01.07.2017 07:20
esetnod32 25 21800 Источник
Эпидемия шифратора Petya в центре внимания. Проблема в том, что это лишь последний инцидент в серии атак на украинские компании. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya) и включает информацию о ранее неосвещенных атаках.



TeleBots


В декабре 2016 года мы опубликовали исследование деструктивных атак, выполненных кибергруппой, которую мы называем TeleBots. Группировка атаковала финансовые учреждения и использовала версию деструктивного компонента KillDisk для Linux. Кроме того, TeleBots могут иметь отношение к группе BlackEnergy, связанной с кибератаками на энергетические компании.

Вредоносная программа KillDisk использовалась группой TeleBots на заключительном этапе атак, чтобы перезаписать файлы с определенными расширениями на диске жертвы. Забегая вперед, выкуп никогда не был приоритетом для этой группы.

В первой волне атак в декабре 2016 года KillDisk переписывал целевые файлы, вместо шифрования данных. Жертва не получала контакты для связи с атакующими, вредоносная программа просто выводила на экран изображение, отсылающее к сериалу «Мистер Робот».


Рисунок 1. Изображение, которое выводил на экран KillDisk в ходе первой волны атак в декабре 2016 года.

Во второй волне атак злоумышленники доработали KillDisk, добавив шифрование и контактную информацию в сообщение о выкупе, что придавало сходство с типичной программой-вымогателем. При этом авторы запросили за восстановление данных рекордную сумму – 222 биткоина (около 250 тысяч долларов по нынешнему курсу). Это может указывать на то, что хакеры не были заинтересованы в получении выкупа, а стремились нанести ущерб атакуемым компаниям.


Рисунок 2. Требование выкупа KillDisk, версия второй волны атак в декабре 2016 года.

В 2017 году группа TeleBots продолжила атаки, которые стали более изощренными. С января по март 2017 года группа скомпрометировала украинскую компанию, разрабатывающую программное обеспечение (не M.E.Doc) и, используя VPN-туннели, получила доступ к внутренним сетям нескольких финансовых учреждений.


Рисунок 3. Атаки на цепи поставок (supply-chain attacks) в 2017 году

В ходе этой атаки TeleBots пополнили арсенал двумя образцами шифраторов и обновленными версиями инструментов, упомянутых в наших предыдущих отчетах.

Первый бэкдор, на который в значительной степени полагалась группа, – Python/TeleBot.A, который был переписан с языка программирования Python на Rust. Функции не изменились – это стандартный бэкдор, который использует Telegram Bot API, чтобы получать команды от операторов и отправлять ответы.


Рисунок 4. Дизассемблированный код Win32/TeleBot.AB trojan.

Второй бэкдор, написанный на VBS и упакованный с помощью программы script2exe, был сильно обфусцирован, но его функциональность осталась такой же, как в прежних атаках.


Рисунок 5. Обфусцированная версия VBS-бэкдора.

На этот раз VBS-бэкдор использует командный C&C-сервер 130.185.250[.]171. Чтобы сделать соединения менее подозрительными для тех, кто проверяет журналы фаервола, атакующие зарегистрировали домен transfinance.com[.]ua и разместили его на этом IP-адресе. Как видно на рисунке 6, также был запущен почтовый сервер с именем severalwdadwajunior, который работал в сети Tor.


Рисунок 6. Информация о сервере группы TeleBots.

Кроме того, атакующие использовали следующие инструменты:

  • CredRaptor (кража паролей)
  • Plainpwd (модифицированный Mimikatz используется для восстановления учетных данных Windows из памяти)
  • SysInternals’ PsExec (используется для распространения угрозы внутри сети)

Как сказано ранее, на завершающей стадии атаки TeleBots распространяют шифратор, используя PsExec и украденные учетные данные Windows. Антивирусные продукты ESET детектируют его как Win32/Filecoder.NKH. После выполнения малварь шифрует все файлы (за исключением расположенных в C:\Windows) с применением алгоритмов AES-128 и RSA-1024. Вредоносная программа добавляет к зашифрованным файлам расширение .xcrypted

Когда шифрование завершено, программа создает текстовый файл readme.txt со следующим содержанием:

Please contact us: openy0urm1nd@protonmail.ch

Помимо вредоносного ПО для Windows, группа TeleBots использовала Linux-шифратор для других ОС. ESET детектирует угрозу как Python/Filecoder.R, она написана на Python. На этот раз атакующие используют для шифрования файлов сторонние утилиты, такие как openssl. Шифрование осуществляется с помощью алгоритмов RSA-2048 и AES-256.


Рисунок 7. Код на Python Linux-шифратора Python/Filecoder.R, используемого группой TeleBots.

В коде скрипта на Python атакующие оставляют свой комментарий, включающий следующий текст:

feedback: openy0urm1nd[@]protonmail.ch

Win32/Filecoder.AESNI.C


18 мая мы зафиксировали активность шифратора другого семейства – Win32/Filecoder.AESNI.C, также известного как XData.

Программа-вымогатель распространялась преимущественно на Украине, что связано с интересным начальным вектором заражения. По данным телеметрии ESET, шифратор появлялся на компьютере сразу после запуска программного обеспечения для отчетности и документооборота M.E.Doc, широко распространенного в украинских компаниях.

Функционал Win32/Filecoder.AESNI.C позволял шифратору автоматически распространяться в локальной сети компании. В частности, встроенная DLL Mimikatz использовалась для извлечения учетных записей Windows из памяти скомпрометированного компьютера. С помощью учетных данных малварь распространялась внутри сети, используя утилиту PsExec.

Похоже на то, что атакующие не достигли своей цели в ходе этой атаки, либо провели тестирование перед более эффективным ударом. В любом случае, мастер-ключи были опубликованы на форуме BleepingComputer, там же появилось заявление о том, что исходный код AESNI был украден у настоящего автора и использовался в украинском инциденте.

ESET выпустила дешифратор для жертв Win32/Filecoder.AESNI.

Эпидемия Diskcoder.C (более известного как Petya)


Что действительно получило широкое освещение в СМИ, так это эпидемия Petya, начавшаяся 27 июня. Вредоносная программа скомпрометировала множество систем в критических инфраструктурах и корпоративных сетях на Украине и за ее пределами.

Шифратор, который используется в этой атаке, может подменять главную загрузочную запись (MBR) собственным вредоносным кодом. Код позаимствован у программы-вымогателя Win32/Diskcoder.Petya, поэтому некоторые исследователи называют угрозу ExPetr, PetrWrap, Petya или NotPetya. В отличие от оригинального Petya, авторы Diskcoder.C изменили код MBR таким образом, что восстановить данные стало невозможно. Точнее, атакующие не могут отправить жертве ключ расшифровки, и его невозможно ввести в соответствующее поле, поскольку он содержит недопустимые символы.

Визуально MBR часть Diskcoder.C выглядит как слегка модифицированная версия Petya: сначала она показывает сообщение, в котором выдает себя за CHKDSK – утилиту проверки диска от Microsoft. В процессе фейкового сканирования Diskcoder.C на самом деле шифрует данные.


Рисунок 8. Фейковое сообщение CHKDSK, отображаемое Diskcoder.C.

Когда шифрование завершено, код MBR отображает следующее сообщение с инструкциями для оплаты, но, как уже было доказано, эта информация бесполезна.


Рисунок 9. Сообщение Diskcoder.C с инструкциями для оплаты выкупа.

Остальной код, помимо заимствованного MBR, написан авторами вредоносной программы. Он включает шифратор файлов, который может использоваться в дополнение к шифрующей диск MBR. Вредоносная программа использует алгоритмы AES-128 и RSA-2048.

Стоит отметить, что авторы допустили ошибки, что сократило возможности дешифровки файлов. Например, Diskcoder.C шифрует только первый 1 Мб данных и не записывает header и footer, только исходные зашифрованные данные. Малварь не переименовывает файлы, поэтому сложно сказать, какие файлы зашифрованы, а какие нет.

Интересно, что список целевых расширений хотя и не полностью идентичен, но очень похож на используемый в атаках KillDisk в декабре 2016 года.


Рисунок 10. Список целевых расширений Diskcoder.C.

После выполнения Diskcoder.C пытается увеличить охват при помощи эксплойта EternalBlue, который использует бэкдор DoublePulsar, работающий в режиме ядра. Точно такой же метод использовался в вымогателе WannaCryptor.D.

Diskcoder.C также использовал метод, позаимствованный у Win32/Filecoder.AESNI.C (XData) – он использует упрощенную версию Mimikatz, чтобы получить учетные данные, а затем исполняет вредоносное ПО на других машинах локальной сети с помощью SysInternals PsExec.

Наконец, авторы Diskcoder.C использовали третий метод распространения – механизм WMI.

Все три метода применялись для распространения Diskcoder.C внутри сетей. В отличие от WannaCryptor, новый шифратор использовал эксплойт EternalBlue только на компьютерах в диапазоне адресов локальной сети.

Почему эпидемия вышла за пределы Украины? Наше исследование показало, что зараженные компании в других странах подключались через VPN к своим украинским филиалам или бизнес-партнерам.

Начальный вектор заражения


И Diskcoder.C, и Win32/Filecoder.AESNI.C использовали атаки на цепь поставок (supply-chain attack) в качестве начального вектора заражения. Эти семейства вредоносного ПО передавались при помощи программного обеспечения для отчетности и документооборота M.E.Doc, которое широко используется в бухгалтерском учете.

Существует несколько вариантов проведения этих атак. У M.E.Doc есть внутренняя система обмена документами и сообщениями, так что хакеры могли использовать фишинг. В этом случае необходимо взаимодействие с пользователем, возможно, не обошлось без социальной инженерии. Поскольку Win32/Filecoder.AESNI.C не распространился слишком широко, мы сначала решили, что были задействованы именно эти методы.

Но последующая эпидемия Diskcoder.C дает основания предполагать, что у хакеров был доступ к серверу обновлений легитимного ПО M.E.Doc. С его помощью атакующие могли направлять вредоносные обновления с их установкой автоматически без участия пользователя. Поэтому так много систем на Украине пострадало от этой атаки. Кажется, что создатели малвари недооценили способности Diskcoder.C к экспансии.

Исследователи ESET нашли подтверждение этой теории. Мы обнаружили PHP-бэкдор в файле medoc_online.php в одной из директорий на сервере FTP M.E.Doc. Доступ к бэкдору можно было получить через HTTP, хотя он был зашифрован, и атакующему нужен был пароль для его использования.


Рисунок 11. Директория с РНР-бэкдором на FTP.

Надо сказать, что есть признаки, указывающие на то, что Diskcoder.C и Win32/Filecoder.AESNI.C – не единственные семейства вредоносных программ, которые использовали этот вектор. Можем предположить, что вредоносные обновления были применены для скрытого проникновения в компьютерные сети, принадлежащие приоритетным объектам.

Одной из вредоносных программ, распространявшихся с помощью скомпрометированного механизма обновлений M.E.Doc, был VBS-бэкдор, который использует группа TeleBots. На этот раз атакующие снова использовали доменные имена, связанные с финансовой темой: bankstat.kiev[.]ua.

В день начала эпидемии Diskcoder.C А-запись этого домена была изменена на 10.0.0.1.

Выводы


Группа TeleBots совершенствует инструменты деструктивных атак. Вместо направленных фишинговых писем с документами, содержащими вредоносные макросы, они использовали более сложную схему, известную как кибератаки на цепи поставок (supply-chain attack). До начала эпидемии группа атаковала преимущественно финансовый сектор. Вероятно, что последняя кампания была нацелена на украинский бизнес, но атакующие недооценили возможности вредоносной программы – малварь вышла из-под контроля.

Индикаторы заражения (IoC)


Детектирование продуктами ESET:
Win32/TeleBot trojan
VBS/Agent.BB trojan
VBS/Agent.BD trojan
VBS/Agent.BE trojan
Win32/PSW.Agent.ODE trojan
Win64/PSW.Agent.K trojan
Python/Filecoder.R trojan
Win32/Filecoder.AESNI.C trojan
Win32/Filecoder.NKH trojan
Win32/Diskcoder.C trojan
Win64/Riskware.Mimikatz application
Win32/RiskWare.Mimikatz application

C&C:
transfinance.com[.]ua (IP: 130.185.250.171)
bankstat.kiev[.]ua (IP: 82.221.128.27)
www.capital-investing.com[.]ua (IP: 82.221.131.52)

Легитимные серверы, используемые авторами вредоносной программы:
api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)

VBS-бэкдор:
1557E59985FAAB8EE3630641378D232541A8F6F9
31098779CE95235FED873FF32BB547FFF02AC2F5
CF7B558726527551CDD94D71F7F21E2757ECD109

Mimikatz:
91D955D6AC6264FBD4324DB2202F68D097DEB241
DCF47141069AECF6291746D4CDF10A6482F2EE2B
4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D
4134AE8F447659B465B294C131842009173A786B
698474A332580464D04162E6A75B89DE030AA768
00141A5F0B269CE182B7C4AC06C10DEA93C91664
271023936A084F52FEC50130755A41CD17D6B3B1
D7FB7927E19E483CD0F58A8AD4277686B2669831
56C03D8E43F50568741704AEE482704A4F5005AD
38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF
4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B
F4068E3528D7232CCC016975C89937B3C54AD0D1

Win32/TeleBot:
A4F2FF043693828A46321CCB11C5513F73444E34
5251EDD77D46511100FEF7EBAE10F633C1C5FC53

Win32/PSW.Agent.ODE (CredRaptor):
759DCDDDA26CF2CC61628611CF14CFABE4C27423
77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70
EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88
EE275908790F63AFCD58E6963DC255A54FD7512A
EE9DC32621F52EDC857394E4F509C7D2559DA26B
FC68089D1A7DFB2EB4644576810068F7F451D5AA

Win32/Filecoder.NKH:
1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E

Python/Filecoder.R:
AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E

Win32/Filecoder.AESNI.C:
BDD2ECF290406B8A09EB01016C7658A283C407C3
9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD

Win32/Diskcoder.C:
34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D

PHP shell:
D297281C2BF03CE2DE2359F0CE68F16317BF0A86
Поделиться с друзьями
-->

Комментарии (25)


  1. frees2
    01.07.2017 11:10
    #10293144
    +1

    “We identified a malicious PHP backdoor that was deployed under medoc_online.php in one of the FTP directories on M.E.Doc's server,”
    Исследователи ESET, а вот есть ссылка официальная на ESET?
    Дата обновления файла 31 мая 2017 года.
    Предположение. Могли в принципе следить за чужой бухгалтерией и раньше. Тем более админ не мог не знать об этом файле.

    Вирусная защита была отключена для этой программы у всех пользователей, поголовно. Касперский не определял, если был отключён для программы как мог определять?
    Официоз. Настройка антивирусов-файерволов — Me-doc.dp.ua


    1. VolCh
      01.07.2017 23:29
      #10293766
      +2

      Почему «не мог не знать»?


      1. frees2
        02.07.2017 07:27
        #10293964

        Честно говоря на газетные перепечатки и новости, даже ссылаемые на кого-то, не хочется читать, а где официальные ссылки, пруфы?

        AdmReg
        0B 1 месяц назад

        ARM
        64.4MiB 3 года назад

        assistant
        59.9MiB 1 год назад

        BANK
        614.3MiB 4 года назад

        CORP
        66.8MiB 4 года назад

        dealers
        2.3GiB 1 год назад

        Dist
        19.8GiB 1 месяц назад

        Dist_ORA
        1.1GiB 3 года назад

        DKU
        11.2MiB 4 года назад

        ESV
        31.6MiB 3 года назад

        FIREBIRD
        16.2MiB 5 года назад

        GNAU
        690.2MiB 4 года назад

        HotFixForWindows
        28.3MiB 5 года назад

        ptah
        1GiB 1 месяц назад

        TEST
        2.7GiB 1 месяц назад

        TESTUpdates
        14.5GiB 1 месяц назад

        Updates
        5.8GiB 1 месяц назад


    1. NiTr0_ua
      03.07.2017 11:19
      #10295086

      в известном мне случае стоял эсет, исключений для медка не было. отработал и петя, и миша идущий с ним в комплекте (шифровка файлов до ребута).

      в случаях когда петя приходил на почту — антивирус тоже молчал.


      1. esetnod32
        03.07.2017 21:15
        #10295954

        пришлите описание проблемы на sdd@esetnod32.ru, пожалуйста


        1. NiTr0_ua
          03.07.2017 22:51
          #10296098

          это было заражение 27 числа утром. эсет тогда петю/мишу еще не знал (как и прочие антивирусы). хотя модификация MBR сама по себе какбы подозрительное действие, которое случается очень редко и которое для системного диска неплохо бы пресекать…


  1. geotavros
    02.07.2017 22:25
    #10294616

    это стандартный бэкдор, который использует Telegram Bot API

    Не совсем понятно в каком ПО находится этот бэкдор. Или под словом «бэкдор» вы подразумеваете саму вредоносную программу?


    1. esetnod32
      03.07.2017 21:12
      #10295946

      да, саму программу — Python/TeleBot.A


  1. bond1768
    03.07.2017 10:39
    #10295000

    Печаль с этими Петями и Мишами, у меня сосед уже несколько дней ПК не включает, вирусов боится ))


  1. svitoglad
    03.07.2017 10:39
    #10295002
    -1

    image


    1. esetnod32
      03.07.2017 21:13
      #10295948

      не волнуйтесь, у нас все работает (у коллег из киевского офиса тоже)


  1. Fahrain
    04.07.2017 14:00
    #10297116

    Я вот не понимаю чем занимаются антивирусные компании… В свое время — с блокировщиками, теперь вот с шифровальщиками. Почему антивирусы борются с последствиями, а не с первопричиной? Что это за защита вообще, которая срабатывает, когда уже поздно? А завтра выйдет «Вася» — и антивирусы опять разведут руками и выпустят обновление баз когда уже будет поздно?

    Я не понимаю в чем причина отследить активность диска? Если какая-то программа начала массово править файлы на диске — причем файлы разных типов — то остановить ее и спросить пользователя. Это — сложно? Или надо быть гениальным программистом, чтобы до такого додуматься, спустя несколько лет и кучу эпидемий шифровальщиков?

    Да даже когда с диском работает легальная программа (та же pgp — она же обычная программа, а не вирус сама по себе) — что, это так сложно уточнить у клиента он ли является инициатором или это работает вирус?

    Но, в общем-то, мне понятно почему всё вот так. Ведь очень удобно «героически» бороться с угрозами, которые не представляют из себя никаких технических сложностей, и потом брать с клиентов деньги типа за защиту, которая по факту полностью бесполезна. Зато клиент доволен — его же защищают! И несет деньги — ему же страшно, а вдруг?


    1. msts2017
      05.07.2017 13:31
      #10298892

      Пользователи такой функционал быстро отключают ибо тормозит\раздражает и вообще это проблема не антивирусов (их вообще не должно быть) а ОС, надо менять архитектуру безопасности на взрослую, сквозной мандатный доступ, то се.


      1. Fahrain
        05.07.2017 13:52
        #10298956

        Это не реально. Никому такая ОС и даром не нужна. Именно в полном отсутствии ограничений и есть преимущество windows. Это именно то, что дало ей такую популярность. И любые попытки вводить дополнительные ограничения будут приводить только к падению популярности и оттоку клиентов.

        Но проблема — не в ОС. *nix-системы точно так же взламывают через уязвимости ОС, уязвимости софта, подбор паролей и всякое такое. Просто их в целом меньше и проблемы менее заметны глобально.

        Так что проблема — она не только и не столько в ОС, сколько в защитном софте, который просто не выполняет своих функций.

        Я еще помню 90-е годы и антивирусы, которые могли детектировать неизвестные им вирусы просто на основе их поведения. И лечить, да. Без всяких записей в антивирусных базах, да. И песочница была — для детектирования того самого «неправильного» поведения, да. А потом — как отрезало. С выхода как минимум WinXP (а может и пораньше) — антивирусы начали искать вирусы исключительно на основе записей в антивирусных базах. Тупо по хеш-суммам файлов. Лечение вообще исчезло как класс — только удаление. Ну, тут и вирусы поменялись, лечить стало как бы нечего, однако, какое-то время старое поколение вирусов, заражающих исполняемые файлы продолжало существовать, вот только лечения уже в антивирусах не стало.

        А потом пришли блокировщики. Вот скажите мне, в чем сложность найти и блокировать любую программу, запускающуюся по автозагрузке и/или подменяющую explorer на рабочем столе и при этом имеющую размеры окна во весь экран и без кнопок закрытия и меню? Это настолько сложно, что блокировщики, написанные школьниками на дельфи свободно распространялись по всему миру? А «защита» от автозапуска с флешек появилась вообще через год после появления проблемы. Причем придумал ее вообще левый чувак, не имеющий отношения к антивирусным компаниям. Т.е. целый год (а может и больше — я уже точно не помню) антивирусы просто позволяли любому файлу автоматически запускаться с внешних носителей и даже не пытались как-то бороться с проблемой. С той проблемой, которая как раз и должна была бы быть в ведении антивирусов, да. Просто представьте, сколько за этот год у антивирусных компаний появилось новых клиентов — просто потому, что любая флешка могла заразить компьютер очередным блокировщиком!

        А сейчас вот шифровальщики… И ровно та же картина: антивирусы нам рассказывают как они героически борются с проблемой (при этом не объясняя, в чем же такая сложность побороть эту беду окончательно), при этом всё «лечение» заключается в добавлении хеша файлов в базы антивирусов. Достаточно немного поменять файл вируса — и всё, антивирусы уже ничего не детектируют и ни от чего не защищают.

        О какой-то превентивной защите от угроз я уже даже и не заикаюсь. Причем разницы в защите в антивирусах для дома и для организаций просто нет, они одинаково не справляются с новыми вариантами одних и тех же вирусов.

        Антивирусы — бесполезны. Они создают иллюзию защиты за деньги клиентов, при этом ни от чего не защищая.


        1. msts2017
          05.07.2017 14:11
          #10299016

          Чет я не понял, с начало говорите — давайте введем ограничения на поведение программ — выводить подтверждения на действия, а потом что не надо никаких дополнительных ограничений.

          Ну да ладно, я же пишут про то что нужно поменять чтобы снизить ограничения наблюдаемые пользователем с одновременным решением существующих проблем безопасности.


          1. Fahrain
            05.07.2017 14:14
            #10299026

            со стороны ОС любой шифровальщик — это нормальная программа делающая что-то полезное. Единственное, что может сделать ОС, это запретить этой программе трогать системные файлы — и то, только если программа запущена не под админской учеткой. Поэтому мне совершенно не понятно, какие у вас претензии к ОС, при том, что проблему неправильных программ решают именно антивирусы.


            1. msts2017
              05.07.2017 14:26
              #10299058

              Вы рассуждаете в рамках существующей (вин, лин) архитектуры безопасности, а в другой архитектуре, шифровальщик будет по прежнему нормальной программой делающей что-то полезное но при этом толком молча ничего не зашифрует, в худшем случае ОС спросит админа а действительно ли надо разрешить шифровать MBR.


              1. Fahrain
                05.07.2017 14:33
                #10299076

                Вот, на *nix системах есть rm -rf /* — как вы от предлагаете защищаться от нее? Рядовая команда, просто действие слишком глобальное. И да, даже то, что не удалится до конца сильно владельца ПК не спасет — потому что, то, к чему он имел доступ удалится наверняка. И никакая ОС тут не защитит. И даже если она будет спрашивать при попытке удалить системные файлы этой командой, то никто не мешает ее просто сразу натравить на профиль пользователя. Или запустить по результатам поиска доступных файлов.

                В том же и суть современных шифровальщиков — некоторые из них вообще написаны на .bat файлах и используют абсолютно легальную не модифицированную версию программы pgp или любой другой. И от того, что зашифруются только те файлы, к которым юзер имел доступ, сильно легче не станет, уж поверьте.

                Я про это и пытаюсь сказать: именно задача антивируса выявлять и предотвращать странное поведение программ. Любых программ! Собственно, многие из них это даже декларируют. И рассказывают нам про песочницу и детектирование аномального поведения. Только за последние лет 17 я ни разу не видел, чтобы антивирусы блокировали бы хоть что-то, чего нет в их базах.


                1. msts2017
                  05.07.2017 15:15
                  #10299176

                  Команда выполнится только если ее набил человек в консоли в отношении файлов на которые он имеет право удалять, если был скачан sh файл из, допустим, инета она удалит только то что было сделано из под файла sh, даже если запущена по админской учеткой.
                  Конечно это не защитит от ситуации когда человеку придет емейл с указание выполнить эту команду в консоли, у таких людей будет стоять запрет на консоль.
                  Смысл в том что носителями прав являются не только учетные записи но и другие объекты ОС, например файлы и не только исполняемые. Некое подобие уже делают, теже разрешения для приложений в мобильных ОС.


                  1. Fahrain
                    05.07.2017 15:24
                    #10299194

                    Но никто же не мешает вашу консоль подменить. Или передать в нее нажатия клавиш — за счет программы, которая вешает глобальный хук на клавиатуру. Можно даже перехватить реальные нажатия и подменить на свои — переслав их в консоль. И еще миллион способов как передать что-то в программу, у которой есть права. Так что это — не защита :)

                    И вы пишете:

                    у таких людей будет стоять запрет на консоль.

                    кто им этот запрет поставит? Дома?

                    Более-менее близкое к глобальной защите — у подхода эппла в iOS или в модерн-приложениях Windows. Но юзабилити таких систем стремится к нулю — именно из-за вот этих ограничений области действия программ. И именно поэтому iOS есть только на смартфонах, а планшеты с Windows RT вообще не взлетели.

                    Описанное вами имеет смысл с контролируемой среде, например, в условиях корпоративной сети. Но для большинства обычных пользователей такая защита принесет больше проблем, чем пользы.

                    И я еще раз говорю: защищаться от неправильного использования обычных программ — это не задача ОС. Ее задача просто из выполнить и не дать вмешаться в работу других выполняющихся программ. Всё. Остальное — задача защитных программ, которые, как мы уже неоднократно видим эту задачу не выполняют вообще, в лучшем случае защищая только от уже прошедших угроз.


                    1. msts2017
                      05.07.2017 15:50
                      #10299230

                      Опять двадцать пять, существующие проблемы юзабилити следствие используемой архитектуры, в другой их будет как минимум меньше чем сейчас.
                      Подмена консоли не поможет, прав у нее не будет, если же удалось слать нажатия в другую консоль, значит захачили драйвер, антивирус тут тем более не поможет.
                      А зачем дома консоль? сколько времени понадобится объяснить человеку бездумно исполняющему команды пришедшие по почте, что такое консоль? что мешает в письме указать что если антивирус что-то спросит — ответить — разрешить? и человек дошедший до этой фазы ее скорее всего выполнит.

                      Вот и получается большинство пользователей отключит это функционал антивируса потому что тормозит\раздражает, те кто не выключит скорее всего надавят разрешить.

                      Эвристика антивируса спасет «единицы», изменение архитектуры НЕ спасет «единицы».


                      1. Fahrain
                        05.07.2017 16:08
                        #10299260

                        ну вот тот же петя — он пришел из-за уязвимости ОС. На этом этапе — ни ОС не смогла его заблокировать (в вашей «новой» архитектуре — тоже не смогла бы, потому что уязвимость, да), ни антивирус не смог отдетектить, потому, что новый вирус и вообще пришел по стандартному протоколу (ну, так это выглядит со стороны антивируса). А вот дальше пришедшая программа запустилась и начала трогать файлы по диску. Причем без явной команды пользователя. Сама. И вот тут-то и должен был сработать антивирус с эвристикой. Да-да — не ОС, ее-то уже взломали, а именно антивирус, потому что их вариантов много и вероятность, что хотя бы часть из антивирусов не будет обойдена через какую-то их собственную уязвимость — высока. По крайней мере — для вирусописателей уже возникает дополнительная проблема поиска уязвимости не только в ОС, но еще и во всех антивирусах для этой ОС, причем с учетом нескольких их поколений назад, чтобы в итоге охватить заражением как можно больше систем.

                        И большинство пользователей — пользуется настройками по умолчанию всегда. Так что никто ничего отключать не будет, можно даже не сомневаться. А единицы, которые это сделали — они не играют существенной роли.


                        1. msts2017
                          05.07.2017 16:23
                          #10299320

                          Как раз еслиб была архитектура с мандатным подходом то Петя не пришел бы ни через медок ни через смб, точнее пришел-бы но ничего не зашифровал потому что права у него были-бы только на те файлы которые созданы согласно мандату медок или смб в не интерактивном режиме, т.е. максимум временные файлы и файлы конфигурации этих служб.


                          1. msts2017
                            05.07.2017 16:30
                            #10299340

                            Т.е. шифровальщик возможен только в случае уязвимости драйвера файловой системы, через любые другие уязвимости просто не хватит прав все зашифровать.


                        1. msts2017
                          05.07.2017 16:43
                          #10299368

                          И большинство пользователей — пользуется настройками по умолчанию всегда.

                          И что? это как-то помешает отключить после пары вопросов от антивируса в день? тут UAC массово за меньшее отключают.