Перейти к содержанию

Recommended Posts

ktotama

http://www.team-cymru.org

Кто что думает о Malware Hash Registry отдельной программе и о плагине для Firefox?

Насколько совершенны эти штуки, с какими из известных антивирусных решений по эффективности могут быть близки по уровню? Кому проигрывают в чем, кроме очевидных отсутствия лечения, антируткита (?), эвристики, фаервола и самозащиты, черных списков адресов и пр. - с убедительными доводами?

Откуда у них вообще большая конкурентноспособная база хэшей малвари?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Они сами пишут, что у них миллионы хэшей.

Тут подробнее, у кого с ними сотрудничество, и кто использует их базу: http://www.securelist.com/ru/blog/32430/Ch...lya_virusologov

http://isc.sans.edu/diary.html?storyid=8236

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
We aggregate results of over 30 anti-virus engines, so we detect a far greater percentage of malware than a single, traditional anti-virus product.

Решил процитировать ключевую фразу с их сайта, раз наблюдается пока молчание, судя по некоторым иногда наблюдаемым явно тематически неравнодушным посетителям темы - робкое.

Однако в соседних ветках и форумах воздух по данной стезе периодически сотрясается, но Мелих с DACS технологией при некоторой доле популистских и слегка блефовых заявлений, но рациональным для большинства персональных пользователей зерном со своей идеей постепенно развивается. Никто из тех, чьи коммерческие интересы косвенно затрагиваются - на настоящий момент в судах от него так и не добился сатисфакции, так что, как комментирует часто кое-кто критику своей продукции, виня во всем в основном заказушные происки одного и почему-то именно того конкурента: "... - караван идет"!

Нравится кому-то или нет, но при "относительно грамотной" стратегии с обходом ошибок, с проработкой юридических тонкостей, "китайским путем" "юзания" несвоих идей или как-то еще.

И тот же Китай к примеру при всем при этом - член ВТО, и все противники его экономической политики давно почему-то смирились, и даже с удовольствием приобретают и пользуют его недорогие одежду и электронику/бытовую технику, и даже уже автомобили, далеко не всегда дочерних предприятий развитых стран.

И по поводу к примеру торрентов и сопутствующего им известного явления даже явные противники уже поняли, что борьба малоэффективна, и по собственным признаниям некоторых из них: надо учиться извлекать рациональное зерно.

Однако, все же надеюсь, что некоторые из "приближенных" к разным базам малвари все же опубликуют статистику детектов рассматриваемой программы.

Судя по далеко невчерашней новости в блоге с ресурса ЛК, в которой упоминается данный разработчик с его базой хэшей, и отсутствию какой бы то ни было критики явного потенциального конкурента, хоть и не с полноценным решением, напрашивается вывод о том, что все как минимум "не так уж и плохо". И сам факт публикации новости там, и тихое молчание там и текущее - подтверждают отнюдь не отсутствие интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Одобрение белых списков по хэшам - тут Рабинович должен обрадоваться.

"Детский сад" бывает отстойный по своему уровню, а бывает и образцово-показательный. То есть и черные списки могут быть мизерные, а могут теоретически вмещать в себя все известные по вышеупомянутым 30 антивирусным движкам, и пополняться по мере же пополнения этих же 30.

Поэтому и нужна статистика детектов.

И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари ИМЕННО у них?

Про 40 в статье сказано, что столько у SANS, причем в тексте мысль перескакивает смешано с "белой" на "черную" (хотя в тексте и есть разделение абзацами) и не совсем ясно, что 40 = всего или только белое или черное, и не факт, что в программе MHR база именно порядка 40 млн "черных" хэшей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари именно у них?

Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Про P.S.: Когда-то ради интереса интересовался поисковым запросом Гугле, сколько им проиндексировно страниц на вирустотале - витали некие идеи практического применения этому. Но забросил эту идею - проиндексировано гораздо меньше, чем порядком хэшей ожидается от мнений всех антивирусных движков вирустотала. Соответственно, достоверной информацией о количестве хэшей черных/белых на вирустотале обладают только инсайдеры, и то только по числу проверенных файлов, а неизвестно, сколько файлов еще не проверено.

На сегодня из больших вирусных коллекций в интернете можно найти только базу тушек ЛК, но свежесть годовалой давности, весит 400 Гб - столько качать, чтобы проверить антивир муторно, и проблема места на локальном диске, и невольно подпадает под уголовную ответственность, если не сотрудник антивирусной индустрии - даже преследуя благие цели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Почему у организации в соответствующей сфере не особо на слуху.

Давайте я вам так отвечу - Team Cymru является одним из наиболее профессиональных и серьезных групп в мире в области безопасности. Да, они не на слуху для широкой публики, но внутри индустрии они пользуются абсолютным авторитетом и принимают участие в расследовании самых сложных и громких инцидентов.

Больше рассказать не могу :) отмечу только, что это единственный мой контакт при общении с которым я всегда использую pgp :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Вопрос: при наличии пропатченной Windows и относительно хорошем фаерволе с включенной проактивной защитой, при загруженном в память мониторе этой HMR - какие из потенциальных угроз задетектит эта программа при браузинге в интернете, а чего не может задетектить?

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Не важно, сколько у них хешей и кто их им дал, важно другое:

1. Критически важно то, что сказал А. в посте #4 - база чистых по хешам файлов - это разумно, правильно и будет работать (именно так и работают все базы чистых где угодно - от бортовой базы AVZ и до огромных "облаков" антивирусных компаний). Логика поиска чистых по хешу основана на том, что если совпадение нашли - то файл гарантировано чистый (точнее "почти гарантировано" - дальше все зависит от стойкости хеш-функции). Если в файле изменить хотя-бы один бит, то хеш поменяется и файл не опознается как чистый, и это правильно, так как мы не знаем, что за собой повлекло это изменение ... мне встречались патченные малварью файлы, отличающиеся от чистых 1-2 битами). К малварям обнаружение по хешу почти неприменимо. Причина - положим, известна малварь X и извествен ее хеш. Но если ее перепаковать, обработать криптером, обфускатором, или даже дописать в хвост пару EXE файла пару пробелов, то хеш изменится. При этом если зловредописатель перекомпилирует свое творение, поменяв пару строчек, то ни от каком совпадении хешей даже и речи быть не может ... Кроме того, малварь может обладать функцией самомодификации (начиная от хранения каких-то настроек в хвосте EXE), что даст миллионы хешей для одного EXE

2. Сколько бы движков не применялось, получим результат как на VT: там часто ситуация такая, что 50% ядер сказали "зверь", 50% - чистый - и что в итоге делать ? Считать чистым, зверем, или стереть половину файла и сказать "вылечено" ? :) И чем больше ядер, тем больше будет фолсов и подобных "пограничных ситуаций", прибавим к этому "воровство сигнатур" (т.е. геометрическая прогрессия по принципу "X и Y детектят, и мы будем")

3. Часто зверь на ПК пользователя внедряется не сам по себе, так сказать в чистом виде, а в составе "бутерброда". Т.е. зловредописателем берется например инсталлятор чего-то полезного, или крек/кейген к некоей программе, и далее он "склеивается" с трояном (программ для этого существует туча). При запуске такого "бутерброда" троян тихо делает свое дело и ворует пароли, а параллельно запускается полезная программа и пользователь в итоге ни о чем не подозревает. В таком случае мы не будем видеть хеш трояна в чистом виде, а будем видеть хеш "бутерброда" и результативность будет нулевой.

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

В дополнение - скрипт очень легко подвергать офбускации (начная от разбавления его комментариями и примитивной шифровки тела скрипта). Дальше как о описано выше - эффективность поиска зловреда по хешу будет очень невысокой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Зайцев Олег спасибо за развернутый ответ, в общем согласен.

Понимаю также, что сегодня некий сайт может быть не заражен, а завтра заражен.

Но та же компания Касперского к примеру обещает скорость реакции на угрозу до 40 секунд (на практике не имел возможности убедиться), а эти ребята Team Cymru, полагаю, не затягивают с обновлением списков, декларируя свои возможности, ссылаясь на 30 движков, полагаю и ЛК там.

Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Так на какие из видов угроз не будет детекта с этой программой?

WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.
Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Еще раз. В этой программе есть:

- On-Access модуль ?

- Web Anti-Virus ?

- серьезная проверка памяти ?

- детектор сетевых атак ?

- etc.

Она хоть один драйвер дропает при инсталляции ?

Это ВСПОМОГАТЕЛЬНАЯ утилита для ПРОФЕССИОНАЛОВ, которая решает узкую задачу сверки хэша указанного файла с базой компании.

Все!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

Да, по идее проверка памяти неглубокая, он-аксесса нет и вэб-антивируса в полном его понимании, но любопытен процент детекта при браузинге по хэшам.

Ну а детектор атак есть и в фаерволе порядочном.

Программа как лайт решение возложенные функции выполняет, драйвер не дропает, зато совместима.

Вопрос по статистике возможных детектов с ее помощью на основе сегодняшних баз угроз открыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Я Вам про WinMHR (Windows приложение), и сначала Вас понял, что командная строка предполагается к нему или некоей отдельной программе, а Вы про Whois daemon сервер-сайт, с которым да можно формировать командно-аргументные запросы - по одному или кучей, и речь там не об ими (Team Cymru) некоей сделанной утилите под командную строку, а о netcat Unix для удобства работы с сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×