Ransomware tesztelése

Spam, Adathalászat

Sziasztok!

Biztonsági szoftvert kellene finomhangolnom, és tesztelnem. Tud-e valaki olyan megoldást, hogy egy ransomware-t, lehessen futtatni, viszonylag "ellenőrzött" körülmények között (egyetlen gép azon a hálózaton, nincs átjárás a másik hálózatra, olyan dolgok vannak rajta, amik mehetnek a levesbe, hogy ha letitkosítja..stb), egyáltalán hogy lehet hozzájutni tudatosan egy ilyen fertőzéshez? :) Az adott program a Spora ransomware-t nem detektálta, míg a szoftver mérnökei szerint képes rá, hogy ha megfelelően van beállítva. Lehetőleg azt próbálnám beszerezni (egy cseh mozdonygyártó oldalát fertőzték meg vele, ahova később visszalátogatva, már ki is javították a hibát), ami nem biztos, hogy egyszerű feladat.

A sandbox nem jöhet szóba, mert sok kártevő érzékeli, hogy sandboxban fut és nem fog működni.

KKV-s környezetben dolgozom, így a nagyipari megoldások itt nem játszanak.

Köszi :)

  • 3281 megtekintés

( Sempi | 2017. 02. 05., v – 12:55 )

"A sandbox nem jöhet szóba, mert sok kártevő érzékeli, hogy sandboxban fut és nem fog működni."

Erre vannak technológiák. Érdemes ingyenes sandboxokkal tenni egy próbát azért... Valószínűleg jobban fel vannak készülve teljesen elzárt hálózattal, elkülönített adattárolással, stb.

( end | 2017. 11. 22., sze – 09:25 )

A topicot feléleszteném, mert a tárgy éppen megfelel:

Kaptam ma DHL-től meglehetősen magyar nyelvű levelet, a melléklet 350kb-os pdf. A Virustotal "full clean"-re teszi. - De nekem gyanús. Nem érdekel valakit, mert szívesen átadnám...?
:)

https://fisheyfresh.c_o_m/DHLReceipt/DHL1482017/DHL/Exp/index.html

Tisztelt Ügyfelünk,

A megrendelő által küldött csomagot az irodánkba érkezett. Kérjük, kérjük, ellenőrizze a mellékelt (Check Your Package) -ot
ennek megfelelően erősítse meg, hogy a cím helyes-e, mielőtt elküldenénk az értékesítő tisztviselőnek a rendeltetési helyre történő feladáshoz.

Expedíciós osztály
DHL EXPRESS

Sajnos, közben pár napig nem voltam gépközelben, - későn olvastam, - de ha legközelebb gyanús, elsőnapinak tűnő "cucc"-ot találok az általam felügyelt gépek valamelyikén , - és ha nem tartjátok rossz ötletnek, - akkor az általatok most megadott mailcímekre kérdezés nélkül el fogom küldeni.

Megjegyzem, az elmúlt pár évben viszonylag ritkán kellett "riadót fujnom". Védem és folyamatosan frissítem a Windows-os munkarendszereket.

(Ahol lehet, - azaz nem nagyon éles környezetben, - használok teszt jelleggel alapvetően "háborítatlan" rendszert is. Kíváncsi vagyok az így kialakuló, biztonsági szempontból hátrányosnak tekintett rendszereket ért támadások mennyiségére. - Persze a "kezem alól" csak user-módban használnak gépeket, és a rendszergazda jelszó nem "publikus kulcs".)

( zrubi v | 2017. 11. 22., sze – 10:39 )

Ha már így felélesztetted:

Qubes OS,
+ (network nélküli) disposable VM - Linux célpont esetén,
ha Windows a célpont akkor network nélküli HVM - amit utána törölsz.

Egy ilyen környezetben bátran el lehet engedni bármilyen vírust és/vagykártevőt - kivéve ami Xen exploitokat használ ;)

--
zrubi.hu

Na, ez nem volt bennem, sőt kíváncsiság sem. - (bár zfs-en vagyok, de a legutóbbi frissítés után lusta voltam a VBox-ot rendbe tenni.. Ilyenkor esetleg jól jönne. - Amilyen fejlett rendszer-elemzőképességgel és rejtőző képességgel fejlesztett trójai férgek vannak manapság, jobb az azonnali törlés, mint az ismerkedés.)

( nydn | 2017. 12. 11., h – 19:07 )

UP
Kaptam ma egy német .doc "számlát". Gmail simán átengedte, valaki akar tesztelni vele?

( sigellef | 2017. 12. 11., h – 22:05 )

a legjobb tesztkörnyezet: régi gépekből/eszközökből összetákolt hálózat

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

( nydn | 2018. 02. 13., k – 17:28 )

up, megint jött valami érdekes.: .accdr
rövid googlizás szerint ez valami readonly módba tett futtatható access db. érdekel esetleg valakit? (virustotal-on mindegyik szoftver clean-nek jelezte)