O jeszcze jednym chciałbym dodać, mianowicie o nowych sposobach infekowania komputerów przez podmianę plików aplikacji na serwerze producenta. Już kilka takich przypadków było. Bez zaawansowanej ochrony niewiele pomoże "ufanie" aplikacjom od producenta X czy Y. Jednym słowem model ochrony białych list / reguł staje się bezużyteczny w starciu z takim wektorem dostarczenia malware do komputerów. To tylko jedna z wielu warstw ochrony, która sama sobie średnio poradzi.
Tak, to rzadkie przypadki, ale bardzo skuteczne. Przypomnę, że od tego zaczęło się WannaCry w 2017 roku - Ukraina. Serwery Medicom. To właśnie wtedy 250 000 firm z całego świata widziało taki komunikat:
I co? I nic :-) Większość malware korzysta mimo wszystko z interpreterów Windowsa, więc np. taki Arcabit czy mks_vir mogą zatrzymać niewykrywalnego malware, blokując mu dostęp do powershella, cmd, wscript i innych. Nie żebym specjalnie chwalił Arcabit, ale prawda jest taka, że blokowanie wiersza poleceń dla malware to dosyć innowacyjna technika obrony. Niewielu producentów ma coś podobnego. A nawet gdyby doszło do zaszyfrowania, to przecież Arcabit ma SafeStorage - pliki przywrócone po kilku minutach. Ale... z dużymi plikami jak np. bazy danych lub filmy raczej niewiele da się zrobić. Producent musiałby podać aktualną listę rozszerzeń plików, które są brane pod uwagę w SafeStorage. A może już dodali jakieś niestandardowe ustawienia dla firm, właśnie na wypadek zaszyfrowania baz danych? Nie wiem. Trzeba by ich zapytać.
Tak, to rzadkie przypadki, ale bardzo skuteczne. Przypomnę, że od tego zaczęło się WannaCry w 2017 roku - Ukraina. Serwery Medicom. To właśnie wtedy 250 000 firm z całego świata widziało taki komunikat:
[Aby zobaczyć linki, zarejestruj się tutaj]
Mieliśmy dodatkowo exploity od NSA, które przełamywały zabezpieczenia nawet zaktualizowanych Windowsów na portach Samby.I co? I nic :-) Większość malware korzysta mimo wszystko z interpreterów Windowsa, więc np. taki Arcabit czy mks_vir mogą zatrzymać niewykrywalnego malware, blokując mu dostęp do powershella, cmd, wscript i innych. Nie żebym specjalnie chwalił Arcabit, ale prawda jest taka, że blokowanie wiersza poleceń dla malware to dosyć innowacyjna technika obrony. Niewielu producentów ma coś podobnego. A nawet gdyby doszło do zaszyfrowania, to przecież Arcabit ma SafeStorage - pliki przywrócone po kilku minutach. Ale... z dużymi plikami jak np. bazy danych lub filmy raczej niewiele da się zrobić. Producent musiałby podać aktualną listę rozszerzeń plików, które są brane pod uwagę w SafeStorage. A może już dodali jakieś niestandardowe ustawienia dla firm, właśnie na wypadek zaszyfrowania baz danych? Nie wiem. Trzeba by ich zapytać.