.livejournal.com]

Нормальные люди и не открывают такие аттачи с разрешением макросов, но были б люди нормальными, кое у кого не было бы фронта работ.

Это очень верно. Слава идиотам, с одной стороны, и русским хакерам, с другой стороны