Всем привет.
Этот способ я подсмотрел у Владислава Радецкого.
Известно что сегодня самая популярная схема вирусной атаки выглядит так: email attach .PDF > URL > .ZIP > .JS > GET .EXE > encrypt. Она может меняться от количества ступеней, но наличие в ней архивного файла почти аксиома. Тем более что все почтовики запрещают пересылку или прием файлов в открытом виде, только архивом.
Если по каким-то внутренним причинам вы не можете, или не хотите полностью отключить WSH или хотя бы заблокировать сетевой трафик для wscript/cscript или усилить фильтрацию Web и Email, то Владислав предлагает еще один способ - главное нужно сделать так, чтобы жертва (пользователь) не смогла кликнуть и запустить скрипт на выполнение. Скрипт жертва может получить через почту (архив в аттаче) или через Web (ссылка на файл). Т.е. надо не дать пользователю его распаковать.
Необходимо выбрать единственный архиватор для всех систем. Это правило хорошего тона для фирмы, хотя это и не критично. Пример правила запрета предлагается с использованием 7zip, но его можно модифицировать под другое приложение (или архиватор). Единственный архиватор нужен для того, чтобы присвоить ему и только ему открытие/распаковку архивов разного типа (ZIP, RAR, LZH, 7Z etc). Как это сделать в Access Protection для McAfee ENS показано здесь.
Со своей колокольни кроме всего прочего я бы включим сюда ограничения для плагинов популярных файловых менеджеров Far, библиотеки 7z.dll и arclite.dll. А также для архиваторных wcx-плагинов в Total Commander Mulitarc и плагина внутреннего просмотра ArchView.
Потому как есть продвинутые пользователи которые могут легко развернуть полученный архив прямо в файловом менеджере.
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?