Без лишних деталей
14 сентября 2020
- Мсье, - почтительно обратился он, - это гениальный замысел.
Невозможно обнаружить и вместе с тем так просто.
Все будет сделано.
Фредерик Форсайт. День Шакала
Помните фильм «Дежа вю»? Наемный убийца под видом энтомолога прибыл в Советскую Россию и собирал в гостинице снайперскую винтовку из безобидных на вид компонентов.
Мы не устаем повторять, что в антивирусе все компоненты нужны. Но пользователи уверены, что достаточно иметь просто антивирус, проверяющий запускаемый файл при старте или скачивании. Он, мол, должен все проверить. К сожалению, хакеры тоже об этом мнении знают и делают так, чтобы при получении файла вируса в нем не было, а вот потом он появлялся. Магия? Нет, конструктор. Приведем пример.
Компания Menlo Security опубликовала описание техники HTML Smuggling, используемой для обхода систем безопасности (включая, например, песочницы).
Сначала объясним с применением специализированных терминов. Для обхода средств безопасности (доставки нужного файла через браузер) используются двоичные объекты Javascript blob. Пользователь кликает по ссылке и попадает на некий сайт, в результате чего вызывается JavaScript, который загружает данные (ZIP-архив) как двоичные данные, закодированные base64. Суть обхода средств безопасности в том, что архив передается не как файл, а как поток данных. ZIP-файл динамически создается из BLOB-объекта с MIME-типом «октет/поток».
Файл JSCRIPT при вызове (посещении пользователем страницы) выполняет следующие действия:
- Загружает ZIP-файл. Причем файл имеет расширение .jpg, но это файл ZIP. ZIP-файл загружается в папку Public Documents, а из ZIP-архива извлекаются два файла: Avira.exe и rundll.exe. Файл Avira.exe переименовывается в EXE-файл со случайным именем. Файл rundll.exe переименовывается в файл со случайным именем с расширением .bmp.
Извлеченный файл Avira.exe представлял собой подписанный файл размером ~ 500 МБ.
А теперь – по-простому. На сторону пользователя передается не файл, а некий поток байт. Собственно, при передаче файла он тоже представляет собой поток байт, но тут средства безопасности запутывают тем, что якобы передается не файл, а просто поток неких данных в составе скрипта. После того как этот поток сознания получен, он преобразуется в архив, из которого извлекаются файлы.
Убийца снял шинель и закатал рукава рубашки. Затем взял костыль и начал разбирать его на составные части. Он открутил снизу резиновый колпак, и в нем блеснули капсюли трех оставшихся патронов. Тошнота и потливость после съеденного пороха из двух разобранных патронов начала немного проходить.
Шакал открутил еще одну часть костыля и вынул из нее глушитель. Затем появился оптический прицел. Из утолщенной части костыля были извлечены ствол и затвор.
Из V-образной рамы Шакал выдвинул два стальных стержня, собрав из них приклад. Осталась обшитая мягкой тканью верхняя часть. В ней не было ничего, кроме спускового крючка, спрятанного под обшивкой. Сама же обшитая часть превратилась в упор приклада.
Аккуратно, не торопясь, Шакал собрал винтовку. Затвор, ствол, нижняя и верхняя части приклада, упор, глушитель и, наконец, спусковой крючок. Последним с легким щелчком встал на свое место оптический прицел.
Фредерик Форсайт. День Шакала
Таким образом, отправив такой JSScript-файл в мультисканер типа VirusTotal вы, вполне возможно, получите ответ, что ничего вредоносного в нем нет – нагрузка извлекается только в момент выполнения, в то время как мультисканер файлы не запускает (очень советуем почитать и этот выпуск для расширения кругозора). А данный конкретный файл вы вообще отправить не сможете – его размер искусственно раздут до 500 МБ, что соответствует ограничению мультисканера, свыше которого он файлы не принимает.
Можно ли поймать такой троян? Да. Собственно, можно и при загрузке – если антивирус может разбирать потоки данных и собирать из них файлы. Но без гарантии: тот же ZIP-архив может быть запаролен, и никакой антивирус ничего из него не извлечет. Спасет пользователя контроль работы уже запущенной программы – если это, скажем, шифровальщик, то отработает Превентивная защита Dr.Web.
Антивирусная правДА! рекомендует
Не забывайте простую истину: бесполезных компонентов в составе антивируса не бывает. Каждый из них отвечает за свой «фронт работ» и каждый из них чрезвычайно важен.
Нам важно ваше мнение
10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
10:19:34 2020-11-09
Lia00
01:44:35 2020-09-15
Неуёмный Обыватель
01:42:15 2020-09-15
Денисенко Павел Андреевич
23:33:26 2020-09-14
Денисенко Павел Андреевич
23:30:52 2020-09-14
Шалтай Александр Болтай
23:01:21 2020-09-14
— Нам нужен человек, который не будет задавать лишних вопросов.
— В смысле?
— До свидания.
Toma
22:46:27 2020-09-14
Dmur
22:34:05 2020-09-14
Karnegi
20:33:22 2020-09-14
orw_mikle
20:11:24 2020-09-14
EvgenyZ
20:02:40 2020-09-14
tigra
19:59:52 2020-09-14
Dvakota
19:15:33 2020-09-14
L1t1um
19:03:33 2020-09-14
Геральт
18:44:26 2020-09-14
Татьяна
18:25:47 2020-09-14
@achemolganskiy, С Днем рождения! Удачи!
matt1954
17:36:25 2020-09-14
Masha
17:32:20 2020-09-14
gtnk2006
15:48:38 2020-09-14
marisha-san
15:28:32 2020-09-14
anatol
15:06:24 2020-09-14
Альфа
14:47:33 2020-09-14
kozinka.ru
14:34:23 2020-09-14
kozinka.ru
14:32:19 2020-09-14
dyadya_Sasha
12:05:46 2020-09-14
admin_29
11:15:59 2020-09-14
vinnetou
11:12:40 2020-09-14
Alexander
09:42:01 2020-09-14
Также и в антивирусе. Комплексность компонентов защиты, работа каждого модуля в "общей команде". Это и плечо друга, и страховка от сбоя, и создание среды синергизма мощной и надёжной безопасности. Именно комплексность и работа всех компонентов рождает новое качество совокупности модулей-единомышленников, когда сила каждого не просто суммируется, но многократно умножается.
Используемый нами Dr.Web Security Space - этому яркий пример. Каждый модуль на своём месте, каждый знает свой манёвр. Все действуют в единой непробиваемой связке крепчайшей паутины-сетки. Никаким потоковым или цельно-файловым зловредам не пройти!
Пaвeл
09:21:13 2020-09-14
Родриго
09:20:19 2020-09-14
Рисковал, но был уверен в действии антивируса :) спаси и сохрани, Dr Web!
maestro431
09:20:18 2020-09-14
vkor
09:18:11 2020-09-14
runikot
09:08:08 2020-09-14
runikot
09:07:39 2020-09-14
Пaвeл
09:07:14 2020-09-14
achemolganskiy
08:31:46 2020-09-14
Tatiana
08:22:29 2020-09-14
Baikal_40
08:15:35 2020-09-14
GREEN
07:38:29 2020-09-14
Деньги не пахнут и все средства хороши. И ничего личного, просто бизнес.
Что же делать нам? Нам лишь нужен надёжный и актуальный антивирус!
Vlad X
07:27:53 2020-09-14
Надеемся на Dr.Web,все компоненты включены.
Sergey
07:10:48 2020-09-14
tigra
07:10:26 2020-09-14
tigra
07:07:57 2020-09-14
Любитель пляжного футбола
07:07:30 2020-09-14
А фильм "Дежа вю" просто шедевр, смотрел несколько раз. "Вот их профессура готова к труду и обороне, а наши только умеют за бабочками гоняться." (с) :))
АНДРЕ
06:58:51 2020-09-14
Slava90
06:49:19 2020-09-14
ka_s
06:09:41 2020-09-14
Morpheus
05:05:10 2020-09-14