 fox
II/IDEC networks :: habra.16 :: / Security Week 25: уязвимости в Windows, libarchive и Wordpress, новые старые трюки криптолокеров
|
Login |
[#]
Security Week 25: уязвимости в Windows, libarchive и Wordpress, новые старые трюки криптолокеров
habrabot(difrex,1) — All
2016-06-24 19:30:03
![][1]Поговорим о тренировке. Вместе с криптолокерами в наш уютный ландшафт угроз пришли казалось бы давно забытые трюки: от «албанского вируса» (набор для самостоятельной зашифровки данных) до макросов в офисных документах. По меркам тех угроз, про которые действительно интересно читать, это прошлый век и детский сад, но вот проблема — работают ведь. В случае макросов от пользователей требуется сделать пару лишних кликов, в процессе выводятся предупреждения (опасно!), но нет, все кликается, загружается и приводит к реальным убыткам и потере данных, хорошо если только на одном компьютере. По нашим данным, число криптоатак на пользователей за последние два года [выросло в пять раз][2] — и этот тот случай, когда количество рано или поздно переходит в качество.
Подавляющее большинство криптолокеров, а особенно такие трояны начального уровня, по-прежнему без проблем блокируются стандартным защитным софтом. Увы, это не исключает заражение полностью — и дело не в том, что стопроцентной защиты не бывает. Недавно я [ссылался на пример][3], когда к неплохо защищенной инфраструктуре подключается внешний фрилансер с ноутбуком без антивируса и устраивает локальный армагеддон.
Недавно к арсеналу древних трюков добавился еще один. Вместо макросов в офисные документы внедряют ссылки на внешние объекты с помощью технологии OLE ([новость][4], [исследование][5] Microsoft). В документе этот хитрый маневр выглядит примерно как на картинке. В одном из случаев использовалась довольно топорная социнженерия: «Нажмите, чтобы разблокировать этот контент и доказать, что вы не робот». В Ворде такая конструкция выглядит чрезвычайно подозрительно, но ведь работает. И что с этим делать?
Все выпуски дайджеста доступны [по тегу][6].
[Читать дальше →][7]
[1]: https://habrastorage.org/files/6cb/35f/160/6cb35f16064941baa3647f545422c5ee.png
[2]: https://securelist.com/analysis/publications/75145/pc-ransomware-in-2014-2016/
[3]: https://habrahabr.ru/company/kaspersky/blog/283536/
[4]: https://threatpost.ru/like-macros-before-it-attackers-shifting-to-ole-to-spread-malware/16798/
[5]: https://blogs.technet.microsoft.com/mmpc/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/
[6]: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date
[7]: https://habrahabr.ru/post/304050/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-06-24 19:30:03
![][1]Поговорим о тренировке. Вместе с криптолокерами в наш уютный ландшафт угроз пришли казалось бы давно забытые трюки: от «албанского вируса» (набор для самостоятельной зашифровки данных) до макросов в офисных документах. По меркам тех угроз, про которые действительно интересно читать, это прошлый век и детский сад, но вот проблема — работают ведь. В случае макросов от пользователей требуется сделать пару лишних кликов, в процессе выводятся предупреждения (опасно!), но нет, все кликается, загружается и приводит к реальным убыткам и потере данных, хорошо если только на одном компьютере. По нашим данным, число криптоатак на пользователей за последние два года [выросло в пять раз][2] — и этот тот случай, когда количество рано или поздно переходит в качество.
Подавляющее большинство криптолокеров, а особенно такие трояны начального уровня, по-прежнему без проблем блокируются стандартным защитным софтом. Увы, это не исключает заражение полностью — и дело не в том, что стопроцентной защиты не бывает. Недавно я [ссылался на пример][3], когда к неплохо защищенной инфраструктуре подключается внешний фрилансер с ноутбуком без антивируса и устраивает локальный армагеддон.
Недавно к арсеналу древних трюков добавился еще один. Вместо макросов в офисные документы внедряют ссылки на внешние объекты с помощью технологии OLE ([новость][4], [исследование][5] Microsoft). В документе этот хитрый маневр выглядит примерно как на картинке. В одном из случаев использовалась довольно топорная социнженерия: «Нажмите, чтобы разблокировать этот контент и доказать, что вы не робот». В Ворде такая конструкция выглядит чрезвычайно подозрительно, но ведь работает. И что с этим делать?
Все выпуски дайджеста доступны [по тегу][6].
[Читать дальше →][7]
[1]: https://habrastorage.org/files/6cb/35f/160/6cb35f16064941baa3647f545422c5ee.png
[2]: https://securelist.com/analysis/publications/75145/pc-ransomware-in-2014-2016/
[3]: https://habrahabr.ru/company/kaspersky/blog/283536/
[4]: https://threatpost.ru/like-macros-before-it-attackers-shifting-to-ole-to-spread-malware/16798/
[5]: https://blogs.technet.microsoft.com/mmpc/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/
[6]: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date
[7]: https://habrahabr.ru/post/304050/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut