Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (84)
  • добавить в избранное
    Добавить в закладки

«Крот» в рядах разработчика

Прочитали: 2221 Комментариев: 62 Рейтинг: 59

Как вам должно быть известно, компания «Доктор Веб» занимается в том числе и анализом вирусозависимых компьютерных инцидентов. Об одном поучительном случае мы хотели бы рассказать сегодня.

К нам обратилась компания с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда.

В ходе анализа ситуации обнаружилась неизвестная Dr.Web вредоносная программа и выяснился способ ее проникновения. Заражение начиналось с уязвимости в легальной программе. Используя ее, злоумышленник внедрял эксплойт, и на стороне пострадавшего клиента создавалась административная учетная запись для удаленного доступа.

Далее злоумышленник удаленно заходил на зараженный сервер, устанавливал вполне легитимное ПО ProcessHacker, избавлялся от антивируса, например, отключая его напрямую, и запускал вредоносную программу…

В результате исследования было обнаружено несколько эксплойтов и несколько видов ранее неизвестных антивирусу Dr.Web вредоносных программ, а также список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов.

И вот что самое интересное. Нашей компании совместно с правоохранительными органами удалось выявить злоумышленника – тот оказался сотрудником компании-разработчика той самой легальной программы, через уязвимости в которой и был получен доступ к серверу – и нашего клиента, и многих других.

Больше подробностей об этой экспертизе — в нашей Зарисовке.

#бэкдор #взлом_антивируса #ВКИ #корпоративная_безопасность #признаки_заражения #уязвимость #эксплойт

Dr.Web рекомендует

  1. Покупая легальное ПО, мы доверяем поставщику. Но проблема в том, что сотрудники поставщика могут поддаться искушению и внести в программу недокументированный функционал. Или поставщик будет взломан, и в код внесут изменения уже злоумышленники.

    Эпидемия «ЛжеПети» (он же «Петя-2») распространялась именно через поставщика ПО. О мерах защиты тогда писали все СМИ, но, видимо, никто не хочет учиться на чужих ошибках...

  2. Продукты Dr.Web проходят сертификацию. Точнее, процесс оценки соответствия требованиям в форме сертификации. В том числе происходит проверка на отсутствие недокументированного функционала.

  3. Ну и несколько традиционных советов.

    • По возможности ни пользователь, ни программы не должны работать с административными правами.
    • Пользователи должны иметь возможность запускать только разрешенное ПО.
    • Необходим запрет на запуск нового ПО и загрузку драйверов.
    • Ненужные сервисы должны быть отключены (в том числе удаленный доступ, если он не используется в работе).
    • У пользователя не должно быть прав на отключение антивируса. Должен быть установлен пароль на удаление антивируса.
    • Сеть компании должна быть разделена на несколько изолированных сегментов во избежание расползания вредоносного ПО.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: