База знаний по категориям
Набор сигнатур от 15.09.2022
При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock «Конфидент» обратил внимание на уязвимость Win32.Ransom.BlueSky, получившую идентификатор MVID-2022-0632.
Программа-вымогатель BlueSky ищет и выполняет произвольные библиотеки DLL в своем текущем рабочем каталоге. Таким образом, мы можем перехватить DLL, выполнить наш собственный код, а также контролировать и прерывать предварительное шифрование вредоносного ПО.
DLL-библиотека эксплойта проверяет, является ли текущий каталог "C:\Windows\System32 ", а если нет, берется собственный идентификатор процесса и завершает его. Все основные тесты были успешно проведены в среде виртуальной машины.
В текущем обновлении сигнатур СОВ также были добавлены сигнатуры, защищающие в том числе от следующих новых уязвимостей:
- CVE:N/A
- CVE-2022-27925
- MVID-2022-0632
- MVID-2022-0625
- CVE:N/A
- CVE-2004-2466
- CVE-2020-2038
- CVE-2022-30166
- CVE:N/A
- MVID-2022-0589
- CVE-2015-5557
- EDB-ID: 37863
- CVE-2015-5540
- CVE-2015-5539
- CVE-2015-5134
- CVE-2015-0816
- EDB-ID: 38302
- CVE-2015-7805
- CVE-2015-3036
- EDB-ID: 38616
- CVE-2014-6593
- CVE-2015-1793
- CVE-2015-5287
- CVE-2015-2994
- EDB-ID: 37767
- CVE-2015-5161
- CVE-2012-0261
- CVE-2015-5603
- EDB-ID: 38973
- CVE-2015-8664
Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур Системы обнаружения и предотвращения вторжений Dallas Lock.
Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:
СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости