-
Похожий контент
-
Автор KL FC Bot
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
View the full article
-
Автор Sandynist
Добрый вечер!
В связи со всеми событиями последних дней у меня очень серьёзный вопрос — почему Антивирус Касперского никак не препятствует установке на компьютер пользователя антивирусных решений от других производителей?
В частности, меня уже достали случаи, когда поверх Антивируса Касперского пользователи устанавливают ещё и Аваст, что приводит к полной неработоспособности операционной системы. Какие меры противодействия вражескому вторжению могут противопоставить разработчики вашей компании?
-
Автор KL FC Bot
Недавно полицейское управление города Эдина разместило весьма примечательное предупреждение горожанам. По результатам расследования девяти квартирных краж полицейские пришли к выводу, что воры подавляют связь Wi-Fi в квартире. Это делается, чтобы умные камеры видеонаблюдения в доме не могли предупредить владельцев об опасности и передать им видео с инцидентом. Возможно ли такое технологичное ограбление? Да. Есть ли другие способы атаковать умные системы защиты дома? Несомненно. Что с этим делать? Сейчас расскажем!
Беззащитные защитники
Устройства, предназначенные для безопасности, будь то замки, камеры, сигнализации и так далее, казалось бы, должны быть максимально надежно защищены от враждебных действий всех видов. Их же будут целенаправленно атаковать, чтобы вывести из строя! На практике, к сожалению, производители не всегда предусмотрительны. Они допускают самые разные ошибки: в умных замках делают недостаточно надежной механическую часть, в камерах передают видеопоток в открытом виде, позволяя просматривать его посторонним или даже вмешиваться в него, в сигнализациях плохо защищают каналы управления. Это — в дополнение к прочим уязвимостям умного дома, о которых мы пишем уже много лет.
Что еще печальней, многие устройства уязвимы к двум простейшим атакам: нарушение питания и нарушение связи.
Нарушить работу Wi-Fi в доме можно разными способами — от грубого глушения всего частотного диапазона радиоволн до более узкоспециализированных атак на конкретную сеть или клиента Wi-Fi. Обойтись без возни с радио тоже можно. Интернет обычно подключен в квартире одним из четырех легко узнаваемых кабелей: оптоволоконный, телефонный, витая пара (Ethernet) или телевизионный коаксиальный. Надежно нарушить связь можно, просто обрезав эти кабели.
Ну а если питание всей системы безопасности основано на электросети без резервных источников, то, просто обесточив квартиру, можно спокойно преодолеть умную защиту.
Посмотреть статью полностью
-
Автор KL FC Bot
Несмотря на то что встраиваемые компьютерные системы являются ключевыми инструментами ведения бизнеса для многих компаний, зачастую их безопасности не уделяют должного внимания. Между тем всевозможные банкоматы, кассовые терминалы, вендинговые автоматы и билетные киоски, медицинские компьютерные томографы, даже автоматические заправочные станции оперируют финансовыми и / или другими конфиденциальными данными, представляющими значительную ценность для криминала. Это делает подобные системы привлекательной мишенью для киберпреступников, следовательно, их защита от киберугроз должна быть приоритетной задачей для любой использующей их компании. Однако, несмотря на значительное на первый взгляд сходство с обычными компьютерами, встраиваемые системы обладают рядом существенных отличий, которые необходимо учитывать при разработке защитной стратегии; в противном случае существует риск столкнуться с определенными существенными, а иногда и непреодолимыми проблемами.
Особенности встраиваемых систем
Модель использования. В отличие от обычного компьютера, на котором, как правило, один сотрудник выполняет широкий набор задач, у встраиваемой системы может быть неограниченное количество пользователей, каждому из которых требуется очень небольшой спектр изначально заложенных при создании системы функций. Взаимодействие с такими системами часто осуществляется с помощью специфических устройств ввода (цифровая клавиатура, сенсорный экран с узкоспециализированным интерфейсом пользователя), не предполагающих запуск произвольных команд и файлов. Порты обмена, позволяющие подключение внешней периферии, у таких устройств чаще всего доступны только для технических специалистов. Общение с внешним миром осуществляется через Интернет, локальную сеть, кроме того, в их работе также применяются такие функционально ограниченные хранилища информации, как банковские, накопительные или дисконтные карты. При этом подобная система, очевидно, не должна использоваться для чтения электронной почты или посещения веб-сайтов — а значит, злоумышленники не могут рассчитывать на эти каналы для заражения. Однако одновременно возрастает значимость сетевого соединения. Этот канал — один из основных, используемых для атак на встраиваемые системы; в конце концов, почти все типы встраиваемых систем имеют соединение с локальной сетью компании, а значит, проникнув туда, злоумышленник может через сеть «дотянуться» и до специализированных машин. Что до портов, то тут хакеру может помочь специфика физического расположения подобных устройств.
Физическое расположение. Согласно модели использования, подавляющее большинство программно-аппаратных комплексов (ПАК) на базе встраиваемых систем располагается в общественном пространстве. Как правило, для защиты элементов ПАК от несанкционированного доступа применяются прочный стальной корпус и ограничения в способе взаимодействия с устройством. Однако, поскольку никакое устройство невозможно сделать полностью необслуживаемым, любой, самый прочный корпус должен открываться с помощью ключа. Следовательно, его может открыть и злоумышленник. Получив доступ к аппаратной части ПАК, он может подключить стандартные мышь и клавиатуру, накопитель с нужным ему зловредным ПО или даже с операционной системой, позволяющей загрузить ПАК в обход его собственной ОС. В некоторых случаях атакующие подключают даже одноплатный компьютер, с помощью которого можно взламывать саму систему или, например, анализировать команды, заставляющие диспенсер выдавать пользователю купюры. Остальное — дело техники; нужно только внедрить в систему нужные хакеру инструменты и с их помощью заставить встроенный компьютер делать то, что ему угодно, — от выдачи денег или осуществления теневых транзакций до похищения данных пользователя. Если, разумеется, встраиваемая система не защищена должным образом.
Посмотреть статью полностью
-
Автор Elly
В этой теме только приём работ. Правила конкурса.
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти