Файла нет — угроза есть

Уязвимые

добавить в избранное

Файла нет — угроза есть

Прочитали: 9374 Комментариев: 73 Рейтинг: 139

18 мая 2017

Мы привыкли считать, что вирусы и троянцы – это файлы. Даже когда они относятся к категории бестелестных, все равно они где-то что-то записывают на диск или скачивают в процессе заражения. Иначе как они смогут восстанавливаться после перезагрузки? Но обязательно ли для выполнения преступных действий злоумышленнику нужен файл?

Новость об угрозе BrickerBot если и не взорвала информационное пространство, то уж точно не осталась незамеченной.

BrickerBot использует список известных заводских паролей и логинов. Если владелец атакуемого устройства не сменил установленные по умолчанию учетные данные, вредонос авторизуется и выполняет ряд Linux-команд.

BrickerBot существенно отличается от другого вредоносного ПО для IoT-устройств, поскольку не объединяет взломанные системы в ботнеты для перенаправления вредоносного трафика или осуществления DDoS-атак. Польза от способности превращать устройство в бесполезный кирпич пока неясна.

Вариант BrickerBot.2 является более сложным и выполняет больше команд. В ходе атак с его применением злоумышленники используют выходные узлы Tor, поэтому отследить их источник практически невозможно.

Она может пригодиться, если злоумышленники захотят вывести из строя незащищенные IoT-устройства. При этом они могут преследовать благие цели, например, привлечь внимание к проблемам безопасности «Интернета вещей».

http://www.securitylab.ru/news/485811.php

Эта новость развенчивает установившиеся мифы. Многие привыкли считать, что злоумышленники ведут свой «бизнес» честно. Заражают, но предоставляют возможность вернуть данные обратно, создают специальные сервисы и техподдержку. А тут такой нонсенс – как в старые добрые времена угроза уничтожает всё без разбору!

На самом деле новость весьма «желтая». Даже из исходного описания неясно, происходит ли заражение устройства или все команды выполняются удаленно. Самое интересное здесь – скриншоты команд, которые выполняются на атакованном устройстве.

https://security.radware.com/ddos-threats-attacks/brickerbot-pdos-permanent-denial-of-service/

Те, кто знает операционную систему Linux, сразу заметят, что эти команды выполняются с помощью стандартных утилит операционной системы. То есть все, что нужно для совершения преступления, есть «на борту» вашего устройства или компьютера!

А это значит, что перед нами угроза, о которой немногие задумываются. Пользователи привыкли полагаться на антивирус как на панацею. Но в случае удаленного доступа все действия выполняются с помощью штатных утилит операционной системы. Ни одна из них не является вредоносной, и блокировать каждую по отдельности нет никакого резона.

Похожий звоночек уже был: шифровальщик под Linux (Linux.Encoder.1 по классификации «Доктор Веб»), использовавший для шифрования стандартную «линуксовую» утилиту, но там был скрипт, из которого вызывалась утилита шифрования и который можно блокировать.

Общеизвестно утверждение: «Генералы всегда готовы к прошедшей войне». В ИБ дело обстоит несколько лучше – мы готовы к войне текущей. Но вот готовы ли мы к войне с угрозами, о которых не задумываемся?

#уязвимость #Linux

Антивирусная правДА! рекомендует

Используйте надежные пароли и регулярно их меняйте.
Закройте удаленный доступ к вашей системе, если не используете его.
Отключите неиспользуемые сервисы.
Очистите вашу систему от ненужных файлов и компонентов. Чем меньше в системе мусора, тем меньше возможности злоумышленнику за что-либо зацепиться.
На компьютерах с Windows используйте только Dr.Web Security Space. Превентивная защита способна реагировать даже на угрозы, о которых неизвестно ничего, в том числе нет информации о наличии файла.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
19:49:35 2018-12-07

Очень хорошие рекомендации, постараюсь им следовать.

ka_s
11:13:44 2018-10-13

До сих пор не могу удалить некоторые заводские приложения со своего смартфона. В прилагаемой документации о них ничего нет. Для чего они нужны, тоже не всегда понятно. Почти все "выключил" и/или "остановил". А вот удалить удается не все.

Денисенко Павел Андреевич
21:59:17 2018-08-05

Умные рекомендации, принял во внимание.

Неуёмный Обыватель Собкор
02:54:21 2018-07-04

Слишком много возни. Обыватель привык по простому: включил, работаешь, наработался, выключил. Какие-то там сервисы - это практически уровень МАГ.

alex-diesel Собкор
14:03:02 2018-04-18

еще бы иметь полный список своего железа, открывающего доступ по заводским паролям...
Вот я чайник, я не знаю, какие устройства в моем компе могут предоставить удаленный доступ. Понятно, что роутер - там естественно пароль сменен, а что может еще? Принтер? Еще что?
Кстати, пароль то сменен, а нет теоретически каких-нить заводских супер-логинов-паролей?

или пусть не список устройств, но хотя бы утилиту проверки отключения удаленного доступа в принципе.
простите, если очень дилетантски получилось...

vasvet
10:15:12 2018-04-10

Все рекомендации Dr.Web, справедливы, необходимы, и вполне выполнимы.

Littlefish Собкор
18:01:21 2017-05-31

Подскажите, как убедиться, что удаленный доступ полностью отключен в Windows 10

Любитель пляжного футбола Собкор
16:26:20 2017-05-29

Ненужные сервисы давно отключил по совету программы для чистки реестра Auslogics, и компьютер несколько быстрее работать будет, и безопасность будет на более высоком уровне.

Cheshek
12:26:27 2017-05-23

Созданное во благо можно использовать и для причинения ущерба

AntonIT
16:48:25 2017-05-20

Сейчас все "параноики" начнут отключать и чистить...))

Вячeслaв Собкор
13:55:50 2017-05-19

@user, это к сожалению правда, сервисов огромное количество, тот же SMB v1 нужно было отключать через командную строку. Я к сожалению не специалист по всем сервисам, так же как и все отключаю их по спискам, которые доступны в сети. тут в большинстве случаев нужно руководствоваться чистой логикой - скажем нужно или нет вам удаленное управление вашей машины

Вячeслaв Собкор
12:49:07 2017-05-19

@a13x, честно говоря не думаю, что можно полностью запретить. Всегда можно замутить что-то нестандартное. Можно файрволом закрыть стандартные порты, по умолчанию используемые для удаленного управления (RDP). Ну а от неких программ, передающих информацию наружу защищает антивирус

Вячeслaв Собкор
12:43:17 2017-05-19

@Brem, не думваю, что можно дать общие рекомендации - у всех устройств реализуется сервис смены паролей по разному. Как правило нужно зайти в веб-интерфес и там поменять пароли. Рекомендуется также сделать невозможныи использование данного веб-интерфеса со стороны сети интернет. Как это реализуется для конкретного устройства - нужно смотреть в документации

Вячeслaв Собкор
12:08:56 2017-05-19

@razgen, @Andromeda, К сожалению сказать почему он у вас был пропущен - сказать только на основе сообщения мы не можем. Мог попасть в архиве скажем. Нужно обращаться в техподдержку. По логам антивируса и иной информации возможно можно будет определить как файл попал на компьютер

Анатолий
09:13:56 2017-05-19

Полезно. Спасибо.

Людмила
07:56:15 2017-05-19

@Alexander,
"И даются рекомендации, в том числе "На компьютерах с Windows используйте только Dr.Web Security Space. "

Эта рекомендация сформулирована в выпуске неудачно. Имелось в виду, что только антивируса будет недостаточно, нужно использовать комплексный продукт - у нас это Dr.Web Security Space.

Верните Неуёмного
00:26:00 2017-05-19

Описание Trojan.DownLoader.18111 добавлено в базу 2007-01-30, т.е. больше 10 лет назад. То, что у некоторых пользователей он обнаружился сейчас на ПК, говорит скорее всего о том, что какие-то компоненты антивирусной системы либо отключались пользователями на время, либо неправильно настроены, либо сами компоненты не всё ловили.

Верните Неуёмного
00:20:00 2017-05-19

razgen
17:03:19 2017-05-18
Рекомендую всем провести внеочередное сканирование и поделиться результатом.
==========
А смысл в "поделиться результатом"? Чтобы убедиться, что у всех, у кого стоит DrWeb SS 11 в течении нескольких месяцев пропускались на машины трояны и они творили, что хотели? Или успокоить себя, что не только вы ходили в злачные места и цепляли трояны?

aleks_ku
23:07:32 2017-05-18

готовы мы всегда

Самуил Христианин
22:56:00 2017-05-18

Ого. Спасибо

vla_va
22:45:16 2017-05-18

занятно

В...а
22:00:28 2017-05-18

спокойная - верю Dr.Web

solec
21:56:56 2017-05-18

Угрозу надо осознать,чтобы противостоять ей.

Б...а
21:54:06 2017-05-18

Буду придерживаться рекомендаций)

Luger Собкор
21:42:16 2017-05-18

Удаленный доступ отключен.

НинаК
21:41:40 2017-05-18

только Dr.Web Security Space!

ek
21:28:23 2017-05-18

советы полезные

Dvakota
21:15:05 2017-05-18

@Шалтай_Александр_Болтай, про файлы объясните подробнее .

orw_mikle
21:14:55 2017-05-18

Удаляем ненужные файлы, закрываем удаленный доступ и конечно используем Dr.Web Security Space.

kva-kva
20:35:21 2017-05-18

всегда готовы!

mk.insta
20:12:57 2017-05-18

старое зло проснулось

maznat
19:03:18 2017-05-18

Сканировать так сканировать. Спасибо!

iAFC
19:02:46 2017-05-18

Главное чтобы доктор веб защитил.

Родриго
18:39:45 2017-05-18

а я жду тему про троллей :0

Шалтай Александр Болтай Собкор
17:46:03 2017-05-18

После стирания файлы попадают в находящийся на небе не зависающий компьютер.

Шалтай Александр Болтай Собкор
17:31:50 2017-05-18

Просканировал, угроз не обнаружено. Рекомендации как всегда полезны.

Masha
17:15:26 2017-05-18

Спасибо! полезные рекомендации.

forrus
17:05:17 2017-05-18

вот эта статья уже несёт полезную информацию.

razgen Собкор
17:03:19 2017-05-18

Andromeda
16:58:42 2017-05-18
У меня тоже при сканировании сегодня был обнаружен Trojan.DownLoader11.18111. Тоже использую Dr.Web Security Space 11.
==========
Рекомендую всем провести внеочередное сканирование и поделиться результатом.

Viktoria
17:01:36 2017-05-18

Надо просканировать компьютер.

Andromeda
16:58:42 2017-05-18

У меня тоже при сканировании сегодня был обнаружен Trojan.DownLoader11.18111. Тоже использую Dr.Web Security Space 11.

razgen Собкор
16:52:30 2017-05-18

Использую Dr.Web Security Space 11. Одну из основных первоочередных рекомендаций "не лазить куда не следует", "не открывать что попало" выполняю. Приблизительно один раз в месяц выполняю полное сканирование всегда было чисто. А вот вчера при очередном сканировании был обнаружен Trojan.DownLoader11.18111. Когда-то, каким-то образом он всё таки смог пробраться ко мне. Обезвредил. Следов его пребывания, в смысле вредительства, не замечал.

Альфа
16:42:49 2017-05-18

Со статьёй ознакомился.

Геральт Собкор
16:34:52 2017-05-18

Dr.Web Security Space 11 к использованию обязательно.

Пaвeл Собкор
15:44:53 2017-05-18

Спасибо за рекомендации! Использую надежные пароли и Dr.Web Security Space. Выполнение остальных рекомендаций иногда проблематично.

kozinka.ru Собкор
15:08:34 2017-05-18

@admin, мне понравился вопрос @a13x (10:00:08 2017-05-18).
Хотя, подозреваю, что такого функционала нет. А вот будет ли и нужен ли? - вот это уже вопрос.

duduka
15:03:24 2017-05-18

Спасибо за рекомендации. Очень интересно было почитать комментарии других пользователей.

Верните Неуёмного
14:36:28 2017-05-18

После выполнения пунктов 3 и 4 рекомендаций некоторыми пользователями ПК (если не у большинства) ПК легким движением руки превращается в устройство, предназначенное для игры в Сапёр и Косынку.

user
13:52:43 2017-05-18

Самый интересный пункт рекомендаций - 3. Отключите неиспользуемые сервисы. Вот здесь как говорится и приплыли. Ещё с windows 98 сервисы системы начали представлять собой клубок всевозможных необходимостей, в котором один сервис цепляется за другой. Начинаешь отключать, что-то перестаёт работать. Без должного уровня понимания какой сервис за что отвечает туда соваться и что-то отключать не рекомендую. Конечно, автор статьи в них прекрасно разбирается и ему не составляет никакого труда отключать "неиспользуемые" сервисы. Может есть утилиты, которые выведут список неиспользуемых сервисов, которые можно выключать? Поделитесь с сообществом.

Татьяна
13:47:43 2017-05-18

Интересная статья. Угрозы на каждом шагу!
Продолжаю использовать Dr.Web Security Space :)

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Файла нет — угроза есть

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей