Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Без лишних деталей

Прочитали: 877 Комментариев: 47 Рейтинг: 62

- Мсье, - почтительно обратился он, - это гениальный замысел.
Невозможно обнаружить и вместе с тем так просто.
Все будет сделано.

Фредерик Форсайт. День Шакала

Помните фильм «Дежа вю»? Наемный убийца под видом энтомолога прибыл в Советскую Россию и собирал в гостинице снайперскую винтовку из безобидных на вид компонентов.

Мы не устаем повторять, что в антивирусе все компоненты нужны. Но пользователи уверены, что достаточно иметь просто антивирус, проверяющий запускаемый файл при старте или скачивании. Он, мол, должен все проверить. К сожалению, хакеры тоже об этом мнении знают и делают так, чтобы при получении файла вируса в нем не было, а вот потом он появлялся. Магия? Нет, конструктор. Приведем пример.

Компания Menlo Security опубликовала описание техники HTML Smuggling, используемой для обхода систем безопасности (включая, например, песочницы).

Сначала объясним с применением специализированных терминов. Для обхода средств безопасности (доставки нужного файла через браузер) используются двоичные объекты Javascript blob. Пользователь кликает по ссылке и попадает на некий сайт, в результате чего вызывается JavaScript, который загружает данные (ZIP-архив) как двоичные данные, закодированные base64. Суть обхода средств безопасности в том, что архив передается не как файл, а как поток данных. ZIP-файл динамически создается из BLOB-объекта с MIME-типом «октет/поток».

Файл JSCRIPT при вызове (посещении пользователем страницы) выполняет следующие действия:

- Загружает ZIP-файл. Причем файл имеет расширение .jpg, но это файл ZIP. ZIP-файл загружается в папку Public Documents, а из ZIP-архива извлекаются два файла: Avira.exe и rundll.exe. Файл Avira.exe переименовывается в EXE-файл со случайным именем. Файл rundll.exe переименовывается в файл со случайным именем с расширением .bmp.

Извлеченный файл Avira.exe представлял собой подписанный файл размером ~ 500 МБ.

Источник

А теперь – по-простому. На сторону пользователя передается не файл, а некий поток байт. Собственно, при передаче файла он тоже представляет собой поток байт, но тут средства безопасности запутывают тем, что якобы передается не файл, а просто поток неких данных в составе скрипта. После того как этот поток сознания получен, он преобразуется в архив, из которого извлекаются файлы.

Убийца снял шинель и закатал рукава рубашки. Затем взял костыль и начал разбирать его на составные части. Он открутил снизу резиновый колпак, и в нем блеснули капсюли трех оставшихся патронов. Тошнота и потливость после съеденного пороха из двух разобранных патронов начала немного проходить.

Шакал открутил еще одну часть костыля и вынул из нее глушитель. Затем появился оптический прицел. Из утолщенной части костыля были извлечены ствол и затвор.

Из V-образной рамы Шакал выдвинул два стальных стержня, собрав из них приклад. Осталась обшитая мягкой тканью верхняя часть. В ней не было ничего, кроме спускового крючка, спрятанного под обшивкой. Сама же обшитая часть превратилась в упор приклада.

Аккуратно, не торопясь, Шакал собрал винтовку. Затвор, ствол, нижняя и верхняя части приклада, упор, глушитель и, наконец, спусковой крючок. Последним с легким щелчком встал на свое место оптический прицел.

Фредерик Форсайт. День Шакала

Таким образом, отправив такой JSScript-файл в мультисканер типа VirusTotal вы, вполне возможно, получите ответ, что ничего вредоносного в нем нет – нагрузка извлекается только в момент выполнения, в то время как мультисканер файлы не запускает (очень советуем почитать и этот выпуск для расширения кругозора). А данный конкретный файл вы вообще отправить не сможете – его размер искусственно раздут до 500 МБ, что соответствует ограничению мультисканера, свыше которого он файлы не принимает.

Можно ли поймать такой троян? Да. Собственно, можно и при загрузке – если антивирус может разбирать потоки данных и собирать из них файлы. Но без гарантии: тот же ZIP-архив может быть запаролен, и никакой антивирус ничего из него не извлечет. Спасет пользователя контроль работы уже запущенной программы – если это, скажем, шифровальщик, то отработает Превентивная защита Dr.Web.

#Dr.Web #превентивная_защита #технологии #троянец

Dr.Web рекомендует

Не забывайте простую истину: бесполезных компонентов в составе антивируса не бывает. Каждый из них отвечает за свой «фронт работ» и каждый из них чрезвычайно важен.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей