Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (64)
  • добавить в избранное
    Добавить в закладки

Пройдемся по спискам

Прочитали: 1291 Комментариев: 85 Рейтинг: 95

Как злоумышленник атакует компьютер? Вопрос, казалось бы, из разряда детских и может вызывать недоуменное пожимание плечами. Что здесь сложного, ведь перечень способов известен всем! Киберпреступники могут прислать вредоносный файл (или ссылку на него) в письме. Пользователь может загрузить файл из Интернета (или вредоносный скрипт сам исполнится в момент посещения страницы сайта). Вирус может запуститься со сменного устройства (от флешки до мышки). Можно добавить проникновение через уязвимость и наличие закладок на диске или в прошивке свежекупленного устройства.

Это угрозы, от которых можно защититься. Но возможности злоумышленников этим не ограничиваются.

Что вы скажете, например, об утилите regsvr32? Легитимная штука, которая присутствует в системе постоянно. И обладает богатыми возможностями. Например, позволяет работать с реестром и файлами с повышенными привилегиями. А значит, злоумышленникам не нужно писать соответствующий код для выполнения таких действий – они могут воспользоваться функционалом стандартных утилит, имеющих все необходимые подписи, в силу чего им доверяют системы защиты (в первую очередь те, что основаны на белых списках приложений). Плюс, если злоумышленник широко использует стандартные утилиты, размер вредоносного кода сокращается, и выявить его становится сложнее.

Используя легитимные программы и библиотеки, хакеры могут замаскировать свое присутствие в системе: даже если пользователь заглянет в список загруженных процессов, он не увидит никаких новых программ. Таким образом злоумышленники получают время для выполнения нужных им действий. Так, группа Cobalt использует regsvr32, msxsl и wmic.

Собственно, ничего нового в этом подходе нет. Внимательный читатель помнит о скриптовых вредоносных программах, широко использующих данный подход (по некоторым данным, до 52% атак в 2017 году использовали PowerShell или Windows Management Instrumentation (WMI)).

Однако наш выпуск о другом: группа энтузиастов решила составить полный список утилит, скриптов и библиотек, которые используют злоумышленники. LOLBINs/LOLScripts/LOLLibs – списки, соответственно, исполняемых файлов, скриптов и библиотек, не имеющих вредоносных функций, и, как правило, по умолчанию установленных в атакуемых системах.

Выше мы упоминали о утилите regsvr32. Какие еще утилиты можно найти в списке LOLBINs? Например, Msconfig.exe или Explorer.exe. А вот здесь – полный список.

LOLBINs/LOLScripts/LOLLibs – это динамические списки, любой исследователь может их пополнять.

Что же дает наличие таких списков специалистам по безопасности? Знания о том, на активность каких программ нужно обратить внимание.

#хакер #киберпреступление #скрипт #вредоносное_ПО #Dr.Web #Windows

Dr.Web рекомендует

К сожалению, использование легитимных программ – это не единственная возможность внедрения вредоносного кода. Вот что еще есть в арсенале киберпреступников:

  • проникновение с незащищенных устройств (например, личных устройств сотрудников или гостей компании, подключенных к локальной сети);
  • заражение сетевых устройств;
  • заражение путем загрузки с доверенного источника (например, но не только, – магазина приложений);
  • проникновение через тестовые устройства и сети, в которых действуют упрощенные правила безопасности;
  • внедрение через нефильтруемые протоколы (например, DNS).

Список можно продолжать, а тем временем в Dr.Web версии 12, который будет выпущен на днях, мы реализовали защиту от атак, совершаемых с помощью легитимных программ. Добавлены специальные эвристические методы для детектирования атак класса LOLBINs/LOLScripts (Living Off The Land Binaries And Scripts) как по поведению, так и при сканировании или фоновой проверке.

#drweb

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: