Архив метки: CrowdStrike

Западные VM-вендоры друг о друге

Добавить комментарий

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Ten­able
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Vul­ner­a­bil­i­ty Pri­or­i­ti­za­tion)
🔹 Сравнение с Microsoft Defend­er (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Crowd­Strike (Secu­ri­ty Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Ten­able
🔹 Сравнительная таблица с Ten­able (другой вариант)
🔹 Сравнительная таблица с Ten­able Nes­sus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Ten­able

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

1 комментарий

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения
Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

Самораспаковывающиеся Win­RAR архивы (SFX) могут штатно запускать команды до или после извлечения. В том числе и зловредные Pow­er­Shell скрипты например. Статья вышла 2 недели назад, но только сейчас дошли руки ознакомиться с оригиналом. Crowd­Strike блочит российские IP, можно через Inter­net Archive. По описанию всё очень просто и изящно. И это никакая не уязвимость, а штатная функциональность, о которой все забыли, пока она не начала использоваться в атаках (упоминают ботнет Emotet). 🙂

Причем запускаться таким образом может зловред распакованный из самого SFХ архива, и тогда +- понятно как это детектить. А может быть так, что в архиве ничего опасного нет, а вся заловредная функциональность заключается именно в команде после извлечения. И такое детектят не все.

Взять бы эти Win­RAR SFX архивы и запретить напрочь. Но проблема в том, что они могут использоваться в установщиках вполне легитимного софта. Так что без анализа скорее всего не обойдется.