ESET на Zeronights 2013

В начале ноября в Москве прошла конференция Zeronights, на которую собрались охотники за уязвимостями и специалисты по информационной безопасности. Несколько экспертов ESET приехали сюда, чтобы выступить с докладами и мастер-классом. А Роберт Липовски, эксперт вирусной лаборатории ESET в Братиславе и один из авторов блога Welivesecurity, даже успел дать интервью для блога Сергея Борисова (sborisov.blogspot.ru). 

В нашем блоге мы не могли не привести это интервью блоггера с блоггером :) 

"На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZN из Словакии. 

·        Ты только что был на конференции ZeroNights. Понравилось?

Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления  - 2 доклада, FastTrack и Workshop. Явэтотразневыступалсдокладом.

(UPDATE) “Hard to compare to other recent conferences – for example, I attended Virus Bulletin in Berlin in October, and it had some very interesting talks, but both of these conferences were aimed at different audiences. Zeronights was a lot more technical. Lots of low-level stuff was presented here on subjects such as the Windows kernel, virtualization, sandboxing, etc. You don’t see such in-depth presentations in many conferences. And I especially liked the workshops – Aleks Matrosov and Eugene Rodionov, for example, had a workshop on analyzing object-oriented code. All-in-all, it was a great conference for a reverse engineer. But mostly for Russian speakers, even though the interpreters were doing a fine job”

·        Чем ты занимаешься в ESET?

Исследую наиболее интересные экземпляры вредоносных программ (malware).

Для антивирусной лаборатории – главное это своевременно обнаруживать вирусы. Но если обнаруживаем что-то интересное, то делаем детальный анализ и потом публикуем информацию в блогах или рассказываем на конференциях.

 

·        Из последних наиболее интересных вирусов что вы анализировали?

Самыми сложными были образцы, которые исследовали в нашем российском офисе – TDL,ZeroaccessFilecoder.

Из моего личного опыта – недавно мы рассматривали банковский троян Hesperbot, который похож по назначению на известные Zeus и SpyEye, но технически по-другому реализован.

 

·        На сколько распространены банковские трояны и наносят ли они реальный ущерб?

Троян Hesperbot был нацелен на банки, в ограниченном количестве стран (в Чешской республике и нескольких других европейских стран). Обычно цель трояна определяется его конфигурационными файлами. И одно и то же вирусное ядро с разными конфигурациями может быть направлено против разных банков.

Мы взаимодействовали с многими банками чтобы оценить нанесенный ущерб, но я не могу назвать вам этих цифр. По моему мнению, ущерб от банковских троянов очень велик. Если вас интересуют цифры - вы можете почитать отчет Group-ib.

 

·        Актуальны ли сейчас трояны для мобильных устройств

Сейчас мы ведем активную статистику по Android, так как для этой платформы уже много прецедентов и достаточно данных для анализа.  Мобильные банковские трояны пока очень небольшая группа на фоне других мобильных троянов. Но такие трояны наиболее опасные, так как позволяют перехватить аутентификацию пользователя по всем каналам (httpsmsvoicemobile otp) например,Hesperbot. В то время как обычные банковские трояны не могут справиться с двухфакторной аутентификацией. 

 

·        Какие новые технологии анализа, уникальные для ESET вы недавно внедрили

Несколько новых функций.

Одна из новых фишек – Exploit Blocker, который помогает защититься от самых опасных направлений атак – заражение через эксплуатацию уязвимостей. Эксплуатация уязвимостей опасна тем, что выполняется без участия пользователей и может поражать устройства даже у опытных и осторожных пользователей.
В отличие от 
Microsoft Emet, который нацелен на защиту от определенных типов уязвимостей, наша технология обнаруживает результат эксплуатации любого типа. Когда от имени браузера или pdf-ридера запускается какой-то подозрительный процесс, Exploit Blocker отслеживает это.  Таким образом мы отслеживаем эксплоиты нулевого дня.  Например, так обнаруживаем эксплоит, который победил на последнем Pwnie Awards на BlackHat 2013 и умеет выходить из песочницы (sandboxAdobe Reader.


Другаяфишка - Advanced Memory Scanner.  Она призвана бороться с технологиями вирусописателей по скрытию своего схода путем полиморфизма сервисных сайтов, когда для каждого заражения генерируется новый уникальный экземпляр кода, за счет переупаковки исходной вредоносной программы в новую оболочку. Кроме того, современные вирусы умеют обнаруживать и распознавать песочницы  и эмуляторы в которых их запускают и не распаковывают вредоносный код. Но в какой-то момент им всё-таки приходится  распаковать его, чтобы провести атаку, и в этот момент Advanced Memory Scanner, обнаруживает их. 

 

·        DSEC, организаторы ZeroNights уже год назад предвещали появление первых вирусов для приложений SAP, но большинство антивирусных компаний их проигнорировали.

Почему эта тема не интересна? Какие-то технические сложности или нет реальной опасности?

Я не слышал про данную тему. В целом - сложно предсказать заранее от чего надо защищаться и какой новый путь атаки выберут злоумышленники. Но они обычно выбирают в качестве целей те системы, на которых можно заработать деньги и в качестве объекта атаки – наименее защищенное звено, т.е. пользователей. Поэтому наши средства защиты контролируют защищенность рабочего места пользователя и в большинстве случаев этого достаточно".

 

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
5 лет назад | тэги: Zeronights, ИБ, ESET NOD32
Комментарии
Другие публикации
RU,
+7 (495) 797-26-94
Информационные технологии

Компания ESET — международный разработчик антивирусного программного обеспечения, эксперт в области защиты от киберпреступности и компьютерных угроз — была основана в 1992 году. Штаб-квартира ESET находится в Словакии. Компания представлена более чем в 180 странах. ESET стала пионером в области создания технологий обнаружения угроз, которые позволяют находить и обезвреживать как известные, так и новые вредоносные программы.

Российское представительство ESET открылось в январе 2005 года и входит в тройку стратегически важных представительств компании ESET в мире. ESET Russia занимается развитием приоритетных направлений бизнеса, курирует продвижение и продажу антивирусных продуктов ESET NOD32 в России и странах СНГ, а также предоставляет на официальном уровне комплекс консалтинговых и сервисных услуг в области защиты от киберпреступности (ESET Consulting). На сегодняшний день региональные офисы компании со штатом более 100 человек открыты в Москве, Санкт-Петербурге, Самаре, Екатеринбурге, Краснодаре, Новосибирске и Алматы. По данным исследовательских компаний КОМКОН и «Ромир», ESET NOD32 стал вторым по популярности антивирусным решением в России и защищает каждый третий компьютер. При этом 90% пользователей рекомендуют продукты ESET NOD32 своим друзьям и знакомым.

Антивирусные решения ESET, выпускаемые под брендом ESET NOD32, удостоились рекордного количества наград VB100, выданных по результатам тестирований авторитетного британского журнала Virus Bulletin. Также продукты ESET NOD32 обладают наибольшим количеством высших наград ADVANCED+ и ADVANCED австрийской лаборатории Андреаса Клименти AV-Comparatives. По результатам тестирований этой организации продукты ESET NOD32 значительно превосходят конкурентов по уровню проактивного обнаружения угроз и скорости работы. Решения ESET сертифицированы Федеральной Службой по Техническому и Экспортному Контролю (ФСТЭК России) и могут быть использованы для защиты информационных систем обработки персональных данных до класса К1 включительно (наивысшая степень надежности).

Клиентами ESET в России и странах СНГ уже стали крупные российские и международные компании: ОАО «Газавтоматика», ОАО «Газпром Медиа», ООО «Газпром Добыча Уренгой», ООО «Газпром Трансгаз Кубань», АК «Алроса», ОАО «Чусовской металлургический завод», ОАО «Пензенская генерирующая компания», ОАО «МОЭК», ОАО «МРСК Центра», ГУП «Петербургский метрополитен», Panasonic CIS, группа компаний «Евраз», ОСАО «Ингосстрах», АО «Хоум Кредит Банк», «Макслевел», группа компаний «ЭФКО», фирма «1С», «СИА Интернейшнл ЛТД», Московский институт стали и сплавов (МИСиС), Сибирский государственный университет путей сообщения (СГУПС), Мариинский театр, Государственный Эрмитаж и многие другие.

Официальный сайт ESET: www.esetnod32.ru

Корпоративный блог сотрудников компании в "Клубе лояльности ESET": club.esetnod32.ru/diary/view.do?id=f166

Блог ESET на "Хабрахабр": habrahabr.ru/company/eset/blog




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>