Вредоносная программа которая подменяет

Содержание

Прошлой осенью я протестировала программное обеспечение для обхода антивирусов, которое применялось на различных тренировках у нас на киберполигоне. Для исследования я выбрала несколько инструментов обфускации и проверила, смогут ли общедоступные средства антивирусной защиты — Microsoft Defender, Kaspersky Total Security и VirusTotal — обнаружить вредоносную нагрузку в файлах после их обработки обфускаторами.

Исследование проводилось исключительно в образовательных целях для организации киберучений: на Национальном киберполигоне мы помогаем будущим специалистам по кибербезопасности и тем, кто уже работает в отрасли, без риска реального ущерба оттачивать на практике навыки defensive security. Участники учений тренируются на эмулированной инфраструктуре предприятий различных отраслей выявлять цепочки атак, сценарии которых повторяют действия реальных злоумышленников, в том числе и обход антивирусов.

Сегодня я поделюсь результатами моего исследования и заодно кратко опишу другие методы обхода антивирусов. Cтатья может быть полезной пентестерам и другим специалистам по кибербезопасности, желающим убедиться в работоспособности доступных методов обхода антивирусов, которые можно найти в открытых источниках.

Люди, Пишущие ВИРУСЫ, Почему Вы Это Делаете?

Краткий обзор способов обхода антивирусов

Code signing

Суть этого способа заключается в подписании кода цифровыми сертификатами. Злоумышленники используют сертификаты, выдавая своё ПО за легитимное. Сертификаты могут попадать к ним как в результате supply chain атак, так и после приобретения в даркнете. Более того, одни и те же сертификаты могут использоваться разными хакерскими группировками. Один из самых ярких примеров: злоумышленники взломали сервер компании ASUS и распространяли под видом обновлений вредоносное ПО, подписанное её сертификатом.

DLL Hijacking

Под этим методом обхода антивирусов подразумевается выполнение вредоносного кода через доверенный файл путем подмены DLL. Для предотвращения обнаружения зараженные DLL-файлы имитируют цифровую подпись приложения.

Masquerading

Маскировка сетевого взаимодействия и легитимности запуска применяется повсеместно. Chttps://habr.com/ru/companies/solarsecurity/articles/659581/» target=»_blank»]habr.com[/mask_link]

Тест «Защита информации»

· Выполнить практическую работу (прикрепленный файл в Дневник.ру).

1. Выполнить тест.

Источники (информационные ресурсы)

1. Практическая работа «Защита информации, антивирусная защита» (прикрепленный файл в Дневник.ру)

Тест «Защита информации»

Сопоставьте названия программ и изображений

Укажите соответствие для всех 6 вариантов ответа:

КАК УДАЛИТЬ ВСЕ ВИРУСЫ С КОМПЬЮТЕРА? 100% РАБОЧИЙ МЕТОД!

d) Antivirus Kaspersky

f) Antivirus Panda

Задание №2. RAID-массив это

Выберите один из 5 вариантов ответа:

1) Набор жестких дисков, подключенных особым образом

2) Антивирусная программа

3) Вид хакерской утилиты

4) База защищенных данных

Задание №3. Выразите свое согласие или несогласие

Укажите истинность или ложность вариантов ответа:

__ Почтовый червь активируется в тот момент, когда к вам поступает электронная почта

__ Если компьютер не подключен к сети Интернет, в него не проникнут вирусы

__ Чтобы защитить компьютер недостаточно только установить антивирусную программу

__ На Web-страницах могут находится сетевые черви

Задание №4. Отметьте составные части современного антивируса

Выберите несколько из 5 вариантов ответа:

4) Межсетевой экран

Задание №5. Вредоносные программы — это

Выберите один из 5 вариантов ответа:

1) шпионские программы

2) программы, наносящие вред данным и программам, находящимся на компьютере

3) антивирусные программы

4) программы, наносящие вред пользователю, работающему на зараженном компьютере

5) троянские утилиты и сетевые черви

Задание №6. К вредоносным программам относятся:

Выберите несколько из 5 вариантов ответа:

1) Потенциально опасные программы