DNSBL — это черные списки доменов и IP адресов. Под катом описано, что они собой представляют, за какие заслуги туда можно попасть и чем это чревато. Ну и как оттуда быстренько, в случае чего, выбраться с помощью сервиса мониторинга сайтов ХостТрекер, мы тоже упомянули.
Читать полностью »
Рубрика «антивирусная защита» - 16
Что такое DNSBL и как туда вам не попасть
2017-08-18 в 2:33, admin, рубрики: blacklist, DNS, host-tracker, hosttracker, security, web-разработка, Администрирование доменных имен, антивирусная защита, Блог компании ХостТрекер, веб-программирование, веб-проекты, веб-сервисы, информационная безопасность, мониторинг сайта, мониторинг сервера, Серверное администрирование, хостингБесплатный аудит безопасности сети с помощью Fortinet. Часть 2
2017-08-14 в 7:28, admin, рубрики: CTAP, cyber threat assessment, fortianalyzer, Fortigate, fortinet, антивирусная защита, Блог компании TS Solution, Сетевые технологии, системное администрированиеВ предыдущей статье мы затронули тему аудита безопасности сети с помощью Fortinet (часть 1). Мы обсудили основные возможности и рассмотрели пример отчета. Теперь же мы рассмотрим непосредственно установку и настройку. Мы условились, что для аудита будем использовать виртуальные решения FortiGate VM и FortiAnalyzer. Т.е. для начала вам необходимо запросить эти образы и демо-лицензии. К сожалению не можем предоставить прямую ссылку на образы (лицензионные ограничения). Схема внедрения выглядит довольно просто:
Т.е. на существующем сервере виртуализации «поднимаются» две виртуальные машины. В нашем случае мы будем использовать ESXi, но есть поддержка Hyper-V и KVM. FortiGate VM одним адаптером подключается к общей сети (vSwitch0). Этот линк будет использоваться для управления и для доступа в Интернет. Второй интерфейс подключается к другому vSwitch1, который в свою очередь подключен к свободному физическому порту сервера (eth2). Именно на этот порт должен зеркалироваться трафик для анализа. Обратите внимание, что для коммутатора vSwitch1 должен быть включен Promiscuous mode (Accept). Более подробно можно прочитать здесь.
Читать полностью »
Stantinko: масштабная adware-кампания, действующая с 2012 года
2017-07-20 в 14:27, admin, рубрики: adware, stantinko, антивирусная защита, Блог компании ESET NOD32, сlick fraud, метки: stantinkoРекламное ПО – не самый простой для анализа тип вредоносных программ. Обнаружив комплексную угрозу Stantinko, мы не сразу поняли, что это: рекламное ПО, вредоносная или шпионская программа. Потребовалось время, чтобы выявить ее цели и схемы, поскольку угроза оставляет не так много следов на зараженной машине. Разбираться в экосистеме Stantinko – примерно как собирать пазл.
Stantinko специализируется на рекламном мошенничестве, но выделяется на общем фоне технической сложностью. Шифрование кода и оперативная адаптация для защиты от обнаружения антивирусами позволили операторам Stantinko оставаться вне зоны видимости как минимум на протяжении пяти лет. Кроме того, внимание привлекает масштаб Stantinko – это одна из наиболее распространенных в России киберугроз, в составе ботнета около 500 000 устройств.
Продолжение истории с кибершпионажем за аптеками
2017-07-10 в 12:58, admin, рубрики: dande, Администрирование баз данных, антивирусная защита, аптеки, Блог компании Доктор Веб, бэкдор, закладки, кибершпионаж, промышленный шпионаж, Сетевые технологии, метки: dande, аптекиНа фоне всех этих эпидемий шифровальщиков как-то теряется работа — опасна и трудна — тех бэкдоров, которые работают по-тихому, и на первый взгляд как будто не видны. А зря! Ведь апдейты обычно делают только тогда, когда «дом уже горит» — хотя казалось бы, если вовремя найти у себя бэкдор и закрыть его, а не продолжать делать вид, что всё в порядке, ситуаций вроде этой можно избегать.
Ну да чего уж там. В истории с аптечными кибератаками есть продолжение.
Читать полностью »
«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру
2017-07-04 в 16:54, admin, рубрики: drweb, medoc, Petya, ukraine, WannaCry, антивирусная защита, Блог компании Доктор Веб, Доктор Веб, медок, Сетевые технологии, системное администрирование, УкраинаАналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.
Основанием для детального анализа системы обновления программы M.E.Doc стала статья, опубликованная одной антивирусной компанией. В статье, в частности, утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCUSOFTWAREWC.
Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое является компонентом программы M.E.Doc:
Читать полностью »
Petya и другие. ESET раскрывает детали кибератак на корпоративные сети
2017-07-01 в 7:20, admin, рубрики: diskcoder.c, Malware, Petya, telebots, антивирусная защита, Блог компании ESET NOD32Эпидемия шифратора Petya в центре внимания. Проблема в том, что это лишь последний инцидент в серии атак на украинские компании. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya) и включает информацию о ранее неосвещенных атаках.
Кибератака на аптеки, промышленный шпионаж, инсайд и расследование длиной в 4 года. Казалось бы, при чём тут «Петя»?
2017-06-30 в 14:01, admin, рубрики: dande, encoder, expetr, expetya, medoc, Petya, WannaCry, антивирусная защита, Блог компании Доктор Веб, кибершпионаж, Сетевые технологии, системное администрирование, таргетированные атаки, шифровальщики, метки: Trojan. Encoder.12544Обычно мы ничего и никому не рассказываем про расследования. Уж больно это тема тонкая. Но обстоятельства практически вынуждают :) Вчера вы могли прочитать новость простыми словами, а сегодня мы расскажем, как же это всё было устроено технически. Если вы пропустили: речь идёт об апдейте в посте про Trojan. Encoder.12544, известного также как Петя, неПетя и т.п. В двух словах:
Еще в 2012 году вирусные аналитики компании «Доктор Веб» выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троянец-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств, и, если они отсутствовали, прекращал свою работу. Заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа.
Специалисты компании «Доктор Веб» провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора.
Сутки после вируса Petya
2017-06-29 в 17:13, admin, рубрики: Petya, антивирусная защита, вирус, Восстановление данныхЯ не писатель, я читатель. Но считаю нужным поделиться.
Буду краток, но уж простите. Данный опус является только желанием поделиться результатом 10-12 часов втыкания в декомпилированный код вируса.
Кому интересно, продолжение ниже.
Читать полностью »
Как начинать тушить огонь до пожара или наш список общих принципов IT безопасности
2017-06-29 в 14:20, admin, рубрики: антивирусная защита, Ваня, Информационная защита, превентивные меры, Серверное администрирование, Сетевые технологии, метки: Ваня, Информационная защита, Петя, превентивные меры
Разбирая последствия работы вирусов WannaCry и Petya, а так же то, как они повлияли на наших клиентов, представляем здесь выводы и советы, которые мы можем дать уважаемому сообществу. В основном эти советы будут относится к системным администраторам Windows, а они, как известно, и пострадали от этих вирусов.
Читать полностью »
Боремся с вирусами и инфраструктурой, или отключение SMB v1
2017-06-29 в 9:07, admin, рубрики: smb, windows, антивирусная защита, Блог компании Сервер Молл, Серверное администрирование, сетевые папки, системное администрирование
В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.
Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.Читать полностью »