Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Вирусы вида Wannacry: как работают, как с ними бороться? |
<<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 14:42 Сообщение отредактировано: 17 января 2018 14:45
Кстати, несколько раз в том году сталкивался с тем, что хакеры запускали шифровальщик, чтобы уничтожить следы своего пребывания на компьютерах организации. Т.е. для пользователей это выглядело как обычная атака шифровальщика, а на самом деле, в сетях компаний хакеры изрядно пошалили. |
Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 14:55 Сообщение отредактировано: 17 января 2018 14:59
Типа "всё украдено до нас"? 444-й порт... Я не программист, для меня это всё, не такой тёмный, но всё же лес. Можно как-то более простым языком объяснить механизм проникновения данного вируса? Допустим, через этот порт вирус как-то влез в сеть. Но ему ещё как-то запуститься надо. А как? Заразить программы в расшаренных папках (или закинуть туда уже готовый екзешник вируса) и ждать, когда юзер их запустит? |
Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 15:13 Сообщение отредактировано: 17 января 2018 15:16
Подсунуть в порт пакет, который комп принимает, начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету. Причём с привилегиями обработчика пакетов, т.е. ядра. Это вкратце. Потом код от имени ядра творит, что хочет. |
KennyDies |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 18:05 Сообщение отредактировано: 17 января 2018 18:06
От Wannacry и прочих exe-шников маскирующихся под чего-то то там всякое разное (doc,xls,pdf ...) очень помогает это (при условии что вы его ещё НЕ словили) На страже безопасности – Software Restriction Policies (SRP) http://samag.ru/archive/article/818 Работает начиная с Windows XP/2003 Server! Суть в том что можно блокировать запуск программ по критериям, например запретить запуск программ из сменных носителей (флешек, usb-hdd), временных папок, кэшей браузеров, рабочего стола (если это не штатно уствновленный софт). При этом можно кратковременно снимать эту защиту если вы запускаете что-то и уверены что это не вирус а затем включать её вновь. При грамотной настройке - можно не пользоваться антривирусами вовсе. |
Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Escalibur написал: А почему оно передаётся? Если, обрабатывая что-то, программа выпадает с ошибкой, она просто уже не должна ничего обрабатывать и что-либо кому-либо передавать. Она же перестала работать, её уже нет. Я слышал о всяких переполнениях буфера, позволяющих выполнить что-то, что выполняться не должно. Но как это происходит? В моём представлении переполнение буфера - это ошибка, сбой, система пишет что-то вроде "Программа выполнила недопустимую операцию и будет закрыта". И убивает эту программу, она уже не может навредить. начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету. Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали? |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
...интересно, а кто-либо поинтересовался, что порт 445 это ds: "Планировщик Виндовс"? |
Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 18 января 2018 0:38 Сообщение отредактировано: 18 января 2018 0:40
Arix, грубо говоря, за буфером уже программа обработчика. Пакет больше размером, чем буфер. Перезаписывается уже обработчик. И при возврате из какой-то функции в памяти по тому адресу уже совсем не то, что было. но это не точно))) Я в эту тему не сильно углублялся, баловался в молодости метасплойтом)) |
Good Loki
Full Member
Откуда: Зеленоград Всего сообщений: 315 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 фев. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 18 января 2018 7:36 Сообщение отредактировано: 18 января 2018 7:36
Arix написал: Скорее всего использовали, просто делали это осторожно, не привлекая внимания: Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали? 13 августа 2016 года неизвестная прежде группировка, назвавшая себя The Shadow Brokers, разместила в репозитории GitHub, на сайте PasteBin, а также в социальных сетях Twitter и Tumblr сообщения об успешном взломе информационных систем и похищении данных группировки Equation Group. Часть похищенных файлов была выложена в открытый доступ, а часть новоявленная группа выставила на аукцион, с начальной ставкой 1 млн биткойнов (около $568 млн). Среди выложенных в открытый доступ файлов находились скрипты для установки и настройки серверов управления вредоносным ПО, а также инструменты для атаки на отдельные сетевые маршрутизаторы и экраны. Названия некоторых из этих инструментов совпадают с инструментами, упомянутыми в документах, похищенных Эдвардом Сноуденом. |
<<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Полигон-2 » Технический флейм » Вирусы вида Wannacry: как работают, как с ними бороться? |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |