Больше не следим за жертвой при помощи её антивируса

Дисклеймер этому посту не нужен, так что если пришли за ним — расходитесь.

Данный пост появился здесь, что называется, справедливости ради. В продолжение первого поста серии, где мы присматривали за пользователем топового продукта Лаборатории Касперского при помощи его же антивируса через его же веб-камеру. И второго поста, где гипотетическая атака была слегка расширена, а антивирус пережил апгрейд.

Спешу сообщить, что в Лаборатории довольно серьёзно отнеслись к тому, что они увидели в вышеприведённых постах. Я осознаю, что манера изложения, скорее всего, не располагала к тому, чтобы с холодной головой воспринимать написанное, однако результат говорит сам за себя. Итак, приступим.

Во-первых, была ликвидирована возможность протроянивать файлы «на лету» при помощи MITMf + backdoor-factory (модуль FilePWN). По крайней мере, пока что.

Сложно сказать, как именно это произошло, но рискну предположить, что ребятам из ЛК удалось научить антивирус определять вмешательство backdoor-factory. Почему я так считаю? Потому что если протроянить файл при помощи msfvenom и с той же полезной нагрузкой — антивирус всё так же охотно его употребит. При этом за вечер не удалось добиться ни одного случая, когда файл, протрояненный при помощи backdoor-factory, вообще коснулся бы диска. Хорошая работа!

Во-вторых, и это самое главное, антивирус теперь присматривает за памятью Kaspersky Secure Connection. Да, KSC всё так же ставится по умолчанию, но теперь он хотя бы не является тёплым инкубатором для любой малвари, случайно залетевшей на невыключенный свет. Не, не стоит беспокоиться. Подобные трюки всё ещё возможны:

Но ведь это не продукт, который ставит сама Лаборатория, верно? При попытке мигрировать в память ksdeui.exe (да ещё и находясь в explorer.exe, а не как раньше — безвестном imnotashell.exe) теперь получаем мгновенную реакцию антивируса:

Что ж, так или иначе, но пользователи продуктов ЛК стали чуть более защищёнными.

Ну и бонусный скрин для тех, кто пришёл сюда за всякой дичью, а получил вместо этого пост с расстановкой точек над i:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *