Разделяй и изолируй!
14 июля 2020
Вот очередная новость, которую хотелось бы обсудить:
Неназванный китайский банк обязал по меньшей мере две западные компании установить официальное ПО Intelligent Tax, разработанное Aisino Corporation специально для уплаты местных налогов, содержащее бэкдор GoldenSpy.
Эксперты Trustwave обнаружили бэкдор в налоговой программе, обратив внимание на подозрительные сетевые запросы, исходящие из сети клиента. Проанализировал налоговое ПО китайского банка, исследователи пришли в выводу, что программа работает как нужно и действительно позволяет платить местные налоги, однако вместе с этим она установила в системы компании-клиента скрытый бэкдор GoldenSpy.
GoldenSpy обладает правами уровня SYSTEM, что позволяет удаленным злоумышленникам подключаться к зараженной системе, выполнять команды, загружать и устанавливать другое программное обеспечение.
- Деинсталляция Intelligent Tax не удаляет из системы GoldenSpy, который продолжает функционировать как скрытый бэкдор.
- GoldenSpy не загружается и не устанавливается в течение двух часов после завершения установки налогового ПО. Когда установка бэкдора наконец происходит, все делается тихо, без каких-либо уведомлений.
Первое, о чем хочется поговорить: сам источник проблем.
Нам как пользователям постоянно рекомендуют (или требуют даже) установить различное ПО – банковские приложения, VPN, программы доступа к разным сервисам, опять же ПО для уплаты налогов… Много всего. Компании, в свою очередь, покупают ПО для своей работы. Тоже самое разное. Даже не будем пытаться составлять список – без толку. Иногда продавцам ПО приходят запросы на утилиты, которые в сети еще надо поискать, настолько они редкие.
И вот тут самое интересное. Кто-нибудь тестирует это ПО перед установкой на наличие недокументированных возможностей? Причем не просто антивирусом – вредоносное ПО может прийти с первым обновлением, и антивирусная проверка дистрибутива ничего не даст.
Вполне возможно, ПО из новости было проверено лишь потому, что оно из Китая. Но нет причин доверять любым другим программам. Вредоносный функционал может быть в любом ПО – мы надеемся, все помнят наше расследование, когда вредоносный майнер был встроен в российское ПО одним из разработчиков?
Так и не удалось понять, каким образом бэкдор попал в продукт Aisino Corporation. Теории экспертов гласят, что бэкдор мог быть создан «правительственными» хакерами Китая; тайно добавлен в программу нечистым на руку сотрудником банка; или создан кем-то из инженеров Aisino Corporation.
Вполне возможна ситуация, когда поставщик и не подозревает, что его ПО стало вредоносным.
В прошлом месяце CCleaner — программа, предназначенная для оптимизации работы компьютера и Android-устройств, — оказалась заражена хакерами.взломанную версию CCleaner могли установить свыше двух миллионов пользователей.
#ВКИ #корпоративная_безопасность #ответственность #признаки_заражения #ущерб
Антивирусная правДА! рекомендует
Можно ли защититься от вредоносного функционала, внедренного в доверенную программу, которая имеет доверенный сертификат и подпись и потому благосклонно принимается системами безопасности? Если код не определяется антивирусами на этапе установки, то нет. Но можно минимизировать ущерб. Правда, это касается компаний и их сетей. Сеть должна быть разбита на подсети, и конкретные программы не должны иметь доступ за пределами «своих» подсетей. Если программам не нужен Интернет, доступ к нему тоже нужно закрыть.
Разделяй и изолируй!
А антивирус сыграет свою роль, когда о вредоносной программе станет известно, и именно он сможет вычистить ее у всех клиентов.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
GREEN
20:11:20 2020-07-16
И это сложно оспорить!
Да и не зачем.
Sergey
21:46:29 2020-07-15
Slava90
20:58:24 2020-07-15
Геральт
20:18:27 2020-07-15
achemolganskiy
08:29:02 2020-07-15
Korney
23:53:00 2020-07-14
Lia00
22:55:03 2020-07-14
L1t1um
22:19:11 2020-07-14
Шалтай Александр Болтай
21:38:11 2020-07-14
Dmur
21:35:15 2020-07-14
EvgenyZ
21:30:19 2020-07-14
Toma
21:27:31 2020-07-14
Masha
21:23:42 2020-07-14
Пaвeл
21:20:03 2020-07-14
Dvakota
21:13:33 2020-07-14
orw_mikle
21:08:34 2020-07-14
admin_29
20:16:11 2020-07-14
anatol
20:09:49 2020-07-14
vinnetou
18:59:10 2020-07-14
Альфа
18:57:58 2020-07-14
Вадимка
16:58:48 2020-07-14
Вадимка
16:57:32 2020-07-14
ixtiyor10
16:22:11 2020-07-14
vdovi49
15:47:35 2020-07-14
Неуёмный Обыватель
15:38:11 2020-07-14
Mara
13:09:41 2020-07-14
runikot
12:56:22 2020-07-14
Zserg
12:44:19 2020-07-14
Татьяна
12:44:19 2020-07-14
Alexander
12:32:44 2020-07-14
Но предложение Dr.Web действенное при правильной его реализации. Именно так, - "Разделяй и изолируй!". А ещё, разделяй и властвуй над попытками злоумышленников влиять на систему. В том числе и путём секторальной дифференциации выхода в сеть и доступа к "чувствительным" ресурсам.
Ну, а если что-то упустим, то Dr.Web Security Space сделает своё праведное дело.
Денисенко Павел Андреевич
12:01:28 2020-07-14
dyadya_Sasha
11:23:36 2020-07-14
и в то же время "...Эксперты Trustwave обнаружили бэкдор в налоговой программе, обратив внимание на подозрительные сетевые запросы, исходящие из сети клиента..."
Задано направление развития : ПО безопасности достичь и может превзойти уровень экспертов.
Созданному превзойти создателя - это уже немного страшно. Хотя, если создатель развивается быстрее своего продукта - это невозможно.
maestro431
10:47:14 2020-07-14
TV
10:17:02 2020-07-14
kozinka.ru
10:13:24 2020-07-14
gebrakk
09:19:41 2020-07-14
Okcana
08:23:09 2020-07-14
Vlad X
08:16:47 2020-07-14
ka_s
06:53:24 2020-07-14
Любитель пляжного футбола
06:53:15 2020-07-14
С одной стороны, и обновляться нужно. С другой - как знать, что там "прилетит" с очередным обновлением. :(
vkor
06:52:35 2020-07-14
tigra
06:43:55 2020-07-14
Morpheus
05:52:21 2020-07-14
Sasha50
04:19:36 2020-07-14