Сетевые распределённые руткиты существуют?

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#1
Мне стало вдруг интересно, а существуют ли системы, аналогичные руткитам, но распределяющие компоненты себя по разным машинам в локальной сети?
Представьте, что руткит, который вы успешно удалили с машины - лишь один из узлов системы. Другая система в сети скоро заметит отсутствие этого модуля, и установит его заново. И повторяться этот цикл может бесконечно, пока вы не запустите аналог AVZ, анализирующий каждую машину в сети также, как AVZ анализирует процессы в системе.

Это так, мысли в слух.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#3
закроете уязвимости в системе пользователя.
В идеальном мире бы так и было. 5000 машин в компании, все как одна на десятке, со всегда свежайшими обновлениями, ни одной известной уязвимости. Но на практике же "закрыть уязвимости в системе пользователя" - несбыточная мечта сисадмина.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
517
Баллы
153
#4
Ярослав,
А что ж тут несбыточного?
Лечим кажую машину с закрытием всех уязвимостей, особенно присущих имеющимся зловредам, влючая суда и удаленный административный доступ и все остальные плюшки локальной сети предприятия. А после комплексного лечения заного настраиваем сеть.
Несбыточная мечта сисадмина - клонировать себя на место всех пользователей сети. Вот где находится главная уязвимость и головная боль сисадмина:Smile:
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#5
Ярослав,
Несбыточная мечта сисадмина - клонировать себя на место всех пользователей сети. Вот где находится главная уязвимость и головная боль сисадмина:Smile:
Это да...

Ярослав,
А что ж тут несбыточного?
Лечим кажую машину с закрытием всех уязвимостей, особенно присущих имеющимся зловредам, влючая суда и удаленный административный доступ и все остальные плюшки локальной сети предприятия. А после комплексного лечения заного настраиваем сеть.
Ну как сказать... чтобы вылечить каждую машину в огромной компании надо либо остановить время, либо клонировать себя, по одной копии на одно место. А так... пока тут ты исправляешь, там пользователь уже всё ломает.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
517
Баллы
153
#6
Ярослав,
Ну пользователи, это отдельная тема. Против них не существует законных методов борьбы и защиты.
А если по теме, то уже давно не новость, что заражают сети предприятий. И ведь они как-то справляются.
 

akok

Команда форума
Администратор
Сообщения
15,479
Симпатии
12,574
Баллы
2,203
#7
Пока у человека будет физический доступ к пораженной машине, скайнета не будет. А по заразе в корпоративной сети, последние атаки шифровальщиков вскрыли очень много проблем в "внутренней защите", если периметр еще так сяк защищен, то поражение внутри сети может быть фатально и положить все надолго.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#8
Пока у человека будет физический доступ к пораженной машине, скайнета не будет. А по заразе в корпоративной сети, последние атаки шифровальщиков вскрыли очень много проблем в "внутренней защите", если периметр еще так сяк защищен, то поражение внутри сети может быть фатально и положить все надолго.
А если по теме, то уже давно не новость, что заражают сети предприятий. И ведь они как-то справляются.
Ну не то всё, не то. Я говорю не об одном и том же черве, который все машины в сети поражает. Я говорю о такой руткит-подобной системе, о существовании которой вы можете и не подозревать.
Представьте: на нескольких машинах сидят безобидные для этих машин процессы, не прячутся, не скрываются, что-то делают иногда, с сетью обмениваются иногда. В логах AVZ эти утилиты даже не будут показаны. А меж тем, отвечают эти утилиты за восстановление доступа к целевым машинам, проверяют целостность своей сети, копируют утерянные модули (хранимые на третьих машинах), ничего компрометирующего, при этом, через свою машину не передавая.
Вы обнаружили руткит на машине, провели комплекс мер, устранили, дыры залатали. Вы довольны. Какое-то время так и будет. А затем, соответствующие службы, на других машинах, восстановят и доступ к этой машине, и руткит восстановят. А когда вы повторно на эту машину вернётесь проверять?
 

akok

Команда форума
Администратор
Сообщения
15,479
Симпатии
12,574
Баллы
2,203
#9

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#10
Все может быть, хотя звучит и довольно фантастично.
Просто сильно заморочечно. А ведь руткит написать - тоже знаете ли, задачка не из простых, но ведь делают. Наверняка трудятся целые команды программистов талантливых
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,867
Симпатии
5,725
Баллы
588
#12
Ярослав, есть и более сложные техники, чем описанная вами.
Почитайте в интернете детальный разбор вирусов от хакерской группы Equation, например группу duqu.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#13
Ярослав, есть и более сложные техники, чем описанная вами.
Почитайте в интернете детальный разбор вирусов от хакерской группы Equation, например группу duqu.
Да, серьёзный комплекс. Это ж надо на шлюзе прописаться. Как вообще получилось, что все компоненты обнаружили? Читаю первую часть пока Тайна Duqu: часть первая
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#14
Dragokas, Я в восторге! Творения группы Duqu серьёзней всего, что я мог себе представить.
Но Equation...
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,867
Симпатии
5,725
Баллы
588
#15
Ярослав, Duqu - это группа вирусов, а не хакерская группа (выше писал).
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
Баллы
28
#16
Duqu - это группа вирусов, а не хакерская группа (выше писал).
В статьях лаборатории Касперского DUQU применяется для определения как вируса, так и команды, его написавшей. При чём, там явно указывается, что команда Equation и команда DUQU - это совершенно разные команды, с разным уровнем подготовки:
https://securelist.ru/equation-zvezda-smerti-galaktiki-vredonosnogo-po/25144/ написал(а):
Она много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп.
А команда Stuxnet, по мнению лаборатории, является и создателем DUQU
https://securelist.ru/tajna-duqu-chast-sed-maya/2270/#comment-160141 написал(а):
Мы считаем, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков.
Но согласен, делать параллель между вирусом и командой разработчиков не правильно.
 
Сверху Снизу