«Крот» в рядах разработчика
juma, 7-fevral, 2020
Как вам должно быть известно, компания «Доктор Веб» занимается в том числе и анализом вирусозависимых компьютерных инцидентов. Об одном поучительном случае мы хотели бы рассказать сегодня.
К нам обратилась компания с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда.
В ходе анализа ситуации обнаружилась неизвестная Dr.Web вредоносная программа и выяснился способ ее проникновения. Заражение начиналось с уязвимости в легальной программе. Используя ее, злоумышленник внедрял эксплойт, и на стороне пострадавшего клиента создавалась административная учетная запись для удаленного доступа.
Далее злоумышленник удаленно заходил на зараженный сервер, устанавливал вполне легитимное ПО ProcessHacker, избавлялся от антивируса, например, отключая его напрямую, и запускал вредоносную программу…
В результате исследования было обнаружено несколько эксплойтов и несколько видов ранее неизвестных антивирусу Dr.Web вредоносных программ, а также список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов.
И вот что самое интересное. Нашей компании совместно с правоохранительными органами удалось выявить злоумышленника – тот оказался сотрудником компании-разработчика той самой легальной программы, через уязвимости в которой и был получен доступ к серверу – и нашего клиента, и многих других.
Больше подробностей об этой экспертизе — в нашей Зарисовке.
#бэкдор #взлом_антивируса #ВКИ #корпоративная_безопасность #признаки_заражения #уязвимость #эксплойт
Антивирусная правДА! рекомендует
-
Покупая легальное ПО, мы доверяем поставщику. Но проблема в том, что сотрудники поставщика могут поддаться искушению и внести в программу недокументированный функционал. Или поставщик будет взломан, и в код внесут изменения уже злоумышленники.
Эпидемия «ЛжеПети» (он же «Петя-2») распространялась именно через поставщика ПО. О мерах защиты тогда писали все СМИ, но, видимо, никто не хочет учиться на чужих ошибках...
-
Продукты Dr.Web проходят сертификацию. Точнее, процесс оценки соответствия требованиям в форме сертификации. В том числе происходит проверка на отсутствие недокументированного функционала.
-
Ну и несколько традиционных советов.
- По возможности ни пользователь, ни программы не должны работать с административными правами.
- Пользователи должны иметь возможность запускать только разрешенное ПО.
- Необходим запрет на запуск нового ПО и загрузку драйверов.
- Ненужные сервисы должны быть отключены (в том числе удаленный доступ, если он не используется в работе).
- У пользователя не должно быть прав на отключение антивируса. Должен быть установлен пароль на удаление антивируса.
- Сеть компании должна быть разделена на несколько изолированных сегментов во избежание расползания вредоносного ПО.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
vlad02
20:24:56 2020-12-14
06:14:20 2020-02-08
Скорее всего, именно низкая оплата труда толкает программистов на такие преступления: "что знаю, то и использую себе во благо".
Конечно конечно, а обносят квартиры из-за тго, что замки слишком простые, на улице обворовывают - невнимательных лохов, а грабят только ленивых батанов которые в качалку не ходят.
Виноваты конечно не преступники а кто то другой. Привычная отмазка всякой мрази, не нравится зарплата? Уволься нахрен, и иди где тебе, криворукому тупице, на халяву милионы отвалят. Освободи место честным людям
VVK74
20:09:27 2020-02-10
Sasha50
06:14:20 2020-02-08
Sasha50
06:12:41 2020-02-08
L1t1um
22:44:43 2020-02-07
Геральт
21:53:08 2020-02-07
Lia00
20:00:57 2020-02-07
orw_mikle
19:43:47 2020-02-07
ka_s
18:42:37 2020-02-07
Альфа
18:18:47 2020-02-07
Dvakota
16:57:12 2020-02-07
Любитель пляжного футбола
16:32:16 2020-02-07
Вячeслaв
16:17:28 2020-02-07
Денисенко Павел Андреевич
16:06:54 2020-02-07
Шалтай Александр Болтай
16:00:42 2020-02-07
Татьяна
15:45:35 2020-02-07
anatol
15:40:33 2020-02-07
DrKV
15:18:19 2020-02-07
P.S. Только DrWeb-у. :))
Любитель пляжного футбола
14:56:45 2020-02-07
Вот в чём вопрос. Что-то поменялось, теперь появилась возможность настроить антивирус так, чтобы он запрашивал пароль при его удалении?
Раньше вы были против этого. Привожу вашу цитату из июньского выпуска 2017 года: "...Но вопрос в том, что если мы вернем удаление по паролю, то техподдержка снова будет завалена запросами на удаление антивируса. Тут мы вступаем опять на управление рисками. Что более вероятно - потеря пароля или получение кем-то удаленного доступа? Потеря пароля куда чаще, плюс если кто-то считает, что у него есть что скрывать от злоумышленников, тот должен понизить права пользователя, чем полностью убирает проблему удаления..."
Если что, могу ответить не сразу, я на работе, и связь будет такая, словно я сейчас где-то на орбите Сатурна. :)
Toma
14:48:15 2020-02-07
SGES
14:27:09 2020-02-07
I23
12:52:33 2020-02-07
Вячeслaв
12:48:31 2020-02-07
Любитель пляжного футбола
12:41:13 2020-02-07
Сейчас это проверить не могу, пишу с рабочего компьютера. Ответить смогу, скорее всего, уже поздно вечером. :)
Masha
12:32:10 2020-02-07
vinnetou
12:00:45 2020-02-07
Людмила
11:49:18 2020-02-07
случай редкий, говорите? А Лже-Петя? и это только из громких. а сколько мало известных или успешно замалчиваемых?
и могу подлить масла в огонь: преступником оказался руководитель разработки.
Вячeслaв
11:30:03 2020-02-07
Вячeслaв
11:28:41 2020-02-07
- работа ПО с минимальными правами
- разделение сети компании на подсети - чтобы не расползалось по сети
- отсутствие сервисов удаленного доступа
- запрет установки нового ПО
- контроль целостности процессов (чтобы тот же эксплойт поставить)
100% гарантии конечно никто никогда не достигнет, но очень существенно снизить риск можно. Всяких мер защиты очень много, антивирус это только одна из них
Вячeслaв
11:07:26 2020-02-07
dyadya_Sasha
11:05:11 2020-02-07
@admin Как здорово, когда есть компания с надежными квалифицированными специалистами к которым можно обратиться в подобных случаях. Только возникает вопрос расценок. Доступны ли они среднему предпринимателю или только богатым компаниям? Понятно, что коммерческая информация и сумма зависит от объема, но порядок суммы(плюс минус километр) хотелось бы знать для ориентировки. Можно в личку.
Dmur
10:59:07 2020-02-07
Неуёмный Обыватель
10:52:12 2020-02-07
Было бы правильнее сначала передать органам, а потом уже увольнять. А то получается пособничество. И попытка не запятнать типа честь компании. Мол, виновный давно уволен и не наш сотрудник, а все нынешние сотрудники- молодцы.
Вячeслaв
10:50:40 2020-02-07
Lenba
10:44:55 2020-02-07
Alex_1774
10:36:58 2020-02-07
I46
10:34:42 2020-02-07
Zserg
10:24:03 2020-02-07
vkor
09:39:02 2020-02-07
znamy
09:35:45 2020-02-07
Alexander
09:26:36 2020-02-07
"Крот" - это очень неприятное явление, особенно, в команде персонала разработчика и производителя софта.
Благо, что Dr.Web, как истинный Доктор находит и излечивает такие опасные лукавые "бонусы".
Спасибо за статью. Исчерпывающими советы никогда не будут, жизнь не стоит на месте, но "Ядро" исполненных рекомендаций создаст для злоумышленников надёжный заслон.
Доверяй, но проверяй...
Софт поставил, - обновляй...
Dr.Web не забывай,
Правильно настраивай...
marisha-san
09:21:13 2020-02-07
Пaвeл
09:14:09 2020-02-07
gebrakk
09:11:28 2020-02-07
Vlad X
08:40:07 2020-02-07
как с этим бороться.А спросили его,зачем он это
сделал,что ему не хватало.
АНДРЕ
08:30:36 2020-02-07
АНДРЕ
08:30:36 2020-02-07
maestro431
07:47:07 2020-02-07
ZesMen
07:09:42 2020-02-07
Xamanaptr
06:48:41 2020-02-07