![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineПогонял в сэндбоксе, у них теперь всё по-другому, моя прошлогодняя статья для целей детекции щас вполне бесполезна.
Что-то они улучшили, а что-то ухудшили. Неохота описывать детально.
Но вцелом вполне качественная работа, уважайу, традиционные антивирусы вполне бесполезны. Некст джен типа краудстрайка и файрай должны ловить, но у нас их нет. Будет вскоре пилот Файрай ХэИкс, там посмотрим. Но общий уровень скрытности будет поменьше чем у ковтера и poweliks.
Напейсал скриптик и затолкал в СЦЦМ, жду отчёта. Грубо говоря, проверяю, если родитель svchost.exe не services.exe то non-compliant. Всё остальное compliant. Можно было ещё по много чему проверять: svchost.exe выполняетяся в консольной сессии (не должен), выполняется с уровнем интегрити медиум (должен хай) и т.п. мелочи.
Распространяется, судя по всему, только через малспам. Т.е. предотвращение -- не надо запускать непонятные файлы, но т.к. юзеры идиоты, то в достаточно большом их количестве цель эта недостижима
Полезные ссылки:
https://securityintelligence.com/dridexs-cold-war-enter-atombombing/
http://blogs.quickheal.com/report-the-dridex-trojan-is-back/
https://www.hybrid-analysis.com/sample/ffcd75cbd62ffef8cc199af4ccc57655c03083865323d0d69c5b8a6ae29c998d?environmentId=100
PS козлячий виндовс дефендер иногда запускает свцхост.ехе из под себя, что продуцирует фалс позитивы, переделываю скрипт на дополнительное условие проверки сессионид, если 0 то норм, а если 1 (юзерская консольная сессия) то драйдекс
Что-то они улучшили, а что-то ухудшили. Неохота описывать детально.
Но вцелом вполне качественная работа, уважайу, традиционные антивирусы вполне бесполезны. Некст джен типа краудстрайка и файрай должны ловить, но у нас их нет. Будет вскоре пилот Файрай ХэИкс, там посмотрим. Но общий уровень скрытности будет поменьше чем у ковтера и poweliks.
Напейсал скриптик и затолкал в СЦЦМ, жду отчёта. Грубо говоря, проверяю, если родитель svchost.exe не services.exe то non-compliant. Всё остальное compliant. Можно было ещё по много чему проверять: svchost.exe выполняетяся в консольной сессии (не должен), выполняется с уровнем интегрити медиум (должен хай) и т.п. мелочи.
Распространяется, судя по всему, только через малспам. Т.е. предотвращение -- не надо запускать непонятные файлы, но т.к. юзеры идиоты, то в достаточно большом их количестве цель эта недостижима
Полезные ссылки:
https://securityintelligence.com/dridexs-cold-war-enter-atombombing/
http://blogs.quickheal.com/report-the-dridex-trojan-is-back/
https://www.hybrid-analysis.com/sample/ffcd75cbd62ffef8cc199af4ccc57655c03083865323d0d69c5b8a6ae29c998d?environmentId=100
PS козлячий виндовс дефендер иногда запускает свцхост.ехе из под себя, что продуцирует фалс позитивы, переделываю скрипт на дополнительное условие проверки сессионид, если 0 то норм, а если 1 (юзерская консольная сессия) то драйдекс
no subject
Date: 2017-04-27 01:59 pm (UTC)на предыдущей работе (в банке), мы для эксченджа (точнее для антивируса присобаченного к эксченджу) написали простеший фильтр и это решило проблему.
Типа если письмо содержит аттач и тип (не расширение, а именно проверяли тип (выдрали фингерпринты из исходников file)) этого атача не из белого списка (jpg, png, txt), то письмо идет в карантин админу, архивы рекурсивно распаковывали, если файл большой (распаковать невозможно) или запароленный, тоже в карантин, юзеру писали, что мил человек тебе письмо пришло от васи но у нас подозрения, поэтому обращайся к админу если че.
Со временем белый список пополнился, типа такие-то перцы регулярно получают файлы в .db (и это dbf) с такого-то адреса, и в карантин попадали только реальные 0day пропущенные антивирусом.
no subject
Date: 2017-04-27 02:46 pm (UTC)no subject
Date: 2017-04-27 03:10 pm (UTC)no subject
Date: 2017-04-27 02:54 pm (UTC)1. Держу пари, что вы не останавливали .doc и .pdf файлы, а продвинутая малварь рассылается именно через макросы в них
2. Это не помогает против доступа к персональным имейлам (гуглопочта и т.п.) сотрудниками на работе
3. Не очень актуально, но, хороший спеарфишинг уровня АПТ использует картинки, в прошлом были обнаружены РЦЕ в функциях осуществляющих рендеринг картинки в аутлуке, т.е. просто просмотр специально закрафченной картинки позволяет выполнить произвольный код
no subject
Date: 2017-04-27 03:05 pm (UTC)2. да интернет это проблема, поэтому его тоже не было.
Если есть интернет у всех и неогранниченный, то юзеры также бездумно будут кликать на ссылки в письмах и заражаться через просмотр pdf в браузере. Только фашизм поможет. Личные планшеты, телефоны + гест вайфай, rdp киоски и просто киоски.
3. это редкость, и микрософт все-таки закрывает эти дыры, а тупость с запуском батника запускающего dll через rundll это как-бы и не дыра.
no subject
Date: 2017-04-27 03:14 pm (UTC)2. Это да, сурово у вас там было
3. Но бывает
no subject
Date: 2017-04-27 04:11 pm (UTC)