Заголовок на рубль – новость на копейку
24 июля 2017
Еще раз о новостях с паническими заголовками – вот новость, в которой утверждается, что антивирус «такое не ловит»:
…Его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.
Смешно читать такие тексты, написанные для специалистов технического форума, и еще более грустно, что авторов никто не поправил. Давайте разберемся.
Не так давно читатели проекта «Антивирусная правДА!» обсуждали возможность использования злоумышленниками Intel AMT. В том выпуске мы отмечали, что комплекс технологий от Intel гипотетически предоставляет злоумышленникам большие возможности, но, по счастью, несмотря на имеющиеся уязвимости, пока Intel AMT злоумышленники не используют.
Не прошло и двух месяцев:
Хакеры используют Intel AMT для передачи сообщений между зараженными ПК
Microsoft предупредила пользователей о новом способе злоупотребления технологией Intel Active Management Technology (Intel AMT).
Что же использовали злоумышленники?
В состав Intel Management Engine (ME) входит Intel Serial-over-LAN (или AMT SOL). Сам Intel ME встроен в CPU Intel и работает под управлением собственной микрооперационной системы – независимой от основной ОС компьютера, в которой устанавливаются системы защиты, включая антивирус. Грубо говоря, антивирус работает на уровне файлов и драйверов, а Intel ME живет на уровне «голого железа». Более того, функционал Intel ME устроен так, что администратор (и злоумышленники) может использовать его, даже когда компьютер (процессор) выключен, но ПК доступен по сети.
…Встроенный процессор (Intel ME) обладает удаленными внеполосными возможностями, такими как включение и выключение для оптимального энергопотребления и KVM даже при выключенном основном процессоре. SOL также способна обеспечивать связь по локальной сети при отсутствии физического подключения, независимо от того, включен ли сетевой режим на хосте.
Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит группировка Platinum, которая уже несколько лет ведет активную деятельность на территории Южной и Юго-Восточной Азии. Впервые группа была замечена в 2009 году и с тех пор провела множество атак. В прошлом году сообщалось, что Platinum занимались установкой вредоносного ПО с помощью технологии «хотпатчинга» (hotpatching) — механизма, позволяющего Microsoft устанавливать обновления без необходимости перезагрузки компьютера.
Подведем итог. Имеется вредоносное ПО, которое устанавливается на уровне обычной операционной системы, но использует специфический протокол для общения на уровне сети.
Антивирусы действительно не разбирают и не анализируют протокол AMT SOL. Но в этом и нет нужды: этот протокол не используется для проникновения – только для общения уже установленного вредоносного ПО. А значит, для защиты от этой угрозы нужно просто не допустить установки троянца. Ограничить права пользователей, установить антивирус…
И небольшая мелочь на закуску:
Для успешного осуществления атаки хакерам необходимо сначала выманить у системных администраторов их учетные данные.
Антивирусная правДА! рекомендует
- Безоглядно верить СМИ – вредно для желудка.
- Чтобы вредоносный файл начал что-то делать, он должен сначала запуститься. Во избежание этого нужно устанавливать обновления, использовать надежные пароли (и не разбрасываться ими), использовать антивирус и ограничивать права пользователей.
Да, кстати. В одном из вариантов новости, растекшихся по СМИ, было робко сказано:
Эксперты по безопасности корпорации Microsoft выявили вредоносное ПО, которое использует малоизвестные функции в чипсетах Intel для обхода антивирусов и фаерволлов.
В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.
http://safe.cnews.ru/news/top/2017-06-13_troyany_nauchilis_obhodit_antivirusy_i_faervolly
Но мы ни на что не намекаем…
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:25:47 2018-08-04
vasvet
14:36:24 2018-03-26
Toma
19:00:32 2017-12-05
Людмила
17:12:25 2017-07-26
рекомендую удалить из вашего комментария непотребную оценку автора (перефразировать написанное). Даю час.
Вячeслaв
16:44:23 2017-07-26
pkjq
15:46:45 2017-07-26
Обратите внимание на фразу из анекдота "Серая лошадь шла по берегу реки".
Просто смешно читать абзац, начинающийся словами: "А лошадь как заговорит....".
И, наконец, на закуску: "И тут лошадь убежала".
Иными словами, сортиры бы этому автору чистить, а не статьи писать.
Dmur
20:47:51 2017-07-25
razgen
23:37:42 2017-07-24
razgen
23:36:11 2017-07-24
aleks_ku
23:08:17 2017-07-24
Littlefish
23:05:06 2017-07-24
Andromeda
23:01:31 2017-07-24
a13x
22:54:20 2017-07-24
vla_va
22:42:57 2017-07-24
В...а
22:23:23 2017-07-24
МЕДВЕДЬ
21:36:09 2017-07-24
Марина
21:29:24 2017-07-24
ek
21:19:40 2017-07-24
Шалтай Александр Болтай
21:08:33 2017-07-24
Татьяна
20:45:30 2017-07-24
kva-kva
20:45:00 2017-07-24
orw_mikle
20:39:23 2017-07-24
Dvakota
20:15:24 2017-07-24
B0RIS
19:24:27 2017-07-24
kozinka.ru
19:04:09 2017-07-24
tigra
18:15:15 2017-07-24
tigra
18:13:21 2017-07-24
mk.insta
16:13:36 2017-07-24
Влад
10:55:23 2017-07-24
Alexander
10:46:02 2017-07-24
Конечно, быть эмоциональным некритичным рабом СМИ - это неконструктивно. Новости - нужны, особенно правдивые и разносторонние. С удовольствием их черпаю на сайте Dr.Web и в проекте Антивирусная правДА.
Спасибо.
maestro431
09:48:24 2017-07-24
Анатолий
09:04:04 2017-07-24
Пaвeл
08:54:48 2017-07-24
Littlefish
08:33:06 2017-07-24
https://www.drweb.ru/pravda/issue/?number=321&lng=ru
Littlefish
08:11:45 2017-07-24
Сам какое-то время использовал параноидальный, но сменил на оптимальный после одного из выпусков Антивирусной правды.
user
08:07:53 2017-07-24
Преображенский: Если вы заботитесь о своём пищеварении, мой добрый совет — не говорите за обедом о большевизме и о медицине. И — боже вас сохрани — не читайте до обеда советских газет.
Борменталь: Гм… Да ведь других нет.
Преображенский: Вот никаких и не читайте. Вы знаете, я произвёл 30 наблюдений у себя в клинике. И что же вы думаете? Пациенты, не читающие газет, чувствуют себя превосходно. Те же, которых я специально заставлял читать «Правду», — теряли в весе. […] Мало этого. Пониженные коленные рефлексы, скверный аппетит, угнетённое состояние духа.
Littlefish
07:59:49 2017-07-24
Отдельное спасибо за Windows Defender, посмеялся :-)
Vlad X
07:31:25 2017-07-24
Приходится проверять.
GREII
07:17:05 2017-07-24
eaglebuk
07:13:04 2017-07-24
L1t1um
07:05:10 2017-07-24
Раш КХ
06:59:49 2017-07-24
Mefch
06:57:15 2017-07-24
tigra
06:11:58 2017-07-24
Morpheus
04:35:00 2017-07-24
SGES
04:03:07 2017-07-24
Sasha50
03:14:01 2017-07-24