Перейти к содержанию

Recommended Posts

ktotama

http://www.team-cymru.org

Кто что думает о Malware Hash Registry отдельной программе и о плагине для Firefox?

Насколько совершенны эти штуки, с какими из известных антивирусных решений по эффективности могут быть близки по уровню? Кому проигрывают в чем, кроме очевидных отсутствия лечения, антируткита (?), эвристики, фаервола и самозащиты, черных списков адресов и пр. - с убедительными доводами?

Откуда у них вообще большая конкурентноспособная база хэшей малвари?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Они сами пишут, что у них миллионы хэшей.

Тут подробнее, у кого с ними сотрудничество, и кто использует их базу: http://www.securelist.com/ru/blog/32430/Ch...lya_virusologov

http://isc.sans.edu/diary.html?storyid=8236

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
We aggregate results of over 30 anti-virus engines, so we detect a far greater percentage of malware than a single, traditional anti-virus product.

Решил процитировать ключевую фразу с их сайта, раз наблюдается пока молчание, судя по некоторым иногда наблюдаемым явно тематически неравнодушным посетителям темы - робкое.

Однако в соседних ветках и форумах воздух по данной стезе периодически сотрясается, но Мелих с DACS технологией при некоторой доле популистских и слегка блефовых заявлений, но рациональным для большинства персональных пользователей зерном со своей идеей постепенно развивается. Никто из тех, чьи коммерческие интересы косвенно затрагиваются - на настоящий момент в судах от него так и не добился сатисфакции, так что, как комментирует часто кое-кто критику своей продукции, виня во всем в основном заказушные происки одного и почему-то именно того конкурента: "... - караван идет"!

Нравится кому-то или нет, но при "относительно грамотной" стратегии с обходом ошибок, с проработкой юридических тонкостей, "китайским путем" "юзания" несвоих идей или как-то еще.

И тот же Китай к примеру при всем при этом - член ВТО, и все противники его экономической политики давно почему-то смирились, и даже с удовольствием приобретают и пользуют его недорогие одежду и электронику/бытовую технику, и даже уже автомобили, далеко не всегда дочерних предприятий развитых стран.

И по поводу к примеру торрентов и сопутствующего им известного явления даже явные противники уже поняли, что борьба малоэффективна, и по собственным признаниям некоторых из них: надо учиться извлекать рациональное зерно.

Однако, все же надеюсь, что некоторые из "приближенных" к разным базам малвари все же опубликуют статистику детектов рассматриваемой программы.

Судя по далеко невчерашней новости в блоге с ресурса ЛК, в которой упоминается данный разработчик с его базой хэшей, и отсутствию какой бы то ни было критики явного потенциального конкурента, хоть и не с полноценным решением, напрашивается вывод о том, что все как минимум "не так уж и плохо". И сам факт публикации новости там, и тихое молчание там и текущее - подтверждают отнюдь не отсутствие интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Одобрение белых списков по хэшам - тут Рабинович должен обрадоваться.

"Детский сад" бывает отстойный по своему уровню, а бывает и образцово-показательный. То есть и черные списки могут быть мизерные, а могут теоретически вмещать в себя все известные по вышеупомянутым 30 антивирусным движкам, и пополняться по мере же пополнения этих же 30.

Поэтому и нужна статистика детектов.

И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари ИМЕННО у них?

Про 40 в статье сказано, что столько у SANS, причем в тексте мысль перескакивает смешано с "белой" на "черную" (хотя в тексте и есть разделение абзацами) и не совсем ясно, что 40 = всего или только белое или черное, и не факт, что в программе MHR база именно порядка 40 млн "черных" хэшей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари именно у них?

Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Про P.S.: Когда-то ради интереса интересовался поисковым запросом Гугле, сколько им проиндексировно страниц на вирустотале - витали некие идеи практического применения этому. Но забросил эту идею - проиндексировано гораздо меньше, чем порядком хэшей ожидается от мнений всех антивирусных движков вирустотала. Соответственно, достоверной информацией о количестве хэшей черных/белых на вирустотале обладают только инсайдеры, и то только по числу проверенных файлов, а неизвестно, сколько файлов еще не проверено.

На сегодня из больших вирусных коллекций в интернете можно найти только базу тушек ЛК, но свежесть годовалой давности, весит 400 Гб - столько качать, чтобы проверить антивир муторно, и проблема места на локальном диске, и невольно подпадает под уголовную ответственность, если не сотрудник антивирусной индустрии - даже преследуя благие цели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Почему у организации в соответствующей сфере не особо на слуху.

Давайте я вам так отвечу - Team Cymru является одним из наиболее профессиональных и серьезных групп в мире в области безопасности. Да, они не на слуху для широкой публики, но внутри индустрии они пользуются абсолютным авторитетом и принимают участие в расследовании самых сложных и громких инцидентов.

Больше рассказать не могу :) отмечу только, что это единственный мой контакт при общении с которым я всегда использую pgp :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Вопрос: при наличии пропатченной Windows и относительно хорошем фаерволе с включенной проактивной защитой, при загруженном в память мониторе этой HMR - какие из потенциальных угроз задетектит эта программа при браузинге в интернете, а чего не может задетектить?

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Не важно, сколько у них хешей и кто их им дал, важно другое:

1. Критически важно то, что сказал А. в посте #4 - база чистых по хешам файлов - это разумно, правильно и будет работать (именно так и работают все базы чистых где угодно - от бортовой базы AVZ и до огромных "облаков" антивирусных компаний). Логика поиска чистых по хешу основана на том, что если совпадение нашли - то файл гарантировано чистый (точнее "почти гарантировано" - дальше все зависит от стойкости хеш-функции). Если в файле изменить хотя-бы один бит, то хеш поменяется и файл не опознается как чистый, и это правильно, так как мы не знаем, что за собой повлекло это изменение ... мне встречались патченные малварью файлы, отличающиеся от чистых 1-2 битами). К малварям обнаружение по хешу почти неприменимо. Причина - положим, известна малварь X и извествен ее хеш. Но если ее перепаковать, обработать криптером, обфускатором, или даже дописать в хвост пару EXE файла пару пробелов, то хеш изменится. При этом если зловредописатель перекомпилирует свое творение, поменяв пару строчек, то ни от каком совпадении хешей даже и речи быть не может ... Кроме того, малварь может обладать функцией самомодификации (начиная от хранения каких-то настроек в хвосте EXE), что даст миллионы хешей для одного EXE

2. Сколько бы движков не применялось, получим результат как на VT: там часто ситуация такая, что 50% ядер сказали "зверь", 50% - чистый - и что в итоге делать ? Считать чистым, зверем, или стереть половину файла и сказать "вылечено" ? :) И чем больше ядер, тем больше будет фолсов и подобных "пограничных ситуаций", прибавим к этому "воровство сигнатур" (т.е. геометрическая прогрессия по принципу "X и Y детектят, и мы будем")

3. Часто зверь на ПК пользователя внедряется не сам по себе, так сказать в чистом виде, а в составе "бутерброда". Т.е. зловредописателем берется например инсталлятор чего-то полезного, или крек/кейген к некоей программе, и далее он "склеивается" с трояном (программ для этого существует туча). При запуске такого "бутерброда" троян тихо делает свое дело и ворует пароли, а параллельно запускается полезная программа и пользователь в итоге ни о чем не подозревает. В таком случае мы не будем видеть хеш трояна в чистом виде, а будем видеть хеш "бутерброда" и результативность будет нулевой.

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

В дополнение - скрипт очень легко подвергать офбускации (начная от разбавления его комментариями и примитивной шифровки тела скрипта). Дальше как о описано выше - эффективность поиска зловреда по хешу будет очень невысокой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Зайцев Олег спасибо за развернутый ответ, в общем согласен.

Понимаю также, что сегодня некий сайт может быть не заражен, а завтра заражен.

Но та же компания Касперского к примеру обещает скорость реакции на угрозу до 40 секунд (на практике не имел возможности убедиться), а эти ребята Team Cymru, полагаю, не затягивают с обновлением списков, декларируя свои возможности, ссылаясь на 30 движков, полагаю и ЛК там.

Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Так на какие из видов угроз не будет детекта с этой программой?

WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.
Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Еще раз. В этой программе есть:

- On-Access модуль ?

- Web Anti-Virus ?

- серьезная проверка памяти ?

- детектор сетевых атак ?

- etc.

Она хоть один драйвер дропает при инсталляции ?

Это ВСПОМОГАТЕЛЬНАЯ утилита для ПРОФЕССИОНАЛОВ, которая решает узкую задачу сверки хэша указанного файла с базой компании.

Все!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

Да, по идее проверка памяти неглубокая, он-аксесса нет и вэб-антивируса в полном его понимании, но любопытен процент детекта при браузинге по хэшам.

Ну а детектор атак есть и в фаерволе порядочном.

Программа как лайт решение возложенные функции выполняет, драйвер не дропает, зато совместима.

Вопрос по статистике возможных детектов с ее помощью на основе сегодняшних баз угроз открыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Я Вам про WinMHR (Windows приложение), и сначала Вас понял, что командная строка предполагается к нему или некоей отдельной программе, а Вы про Whois daemon сервер-сайт, с которым да можно формировать командно-аргументные запросы - по одному или кучей, и речь там не об ими (Team Cymru) некоей сделанной утилите под командную строку, а о netcat Unix для удобства работы с сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×