Задай вопрос Максиму Щелованову!

[Максим Щелованов 18]

07.07.2021 в 17:15, Umnik сказал:

Подскажи, это я потерял доступ к правильным источникам или же сцена действительно не рожала ничего уровня Rusctock.C, об который неплохо так поломали зубы почти все существовавшие тогда антивирусы, включая Каспера?

 

Я в AMR всего лишь 2.5 года и честно не помню, чтобы мы сталкивались с чем-то столь неуловимым. Технологии не стоят на месте. Сейчас нам по файлам доступна куча разной информации по источникам их возникновения, по родителям и детям и т.д. Каждый сэмпл сэндбоксируется. Это сильно ускоряет анализ. Более того, даже если эвристиками какой-то зловред бывает зацепить сразу сложно, то помогает BSS движок (по поведению).

Скорее больше времени потом уходит на то, чтобы написать хорошее лечение. Например, был кейс с SQL малварой. Всю цепочку с тасками в SQL агенте аналитики раскурили быстро. Но вот чтобы это все корректно сносить, пришлось покодить:)

 

07.07.2021 в 19:24, mike 1 сказал:

Добрый день, Максим.

Не хотели бы Вы наладить обратную связь с хэлперами данного форума в рамках закрытых разделов форума? 

Привет!

 

А можно более подробно раскрыть, что конкретно будет входить в обратную связь?

 

 

23 часа назад, Friend сказал:

Планируете ли вы полностью побороть Miner, который блокирует установку продуктов Лаборатории Касперского и удаляет службу восстановления Windows? Если да, то когда? Если нет, то почему?
Хелперы для лечения последствий используют свою разработку, так как KVRT и сам антивирус бессильны против последствий майнера.

 

У вас есть какой-то разряд по водным видам спорта?

 

Любите ли вы готовить? Ваша любимая еда? Какую кухню вы предпочитаете и почему?

 

Задача антивируса, в первую очередь, не дать зловреду сделать то, после чего придется писать тулзы для восстановления нормальной работы ОС и т.д.

Касательно конкретно такого типа майнеров, я честно не могу сказать, когда это будет сделано (и будет ли), т.к. конкретно на группе сменных аналитиков задача по написанию таких фиксеров не лежит в данный момент. Если что-то выясню, обязательно напишу!

 

Нет, разряда нет) Но когда учился в ЛНИП с 10 по 11 класс, у нас 2 раза были соревнования по плаванию, и я там всегда занимал 4 место, т.к. первые трое плаванием занимались с тренером, а я просто ходил в бассейн регулярно:)

 

Готовить не люблю, а вот есть очень люблю)

Любимая еда - фисташки. Можно сказать, что я фисташковый наркоман, т.к. просто не могу остановиться, пока не съем всю пачку:) Но если брать конкретные кухонные поделки, то я сторонник чего-то не очень изысканного: люблю красную рыбу на гриле, хороший говяжий миньон велл дан с пюрехой. Любим с женой заказывать хорошие бургеры и роллы. Недавно был у коллег во Владивостоке. Вот там роллы очень вкусные, в Москве я таких не пробовал.

[mike 1 1 093]

3 часа назад, Максим Щелованов сказал:

А можно более подробно раскрыть, что конкретно будет входить в обратную связь?

Здесь на форуме есть 2 раздела, где оказывают помощь в лечении от вирусов. Первый раздел чисто лечение от вирусов, ПНП, майнеров и так далее. Второй раздел отведен чисто под Ransomware, где мы помогаем с лечением, но зачастую не способны помочь с последствиями. Поскольку мы находимся фактически на передовой и от нашего ответа зачастую зависит, пойдет пострадавший связываться с злоумышленником или он создаст запрос на расшифровку через личный кабинет. Но мы не владеем информацией в каких случаях Лаборатория Касперского может помочь, а в каких нет. Из-за этого мы пишем, что ничем помочь мы не можем. Пользователь, который обращается на форум зачастую думает, что это официальный ответ Лаборатории Касперского, а следовательно после такого он идет к злодеям. Хотелось бы через аналитика владеть базовой информацией в части шифровальщиков, ну и иногда бывает необходимость в обсуждении технических вопросов по части малвари.   

[Friend 1 246]

8 часов назад, Максим Щелованов сказал:

Задача антивируса, в первую очередь, не дать зловреду сделать то, после чего придется писать тулзы для восстановления нормальной работы ОС и т.д.

Получается, в данном случае, антивирус не справляется со своей задачей? Так как miner (вирус) спокойно удаляет службу теневого копирования Windows, после чего точки восстановления системы становятся недоступными и меняет атрибуты папок антивирусных программ таким образом, что антивирус перестает запускаться и его невозможно переустановить.

 

Какие фильмы вы любите и какие можете посоветовать для просмотра?

 

Играли ли вы в Мафию когда-нибудь?

 

[Sandor 1 253]

Здравствуйте!

 

На нескольких форумах по лечению от вирусов мы используем адрес quarantine<at>safezone.cc, с которого рассылаем взятые в карантин сэмплы нескольким вендорам. Конечно, в том числе и на newvirus. Раньше робот ЛК практически сразу отвечал. Сейчас же ответ от него не приходит, хотя по Вашим словам

06.07.2021 в 19:15, Максим Щелованов сказал:

письма, которые прилетают нам напрямую на newvirus

можно сделать вывод, что этот адрес работает. Не попал ли наш адрес карантина в Ваш спам-фильтр? И если попал, можно ли его добавить в "белый список"?

 

Спасибо!

[ska79 1 328]

@Sandor уверены что newvirus еще работает?

Раньше можно отдельно было в вирлаб отправить файл через веб форму, сейчас virusdesk снесли оставив только опентипс. С которого в приоритете только фолсы

И вообще ответа на указанный мейл не поступает ни от робота ни от человека (с опентипс).

[Umnik 1 278]

On 08.07.2021 at 23:06, Максим Щелованов said:

Я в AMR всего лишь 2.5 года и честно не помню, чтобы мы сталкивались с чем-то столь неуловимым

А ты в нон-интел тоже? Просто интересно, как дела на мобильном фронте. Только не про банальности, которые пачками каждый день вытягиваются, а что-то серьёзное. Например, у меня складывается ощущение, что общий тренд на успешные атаки с повышением привилегий не просто вниз пошёл, а вообще болтается в районе нуля. Имею в виду за последние, пусть вот эти 2.5 года, успешных сценариев, когда вредонос таскал с собой рутовалку успешно закреплялся в системе, ничтожно мало. Почти все случаи, по моим ощущениям, — это либо малварь в прошивке от производителя, либо это такая древняя ОС, что ни сегодня-завтра ЛК снимет её с поддержки, если уже не сняла.

 

Отдельно вызывает интерес, почему ранзомы так не популярны на мобилках, как считаешь? Здесь точно также можно шифровать данные только в путь и требовать денег за дешифровку. Но я сам ни разу не столкнулся с подобными малварями. Тогда как майнеров щупал не один раз. Но блин, неужели майнинг на телефончиках выходнее, чем шифрануть все фотоки и документы?

[Максим Щелованов 18]

09.07.2021 в 07:27, Friend сказал:

Получается, в данном случае, антивирус не справляется со своей задачей? Так как miner (вирус) спокойно удаляет службу теневого копирования Windows, после чего точки восстановления системы становятся недоступными и меняет атрибуты папок антивирусных программ таким образом, что антивирус перестает запускаться и его невозможно переустановить.

 

Какие фильмы вы любите и какие можете посоветовать для просмотра?

 

Играли ли вы в Мафию когда-нибудь?

 

 

Наши технологии позволяют проактивно отстреливать все вредоносы, о которых нам известно, а также подавляющее большинство вредоносов, о которых нам еще не известно (т.к. техники их доставки, закрепления в системе и т.д. чаще всего такие же, о которых мы уже знаем, и которые подетектили). Но все равно может иногда просачиваться некоторый очень маленький процент свежей малвары, который мы детектим не полностью. И тут нам важно очень оперативно от пострадавшего получить GSI, KVRT, и в идеале сами сэмплы. Т.е. если такое произошло - можно смело направлять пользователя к нам в поддержку.

 

Но, к сожалению, все-таки чаще встречается ситуация, что клиент либо сам отключает антивирус по какой-либо причине, либо устанавливает очень слабый пароль на у.з., и злоумышленник может его легко подобрать и сам отключить у него антивирус, после чего запустить на его компьютере любые зловреды.... Т.е. по всем последним кейсам, когда к нам обращались со словами "у нас на компьютере стоял ваш антивирус, но комп все равно пошифровался", была именно ситуация с отключенным продуктом...

 

Я очень люблю кино. Люблю почти все жанры (кроме откровенных драм). Но за последнее время вышло не так много фильмов, которые я мог бы прямо рекомендовать. Из последнего понравился "Ирландец". Но вот за последние лет 5 могу выделить "По соображениям совести" (и история интересная, и снято очень хорошо).

Из сериалов "Призрак дома на холме", но только 1 сезон, "Тьма", "Мейр из Исттауна". Я фанат доктора Хауса, поэтому смотрю еще "Хороший доктор".

 

В мафию играл, конечно:) Не могу сказать, что прям фанат, но иногда покатать в нее можно.

 

09.07.2021 в 02:32, mike 1 сказал:

Здесь на форуме есть 2 раздела, где оказывают помощь в лечении от вирусов. Первый раздел чисто лечение от вирусов, ПНП, майнеров и так далее. Второй раздел отведен чисто под Ransomware, где мы помогаем с лечением, но зачастую не способны помочь с последствиями. Поскольку мы находимся фактически на передовой и от нашего ответа зачастую зависит, пойдет пострадавший связываться с злоумышленником или он создаст запрос на расшифровку через личный кабинет. Но мы не владеем информацией в каких случаях Лаборатория Касперского может помочь, а в каких нет. Из-за этого мы пишем, что ничем помочь мы не можем. Пользователь, который обращается на форум зачастую думает, что это официальный ответ Лаборатории Касперского, а следовательно после такого он идет к злодеям. Хотелось бы через аналитика владеть базовой информацией в части шифровальщиков, ну и иногда бывает необходимость в обсуждении технических вопросов по части малвари.   

 

Закину этот вопрос в профильную команду.

 

10.07.2021 в 12:16, Sandor сказал:

Здравствуйте!

 

На нескольких форумах по лечению от вирусов мы используем адрес quarantine<at>safezone.cc, с которого рассылаем взятые в карантин сэмплы нескольким вендорам. Конечно, в том числе и на newvirus. Раньше робот ЛК практически сразу отвечал. Сейчас же ответ от него не приходит, хотя по Вашим словам

можно сделать вывод, что этот адрес работает. Не попал ли наш адрес карантина в Ваш спам-фильтр? И если попал, можно ли его добавить в "белый список"?

 

Спасибо!

 

10.07.2021 в 15:11, ska79 сказал:

@Sandor уверены что newvirus еще работает?

Раньше можно отдельно было в вирлаб отправить файл через веб форму, сейчас virusdesk снесли оставив только опентипс. С которого в приоритете только фолсы

И вообще ответа на указанный мейл не поступает ни от робота ни от человека (с опентипс).

 

Для понимая, почему мы отвечаем не всем с ящика newvirus.

Раньше, действительно, на любое письмо на newvirus у нас отвечал робот. Но, к сожалению, ответы часто были нерелевантными (он брал и сканировал все вложения/ссылки подряд, а не только целевые сэмплы, мог некорректно дать информацию по малваре и т.д.), поэтому мы его отключили. Сейчас робот отвечает только в том случае, если письмо точно будет просмотрено аналитиком. И отвечает он в стиле "ваш запрос зарегистрирован, его номер такой-то и т.д.". Все остальные письма уходят в low приоритет.

 

Приоритет выше low можно получить, только если ваш ящик окажется в одном из наших списков (где содержатся MSA B2B клиенты, партнеры и т.д.), либо робот определяет обращение, как потенциальную фалсу.

 

Почему так? Потому что на ящик newvirus в месяц приходит порядка 15-20 тысяч писем. Даже если исключить письма с откровенным спамом, останется порядка 10-15 тысяч. Чтобы обработать такой поток и ответить всем, нужно увеличить штат сменных аналитиков минимум в 3 раза. НО! Как показывает статистика, реального полезного выхлопа от обработки всех этих писем будет минимум, т.к. подавляющее большинство запросов будут закрыты со словами "Срабатывание верное", "У нас срабатывание не воспроизводится, обновите базы", "Файлы уже детектируются" и "Файлы чистые". Поэтому, если с newvirus вам не ответили, но вопрос срочный и важный - нужно идти в поддержку.

 

На всякий случай, вот тут лежит документ с описанием, что входит в стандартную поддержку (там есть инфа и по малваре). Т.е. если вдруг мы и через поддержку не даем какой-либо ожидаемый ответ (но какой-то ответ точно будет), то скорее всего мы как раз ограничены рамками этого документа (Например, были случаи, когда нам присылают дистриб какой-нибудь игры, и просят его проверить на наличие вредоносных программ, явно не указывая на какие-либо файлы из этого дистриба.)

 

По поводу адреса quarantine<at>safezone.cc, попрошу кого-то из ребят посмотреть оттуда файлы. Если поток будет интересным, то повысим ему приоритет, конечно.

Но в целом нам в идеале хотелось бы видеть свежую малвару, которую мы точно не детектим (проверять как раз можно через OpenTip). Если кто-то готов с нами такими файлами делиться, то мы будет только рады.

10.07.2021 в 22:50, Umnik сказал:

А ты в нон-интел тоже? Просто интересно, как дела на мобильном фронте. Только не про банальности, которые пачками каждый день вытягиваются, а что-то серьёзное. Например, у меня складывается ощущение, что общий тренд на успешные атаки с повышением привилегий не просто вниз пошёл, а вообще болтается в районе нуля. Имею в виду за последние, пусть вот эти 2.5 года, успешных сценариев, когда вредонос таскал с собой рутовалку успешно закреплялся в системе, ничтожно мало. Почти все случаи, по моим ощущениям, — это либо малварь в прошивке от производителя, либо это такая древняя ОС, что ни сегодня-завтра ЛК снимет её с поддержки, если уже не сняла.

 

Отдельно вызывает интерес, почему ранзомы так не популярны на мобилках, как считаешь? Здесь точно также можно шифровать данные только в путь и требовать денег за дешифровку. Но я сам ни разу не столкнулся с подобными малварями. Тогда как майнеров щупал не один раз. Но блин, неужели майнинг на телефончиках выходнее, чем шифрануть все фотоки и документы?

Привет! Нет, моя команда - сменные вирусные аналитики. С командой нон-интел мы взаимодействуем периодически. Задал ваши вопросы руководителю их группы.

 

Если вкратце, то:

1) "Таскать с собой" рутовалки уже действительно почти бессмысленно.

2) Малвара в прошивках никуда не делась, и порой пролезает даже на не самые ноунейм-бренды, а в т.ч. в те, которые мы видим на полках.

3) В общем и целом "атаки с повышением привилегий" - лишь один вектор, и не факт, что самый опасный для юзера. Те же банкеры никуда не делись. Многие банквоские малвары активно используют Accessibility и Device Admin, и гугл не спешит ничего с этим делать.

4) Шифровальщики могут быть бесполезны в случае, когда у юзеров включена синхронизация фоток и документов в облаках. Проще заблокировать экран и требовать выкуп. Но если уж есть в каком-то виде возможность показывать окна поверх всего - можно сразу атаковать банки.

Изменено 12 июля, 2021 пользователем Максим Щелованов

[SQ 831]

On 08.07.2021 at 16:06, Максим Щелованов said:

Например, был кейс с SQL малварой. Всю цепочку с тасками в SQL агенте аналитики раскурили быстро. Но вот чтобы это все корректно сносить, пришлось покодить:)

Здравствуйте @Максим Щелованов,

 

Уточните пожалуйста имеется ли у Вас информация касаемо того, существует или планируется ли создание какого-то решения для мониторинга вредоносной активности в базе-данных (MySQL, MSSQL, Oracle, и т.п.)? Или планируется и в дальнейшем решать эти кейсы индивидуально путем создания некого кода для лечения конкретного случая?
 

Очень часто благодаря уязвимостям на серверах баз-данных вредоносное ПО успешно восстанавливается в системе и в некоторых случаях может удачно подавить работу антивирусов .

P.S. К сожалению, не всем антивирусным продуктам удается справиться с полным лечением ПК и пользователям приходится создавать темы на различных форумах или обращаться в тех. поддержку вендора, что может в некоторых случаях демотивировать использования продуктов.

 

[Friend 1 246]

@Максим Щелованов, по вашему мнению, в чем смысл жизни? В чем сила?

Какую музыку вы любите слушать? Слушаете вы ее во время работы или она отвлекает вас больше, чем концентрирует на работе?

 

12.07.2021 в 18:24, Максим Щелованов сказал:

злоумышленник может его легко подобрать и сам отключить у него антивирус

Как такое может произойти? Разве самозащита антивируса не должна предотвращать подобное?

[Sandor 1 253]

12.07.2021 в 18:24, Максим Щелованов сказал:

По поводу адреса quarantine<at>safezone.cc, попрошу кого-то из ребят посмотреть оттуда файлы. Если поток будет интересным, то повысим ему приоритет, конечно.

Пожалуйста, до окончания Вашего интервью сообщите результат. Если модераторы дадут Вам возможность, то можно ответить в закрытом разделе. Некоторые мои коллеги настроены скептически. Но я считаю, что раз ветка лечения упоминается даже на официальном сайте ЛК, желательно, чтобы и сотрудники пусть в консультативном плане принимали бы в этом участие.

Через opentip мы, конечно, обращаемся. И, кстати, моя последняя переписка по поводу "свежего" майнера HEUR:Trojan.Win64.Miner.gen [KL-1077951] говорит о том, что и аналитики подвержены той же ошибке, часто встречающейся на форумах. Читают только последнее сообщение и приходится повторять то, что было в начале.

 

Читаете ли Вы художественную литературу? Если да, какие направления (авторы) больше нравятся?

[Максим Щелованов 18]

13.07.2021 в 06:50, SQ сказал:

Здравствуйте @Максим Щелованов,

 

Уточните пожалуйста имеется ли у Вас информация касаемо того, существует или планируется ли создание какого-то решения для мониторинга вредоносной активности в базе-данных (MySQL, MSSQL, Oracle, и т.п.)? Или планируется и в дальнейшем решать эти кейсы индивидуально путем создания некого кода для лечения конкретного случая?
 

Очень часто благодаря уязвимостям на серверах баз-данных вредоносное ПО успешно восстанавливается в системе и в некоторых случаях может удачно подавить работу антивирусов .

P.S. К сожалению, не всем антивирусным продуктам удается справиться с полным лечением ПК и пользователям приходится создавать темы на различных форумах или обращаться в тех. поддержку вендора, что может в некоторых случаях демотивировать использования продуктов.

 

 

Добрый день!

К сожалению, без согласований я такой информацией не могу поделиться... Могу только сказать, что уже сейчас, при условии использования комплекса наших продуктов, вероятность того, что какой-либо из сервисов будет подвержен успешной атаке, минимальна.

 

17 часов назад, Friend сказал:

@Максим Щелованов, по вашему мнению, в чем смысл жизни? В чем сила?

Какую музыку вы любите слушать? Слушаете вы ее во время работы или она отвлекает вас больше, чем концентрирует на работе?

 

Как такое может произойти? Разве самозащита антивируса не должна предотвращать подобное?

 

Типичная проблема компаний разного размера - выкладка паролей от важных у/з в общедоступное место (вплоть до синхронизации каких-то конфигов в GIT). Тут злоумышленнику даже подбирать ничего не придется.

Антивирус, к сожалению, не во всех случаях может обеспечить защиту от человеческого фактора...

 

По поводу смысла жизни - это очень сложный вопрос:) Мне кажется его восприятие очень динамическое, и может корректироваться с течением жизни. Для меня сейчас смысл жизни - чтобы после меня было лучше, чем до меня (это касается и работы, и семьи). Ну а в чем сила... Хотелось бы сказать, что в правде, но это не про наше время.

 

17 часов назад, Sandor сказал:

Пожалуйста, до окончания Вашего интервью сообщите результат. Если модераторы дадут Вам возможность, то можно ответить в закрытом разделе. Некоторые мои коллеги настроены скептически. Но я считаю, что раз ветка лечения упоминается даже на официальном сайте ЛК, желательно, чтобы и сотрудники пусть в консультативном плане принимали бы в этом участие.

Через opentip мы, конечно, обращаемся. И, кстати, моя последняя переписка по поводу "свежего" майнера HEUR:Trojan.Win64.Miner.gen [KL-1077951] говорит о том, что и аналитики подвержены той же ошибке, часто встречающейся на форумах. Читают только последнее сообщение и приходится повторять то, что было в начале.

 

Читаете ли Вы художественную литературу? Если да, какие направления (авторы) больше нравятся?

 

Ящик добавили в список агентов (приоритет у запросов станет выше Low).

По поводу чтения только последних сообщений. К сожаления, и в поддержке бывает человеческий фактор (особенно когда поток обращений в единицу времени довольно большой). Стараемся с этим бороться. Если вдруг еще столкнетесь с таким, можете мне на форуме в личку писать (тут же есть личка?), я теперь буду заходить сюда время от времени.

 

По поводу худ. литературы, сейчас я, к сожалению, довольно мало ее читаю. Но когда читал активно (когда до работы добирался в общ. транспорте), больше любил разного рода фантастику - Дин Кунц, Орсон Скотт Кард, Сергей Тармашев, Сергей Лукьяненко (не все подряд, конечно), Дэн Браун. Даже Гарри Поттера прочитал:)

 

[Friend 1 246]

@Максим Щелованов почему нельзя добавить файлы детектируемые KSN в исключения антивируса и они удаляется сразу?

21 час назад, Friend сказал:

Какую музыку вы любите слушать? Слушаете вы ее во время работы или она отвлекает вас больше, чем концентрирует на работе?

 

Почему некоторые KMS-активаторы детектируются несколькими детектами? То есть чтобы добавить один файл активатора в исключения нужно создать 3-4 правила исключения.

Изменено 14 июля, 2021 пользователем Friend

[Umnik 1 278]

4 hours ago, Friend said:

Почему некоторые KMS-активаторы детектируются несколькими детектами?

Это не только активаторы. На один файл может быть сколь угодно много детектов. Продукт просто выбирает из них самый приоритетный (там и приоритизация не очень очевидная сходу). Я эту фичу как раз в мобилках тестировал. Вот скорее всего ты подавляешь один детект — лезет другой. Это не специально против активаторов, просто вот такое поведение есть.

[JohnMMX400 0]

Доброго времени! Подскажите пожалуйста по вашему мнению в ближайшие 5 лет в России  будет организована служба  - типа "Отдел К" или его "новые подразделения" которые будут заниматься  шифровальщиками для юр.лиц ? или будет открыт какого то рода российский SOC на базе МВД.  т.е. чтобы на гос.уровне была служба\центр - в котором бы оказывалась поддержка по компьютерным преступлениям?  (p.s. как то пару лет назад мелькала новость в СМИ что собирались создать) 

[MiStr 1 597]

Сроки проведения интервью завершены. Всем спасибо!

 

@Максим Щелованов, прошу выбрать лучший вопрос, автора которого мы поощрим.