Файла нет — угроза есть
18 мая 2017
Мы привыкли считать, что вирусы и троянцы – это файлы. Даже когда они относятся к категории бестелестных, все равно они где-то что-то записывают на диск или скачивают в процессе заражения. Иначе как они смогут восстанавливаться после перезагрузки? Но обязательно ли для выполнения преступных действий злоумышленнику нужен файл?
Новость об угрозе BrickerBot если и не взорвала информационное пространство, то уж точно не осталась незамеченной.
BrickerBot использует список известных заводских паролей и логинов. Если владелец атакуемого устройства не сменил установленные по умолчанию учетные данные, вредонос авторизуется и выполняет ряд Linux-команд.
BrickerBot существенно отличается от другого вредоносного ПО для IoT-устройств, поскольку не объединяет взломанные системы в ботнеты для перенаправления вредоносного трафика или осуществления DDoS-атак. Польза от способности превращать устройство в бесполезный кирпич пока неясна.
Вариант BrickerBot.2 является более сложным и выполняет больше команд. В ходе атак с его применением злоумышленники используют выходные узлы Tor, поэтому отследить их источник практически невозможно.
Она может пригодиться, если злоумышленники захотят вывести из строя незащищенные IoT-устройства. При этом они могут преследовать благие цели, например, привлечь внимание к проблемам безопасности «Интернета вещей».
Эта новость развенчивает установившиеся мифы. Многие привыкли считать, что злоумышленники ведут свой «бизнес» честно. Заражают, но предоставляют возможность вернуть данные обратно, создают специальные сервисы и техподдержку. А тут такой нонсенс – как в старые добрые времена угроза уничтожает всё без разбору!
На самом деле новость весьма «желтая». Даже из исходного описания неясно, происходит ли заражение устройства или все команды выполняются удаленно. Самое интересное здесь – скриншоты команд, которые выполняются на атакованном устройстве.
https://security.radware.com/ddos-threats-attacks/brickerbot-pdos-permanent-denial-of-service/
Те, кто знает операционную систему Linux, сразу заметят, что эти команды выполняются с помощью стандартных утилит операционной системы. То есть все, что нужно для совершения преступления, есть «на борту» вашего устройства или компьютера!
А это значит, что перед нами угроза, о которой немногие задумываются. Пользователи привыкли полагаться на антивирус как на панацею. Но в случае удаленного доступа все действия выполняются с помощью штатных утилит операционной системы. Ни одна из них не является вредоносной, и блокировать каждую по отдельности нет никакого резона.
Похожий звоночек уже был: шифровальщик под Linux (Linux.Encoder.1 по классификации «Доктор Веб»), использовавший для шифрования стандартную «линуксовую» утилиту, но там был скрипт, из которого вызывалась утилита шифрования и который можно блокировать.
Общеизвестно утверждение: «Генералы всегда готовы к прошедшей войне». В ИБ дело обстоит несколько лучше – мы готовы к войне текущей. Но вот готовы ли мы к войне с угрозами, о которых не задумываемся?
#уязвимость #LinuxАнтивирусная правДА! рекомендует
- Используйте надежные пароли и регулярно их меняйте.
- Закройте удаленный доступ к вашей системе, если не используете его.
- Отключите неиспользуемые сервисы.
- Очистите вашу систему от ненужных файлов и компонентов. Чем меньше в системе мусора, тем меньше возможности злоумышленнику за что-либо зацепиться.
- На компьютерах с Windows используйте только Dr.Web Security Space. Превентивная защита способна реагировать даже на угрозы, о которых неизвестно ничего, в том числе нет информации о наличии файла.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
19:49:35 2018-12-07
ka_s
11:13:44 2018-10-13
Денисенко Павел Андреевич
21:59:17 2018-08-05
Неуёмный Обыватель
02:54:21 2018-07-04
alex-diesel
14:03:02 2018-04-18
Вот я чайник, я не знаю, какие устройства в моем компе могут предоставить удаленный доступ. Понятно, что роутер - там естественно пароль сменен, а что может еще? Принтер? Еще что?
Кстати, пароль то сменен, а нет теоретически каких-нить заводских супер-логинов-паролей?
или пусть не список устройств, но хотя бы утилиту проверки отключения удаленного доступа в принципе.
простите, если очень дилетантски получилось...
vasvet
10:15:12 2018-04-10
Littlefish
18:01:21 2017-05-31
Любитель пляжного футбола
16:26:20 2017-05-29
Cheshek
12:26:27 2017-05-23
AntonIT
16:48:25 2017-05-20
Вячeслaв
13:55:50 2017-05-19
Вячeслaв
12:49:07 2017-05-19
Вячeслaв
12:43:17 2017-05-19
Вячeслaв
12:08:56 2017-05-19
Анатолий
09:13:56 2017-05-19
Людмила
07:56:15 2017-05-19
"И даются рекомендации, в том числе "На компьютерах с Windows используйте только Dr.Web Security Space. "
Эта рекомендация сформулирована в выпуске неудачно. Имелось в виду, что только антивируса будет недостаточно, нужно использовать комплексный продукт - у нас это Dr.Web Security Space.
Верните Неуёмного
00:26:00 2017-05-19
Верните Неуёмного
00:20:00 2017-05-19
17:03:19 2017-05-18
Рекомендую всем провести внеочередное сканирование и поделиться результатом.
==========
А смысл в "поделиться результатом"? Чтобы убедиться, что у всех, у кого стоит DrWeb SS 11 в течении нескольких месяцев пропускались на машины трояны и они творили, что хотели? Или успокоить себя, что не только вы ходили в злачные места и цепляли трояны?
aleks_ku
23:07:32 2017-05-18
Самуил Христианин
22:56:00 2017-05-18
vla_va
22:45:16 2017-05-18
В...а
22:00:28 2017-05-18
solec
21:56:56 2017-05-18
Б...а
21:54:06 2017-05-18
Luger
21:42:16 2017-05-18
НинаК
21:41:40 2017-05-18
ek
21:28:23 2017-05-18
Dvakota
21:15:05 2017-05-18
orw_mikle
21:14:55 2017-05-18
kva-kva
20:35:21 2017-05-18
mk.insta
20:12:57 2017-05-18
maznat
19:03:18 2017-05-18
iAFC
19:02:46 2017-05-18
Родриго
18:39:45 2017-05-18
Шалтай Александр Болтай
17:46:03 2017-05-18
Шалтай Александр Болтай
17:31:50 2017-05-18
Masha
17:15:26 2017-05-18
forrus
17:05:17 2017-05-18
razgen
17:03:19 2017-05-18
16:58:42 2017-05-18
У меня тоже при сканировании сегодня был обнаружен Trojan.DownLoader11.18111. Тоже использую Dr.Web Security Space 11.
==========
Рекомендую всем провести внеочередное сканирование и поделиться результатом.
Viktoria
17:01:36 2017-05-18
Andromeda
16:58:42 2017-05-18
razgen
16:52:30 2017-05-18
Альфа
16:42:49 2017-05-18
Геральт
16:34:52 2017-05-18
Пaвeл
15:44:53 2017-05-18
DrKV
15:08:34 2017-05-18
Хотя, подозреваю, что такого функционала нет. А вот будет ли и нужен ли? - вот это уже вопрос.
duduka
15:03:24 2017-05-18
Верните Неуёмного
14:36:28 2017-05-18
user
13:52:43 2017-05-18
Татьяна
13:47:43 2017-05-18
Продолжаю использовать Dr.Web Security Space :)