Jump to content
mrrc

Kaspersky Security 8.0 для Linux Mail Server пропускает новых троянов в архивах [В процессе]

Recommended Posts

В последнее время с регулярностью поступают почтовые сообщения с архивами во вложении, внутри которых находятся исполняемые скрипты. Причем темы и тело писем весьма пользовательско-ориентированные, чтобы юзеру и в голову не приходило что-либо заподозрить.

Локальный Касперский на рабочих местах только по факту добавления сигнатур этих новых модификаций в базу начинает на них реагировать.

Я понимаю, что как таковой продукт Kaspersky Security 8.0 для Linux Mail Server не виноват, что не знаком с новой заразой, но негативное отношение пользователей постепенно обоснованно возрастает, антивирусное решение плохо справляется с задачей.

 

В связи с чем вопрос, что делается в свете данной ситуации? Я так понимаю, она носит достаточно массовый характер.

Необходимо реализовать в продукте возможность фильтрации по типу файлов внутри архивов, чтобы хотя бы скриптовые расширения можно было таким образом отсекать или ставить на карантин в хранилище?

 

В общем, хочу услышать, что предпринимается в связи с описанной тенденцией указанных вирусных атак.

 

Версия продукта установлена последняя 8.0.1.721 для FreeBSD 8.x в связке с Sendmail-ом.

 

P.S.

Года полтора назад спрашивал касаемо возможности пересылки-проталкивания "оригинальных" писем из карантина пользователям, ниже эта тема, когда реализуется?

http://forum.kaspersky.com/index.php?showt...t&p=2221194

Share this post


Link to post
В последнее время с регулярностью поступают почтовые сообщения с архивами во вложении, внутри которых находятся исполняемые скрипты. Причем темы и тело писем весьма пользовательско-ориентированные, чтобы юзеру и в голову не приходило что-либо заподозрить.

Локальный Касперский на рабочих местах только по факту добавления сигнатур этих новых модификаций в базу начинает на них реагировать.

Я понимаю, что как таковой продукт Kaspersky Security 8.0 для Linux Mail Server не виноват, что не знаком с новой заразой, но негативное отношение пользователей постепенно обоснованно возрастает, антивирусное решение плохо справляется с задачей.

 

В связи с чем вопрос, что делается в свете данной ситуации? Я так понимаю, она носит достаточно массовый характер.

Необходимо реализовать в продукте возможность фильтрации по типу файлов внутри архивов, чтобы хотя бы скриптовые расширения можно было таким образом отсекать или ставить на карантин в хранилище?

 

В общем, хочу услышать, что предпринимается в связи с описанной тенденцией указанных вирусных атак.

 

Версия продукта установлена последняя 8.0.1.721 для FreeBSD 8.x в связке с Sendmail-ом.

 

P.S.

Года полтора назад спрашивал касаемо возможности пересылки-проталкивания "оригинальных" писем из карантина пользователям, ниже эта тема, когда реализуется?

http://forum.kaspersky.com/index.php?showt...t&p=2221194

 

Здравствуйте,

 

То есть локальный антивирус тоже не детектит зловреды. Через какое примерно время, как упомянуто, добавляются необходимые сигнатуры? Вы отправляете запросы в вирусную лабораторию с сэмплами?

 

Спасибо!

Share this post


Link to post

Через какое время локальные антивирусы начинают детектировать - не отслеживал, организация большая. Но могу сделать вывод, что как обычно от нескольких часов, до нескольких дней, исходя из того, что после получения писем с защищенного почтового сервера пользователями кое где в последствие начинается визг о наличии троянских программ в данных письмах.

Запросы на добавление в вирусную лабораторию при наличии времени и не детектируемых экземпляров направляю, но системно этим понятно никто не занимается у нас.

На локальных машинах используется в подавляющем большинстве случаев линейка Kaspersky Endpoint Security 8-й и 10-й версий и реже Kaspersky Anti-Virus for Windows Workstations 6-й линейки продукта.

Share this post


Link to post

Добрый день.

 

Уточните пожалуйста а сами вредоносы удаётся локализовать?

 

 

Спасибо.

 

 

Добрый день.

 

Уточните пожалуйста а сами вредоносы удаётся локализовать?

 

 

Спасибо.

 

Share this post


Link to post

Что вы под этим понимаете?

Если соответствующая сигнатура ранее добавлена в базу, вредонос детектируется любыми вашими продуктами.

Если нет, соответственно архивы с вредоносом внутри детектируются как незараженные.

Share this post


Link to post
Что вы под этим понимаете?

Если соответствующая сигнатура ранее добавлена в базу, вредонос детектируется любыми вашими продуктами.

Если нет, соответственно архивы с вредоносом внутри детектируются как незараженные.

 

Здравствуйте,

 

Получается проблема не относится Kaspersky Security 8.0 для Linux Mail Server в частности? То есть, на сколько я понимаю, детектироваться на всех продуктах зловреды начинают примерно одновременно.

 

Спасибо!

Share this post


Link to post
Получается проблема не относится Kaspersky Security 8.0 для Linux Mail Server в частности?

Это я упоминал в своем первоначальном вопросе.

Однако остроты проблемы это нисколько не занижает - фильтрация по типу файлов внутри архивов, как перестраховка.

Плюс вопрос по реализации функционала отправки из карантина оригинальных сообщений потерялся.

 

Share this post


Link to post

Тоже прилетает хорошее количество "свежака" в архивах. Иногда детектятся в KSN. Иногда на 2й день.

Решил проблему установкой clamav на почту и добавлением кастомной сигнатуры на исполняемые файлы в архивах.

Хвала open source, clam как антивирус фуфло, но зато есть настраиваемые свистелки.

 

Основная масса малвары - варианты трояна упатра.

Share this post


Link to post
Тоже прилетает хорошее количество "свежака" в архивах. Иногда детектятся в KSN. Иногда на 2й день.

Решил проблему установкой clamav на почту и добавлением кастомной сигнатуры на исполняемые файлы в архивах.

Хвала open source, clam как антивирус фуфло, но зато есть настраиваемые свистелки.

Меня тоже уже посещала мысль вернуть clamav когда-то используемый, поставив перед или после Касперского. Но опасаюсь, нынче я его свежего уже вряд ли смогу собрать из портов под устаревшей FreeBSD 8.2

Он у вас на все исполняемые файлы в архивах реагирует или конкретные расширения задать возможно? Как дальше с отсекаемыми им письмами поступаете?

 

Основная масса малвары - варианты трояна упатра.

Ага.

 

Share this post


Link to post

Давно уже поднимал этот вопрос - чтобы KLMS фильтровал вложения по типу файлов, в т.ч. и в архивах. Неужели так трудно реализовать?

Share this post


Link to post
Меня тоже уже посещала мысль вернуть clamav когда-то используемый, поставив перед или после Касперского. Но опасаюсь, нынче я его свежего уже вряд ли смогу собрать из портов под устаревшей FreeBSD 8.2

Он у вас на все исполняемые файлы в архивах реагирует или конкретные расширения задать возможно? Как дальше с отсекаемыми им письмами поступаете?

Ага.

 

А и не надо свежий, достаточно тот с которого появились пользовательские сигнатуры, и базы можно не обновлять.

Реагирует на те расширения в архивах которые задаш.

 

Направление настройки тут задается, дальше по ману.

http://rm-rf.ucoz.ru/publ/exim_clamav_kak_...vjazku/7-1-0-25

Share this post


Link to post

Есть правда маленькая проблема, но она решаема если пере собрать самому под себя.

Share this post


Link to post

Муторно это как-то, тем более Sendmail используется.

Разработчики, давайте активизируемся по продукту, вопросы и предложения накопились.

Share this post


Link to post

Добрый день.

 

Могли бы их изложить?

 

 

Спасибо.

 

 

Share this post


Link to post
Могли бы их изложить?

 

Сделать блокировку по типам файлов в архивах (и в архивах, упакованных в архивы, с заданной глубиной распаковки).

Share this post


Link to post

Да, вышесказанное основное.

Вы же позиционируете продукт как комплексное решение по защите от спама и вирусных угроз, а тенденции распространения этих самых угроз претерпевают изменения и нужно как минимум не отставать в противодействии им.

 

Опционально предусмотреть возможность отправки из интерфейса программного комплекса находящихся на карантине сообщений в вирусную лабораторию на анализ, что как повысит Ваше реагирование на появляющиеся новые угрозы, так и автоматизирует процедуру для пользователя.

 

Ну и то, о чем говорилось в теме http://forum.kaspersky.com/index.php?showt...p;#entry2221194

Edited by mrrc

Share this post


Link to post
В последнее время с регулярностью поступают почтовые сообщения с архивами во вложении, внутри которых находятся исполняемые скрипты. Причем темы и тело писем весьма пользовательско-ориентированные, чтобы юзеру и в голову не приходило что-либо заподозрить.

Локальный Касперский на рабочих местах только по факту добавления сигнатур этих новых модификаций в базу начинает на них реагировать.

Я понимаю, что как таковой продукт Kaspersky Security 8.0 для Linux Mail Server не виноват, что не знаком с новой заразой, но негативное отношение пользователей постепенно обоснованно возрастает, антивирусное решение плохо справляется с задачей.

 

В связи с чем вопрос, что делается в свете данной ситуации? Я так понимаю, она носит достаточно массовый характер.

Необходимо реализовать в продукте возможность фильтрации по типу файлов внутри архивов, чтобы хотя бы скриптовые расширения можно было таким образом отсекать или ставить на карантин в хранилище?

 

В общем, хочу услышать, что предпринимается в связи с описанной тенденцией указанных вирусных атак.

 

Версия продукта установлена последняя 8.0.1.721 для FreeBSD 8.x в связке с Sendmail-ом.

 

P.S.

Года полтора назад спрашивал касаемо возможности пересылки-проталкивания "оригинальных" писем из карантина пользователям, ниже эта тема, когда реализуется?

http://forum.kaspersky.com/index.php?showt...t&p=2221194

 

Здравствуйте,

функционал планируется к реализации, но точных сроков нет.

Даже если вы запретите каки-либо форматы в архивах, то злоумышленники будут просто другими способами пользоваться, например, архивы с паролем)

Как вы KES на рабочих станциях настраивали ? Какой уровень эвристического анализа ?

Спасибо.

Share this post


Link to post
Здравствуйте,

функционал планируется к реализации, но точных сроков нет.

Даже если вы запретите каки-либо форматы в архивах, то злоумышленники будут просто другими способами пользоваться, например, архивы с паролем)

Да, но давайте решать вопросы по мере их поступления. Управлять прохождением сообщений с зашифрованными объектами можно и сейчас.

 

Как вы KES на рабочих станциях настраивали ? Какой уровень эвристического анализа ?

Спасибо.

Все по умолчанию, за исключением действий над обнаруженными объектами.

Мы не в ту сторону движемся)

Share this post


Link to post

суммируя имеющуюся информацию (с учетом данной темы), можно можно сделать вывод, что работа с архивами - общая проблема всех почтовых антивирусов Касперского, в частности:

 

- Kaspersky Security 8.0 for Linux Mail Server - архивы не обрабатывает (информация из этой темы)

 

- Kaspersky Security 8.0 for Microsoft Exchange Servers - обрабатывает (удаляет из писем) только одноуровневые zip с исполняемыми файлами внутри.. многоуровневые zip и архивы других типов пропускает (по крайней мере у нас такая ситуация).

 

- KES 10 (mr1, sp1mr1), компонент "почтовый антивирус" - имитирует удаление исполняемых файлов из zip-архивов (т.е. в журнале пишет, что удалил, но не удаляет).. другие архивы вообще не обрабатывает (в журнале пишет "лечение невозможно")

http://forum.kaspersky.com/index.php?showtopic=327347

http://forum.kaspersky.com/index.php?showtopic=330272

инцидент INC000004813543

Edited by Aigir

Share this post


Link to post
Да, но давайте решать вопросы по мере их поступления. Управлять прохождением сообщений с зашифрованными объектами можно и сейчас.

Все по умолчанию, за исключением действий над обнаруженными объектами.

Мы не в ту сторону движемся)

 

Если отвечать строго про KLMS, то на данный момент такого функционала нет.

Дата реализации пока неизвестна.

Спасибо.

Share this post


Link to post

Работы в данном направлении ведутся. Одно дело заблокировать архив, в котором есть файл с определенным расширением и немного другое - пересобрать архив, выкусив что-то подозрительное. Во-первых, типов архивов очень много и сразу поддержать все не получится (сборка-пересборка да плюс еще и лицензионные ограничения). Во-вторых, выкусив что-то из архива, мы можем нарушить целостность какого-то дистрибутива.

В любом случае, такая функциональность появится в ближайших релизах KLMS/KSMG (ну, разве что, кроме совсем близкого Secure Mail Gateway (virtual appliance), по которому работы завершены и команда готовит продукт к выпуску).

 

С уважением,

Олег, от команды KLMS/KSMG

Share this post


Link to post

Апну пожалуй, вопрос актуален, сейчас мы вынуждены вообще блокировать все архива на прием. Есть какие-то подвижки?

Share this post


Link to post

Здравствуйте,

 

Выпуск новой версии запланирован на вторую половину 2016 года.

 

Спасибо!

Share this post


Link to post

Пожалуйста, не забывайте присылать примеры писем с вложенными архивами, в которых зараженные объекты, если они не были определены антивирусом на момент получения.

 

https://newvirus.kaspersky.ru/

newvirus@kaspersky.com

 

Функционал фильтрации по содержимому архивов поможет с такими случаями, но только до тех пор, пока авторы вредоносного кода не изменят метод доставки на другой.

Share this post


Link to post

Здравствуйте,

на данный момент можно только блокировать письма с архивами.

Спасибо.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.