Перейти к содержанию
nobody@nowhere

Kaspersky antivirus 6: HTTP monitor bypassing

Recommended Posts

TiX

>Саня, писание троянов - Ваша прерогатива. все исходные данные есть - дерзайте.

Это не моя забота, во все тонкости "дырки" прониклись вы.. так что либо PoC либо обвинение вас в некомпитентности Ж)

Дерзайте...

Сразу предостеругу - Java-Script & Flash неможет работать напрямую с сокетами, а ява-апплет неможет создавать файлы из за ограниченый политики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли

Так я ж уже сказал коллеге вашему! Продемонстрируйте эксплоит! Настоящий! Чтоб он eicar выкачал мне на комп. И запустил. Пусть это будет VBScript, JavaScript, Java-applet, flash, голый хтмл - не важно. Киньте мне линк, куда я зайду своим браузером и получу eicar в обход веб-антивируса. Так нет, вы вместо этого пишете троянокачалку и говорите, что его должен ловить http-монитор... Ну сколько можно одно и то же-то повторять? =)

в сообществе принято отсылать сообщение о уязвимости вендору и в секьюрити листы, не так ли? за деталями моего видения проблемы - в соседний тред на этом же форуме. проблема прочтения и адекватности восприятия вендора - это его личная проблема, не сообщества. они могут отмазываться тем что сообщения не получали, но листы - получали. а свою адекватность представители ЛК публично продемонстрировали, не в первый раз. отмазки... и все вместо того что бы исправить тривиальную ошибку и оградить пользователей от дыры диаметром с солнце :(

Принято сначала отсылать вендору, а уж потом в секьюрити листы. Дав вендору время на выпуск фикса. Вы это сделали? Сомневаюсь я однако. Впрочем, это не важно. Ибо фикс всё равно выйдет на следующей неделе. Проще выпустить фикс один раз, чем каждый раз заново доказывать народу, что никакой опасности нету... Вы вот лучше скажите, когда SpiderGate выйдет. Уж больно хочется посмотреть =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Бубермот
отлично. тогда идем дальше. почему именно HTTP а не идиотское предложение писать свой протокол. неужели еще не понятно? ;) потому что дыряв Веб-антивирус... методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли, FW обходить нет нужды, он мило и любезно пропустит браузер скачать все что угодно по http. думаю что он при этом скачает говорить не нужно, не так ли? любой эксплоит IE. любую ерунду роняющую венду. не так ли? то что в ЛК так этого и не поняли - очень печально. еще более печально что азбучные истины нужно расказывать специалистам по безопастности. :( а подсказок было море, но видимо не судьба - нужно разжевать и в рот положить.

Знаете, для специалиста по безопасности у вас какая-то однобокая логика. Любите левой ногой за правым ухом чесать? Ну вот внедрилось в IE нечто, антивирусом не ловящееся. На кой, объясните мне, более мощная зараза станет скачивать менее мощную? Чтоб попасться самой? И зачем эксплуатировать мегадыру, если, как уже объяснялось, можно скачать то же самое по любому протоколу? И файрвол пропустит: в половине случаев браузеру разрешены исодящие TCP соединения по нескольким стандартным для HTTP портам, в другой половине или все исходящие или вообще любая активность. Коннекться себе на 80й порт и тащи что хочешь, по какому хочешь протоколу. Про вариант скачивания архива с паролем или с народной шифровкой XOR c 256битным числом я уж и не заикаюсь, не до того сейчас. Думаете вирусописатель станет пользоваться заведомо рискованым методом, когда ему доступно то, что не ловится даже в теории?

это не важно :) ситуация - часть с отрицательным смещением, сколько народа на этом погорело.

Знаете, я больше проверять не буду. Услышал про мультипарт - думал вы и вправду большой секрет знаете, а вы или просто все потенциально сложные или опасные моменты http перечисляете, или уже проверили, серьёзных дыр не нашли, показали глупый баг и сейчас просто туману нагоняете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли

Так я ж уже сказал коллеге вашему! Продемонстрируйте эксплоит! Настоящий! Чтоб он eicar выкачал мне на комп. И запустил. Пусть это будет VBScript, JavaScript, Java-applet, flash, голый хтмл - не важно. Киньте мне линк, куда я зайду своим браузером и получу eicar в обход веб-антивируса. Так нет, вы вместо этого пишете троянокачалку и говорите, что его должен ловить http-монитор... Ну сколько можно одно и то же-то повторять? =)

с этим - к Сане.

в сообществе принято отсылать сообщение о уязвимости вендору и в секьюрити листы, не так ли? за деталями моего видения проблемы - в соседний тред на этом же форуме. проблема прочтения и адекватности восприятия вендора - это его личная проблема, не сообщества. они могут отмазываться тем что сообщения не получали, но листы - получали. а свою адекватность представители ЛК публично продемонстрировали, не в первый раз. отмазки... и все вместо того что бы исправить тривиальную ошибку и оградить пользователей от дыры диаметром с солнце :(

Принято сначала отсылать вендору, а уж потом в секьюрити листы. Дав вендору время на выпуск фикса. Вы это сделали? Сомневаюсь я однако. Впрочем, это не важно.

нет важно. только что Вы обвинили меня во вранье - мне воспользоваться предложение Mr.Justice? ;) вендор это абсолютно невменяемый (в терминах ЛК) DVi, он не пожелал общаться.

вот я и думаю писать ли им как за пару минут обходится самозащита или ну нафиг - пусть дальше остается тайной пока еще кто не догадается и не напишет?

Знаете, я больше проверять не буду. Услышал про мультипарт - думал вы и вправду большой секрет знаете, а вы или просто все потенциально сложные или опасные моменты http перечисляете, или уже проверили, серьёзных дыр не нашли,

а оно нужно - делать бесплатный аудит?

показали глупый баг и сейчас просто туману нагоняете.

а ломают всегда через наиглупейшие баги. все еще живой и самый показательный пример - sendmail. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Здоровеньки булы! :)

Бубермот тут отличился - почему бы ему орден не дать за тестирование продуктов? :)

"PS: Зато при побайтовой передаче, после того как касперский поймает вируса в окне браузера показывают не стандартную "я только что тебе жизнь спас" страницу каспера, а начало тела вирусни. Т.е. хоть возможность себя похвалить у каспера обламывается. "

Вот это PS - ваще супер :)

Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится? :)

Вот тебе бабушка, и юрьев день :)

А говорят - нельзя никак использовать дырку-то :)

Если дырка есть, то научиться её использовать - это дело времени и техники, к сожалению...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Бубермот тут отличился - почему бы ему орден не дать за тестирование продуктов? Smile

Согласен, орден в студию! :beer:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_R.

Прочитал:

Код:

syswrite STDOUT, 'document is <'.$doc.'> len='.length($doc)."n";

ужасно опасна (в переменной $doc хранится вирус, любой, по вашему вкусу)

я как понял в файле с расширением .doc будет любой вирус? вот интересно просто,как это запускать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

ответы разработчиков KAV:

Что должен перехватить файловый монитор, если файла нет?

Есть страница в памяти браузера и даже если она сохранится на диск, до этого выполнится её код.

Файловый антивирус работает _только_ с файлами на диске. На потоке работает Web-антивирус. Не ставить его - сознательное уменьшение уровня защищённости машины.

вобщем.. дали линк где страница заражена Trojan.Downloader.JS.Agent (ловит вэб антивирус у народа)

зашел туда Файрфоксом без веб антивируса - файлов. монитор не среагировал (хотя базы одни и теже вроде у них ???)

у меня связка NOD32 IMON (остальные службы его остановлены) + KAV 7

т.е. что нодовский интернет-монитор пропускает своими базами, каспер подхватывает....

вот и думаю есть ли смысл убрать нод интернет фильтр и прикрутить "родного" касперу ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
ответы разработчиков KAV:

вобщем.. дали линк где страница заражена Trojan.Downloader.JS.Agent (ловит вэб антивирус у народа)

зашел туда Файрфоксом без веб антивируса - файлов. монитор не среагировал (хотя базы одни и теже вроде у них ???)

у меня связка NOD32 IMON (остальные службы его остановлены) + KAV 7

т.е. что нодовский интернет-монитор пропускает своими базами, каспер подхватывает....

вот и думаю есть ли смысл убрать нод интернет фильтр и прикрутить "родного" касперу ...

Файловый может поймать этот вирус только в кэше браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×