Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (48)
  • добавить в избранное
    Добавить в закладки

Заголовок на рубль – новость на копейку

Прочитали: 2897 Комментариев: 91 Рейтинг: 102

Еще раз о новостях с паническими заголовками – вот новость, в которой утверждается, что антивирус «такое не ловит»:

…Его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.

https://habrahabr.ru/company/it-grad/blog/330572

Смешно читать такие тексты, написанные для специалистов технического форума, и еще более грустно, что авторов никто не поправил. Давайте разберемся.

Не так давно читатели проекта «Антивирусная правДА!» обсуждали возможность использования злоумышленниками Intel AMT. В том выпуске мы отмечали, что комплекс технологий от Intel гипотетически предоставляет злоумышленникам большие возможности, но, по счастью, несмотря на имеющиеся уязвимости, пока Intel AMT злоумышленники не используют.

Не прошло и двух месяцев:

Хакеры используют Intel AMT для передачи сообщений между зараженными ПК

Microsoft предупредила пользователей о новом способе злоупотребления технологией Intel Active Management Technology (Intel AMT).

http://www.securitylab.ru/news/486607.php

Что же использовали злоумышленники?

В состав Intel Management Engine (ME) входит Intel Serial-over-LAN (или AMT SOL). Сам Intel ME встроен в CPU Intel и работает под управлением собственной микрооперационной системы – независимой от основной ОС компьютера, в которой устанавливаются системы защиты, включая антивирус. Грубо говоря, антивирус работает на уровне файлов и драйверов, а Intel ME живет на уровне «голого железа». Более того, функционал Intel ME устроен так, что администратор (и злоумышленники) может использовать его, даже когда компьютер (процессор) выключен, но ПК доступен по сети.

…Встроенный процессор (Intel ME) обладает удаленными внеполосными возможностями, такими как включение и выключение для оптимального энергопотребления и KVM даже при выключенном основном процессоре. SOL также способна обеспечивать связь по локальной сети при отсутствии физического подключения, независимо от того, включен ли сетевой режим на хосте.

http://www.securitylab.ru/news/486607.php

И о самом вирусе:

Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит группировка Platinum, которая уже несколько лет ведет активную деятельность на территории Южной и Юго-Восточной Азии. Впервые группа была замечена в 2009 году и с тех пор провела множество атак. В прошлом году сообщалось, что Platinum занимались установкой вредоносного ПО с помощью технологии «хотпатчинга» (hotpatching) — механизма, позволяющего Microsoft устанавливать обновления без необходимости перезагрузки компьютера.

https://habrahabr.ru/company/it-grad/blog/330572

Подведем итог. Имеется вредоносное ПО, которое устанавливается на уровне обычной операционной системы, но использует специфический протокол для общения на уровне сети.

Антивирусы действительно не разбирают и не анализируют протокол AMT SOL. Но в этом и нет нужды: этот протокол не используется для проникновения – только для общения уже установленного вредоносного ПО. А значит, для защиты от этой угрозы нужно просто не допустить установки троянца. Ограничить права пользователей, установить антивирус…

И небольшая мелочь на закуску:

Для успешного осуществления атаки хакерам необходимо сначала выманить у системных администраторов их учетные данные.

http://www.securitylab.ru/news/486607.php

#технологии #уязвимость #антивирусная_проверка #обновления_безопасности #пароль

Dr.Web рекомендует

  1. Безоглядно верить СМИ – вредно для желудка.
  2. Чтобы вредоносный файл начал что-то делать, он должен сначала запуститься. Во избежание этого нужно устанавливать обновления, использовать надежные пароли (и не разбрасываться ими), использовать антивирус и ограничивать права пользователей.

Да, кстати. В одном из вариантов новости, растекшихся по СМИ, было робко сказано:

Эксперты по безопасности корпорации Microsoft выявили вредоносное ПО, которое использует малоизвестные функции в чипсетах Intel для обхода антивирусов и фаерволлов.

В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.

http://safe.cnews.ru/news/top/2017-06-13_troyany_nauchilis_obhodit_antivirusy_i_faervolly

Но мы ни на что не намекаем…

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: