Перейти к содержанию
Anmawe

Как максимально защититься от malware в windows, которых нет в антивирусных базах?

Recommended Posts

Mr. Justice

Для информации. А. - Александр Гостев. Один из ведущих вирусных аналитиков и экспертов международного уровня (практик и теоретик одновременно). Работает в Лаборатории Касперского. Входит в состав Экспертного совета Anti-malware.ru. Автор ряда публикаций, посвященных вопросам ИБ. Подробно исследовал и описал Stuxnet и Duqu и опубликовал несколько статей, посвященных этим вредоносным программам.

P.S. Александр, не пора ли тебе дать интервью нашему порталу? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Драйвера не вайтлистятся как правило, кроме того в данном случае они еще и были подписаны легально.

Из процитированного делаю вывод, что вы либо не поняли о каком Application Whitelisting пишет WindowsNT, либо, что еще хуже, не понимаете принципа работы SRP вовсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
P.S. Александр, не пора ли тебе дать интервью нашему порталу? :)

Кстати, поддерживаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Из процитированного делаю вывод, что вы либо не поняли о каком Application Whitelisting пишет WindowsNT, либо, что еще хуже, не понимаете принципа работы SRP вовсе.

Я его так и спросил - "Расскажите мне какой вайтлистинг спасет вас от исполнения драйвера, который потом проинжектит dll-ку в доверенный процесс ?"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Я его так и спросил - "Расскажите мне какой вайтлистинг спасет вас от исполнения драйвера, который потом проинжектит dll-ку в доверенный процесс ?"

Да нет. Вы ищете, где меня подловить, чтобы потом торжественно заявить: "вот видите, не защищает SRP от Duqu!". Ибо идеальной защиты сейчас не существует. Но в практическом понимании, будь SRP внедрено на большинстве систем (а только в этом я вижу будущее безопасности, Application, Process and Memory Whitelisting), эпидемии могли бы уже давно закончиться. Не было бы вирусов у обычных пользователей — не тех, кто кряки качает и тестирует, таких вообще крайне мало. А, к примеру, на обычной домашней или офисной рабочей станции. И не в теории, а так это и работает на практике, вирусов нет.

Конечно, есть вероятность, что вирусописатели придумали бы что-то новое и интересное. Но и защитописатели не сидели бы на месте. А пока факт остаётся фактом: Application Whitelisting, который существует в Windows уже 10 лет, максимально близко отвечает на вопрос автора темы, но при этом почти нигде не применяется лишь только потому, что кому-то просто лень SRP настроить, сделав десяток кликов мышью.

Заместо этого, на сцену кругом лезет реклама той или иной антивирусной программы, но результат всегда один — поражения продолжаются. Да, и Duqu тоже хитро щурится этим программам в лицо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Боюсь у всех к алексу слишком разные вопросы -)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Application Whitelisting приносит пользу, если программы, которые в белый список добавили, из надежных источников, и соблюдаются все остальные правила - не сидеть в админе в XP и т.д. Кто качает софт из надежных мест - ему SRP и не нужен наверно. А кто качает откуда попало - ему SRP только мешать будет, всё равно он это запустит.

Мне кажется, что массовые заражения происходят потому, что люди не хотят себя сильно ограничивать.

Вопрос про антивирусы не имел отношения к теме! Это был отдельный вопрос. Вообще, вопрос такой предполагался "Какой антивирус имеют наибольшую базу, в какой быстрее всего добавлют сигнатуры, в каком лучшая проактивная защита, какой антивирус снижает урон, наносимый malware до минимума?".

Отредактировал Anmawe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
спасибо за быстрый ответ, только не совсем понятно что значит заражена внутренняя сеть?

этот вирус распространяется через съёмные носители и портит структуру каталогов на них.

почему его не обнаруживает SEP?

даже на той машине которая заведомо чиста.

Для защиты от вирусов, распространяемых через съёмные носители, следует применить не антивирусную программу, а технологию Application Whitelisting. Антивирусные программы работают методом "чёрного списка", — то есть, разпознают только то, что уже известно и занесено в базы (упомянутые выше сигнатуры). Application Whitelisting работает гораздо более эффективным методом "белого списка" и не даёт запускаться абсолютно ЛЮБЫМ программам, которые не были утверждены Администратором заранее. Таким образом, защита от любых известных и неизвестных вирусов на флешках обеспечивается стопроцентная.

Примером Application Whitelisting для Windows являются Applocker (Windows 7 Enterprise/Ultimate), которому уже два года и Software Restriction Policies (Windows XP Professional/Media Center, Vista Business/Enterprise/Ultimate, Windows 7 Professional/Enterprise/Ultimate), которой уже более 10 лет. Ознакомьтесь, обдумайте, и настройте. Ничего покупать не нужно, достаточно пойти в настройки Windows и пощёлкать пару галочек, вот весь рецепт действительно надёжной защиты от проблем вашего плана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hitman_007
Мыши плакали, кололись, но продолжали жрать кактус.

http://blog.windowsnt.lv/2011/05/30/preven...th-srp-russian/

WindowsNT, Вы вроде постоянно ратуете за ршения с белым списком - здесь что-то не верно? Может что-то дополните, расширите? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Примером Application Whitelisting для Windows являются Applocker (Windows 7 Enterprise/Ultimate), которому уже два года и Software Restriction Policies (Windows XP Professional/Media Center, Vista Business/Enterprise/Ultimate, Windows 7 Professional/Enterprise/Ultimate), которой уже более 10 лет. Ознакомьтесь, обдумайте, и настройте. Ничего покупать не нужно, достаточно пойти в настройки Windows и пощёлкать пару галочек, вот весь рецепт действительно надёжной защиты от проблем вашего плана.

У большинства домашних пользователей (не берем в расчет школьников с крякнутой виндой) стоят домашние и расширенные версии Windows. Application Whitelisting (версии Professional/Enterprise/Ultimate) тем же Мелкософтом предназначен для корпоративщиков и поэтому большинство админов крупных компаний учить, что такое SRP не надо, если это только не погромист и админисратор ООО "Рога и копыта".

Уже говорил об этом в другой теме и не пойму смысл ваших доказательств, т.е. кому они предназначены?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

sda

WindowsNT писал о корпоративных продуктах. Его сообщения я перенес из этого топика. Поэтому вышло такое недоразумение. Там это было оффтопиком, так как речь шла не о предотвращении заражения. Топикстартер хотел "прояснить, как заставить Symantec внести в базу эту заразу" (sergbt). Whitelisting обсуждается в этом топике, поэтому было принято решение перенести его сообщения сюда. Если есть необходимость - сообщения, касающиеся Whitelisting выделю в отдельную тему. Обо всех предложениях, замечаниях и претензиях пишите в личку. Публичное обсуждение работы модератора запрещено правилами форума.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda

WindowsNT писал о корпоративных продуктах. Его сообщения я перенес из этого топика. Поэтому вышло такое недоразумение. Там это было оффтопиком, так как речь шла не о предотвращении заражения. Топикстартер хотел "прояснить, как заставить Symantec внести в базу эту заразу" (sergbt). Whitelisting обсуждается в этом топике, поэтому было принято решение перенести его сообщения сюда. Если есть необходимость - сообщения, касающиеся Whitelisting выделю в отдельную тему. Обо всех предложениях, замечаниях и претензиях пишите в личку. Публичное обсуждение работы модератора запрещено правилами форума.

Ну так по корпоративным продуктам и соответствующим политикам вопросов нет :rolleyes:

Единственное, хотел отметить, что на нормальном предприятии/компании, действия админов, в том числе и по SRP определяется политиками безопасности и другими внутренними документами ИБ, а не "хотелками" и видениями админов, как это будет лучше, удобнее и безопаснее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Да нет. Вы ищете, где меня подловить...

...Application Whitelisting, который существует в Windows уже 10 лет, максимально близко отвечает на вопрос автора темы, но при этом почти нигде не применяется лишь только потому, что кому-то просто лень SRP настроить, сделав десяток кликов мышью.

A вот если автор темы не лентяй, просто у него Windows Home ?

Ибо:

У большинства домашних пользователей (...) стоят домашние...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
A вот если автор темы не лентяй, просто у него Windows Home ?

Знаете, это вчера я отвечал на тему http://www.anti-malware.ru/forum/index.php...st&p=151127

Там у автора никакой не Home. Он несколько недель мучается с пользователями, запускающими любые приложения, включая вирусы. Я ещё раз попытался донести до него мысль, что безопасность реализуется только через белые списки. Разрешения NTFS (ACL), правила firewall - это всё whitelisting by design. Антивирусные программы его вопрос никогда не решали, не решают и не решат.

Советы, которые ему там давали, неработоспособны by design. Например, про отключение флешек или отключение Autorun. Или про замену антивирусной программы на более новую, более красивую или даже другого производителя. А SRP ликвидирует проблему тремя кликами, поэтому дал инструкцию, с чего начать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mikh
A вот если автор темы не лентяй, просто у него Windows Home ?

Тогда есть родительский контроль, который представляет собой урезанный вариант SRP. Какие изменения внести в реестр, чтобы он блокировал все типы исполняемых файлов, в т.ч. dll, не включенных в список разрешенных, можно посмотреть здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

У меня не Home, а насчет SRP -важнее не то, что оно включено, а какие там программы

устанавливают/запускают, откуда их взяли. Если они лицензионные, имеют ЭЦП, скачены с официальных сайтов - то вероятность заразиться минимальна. Относительно надежные источники это популярные и старые раздачи.

Меня malware не беспокоит, SRP не использую, антивирус тоже, сижу в админской учетке в XP, софт качаю из надёжных мест. Со случайного сайта я очень редко устанавливаю/запускаю программу, по крайней мере с админскими правами. А если заражение будет - акронисом восстановлю образ системного диска.

Сканировал утилитами (от каспера, dr web) системный диск - malware не обнаруживали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Со случайного сайта я очень редко устанавливаю/запускаю программу, по крайней мере с админскими правами.

Проблема в том, что устанавливать сейчас уже ничего не нужно чтобы вас заразили. Есть такой класс атак, проходящих по принципу drive-by-down - просто заходите на любимый (внезапно зараженный из-за дырявой CMS сайт), а дальше само пойдет - троян в подарок и без какого-либо запроса к пользователю. ;)

А если заражение будет - акронисом восстановлю образ системного диска.

Вот это между прочим вариант. Без шуток. Если на компе реально нет ничего ценного, включая паролей, платежных реквизитов и т.п., то можно хоть каждую сессию поднимать чистый образ и работать с чистого листа. Такой вариант интернет-кафе. Но опять же, при условии, что ничего приватного делать с этого компа во время сессии вы не будете, а то ведь можно успеть нарваться на атаку аккурат до приватных действий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Перед восстановлением можно делать бэкап Documents and settins/название учетки. Папку "Мои документы" перенести на другой логический диск. Или из Programm files бэкапить папки/файлы, если программа там настройки хранит. А сам акронисовкий образ обновлять надо. Восстановились - сделали новый образ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Компьютер, подключенный к интернету без роутера, может быть подвержен сетевой атаке через службу, например, RPC ? А если через роутер? При этом, я не запускаю там зараженных программ и на сайты через браузер не хожу.

Если у меня запущен браузер (или uTorrent), то его можно (или нельзя) атаковать хакеру, если я на сайты не хожу, а просто запустил браузер? Антивирус показывает, что браузер открыл такие-то порты. Не всегда открытый порт - это 100% уязвимость? В данном случае, браузер по-моему является клиентом, а не сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Заместо этого, на сцену кругом лезет реклама той или иной антивирусной программы, но результат всегда один — поражения продолжаются.

WindowsNT, поддерживаю вашу позицию в отношении методов защиты.

Меня malware не беспокоит, SRP не использую, антивирус тоже, сижу в админской учетке

Аналогично. Уже полтора года и без заражений.

Есть такой класс атак, проходящих по принципу drive-by-down - просто заходите на любимый (внезапно зараженный из-за дырявой CMS сайт), а дальше само пойдет - троян в подарок и без какого-либо запроса к пользователю.

В теории все так, а на практике - полтора года без заражений. Причина в том, что вероятность заражения любимого сайта чрезвычайна мала в сравнении с заражением на сайте-из-гугла. Но тут приходит на помощь расширение для браузера NoScript.

А если заражение будет - акронисом восстановлю образ системного диска.

Вот это между прочим вариант. Без шуток. Если на компе реально нет ничего ценного, включая паролей, платежных реквизитов и т.п., то можно хоть каждую сессию поднимать чистый образ и работать с чистого листа.

+1

Люди ни в какую не хотят экономить свое время с помощью политики образов. Благодаря ей лично я устанавливаю операционку на комп лишь один раз.

Компьютер, подключенный к интернету без роутера, может быть подвержен сетевой атаке через службу, например, RPC ?

Думаю, не сможет при включенном и соответствующим образом настроенном виндовом брандмауэре.

А если через роутер?

Если машина не находится в DMZ у этого роутера (или нет перенаправления портов с роутера на машину), то не сможет даже при отсутствии фаервола.

Если у меня запущен браузер (или uTorrent), то его можно (или нельзя) атаковать хакеру, если я на сайты не хожу, а просто запустил браузер?

Нельзя при наличии правила, запрещающего входящие соединения в (виндовом) фаерволе. Кстати, торрент будет работать чуть менее эффективно при запрещенных входящих соединениях.

Антивирус показывает, что браузер открыл такие-то порты. Не всегда открытый порт - это 100% уязвимость?

Открытый порт - это всегда уязвимость. Наша задача уменьшить вероятность ее эксплуатации. Для этого мы делаем регулярные обновления софта.

В случае браузера входящие соединения ему вообще без надобности, поэтому при запрещенных входящих соединениях (в (виндовом) фаерволе) никакой опасности атаки на браузер нет.

Anmawe, виндовый брандмауэр - "наше все". Запретил в нем все входящие соединения (кроме некоторых для ICPM-протокола и...). Разрешил лишь один порт для торрент-клиента и один порт для HTTP File Server. Таким образом, если в моем торрент-клиенте или HFS будет найдена уязвимость, то есть вероятность ее эксплуатации. В моем понимании, вероятность осуществления этого на практике стремится к нулю. Это подтверждает и практика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

Забыл сказать, что у нас в конторе антивир хоть и стоит, но система безопасности тоже работает на белых листах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Антивирус, белые списки... Белые списки сделать для антивируса тоже задача такая... Иногда патчи приходят, содержа в наборе отдельные exe под разными расширениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
А если заражение будет - акронисом восстановлю образ системного диска.

Сканировал утилитами (от каспера, dr web) системный диск - malware не обнаруживали.

Приходят в полицию всякие ИП и ООО, жалуются что с ихних счетов списали большую сумму через банк клиенты. При проверке компов следов взлома и вирусов нету. Однако ЭЦП умудрились украсть.

Акронис поможет вернуть деньги?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Акронис поможет вернуть деньги?

Не в тему замечание. Он пользователь, который не пользуется банк-клиентами. Как и я.

Нужно ж понимать, когда ходить в каске (на строй площадке), а когда каска будет излишней (в городе).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×