«Крот» в рядах разработчика

Незваные гости

добавить в избранное

«Крот» в рядах разработчика

Прочитали: 18567 Комментариев: 61 Рейтинг: 67

7 февраля 2020

Как вам должно быть известно, компания «Доктор Веб» занимается в том числе и анализом вирусозависимых компьютерных инцидентов. Об одном поучительном случае мы хотели бы рассказать сегодня.

К нам обратилась компания с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда.

В ходе анализа ситуации обнаружилась неизвестная Dr.Web вредоносная программа и выяснился способ ее проникновения. Заражение начиналось с уязвимости в легальной программе. Используя ее, злоумышленник внедрял эксплойт, и на стороне пострадавшего клиента создавалась административная учетная запись для удаленного доступа.

Далее злоумышленник удаленно заходил на зараженный сервер, устанавливал вполне легитимное ПО ProcessHacker, избавлялся от антивируса, например, отключая его напрямую, и запускал вредоносную программу…

В результате исследования было обнаружено несколько эксплойтов и несколько видов ранее неизвестных антивирусу Dr.Web вредоносных программ, а также список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов.

И вот что самое интересное. Нашей компании совместно с правоохранительными органами удалось выявить злоумышленника – тот оказался сотрудником компании-разработчика той самой легальной программы, через уязвимости в которой и был получен доступ к серверу – и нашего клиента, и многих других.

Больше подробностей об этой экспертизе — в нашей Зарисовке.

#бэкдор #взлом_антивируса #ВКИ #корпоративная_безопасность #признаки_заражения #уязвимость #эксплойт

Антивирусная правДА! рекомендует

Покупая легальное ПО, мы доверяем поставщику. Но проблема в том, что сотрудники поставщика могут поддаться искушению и внести в программу недокументированный функционал. Или поставщик будет взломан, и в код внесут изменения уже злоумышленники.

Эпидемия «ЛжеПети» (он же «Петя-2») распространялась именно через поставщика ПО. О мерах защиты тогда писали все СМИ, но, видимо, никто не хочет учиться на чужих ошибках...
Продукты Dr.Web проходят сертификацию. Точнее, процесс оценки соответствия требованиям в форме сертификации. В том числе происходит проверка на отсутствие недокументированного функционала.
Ну и несколько традиционных советов.
- По возможности ни пользователь, ни программы не должны работать с административными правами.
- Пользователи должны иметь возможность запускать только разрешенное ПО.
- Необходим запрет на запуск нового ПО и загрузку драйверов.
- Ненужные сервисы должны быть отключены (в том числе удаленный доступ, если он не используется в работе).
- У пользователя не должно быть прав на отключение антивируса. Должен быть установлен пароль на удаление антивируса.
- Сеть компании должна быть разделена на несколько изолированных сегментов во избежание расползания вредоносного ПО.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

vlad02
20:24:56 2020-12-14

Sasha50 Собкор
06:14:20 2020-02-08

Скорее всего, именно низкая оплата труда толкает программистов на такие преступления: "что знаю, то и использую себе во благо".
Конечно конечно, а обносят квартиры из-за тго, что замки слишком простые, на улице обворовывают - невнимательных лохов, а грабят только ленивых батанов которые в качалку не ходят.
Виноваты конечно не преступники а кто то другой. Привычная отмазка всякой мрази, не нравится зарплата? Уволься нахрен, и иди где тебе, криворукому тупице, на халяву милионы отвалят. Освободи место честным людям

VVK74
20:09:27 2020-02-10

Это-же как обидели работника в Компании-разработчике

Sasha50 Собкор
06:14:20 2020-02-08

Скорее всего, именно низкая оплата труда толкает программистов на такие преступления: "что знаю, то и использую себе во благо".

Sasha50 Собкор
06:12:41 2020-02-08

@Vlad_X, а не хватает всегда - денег. Вот и используют свои знания про "дыры" в программе.

L1t1um
22:44:43 2020-02-07

Ничего себе легальное ПО... Везде пытаются нашего брата обмануть.

Геральт Собкор
21:53:08 2020-02-07

Крайне полезные советы даёт Доктор Веб.

Lia00 Собкор
20:00:57 2020-02-07

чего только не услышишь в мире...

orw_mikle
19:43:47 2020-02-07

Если фирма Dr.Web и дальше будет работать с правоохранительными органами ещё активнее, то наверно и таких сотрудников будет в разы меньше.

ka_s
18:42:37 2020-02-07

Человек склонен ошибаться. Но не надо же плевать в колодец, из которого пьешь!

Альфа
18:18:47 2020-02-07

Сколько верёвочке не виться, а конец будет один.

Dvakota
16:57:12 2020-02-07

Вот так и надейся на легальное ПО .

Любитель пляжного футбола Собкор
16:32:16 2020-02-07

@Вячeслaв, понятно, спасибо. А то я в первую очередь и подумал про антивирус Dr.Web, о котором обычно и говорится в рекомендациях. :)

Вячeслaв Собкор
16:17:28 2020-02-07

@Любитель_пляжного_футбола, понял. В нашем антивирусе действительно нет пароля на удаление. Но в иных антивирусах такая возможность присутствует. Особого смысла в ней нет,так как если уж злоумышленник получил удаленный доступ к машине и имеет право запускать ПО, то он может запустить и спецутилиту для удаления антивируса - такие утилиты есть у всех вендоров. В приведенном списке советов не указывается, что это функционал именно DR.Web. Например у нас же нет возможности выполнить пункт "Сеть компании должна быть разделена...". Но за замечание спасибо, постараемся избежать подобных двусмысленностей

Денисенко Павел Андреевич
16:06:54 2020-02-07

Лучше использовать ПО, у которой есть подлинные сертификаты соответствие качество программного обеспечения. И всегда нужно проверять любую компанию (организацию) или интернет-магазин по УНП номеру.

Шалтай Александр Болтай Собкор
16:00:42 2020-02-07

Очень испуганный страус убил крота!

Татьяна
15:45:35 2020-02-07

Даже не думала, что с легальным программным обеспечением могут возникнуть такие проблемы. Спасибо за советы!

anatol
15:40:33 2020-02-07

Необходим надежный антивирус, хороший сисадмин и ответственный пользователь.

kozinka.ru Собкор
15:18:19 2020-02-07

Да, поучительная статья. Вот и надейся теперь на легальное ПО. Никому нельзя доверять!
P.S. Только DrWeb-у. :))

Любитель пляжного футбола Собкор
14:56:45 2020-02-07

@Вячeслaв, то что пароль там давным давно можно было установить, это всё понятно, об этом речь не идёт. Но у вас в рекомендациях (в подвале статьи) сказано, что "...должен быть установлен пароль на удаление антивируса..."

Вот в чём вопрос. Что-то поменялось, теперь появилась возможность настроить антивирус так, чтобы он запрашивал пароль при его удалении?
Раньше вы были против этого. Привожу вашу цитату из июньского выпуска 2017 года: "...Но вопрос в том, что если мы вернем удаление по паролю, то техподдержка снова будет завалена запросами на удаление антивируса. Тут мы вступаем опять на управление рисками. Что более вероятно - потеря пароля или получение кем-то удаленного доступа? Потеря пароля куда чаще, плюс если кто-то считает, что у него есть что скрывать от злоумышленников, тот должен понизить права пользователя, чем полностью убирает проблему удаления..."

Если что, могу ответить не сразу, я на работе, и связь будет такая, словно я сейчас где-то на орбите Сатурна. :)

Toma
14:48:15 2020-02-07

Действительно, детективная история: найти "крота" и уничтожить :)

SGES Собкор
14:27:09 2020-02-07

ИТ безопасность видать начинается с подбора персонала.С человека, который будет порядочным и честным.

I23
12:52:33 2020-02-07

Защищай свою компанию от кротов, используя Dr.Web.

Вячeслaв Собкор
12:48:31 2020-02-07

@Любитель_пляжного_футбола, В смысле пункт об установке пароля? В Security Space он есть давно

Любитель пляжного футбола Собкор
12:41:13 2020-02-07

@Вячeслaв, во избежание путаницы уточню, вы имеете в виду, что данный пункт уже появился в настройках (на момент выхода того выпуска, ссылку на который я привёл, его ещё не существовало в природе, более того, вы там, в комментариях, утверждали о нецелесообразности и даже "вредности" добавления такого пункта в настройки)? И теперь паролем можно защитить не только настройки, но и сделать так, что даже при УДАЛЕНИИ антивируса будет запрашивать пароль? Так ли это?
Сейчас это проверить не могу, пишу с рабочего компьютера. Ответить смогу, скорее всего, уже поздно вечером. :)

Masha
12:32:10 2020-02-07

@Людмила, "преступником оказался руководитель разработки" - рыба гниет с головы? Чаще всего так и бывает.

vinnetou
12:00:45 2020-02-07

Крот может быть везде!!!Дельные советы от Dr.Web!!!

Людмила
11:49:18 2020-02-07

@GREEN,
случай редкий, говорите? А Лже-Петя? и это только из громких. а сколько мало известных или успешно замалчиваемых?
и могу подлить масла в огонь: преступником оказался руководитель разработки.

Вячeслaв Собкор
11:30:03 2020-02-07

@dyadya_Sasha, самое паршивое тут в " а также список жертв, атакованных аналогичным образом". Тоесть куча народа завирусована, у всех серваки работают с повышенной нагрузкой. А обеспокоился только один :-(

Вячeслaв Собкор
11:28:41 2020-02-07

@Morpheus, почему, есть. Скажем даже если вы купили ПО, то чтобы туда поставить что-то дополнительное - нужны и доступ и права необходимые. Тоесть
- работа ПО с минимальными правами
- разделение сети компании на подсети - чтобы не расползалось по сети
- отсутствие сервисов удаленного доступа
- запрет установки нового ПО
- контроль целостности процессов (чтобы тот же эксплойт поставить)

100% гарантии конечно никто никогда не достигнет, но очень существенно снизить риск можно. Всяких мер защиты очень много, антивирус это только одна из них

Вячeслaв Собкор
11:07:26 2020-02-07

@dyadya_Sasha, за сумму не скажу, не моя область. Но в любом случае сначала идет обращение в саппорт, там сначала смотрят кто виноват

dyadya_Sasha Собкор
11:05:11 2020-02-07

Захватывающий детектив с предсказуемым концом и заслуженными аплодисментами следокам!

@admin Как здорово, когда есть компания с надежными квалифицированными специалистами к которым можно обратиться в подобных случаях. Только возникает вопрос расценок. Доступны ли они среднему предпринимателю или только богатым компаниям? Понятно, что коммерческая информация и сумма зависит от объема, но порядок суммы(плюс минус километр) хотелось бы знать для ориентировки. Можно в личку.

Dmur
10:59:07 2020-02-07

Вот тебе, бабушка, и лицензионное ПО! Что уж говорить о пиратском ПО.

Неуёмный Обыватель Собкор
10:52:12 2020-02-07

"Злоумышленника изобличили и уволили. Информация о нем была передана правоохранительным органам. Однако после увольнения с работы он поменял место жительства и скрылся."
Было бы правильнее сначала передать органам, а потом уже увольнять. А то получается пособничество. И попытка не запятнать типа честь компании. Мол, виновный давно уволен и не наш сотрудник, а все нынешние сотрудники- молодцы.

Вячeслaв Собкор
10:50:40 2020-02-07

@Любитель_пляжного_футбола, по умолчанию не стоит. Но мы рекомендуем установить

Lenba
10:44:55 2020-02-07

Вот тебе и легальное ПО с заминированной уязвимостью.

Alex_1774
10:36:58 2020-02-07

Опять майнинг. Жаль "крота" не привлекли.

I46
10:34:42 2020-02-07

И вновь точные рекомендации от Dr.Web для безопасности.

Zserg
10:24:03 2020-02-07

Действительно, доверяй, но проверяй разработчика.

vkor
09:39:02 2020-02-07

На чужих ошибках научиться нельзя.

znamy
09:35:45 2020-02-07

Никому верить нельзя.

Alexander Собкор
09:26:36 2020-02-07

Да... вот оно как бывает... Покупаешь легальное ПО, и тебе в качестве бонуса-сюрприза "даром, т.е. безвозмездно" вносят уязвимость и эксплоит в систему.

"Крот" - это очень неприятное явление, особенно, в команде персонала разработчика и производителя софта.

Благо, что Dr.Web, как истинный Доктор находит и излечивает такие опасные лукавые "бонусы".

Спасибо за статью. Исчерпывающими советы никогда не будут, жизнь не стоит на месте, но "Ядро" исполненных рекомендаций создаст для злоумышленников надёжный заслон.

Доверяй, но проверяй...
Софт поставил, - обновляй...
Dr.Web не забывай,
Правильно настраивай...

marisha-san Собкор
09:21:13 2020-02-07

Хитрый крот ,нашел лазейку.

Пaвeл Собкор
09:14:09 2020-02-07

Да действительно история поучительная. Что делать? Как дальше жить?!

gebrakk
09:11:28 2020-02-07

Человеческий фактор будет всегда

Vlad X
08:40:07 2020-02-07

А сколько еще засланных казачков будет и
как с этим бороться.А спросили его,зачем он это
сделал,что ему не хватало.

АНДРЕ
08:30:36 2020-02-07

Надо настроить 3;4;5 пункты

АНДРЕ
08:30:36 2020-02-07

Надо настроить 3;4;5 пункты

maestro431
07:47:07 2020-02-07

Крот может быть везде!

ZesMen
07:09:42 2020-02-07

Редкий пользователь заходит в настройки, а в итоге большая часть пользуется не полной защитой.

Xamanaptr
06:48:41 2020-02-07

Вот на что интересно такие люди надеятся, ведь рано или поздно их все равно вычислят. Или может к тому моменту уже накоплены миллионы на счетах.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

«Крот» в рядах разработчика

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей