Тест на предотвращение проникновения в ring0 II (результаты)

[OlegAndr 236]

Не видел такого предложения.

Конечно такие тулы должны детектиться нак not-a-virus имхо. почему их вместо этого задоверили - незнаю.

[Сергей Ильин 1538]

В вирлабе. В Доверенные добавляет специальный отдел. Эта тулза не выполняет ни одного вредоносного действия. По этой причине она _руками_, после анализа была добавлена в Доверенные.

Вопрос. А зачем он (специальный отдел) ее туда занес в доверенные? ИМХО это какой-то нехороший шаг, ведь эти тулзы можем не только мы использовать и ясно, что они будут показывать юзеру

[Umnik 997]

Вопрос. А зачем он (специальный отдел) ее туда занес в доверенные? ИМХО это какой-то нехороший шаг, ведь эти тулзы можем не только мы использовать и ясно, что они будут показывать юзеру wink.gif

Потому что это безвредное ПО, видимо. Я не знаю, почему популярную тулзу для синтетического теста, не выполняющую вредоносных действий, занесли в Доверенные. Хороший это шаг или нет, решать не тестовой организации, не так ли?

[wert 60]

Я рад, что порой возникают у людей даже с PDM в мозгу, мысли о том, что поведенческие технологии по сути своей иногда дают фолсы.

Но меня беспокоит, что они же не хотят понять отличие антивирусных технологий, требующих внимания пользователя от иных.

Есть, например, сонар, есть дефенсволл, можно даже считать и PDM, но они очень разные и как их тестировать на столь ограниченных предложениях, как внедрение в ядро или самозащита?

Чистой воды шарлатанство.

[Wordmonger 35]

Вопрос. А зачем он (специальный отдел) ее туда занес в доверенные? ИМХО это какой-то нехороший шаг, ведь эти тулзы можем не только мы использовать и ясно, что они будут показывать юзеру

В данном случае я не знаю, как именно эти утилиты попали в базу доверенных "ЛК", но могу рассказать, как это могло произойти (и зачастую происходит).

Допустим, в момент времени T₀ только во вредоносных программах встречается действие A, притом что это действие, если его не заблокировать, даёт возможность скомпрометировать любую защиту и получить контроль над системой. Придя к такому выводу, аналитики антивирусной компании K реализуют эвристическое детектирование для всех программ, выполняющих такое действие и не являющихся доверенными. Причём такой детект может работать как при запуске вредоносной программы, так и (благодаря эмуляции) при обычном сканировании и даже просто при попытке загрузить или скопировать файл.

Далее в момент времени T₁ какая-то тестовая организация также обнаруживает, что действие A позволяет вредоносной программе получить контроль над системой. Значит, хорошо бы добавить такой тест в тестовый набор. Но каждый раз при организации очередного тестирования искать настоящие актуальные вредоносные программы, которые используют эту технику, как-то... в лом. В результате создаётся тестовая утилита, которая пытается выполнить действие A и проверяет, блокируется его выполнение или нет. Знакомо?

Через некоторое время эта тестовая утилита разойдётся "по рукам". И обязательно найдётся доброхот, который напишет в компанию K гневное письмо: "Какже так этоже тестовая утилита а вы её детектируете как подозрительную вредоносную програму и врезультате я её даже скачать немогу немедлено исправте это ложное срабатывание".

Аналитики смотрят на утилиту и видят, что она, таки да, выполняет действие A, но в результате выполнения этого действия запускается, допустим, "Калькулятор" с правами LocalSystem. Что делать аналитикам? Убирать детект совсем (так как теперь он как будто бы "вызывает ложные срабатывания"), лишая пользователей защиты от настоящих вредоносных программ из-за какой-то "левой" утилиты? Разумеется, нет. Аналитики просто берут и вносят эту утилиту в список доверенных.

Дальнейшее мы можем наблюдать на примере этого теста.

[Umnik 997]

Wordmonger

Похоже на правду.

Добавлю, что эта тулза используется и нами для тестирования. Само-собой тестировщики предпринимают меры, чтобы она не уходила в Доверенные по KSN.

[GReY 35]

После драки кулаками не машут, но на будущее: у Sophos тоже есть HIPS

кстати, что за странная версия у PC Tools Internet Security 2011 1.0.0.50 ?

перепроверялись ли его результаты после исправления тестовых утилит? а то у Матусека PC Tools показал близкий к 100% результат...

[KIS_fan 17]

кстати, что за странная версия у PC Tools Internet Security 2011 1.0.0.50 ?

перепроверялись ли его результаты после исправления тестовых утилит? а то у Матусека PC Tools показал близкий к 100% результат...

а что их перепроверять то - они верны. В моём личном тесте с максимльноми настройками, он показ что на очень мло чего спасобен. И еслиб не заточка под Матусека то был бы там в последних редах.

[Vpupkin 0]

Уважаемые господа эксперты не могли бы вы прояснить ситуацию с Dr.Web? Неужели у него нет никаких средств защиты от внедрения в ring 0?

И второй вопрос. Насколько я понимаю, тестовые утилиты запускались с правами администратора и разрешались на выполнению в UAC.

Вопрос собственно состоит вот в чем: насколько часто в реально встречающихся зловредах используются уязвимости позволяющие повысить привилегии до административных/системных (помнится в конце 2009го года поднялся шум по уязвимости в UAC.)? Или такого рода уязвимости являются слишком ценными, чтобы использовать их в "мейнстрим" зловредах?

[StarStream 55]

Уважаемые господа эксперты не могли бы вы прояснить ситуацию с Dr.Web? Неужели у него нет никаких средств защиты от внедрения в ring 0?

Последнее время замечаю, что Dr.Web начинают "заминать" такими вопросами уже второй день и как не странно именно юзеры (или юзер, но "многоликий" ) прошедшие регистрацию вчера или сегодня...И именно в своих первых и подчас единственных постах. К чему бы это?! Хотя может я слишком подозрительный...

[priv8v 960]

Вопросы по тексту по ссылке http://www.anti-malware.ru/hips_test_ring0_2010

Для простоты в этот раз мы производили тестирования при помощи набора специальных утилит, которые моделируют описанные выше методы проникновения в ядро операционной системы.

Сергей Ильин, может я не в теме и этот вопрос уже поднимался, но я проглядел (т.к эту тему лишь одним глазком пробежал вдоль), поэтому задам (если ответу уже имеются, попрошу просто ткнуть носом):

1. Имеют ли данные утилиты гуй?

2. Какой компилятор/язык?

3. Где они хранят драйвер? (рядом в папке или из себя дропают)

4. Если дропают, то куда именно?

5. Замена beep.sys с отключением защиты файлов была или нахрапом без отключения просто на скорости?

В прямой зависимости от ответов на эти вопросы находится работа эмулятора, чистой проактивки и эвристики.

В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.

В чем вообще философия данного теста, если приходится делать дополнительные манипуляции? Выше уже были такая же критика...

С таким же успехом (т.е тоже с манипуляциями) можно было включить интерактивный режим (ну или как там он у КИСа называется...) и результат (в теории) был бы таким же...

А то выходит какое-то тестирование песочницы на предмет пропускает/не пропускает простейшие действия...

[Vpupkin 0]

Последнее время замечаю, что Dr.Web начинают "заминать" такими вопросами уже второй день и как не странно именно юзеры (или юзер, но "многоликий" ) прошедшие регистрацию вчера или сегодня...И именно в своих первых и подчас единственных постах. К чему бы это?! Хотя может я слишком подозрительный...

Видимо последнее. Я просто ранее с Dr.Web не работал, а теперь стоит вопрос выбора корпоративного антивируса. Понятно, что продукты различаются, но тем не менее.

С таким же успехом (т.е тоже с манипуляциями) можно было включить интерактивный режим (ну или как там он у КИСа называется...) и результат (в теории) был бы таким же...

Выше писали ведь:

Если попадает что-то в доверенные - все, финиш. Если в недоверенные, то будет пропущен только ChangeDrvPath. Если в песочнице запускать - все будет заблокировано гарантированно.

А по вопросам можно ответы услышать?

[priv8v 960]

Выше писали ведь:

Ну, про доверенные это и так понятно, не в том вопрос, что будет в техническом плане если не юзать сандбокс, вопрос (точнее я присоединился к этому вопросу, т.к до меня его уже задавали в разных формулировках) в философии тестирования (т.е защем вообще приложение туда засунули?).

В чем вообще философия данного теста, если приходится делать дополнительные манипуляции?

А то выходит какое-то тестирование песочницы на предмет пропускает/не пропускает простейшие действия...

Если же говорить исключительно про попадание в доверенные, то некоторый свет на это смогут пролить ответы на поставленные мной 5 вопросов. Как небольшой пример: за гуй Касперский обычно прощает многие прегрешения (в виде снижения SR).... и тут мы вываливаемся в обсуждение заточки антиэмуляции под конкретные продукты

[Vpupkin 0]

Согласен, касательно песочницы странно. Я вроде бы не считаю себя домохозяйкой, но и то песочницей только пару раз пользовался (для запуска кейгейнов). Остальное в интерактиве. Поэтому логичным было бы представить результат с пропущенным ChangeDrvPath (полученный в интерактиве).

[Gor 0]

Testing platform: Windows XP x32 Service Pack 3, Internet Explorer 8

[amid525 67]

Бесплатный CIS, снова лучший?!!

[ntuser 70]

NIS не способен "отловить" установку драйвера. Ни как.

Теперь должен "отлавливать" - SONAR.SuspDriverLoad

[priv8v 960]

Теперь должен "отлавливать" - SONAR.SuspDriverLoad

Как ни выделывались, как ни пытались сказать, что я юзер и в их мега-технологиях ничего не понимаю, но все равно идут по пути, что и классические комбайны...