Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

alamor

1) Оператор может работать на реальной системе в которой это "---" сайт уже прописан стартовым и открывался неоднократно...

2) Если настроить работу в связке uVS < > Браузер в песочнице работать вполне безопасно и с образом автозапуска.

Или работать на виртуальной системе.

Или настроить модуль HIPS-a.

mike 1

Сайтов тысячи/миллионы - для всех критерии не создать.

Да и потом, как узнать что добавить в критерий, а что нет ?

Вначале нужно определить, что есть что, а как это сделать ?

--------

Кроме того, решение за оператором - хочет он открыть страницу сайта откроет.

НЕ хочет - не откроет.

Возможно Оператору будет нужен образец угрозы для последующего анализа & отправки в вир.лаб.

в uVS можно много чего сделать - всё зависит от оператора.

------

P.S. У меня такое впечатление - все опасаются, что uVS начнёт самостоятельно открывать левые сайты и просматривать парную-графию.

[santy 151]

RP55,

P.S. У меня такое впечатление - все опасаются, что uVS начнёт самостоятельно открывать левые сайты и просматривать парную-графию.

следуя твоей логике, можно и файлы подозрительные котрые валяются в ТЕМПЕ (или неявно были запущены) запускать из увс, и наблюдать эффект от их запуска.

[PR55.RP55 82]

Ну хорошо.

Есть некий сайт ( или несколько )

Возможно этот сайт плохой...

А возможно сайт важен для человека и он с ним постоянно работает.

----

И как быть ?

вариантов два.

Или проверить сайт - и тогда принять решение.

Или снести все сайты - и пусть будет, что будет.

----

?

[mike 1 57]

Вначале нужно определить, что есть что, а как это сделать ?

Через онлайн сервисы типа Virustotal, либо через песочницу открываете такой сайт, а потом если он вирусный создаете для него критерий.

Сайтов тысячи/миллионы - для всех критерии не создать.

Рекламных сайтов не так уж и много.

Кроме того, решение за оператором - хочет он открыть страницу сайта откроет.

А что мешает скопировать в буфер обмена этот сайт и открыть его в песочнице вручную?

[PR55.RP55 82]

mike 1

какие выводы из этого следуют ?

1) Проверять сайты нужно.

2) При проверке нужно работать с Sandboxie

3) Для проверки нужно скопировать адрес сайта > запустить браузер в песочнице.

---

т.е. Можно произведя соответствующею настройку в uVS + Sandboxie открыть сайт.

Что позволит сэкономить время.

- За безопасность настроек и проведение операций отвечает непосредственно оператор.

Далее: "сервисы типа Virustotal "

В общем не о чём не говорят абсолютно.

- Это и разные критерии оценки и прочее.

- Из практики форума ESET: приходит человек говорит мой сайт блокирует ваш антивирус...

Я проверил свой сайт на Virustotal + все показывают, что мой сайт чист...

Так почему ваш антивирус его блокирует !!!

---

Берём открываем сайт...

Смотрим...

Оказывается что есть пере направление; есть социальный инженеринг = разводка на $; есть реклама и прочее.

т.е. Вся эта проверка - туфта.

И проверять нужно самому.

Хочешь сделать по человечески - сделай сам.

- И как я и сказал открывать сайт или нет решает оператор.

Речь прежде всего о экономии времени = оптимизации числа операций.

НЕ нужно открывать браузер - Не нужно копировать адрес - Не нужно его вставлять в поле...

Всё происходит автоматически.

[alamor 69]

При проверке нужно работать с Sandboxie

При этом если на этой странице сработает какой-то эксплойт нацеленный на кражу паролей, то она вас не спасёт. Sandboxie это не панацея.

[PR55.RP55 82]

В системе может быть установлено +- 70 программ.

Сейчас для общего списка работает команда: "скрыть известные"

- Такая команда должна быть и для списка: Установленные программы.

Пример: Добавил в список известных: Офис; Архиваторы и т.д.

применил: "скрыть известные" и в списке останутся только НЕ известные программы.

Скажем всего в списке 70 программ после отсева останется 10 - 15

Что позволяет сократить время проверки и найти/выявить ADWARE программу.

см. фото наглядный пример.

[PR55.RP55 82]

Чтобы все предложения было прочесть в одном месте :

http://www.anti-malware.ru/forum/index.php...st&p=180680

2) Всё таки нужен "Чёрный список " по Э.Ц.П.

Много удобнее работать именно со списком.

Сейчас выявлено подписанных ADWARE более 340...

А буде ещё больше.

Думаю со временем и 1000 наберётся.

и создавать для всех критерии поиска

---

Есть мнение, что с реализацией белого списка Э.Ц.П.

другие варианты НЕ нужны...

Но это не так.

Объясню почему:

- В белый список добавлены _только крупные = известные фирмы/производили ( их порядка 150 )

- Остаётся несколько тысяч мелких компаний.

Все эти мелкие компании отнесём к списку неопределённому ...

Их продукты могут быть как чисты, так и нести угрозу.

----

Чёрный же список позволяет:

.) отбросить сомнение и сказать: _этот фал является угрозой...

.) позволит более оперативно обновлять/корректировать список.

.) даст значительную экономию по времени.

.) сколько сейчас потребуется времени чтобы прогнать список через одну 1000 критериев ?

Работа со списком уменьшит нагрузку.

[santy 151]

по поводу черного списка, и т.п.:

не надо создавать параллельные миры, когда уже есть файл критериев. Иначе получится что списков придется много создавать. Уже писали об этом. black hosts, black dns, black folders, black services и т.п.

о каких тысячах критериев идет речь. лично мне пока хватает с полсотни. (может потому что я использую еще и сигнатуры).

на мой взгляд, надо оптимизировать работу с критериями следующим образом:

1. при создании критерия добавить возможность импорта данных из списка (текстового файла). т.о. будет создан однородный составной критерий. который легко обновлять, и который можно экспортировать из snms всем желающим. И не желающим самостоятельно вести эту работу.

2. добавить возможность в окне "инфо", установить активным любой критерий из списка snms, т.о. новое условие будет добавлено в него.

[PR55.RP55 82]

Santy пишет: уже есть файл критериев. Иначе получится что списков придется много создавать.

1) С ч. списком можно работать, а можно не работать.

Раз нужен ч.список - создаём и работаем.

Устраивают поисковые критерии и сигнатуры = работа с ними вперёд...

----

В принципе чтобы не создавать кучу разных файлов/списков можно создать одни файл.

Где будут блоки по:

" Чёрный список" ; "Известные программы"; "Белый список" и т.д.

-----------

1. при создании критерия добавить возможность импорта из списка. т.о. будет создан однородный составной критерий. который легко обновлять, и который можно экспортировать всем желающим. И не желающим самостоятельно вести эту работу.

2. добавить возможность в окне "инфо", установить активным любой критерий из списка snms, т.о. новое условие будет добавлено в него.

Если будет импорт из списка это будет хорошо.

Но сейчас так:

Прежде чем что-то импортировать нужно создать критерий...

Нужно чтобы он был...

Как же его импортировать ?

Прилетит добрый человек...

Откроет файл/список где 340 Adware...

Несколько суток посидит сделает критерий...

- Замечательно !

--------

И это в место того чтобы просто скопировать список в файл.

Сколько времени сейчас занимает экспорт <> импорт из файла wdsl ?

Секунд 20 ?

А создание файла wdsl ( если есть список/перечинить белых ЭЦП )

Тоже 20 секунд !

При том, что в списке может быть хоть 100 хоть 20 000 ЭЦП - всё равно это 20 секунд.

А если я сейчас дам сюда список ADWARE в котором будет 400 ЭЦП сколько уйдёт времени на формирование составного критерия поиска ?

Речь о многих сутках работы.

А если где будет ошибка...

Это повторная проверка 400 элементов критерия !!!

------

- Мне всё ясно.

Поэтому и предлагаю - так как предлагаю.

[demkd 590]

PR55.RP55

черный список - это бесполезный костыль, сквозь белый никакая адварь не пройдет, сквозь черный легко, потому его не будет, смысла нет тратить время на бесполезный функционал.

[santy 151]

RP55,

В принципе чтобы не создавать кучу разных файлов/списков можно создать одни файл.

Где будут блоки по:

" Чёрный список" ; "Известные программы"; "Белый список" и т.д.

об этом я и пишу, что не надо создавать параллельные миры. Если все это уже реализовано.

А так появился RP65, который тоже примерно так же выскажется: я не хочу работать с snms, и текстовым блоком, а хочу работать с базой данных. Пусть santy работает с snms, RP55 - с black books, а я хочу работать с black base.

--------

как будто больше нет задач для реализации в списке новинок. Кроме, как переделывать по новой то что уже сделано.

[PR55.RP55 82]

Demkd пишет:

сквозь белый никакая адварь не пройдет, сквозь черный легко

Суть НЕ в том пройдёт или нет.

Чёрный _дополняет белый список.

Пример:

Есть список/образ в котором 50 разных ЭЦП

а) Белые ЭЦП их 30

б) Неизвестные ЭЦП ( их нет в списках ) 15

в) Чёрные 5

----

Алгоритм: Проверили список по wdsl

У нас в списке осталось 20

Удалили Чёрные 5 ( их можно удалить автоскриптом, или ещё как )

Осталось 15

Проверяем их.

Что мы пропустим ?

и причём здесь белый список ?

Из оставшихся 15 часть можно добавить ( после соответствующей проверки ) в wdsl

Часть добавить в чёрный список.

-------

Ещё раз:

- В белый список добавлены _только крупные = известные фирмы/производили ( их порядка 150 )

- Остаётся несколько тысяч мелких компаний.

Все эти мелкие компании отнесём к списку неопределённому ...

Их продукты могут быть как чисты, так и нести угрозу.

----

Чёрный же список позволяет:

.) отбросить сомнение и сказать: _этот фал является угрозой...

.) позволит более оперативно обновлять/корректировать список.

.) даст значительную экономию по времени.

.) сколько сейчас потребуется времени чтобы прогнать список через одну 1000 критериев ?

Работа со списком уменьшит нагрузку.

Если можно будет выполнить импорт в рамках одного критерия для 400 или более ЭПЦ

то ради бога - может оно так и лучше.

Однако то, что есть сейчас это абсолютно неприемлемо.

[demkd 590]

PR55.RP55

есть критерии, есть сигнатуры, есть белый список, а черный список не нужен совершенно.

[PR55.RP55 82]

1) Чтобы в образе автозапуска сохранялась информация о копиях реестра.

т.е. Открыли в образе: Файл > Восстановить системный реестр из каталога...

И увидели есть копия, или нет...

Если есть, от какого числа и сколько этих копий.

+

Реализовать возможность выбора с какой из копий реестра работать ( в плане извлечения данных = восстановления работы системы = твики )

2) Создать базу sha1 Bl-ack

т.е. Оператор пишет скрипт.

В скрипте есть перечень из bl ( по SHA1 - файлов )

т.е. удалённых и заблокированных к запуску файлов.

- В дальнейшем появляется возможность проверить список по sha1 Bl-ack - базе и _автоматически _по настройке в settings.ini их удалить.

Такая база может содержать десятки тысяч sha1.

Пополнение базы происходит через меню скрипта: "Добавить все bl скрипта в базу sha1 Bl-ack "

Преимущества:

Отсутствие ложных определений; минимальный вес базы; быстрая проверка списка; автоматизация выполнения.

[alamor 69]

Преимущества:

Отсутствие ложных определений; минимальный вес базы; быстрая проверка списка; автоматизация выполнения.

Минусы:

Быстрое устаревание такой базы в следствие перепаковки малвари и бессмысленное раздутие в случае с полиморфными вирусами.

[PR55.RP55 82]

alamor

Верно !

Но...

Сейчас 95% всех проблем создают рекламные ADWARE агенты.

И при работе с ними SHA1 более чем эффективны.

---

По проблеме перепакованных и полиморфных угроз - то с ними и сигнатуры не помогают.

Так что...

[alamor 69]

По проблеме перепакованных и полиморфных угроз - то с ними и сигнатуры не помогают.

Согласен, хотел написать там про сигнатуры, но не сходилось с вашими преимуществами.

В итоге получается, что Оператор должен ещё вручную указывать какие хеши в базу заносить, а какие нет .

Насчёт адвари у меня нет статистики, но предположу, что она также часто обновляется. Так что эффективность опять под сомнением.

[PR55.RP55 82]

alamor пишет:

Насчёт адвари у меня нет статистики, но предположу, что она также часто обновляется. Так что эффективность опять под сомнением.

Да.

Обновляется.

Только у той, ADWARE что уже есть SHA1 останется неизменным.

Говоря о более эффектных вариантах...

- Я ранее предлагал полу-автоматически удалять по ЭЦП. но...

----

Если есть более эффективное решение - то напишите какое !

----

По:

В итоге получается, что Оператор должен ещё вручную указывать какие хеши в базу заносить, а какие нет

Разуется и только так !

Команды скрипта могут быть в процессе работы над ним изменены.

- Значит нужно работать с уже сформированным/готовым скриптом - где все отданные команды прошли проверку = были исключены ошибочные команды.

Соответственно из проверенного/готового скрипта в базу будут добавлены только верные данные по bl. SHA1

[santy 151]

RP55,

Только у той, ADWARE что уже есть SHA1 останется неизменным.

....

Если есть более эффективное решение - то напишите какое !

удалять адваре по отдельному хэшу, все равно что стрелять из пушки по воробьям.

механизм детектирования по хэшам в uVS работает. это огромная сетевая база Вирустотал + локальный кэш.

сигнатурный метод, хоть и имеет недостатки (ложное срабатывание), но все таки с перспективой детектировать варианты этого файла. детект по хэшу - это здесь и сейчас. и единственный файл.

[demkd 590]

я тоже думаю, что сигнатур достаточно.

[PR55.RP55 82]

Demkd пишет:

я тоже думаю, что сигнатур достаточно.

Пусть так.

Но, можно же вместо слова ?Вирус? отображать наименование поискового критерия !!

Например:

| ADWARE |

Тогда, для списка применяем фильтр: ADW***

И далее можно работать с полученным результатом.

----

Проблема критериев в том, что все результаты отображаются как ?Вирус?

Совершенно разные результаты...

Что для ADWARE, что для Вирусов...

И ложные определения отражаются также...

----

При том, если настроить критерий по ЭЦП... то, результат будет 100%.

- Оператор по _ОПРЕДЕЛЕНИЮ_ должен видеть с чем он имеет дело - с каким типом угрозы.

---

Если есть сложности с этим - то ввести разбивку по трём типам:

| Реклама |

| Вирус |

или | Уведомление. |

т.е. для колонки можно задать соответствие _только по трём этим типам.

( где любая другая запись будет игнорироваться и определение будет отображаться как: ?Вирус? )

[PR55.RP55 82]

При удалении объектов типа: http://Х-ХХХ.ru

Добавить в меню команду: "удалить полный путь"

http://Х-ХХХ.ru

http://Х-ХХХ.ru/ХХХХ/

http://Х-ХХХ.ru/ХХХХ/ХХХ/

т.е. выбрали в списке: http://Х-ХХХ.ru

и применили команду.

В итоге должны быть удалены все объекты от http://Х-ХХХ.ru до http://Х-ХХХ.ru/ХХХХ/ХХХ/

----

Преимущества:

1) Одна команды = удаление группы объектов.

2) Коррекция ошибок оператора.

Например в списке два объекта.

http://Х-ХХХ.ru

http://Х-ХХХ.ru/

Оператор удаляет http://Х-ХХХ.ru

при этом он знает/помнит, что дал команду на удаление, а на ( / ) он может и не обратить внимания...

3) Повышение эффективности скрипта ( если значение после http://Х-ХХХ.ru *** будет изменено на неизвестное/новое )

4) Экономия времени.

[alamor 69]

demkd а можно к сигнатурам добавить ещё одно поле с информацией, в которое записывалась бы дата добавления сигнатуры? Со временем они устаревают и становятся бесполезны. Так посмотришь, какие были добавлены к примеру более года назад и удалишь.

[PR55.RP55 82]

alamor

Сигнатур тысячи - и сидеть выбирать...

На это уйдут часы - а то и дни.

----

Но... идея хорошая.

1) При добавление сигнатуры в базу автоматически - добавляется метка времени.

2) Удаление происходит по _БЛОКАМ

следующим образом: Выбирается месяц. и в меню жмём удалить: "Удалить все сигнатуры за выбранный период "

11..2013

12.2013 | "Удалить все сигнатуры за выбранный период " |

----

6.2014

7.2014

8.2014

9.2014

10.2014