Публикации

Хорошего понемножку

Вести о новейшем эксплойте нулевого дня для Internet Explorer разлетелись быстро. Как сообщил Райан Нарейн (Ryan Naraine), к сожалению, эксперт компании McAfee, сам того не желая, раскрыл слишком подробную информацию об уязвимости, используемой эксплойтом, что привело к нежелательным последствиям. Сделано это было в попытке рекламы качества защиты от данного эксплойта, обеспечиваемой его работодателем.

Результатом этого стало немедленное создание модуля PoC Metasploit, что сделало возможным широкое распространение эксплойта, который ранее применялся только в целевых атаках. Как следствие, эксплойт стал угрожать всем пользователям версий 6 и 7 браузера Internet Explorer.

Какая именно информация была раскрыта? Для меня это интересный вопрос, поскольку я часто сталкиваюсь с выбором, что следует придавать огласке, а что нет. Выясняется, что эксперт сообщил лишь список имен файлов, связанных с атакой, и название домена, с которым соединялось вредоносное ПО.

Публиковать подобную информацию в блогпосте — вполне разумная идея, не так ли? Ведь специалистам, создающим сигнатуры для систем предотвращения вторжений (IDS), полезно знать используемые вредоносными программами URL-адреса, а другим антивирусным экспертам могут помочь имена файлов, используемых в ходе атаки.

Возникает закономерный вопрос: какую именно информацию можно безбоязненно сообщать? Никакую? Мне, как техническому специалисту, неприятно, когда автор скрывает все существенные данные, относящиеся к угрозе; эксперт McAfee, очевидно, хотел заинтересовать подобных мне людей.

Хочу предложить следующий простой принцип для специалистов, пишущих об актуальных угрозах: если домены, используемые для размещения экслойтов, на момент написания являются действующими, то не следует публиковать связанные с этими эксплойтами URL-адреса или имена файлов, поскольку Google зачастую позволяет легко найти соответствующие страницы.

Значит ли это, что экспертам не следует обмениваться ключевой информацией об актуальных угрозах? Конечно, нет — мы постоянно это делаем. Но при этом данные не становятся достоянием широкой общественности — существует масса безопасных способов сообщить коллегам подробную информацию об актуальных угрозах.

Хорошего понемножку

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике