Fireeye - совсем гопники, не понимаю кто с ними связывается... Mandiant - прикольные чуваки (были?). Жаль что с OpenIOC они со стороны явных сигнатур пошли...
> Fireeye - совсем гопники, не понимаю кто с ними связывается...
Ну, любимая тема - "клиентура из TOP500"
Mandiant мне тоже нравился, но, подозреваю, что дело было в том, куда их привлекали/где они находились. Только из-за этого.
А так, достаточо взглянуть на сайт OpenIOC, чтобы понять для чего реально все это затевалось: >> IOC Example: Zeus
Конечно, какой-нибудь дебильный Zeus/SpyEye массово-генерируемый стадом баранов, не понимающих и не контролирующих вообще ничего - без проблем находится по тем или иным сигнатурам (типа каких-нибудь мутексов). Столь же массово.
Но пытаться применять эти схемы для APT - это нужно либо быть очень глупым человеком или *удаком по жизни (т.е. прекрасно все понимаешь, но разводишь "дурачков" на бабло)
"какой-нибудь дебильный Zeus/SpyEye" Их еще используют? Старо ж как мир.
"типа каких-нибудь мутексов" это, кстати, очень удивляет в анализах различных mw - вроде "вот тут проверяется объект с CLSID таким-то, что означает присутствие mw в системе". Удивляешься - почему не используют рандмоный. Очевидный шаг, копеечные затраты.
Ну где-то это используется сознательно, если самих себя надо находить. Там рандомный нельзя. В остальных случаях (внутренней синхронизации) - школолоша погоняет, думаю.
Ну, в 2000м году компания, делающая текстовый редактор стоила около 200т млн на бирже.. Просто стоимость компании уже давно живет отдельно от её прибыли и прочего.
Общался с представителем этого самого FireEye на InfoSecurity. С первого же вопроса стало ясно что они анализируют только HTTP и FTP трафик. То, что реальные злоумышленники передают данные, мало того что зашифрованные, так ещё и через HTTPS, для них было открытием. Концепция построена на поиске сигнатур, передаваемых в открытую через периметр.
А на вопрос "зачем этот продукт вообще нужен в таком виде" ответ начинался так: "Вы знаете, есть компании, у которых очень много денег..."
Ну, вообще, они нацелены на анализ почтовых целенаправленных атак :), т.е. анализируют и почту, в плане "сработал эксплоит - скачался агент" Один из основных идиотизмов - анализ по C&C серверам :)
Ну, там они делают вид. что их виртуальную машину нельзя определить. Но это всё равно не позволяет определить таргетированную атаку, где в адресе запроса используется имя компьютера жертвы или имя пользователя, например. Исходят из предположения, что периметр вокруг пользователей всё ещё возможно защитить.
1) Их модель "защиты" от exploit'ов через почту (трафик сейчас не обсуждаю) - вполне нормальна. Детально изучить возможности не было, но то, что я видел - вполне. Это позволяет, как минимум, в большинстве случаев (не всегда) определять факт срабатывания эксплоита.
2) Их модель выявления APT на уже зараженной системе или в процессе заражения любым иным вектором, кроме exploit'а через почту -- ничто. Я описывал в посте именно это.
3) Не стоит забывать, что "дураки" есть не только среди них :)
Они находят 0Day когда он был уже применён везде где от его использования не останется следов. В почте останутся - это самых плохой способ доставки атакующего кода. Т.к. он гарантирует что код попадёт в антивирусные компании. (уже после срабатывания, само собой, но это не позволит его использовать посторно)
Comments 26
Mandiant - прикольные чуваки (были?). Жаль что с OpenIOC они со стороны явных сигнатур пошли...
Reply
Ну, любимая тема - "клиентура из TOP500"
Mandiant мне тоже нравился, но, подозреваю, что дело было в том, куда их привлекали/где они находились. Только из-за этого.
А так, достаточо взглянуть на сайт OpenIOC, чтобы понять для чего реально все это затевалось:
>> IOC Example: Zeus
Конечно, какой-нибудь дебильный Zeus/SpyEye массово-генерируемый стадом баранов, не понимающих и не контролирующих вообще ничего - без проблем находится по тем или иным сигнатурам (типа каких-нибудь мутексов). Столь же массово.
Но пытаться применять эти схемы для APT - это нужно либо быть очень глупым человеком или *удаком по жизни (т.е. прекрасно все понимаешь, но разводишь "дурачков" на бабло)
Reply
Их еще используют? Старо ж как мир.
"типа каких-нибудь мутексов" это, кстати, очень удивляет в анализах различных mw - вроде "вот тут проверяется объект с CLSID таким-то, что означает присутствие mw в системе". Удивляешься - почему не используют рандмоный. Очевидный шаг, копеечные затраты.
Reply
В остальных случаях (внутренней синхронизации) - школолоша погоняет, думаю.
Reply
Просто стоимость компании уже давно живет отдельно от её прибыли и прочего.
Reply
Reply
С первого же вопроса стало ясно что они анализируют только HTTP и FTP трафик.
То, что реальные злоумышленники передают данные, мало того что зашифрованные, так ещё и через HTTPS, для них было открытием.
Концепция построена на поиске сигнатур, передаваемых в открытую через периметр.
А на вопрос "зачем этот продукт вообще нужен в таком виде" ответ начинался так:
"Вы знаете, есть компании, у которых очень много денег..."
Reply
Один из основных идиотизмов - анализ по C&C серверам :)
Reply
Но это всё равно не позволяет определить таргетированную атаку, где в адресе запроса используется имя компьютера жертвы или имя пользователя, например.
Исходят из предположения, что периметр вокруг пользователей всё ещё возможно защитить.
Reply
Reply
Если их подход в корне не верен, почему они таки успешно находят 0day:
https://www.fireeye.com/blog/threat-research.html/category/etc/tags/fireeye-blog-tags/zero-day
Reply
1) Их модель "защиты" от exploit'ов через почту (трафик сейчас не обсуждаю) - вполне нормальна. Детально изучить возможности не было, но то, что я видел - вполне. Это позволяет, как минимум, в большинстве случаев (не всегда) определять факт срабатывания эксплоита.
2) Их модель выявления APT на уже зараженной системе или в процессе заражения любым иным вектором, кроме exploit'а через почту -- ничто. Я описывал в посте именно это.
3) Не стоит забывать, что "дураки" есть не только среди них :)
Reply
В почте останутся - это самых плохой способ доставки атакующего кода. Т.к. он гарантирует что код попадёт в антивирусные компании. (уже после срабатывания, само собой, но это не позволит его использовать посторно)
Reply
Reply
1) Другая операция - другая ситуация
2) Другой день - другая ситуация
3) Засвет - другая ситуация
и т.д.
Это труп
Reply
Но в любом случае, покупают то их не ради сигнатур (это к вопросу про сотни миллионов)
Reply
Это кто сказал? Они ведь не говорят впрямую о сигнатурах :)
Маркетинг делает свое дело.
Reply
Leave a comment