Вчера я заблокировал вложение электронной почты .zip, отправляемое пользователю, с файлом .js внутри. JS вызывал веб-загрузку, при которой загружался другой файл и помещал компьютер в ботнет (или, скорее, в троянскую сеть). Полезная нагрузка имеет 0 из 54 обнаружений на Virustotal и находится примерно с начала года. Хуже того, это, по сути, переработанный мусор из различных инструментов, использующих очень распространенные методы доставки.
У этой троянской сети не было безопасности - из базового анализа полезной нагрузки стало ясно, что они не знают, что делают - поэтому я заглянул внутрь почти 10 000 скомпрометированных компьютеров, прежде чем злоумышленники заблокированы и отключились.
Это троянская реальность корпоративных ИТ. Создайте файл JavaScript Windows Script Host, заархивируйте его, отправьте по электронной почте корпоративным пользователям, и все готово. На многих затронутых компьютерах были установлены не только большие антивирусные продукты, но и корпоративные инструменты защиты конечных точек, а также корпоративные брандмауэры. Некоторые из зараженных компьютеров принадлежали крупным корпорациям в среде Active Directory. Хотя многие из них были Windows XP, многие были также серверами тонких клиентов Windows 10 и Windows Server 2012 R2.
Так что же не так?
Все. Это не единичный инцидент, это каждый день, здесь и сейчас. Поставщики средств безопасности должны сделать серьезный шаг вперед и обратить внимание на контроль поведения конечных точек. ИТ-персоналу необходимо уделять время внесению приложений в белый список в качестве первоочередной задачи - случайный JavaScript и неподписанные исполняемые файлы не должны выполняться в вашей среде. Малый бизнес и предприятия с ограниченными ресурсами нуждаются в более надежной защите в виде инструментов.
Индустрия безопасности с оборотом в 88 миллиардов долларов должна иметь доступные во всех смыслах способы решения подобных проблем. Такого рода проблемы можно и нужно решать.
