Засланный казачок

Засланный казачок

AV stands for "another vulnerability"

Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас. Это софт, который был разработан для того, чтобы уничтожать файлы из вашей корпоративной сети и делать это так быстро, что ваше участие в этом процессе исключается.

Поэтому мне абсолютно понятно за что Госдеп не взлюбил Касперыча, не понятно только почему одного его (точнее и это понятно, но кроме как русофобией объяснить это нечем).

name='more'>

На днях МакАфии удалил сервисное приложение с сотен компьютеров внутри корпоративной сети в течении нескольких часов. Можно было сидеть и смотреть как прилетают события в консоли управления по мере начала рабочего дня в разных часовых поясах, а поделять ничего было нельзя. SLA у поддержки вендора в таких случаях обычно "best effort".

Началось все с того, что у разработчиков возникли проблемы с использованием доверенного сертификата в MS VisualStudio, поэтому они решили использовать самоподписанный сертификат для подписи кода. МакАфии нельзя забирать файлы из корпоративной сети, можно только проверят хэши в облаке (кстати делает он это через DNS. Ответы приходят закодированными в IP адрес из локального диапазона 127.0.0.0/8)
Поэтому файл никто не трогал неделю, затем кто-то (или что-то) загрузил его на VirusTotal и началось.

Любопытно, что неподписанный файл проходит проверку на VT, то есть подпись кода самоподписанным сертификатом (пусть даже и корпоративным) - вещь рискованная.

Примерно после недели увлекательной переписки с вендорами детект на VT спал с 12 до 1 AV. Одумались.

Конечно, когда разработчики свои ещё и сидят рядом - можно и нужно просить их давать бинарники до развертывания софта в продакшене, тогда можно загнать их в McAfee GetClean и добавить в облачный белый список, но если разработчиков зоопарк и все на аутсорсе - жди беды.
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Артем Агеев

root@itsec.pro:~#