Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

Татьяна Никитина 16 Мая 2023 - 13:56
...
Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

ИБ-аналитики сетуют, что их возможности обмена образцами неуклонно сокращаются. В попытках оградить пользователей от известных угроз облачные провайдеры, такие как Microsoft, используют сканирование файлов, и подобные средства способны обойти парольную защиту.

Распространители зловредов, использующие имейл и скрытые загрузки (drive-by) зачастую помещают свой код в ZIP-файл, чтобы обойти антивирусную защиту. Некоторые злоумышленники идут дальше и запароливают такие архивы; как оказалось, это тоже не панацея: некоторые онлайн-сервисы пытаются преодолеть это препятствие и просканировать архив на предмет потенциально опасного контента.

ИБ-исследователь Эндрю Брандт (Andrew Brandt) случайно обнаружил, что такая возможность имеется у Microsoft. Он пытался по привычке расшарить очередные семплы через SharePoint, но веб-инструмент пометил ZIP-файлы, которые эксперт обычно защищает паролем «infected», как вредоносные, заблокировав таким образом любые действия с ними.

В комментарии к посту безутешного Брандта его коллега по цеху Кевин Бомон (Kevin Beaumont) отметил, что Microsoft использует различные методы обхода парольной защиты ZIP, притом не только на SharePoint, но на всех облачных сервисах-365.

С этой целью защита может, например, извлекать похожие на ключи данные из тела письма или имени прикрепленного файла. Если пароль уже засветился в атаках, его наличие можно выявить перебором по списку.

В ответ на запрос Ars Technica о комментарии Брандт рассказал о еще одном случае, когда облачные средства безопасности создали ему большие неудобства. В прошлом году исследователь решил сделать OneDrive-бэкап из вредоносных файлов — находок, которые он сохранял на портативном Windows-компьютере, создавая исключения для антивирусной защиты.

Впоследствии выяснилось, что после копирования в облако файлы на лэптопе исчезали, а в аккаунте OneDrive появлялись детекты вредоносов. Потеряв всю коллекцию, аналитик начал архивировать новые находки, создавая файлы под паролем; до недавнего времени SharePoint на них не реагировал, а теперь выставляет флаги.

Как оказалось, веб-сервисы Google тоже помечают запароленные ZIP как потенциально опасные, но внутрь архивов не заглядывают. Так, Gmail исправно отслеживает такие вложения во входящей корреспонденции, а аккаунты Workspace блокируют их отправку.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

NonEuclid RAT: троян удаленного доступа и шифровальщик в одном флаконе
Татьяна Никитина 09 Января 2025 - 21:33
Windows Трояны Домашние пользователи
NonEuclid RAT: троян удаленного доступа и шифровальщик в одном флаконе

В Cyfirma проанализировали образец NonEuclid, рекламируемого в даркнете как RAT, и выяснили, что Windows-троян не только открывает удаленный доступ к зараженным устройствам, но также умеет шифровать файлы.

Рекламу NonEuclid эксперты обнаружили на подпольном форуме в конце ноября. Поиск схожих объявлений показал, что данного зловреда продвигают в таких сообществах, в том числе русскоязычных, как минимум с октября 2021 года, а также активно обсуждают в Discord и на YouTube.

Написанный на C# вредонос вооружен рядом средств защиты от анализа и обнаружения. При запуске он проводит проверки на наличие враждебной среды (ВМ, песочницы) и при наличии таковой немедленно прекращает свое исполнение.

С той же целью троян добавляет свои файлы в исключения Microsoft Defender, а также мониторит запуск процессов (через вызовы Windows API) и прибивает те, которые могут ему помешать — taskmgr.exe, processhacker.exe, procexp.exe и т. п.

Кроме того, NonEuclid умеет обходить Windows-защиту AMSI: отслеживает загрузку модуля amsi.dll и при обнаружении патчит области памяти, связанные с AmsiScanBuffer.

Чтобы обеспечить себе постоянное присутствие, зловред создает запланированные задания и вносит изменения в системный реестр. Он также пытается повысить привилегии посредством выполнения команд и обхода UAC-защиты.

Подключение к C2-серверу осуществляется через TCP-сокет с использованием заданных IP-адреса и порта.

Возможности NonEuclid как шифровальщика ограничены списком расширений, который невелик и включает, в частности, .csv, .txt и .php. Данные шифруются по AES, к именам обработанных файлов добавляется расширение .NonEuclid.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
При внедрении ИИ вопрос доверия и безопасности стал ключевым
Новость
При внедрении ИИ вопрос доверия и безопасности стал ключевым
МВД России запустило чат-бот для помощи жертвам мошенников
Новость
МВД России запустило чат-бот для помощи жертвам мошенников
Объемы жульничества зашкаливают, считает Путин
Новость
Объемы жульничества зашкаливают, считает Путин

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.