Архив метки: CrowdStrike

Западные VM-вендоры друг о друге

1 комментарий

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Tenable
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Vulnerability Prioritization)
🔹 Сравнение с Microsoft Defender (Security Leader’s Guide)
🔹 Сравнение с CrowdStrike (Security Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Tenable
🔹 Сравнительная таблица с Tenable (другой вариант)
🔹 Сравнительная таблица с Tenable Nessus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Tenable

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

1 комментарий

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения
Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения. В том числе и зловредные PowerShell скрипты например. Статья вышла 2 недели назад, но только сейчас дошли руки ознакомиться с оригиналом. CrowdStrike блочит российские IP, можно через Internet Archive. По описанию всё очень просто и изящно. И это никакая не уязвимость, а штатная функциональность, о которой все забыли, пока она не начала использоваться в атаках (упоминают ботнет Emotet). 🙂

Причем запускаться таким образом может зловред распакованный из самого SFХ архива, и тогда +- понятно как это детектить. А может быть так, что в архиве ничего опасного нет, а вся заловредная функциональность заключается именно в команде после извлечения. И такое детектят не все.

Взять бы эти WinRAR SFX архивы и запретить напрочь. Но проблема в том, что они могут использоваться в установщиках вполне легитимного софта. Так что без анализа скорее всего не обойдется.