Перейти к содержанию
K_Mikhail

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

Recommended Posts

K_Mikhail

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

10 февраля 2012 года

Компания «Доктор Веб» разъясняет ситуацию с включением торрент-клиента MediaGet в список потенциально опасных приложений, которое произошло в сентябре 2011 года. На данный момент антивирусные продукты Dr.Web блокируют посещение сайта разработчиков программы и ряда других ресурсов, размещающих ссылки на ее скачивание, — все они добавлены в базы Dr.Web с резолюцией «Нерекомендуемый сайт».

После тщательного анализа схемы распространения торрент-клиента MediaGet специалисты компании «Доктор Веб» приняли решение занести его в базы Dr.Web под именем Program.MediaGet. Очевидно, что метод, используемый для повышения числа установок программы на пользовательских компьютерах, является недобросовестным.

Для распространения программы ее разработчиками была создана так называемая «партнерская программа», в рамках которой всем желающим предлагалось за определенное вознаграждение принять участие в «популяризации» торрент-клиента. Отметим, что несколько дней назад страница с описанием программы была оперативно удалена владельцами сайта MediaGet, однако сохранилась в кэше поисковой системы Google.

В рамках этой программы владельцы ряда интернет-ресурсов, распространяющих разнообразный медиа-контент, в числе прочего используют на своих площадках специальные ссылки вида:

_http://mediaget.com/torrent.php?r=<адрес интернет-ресурса>&s=<имя>+<фильма>.

Подобные ссылки, соответственно, размещаются на страницах с описаниями фильмов и крепятся к кнопкам с текстом «Скачать бесплатно <название фильма> с помощью MediaGet» (текст может варьироваться от ресурса к ресурсу). При нажатии на кнопку на компьютер пользователя загружается установочный файл торрент-клиента, при этом имя файла полностью совпадает с названием фильма. По этой причине пользователь с большой долей вероятности запустит данный файл, в результате чего произойдет установка торрент-клиента. В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

После автоматического запуска программа осуществляет поиск файла для скачивания, однако совершенно не факт, что данный фильм есть в раздаче — в этом случае поиск не приводит к каким-либо результатам, и пользователь не получает того, что искал. При этом цель распространителей MediaGet достигнута: торрент-клиент уже установлен на его компьютере.

Такая схема распространения программного обеспечения признается компанией «Доктор Веб» как потенциально опасная, так как вводят пользователей в заблуждение и предусматривают установку ПО на компьютер без их принципиального согласия. В случае если разработчики MediaGet перейдут к прозрачным и добросовестным методам продвижения, решение о включении торрент-клиента в базы Dr.Web может быть пересмотрено.

Адреса размещающих подобные ссылки ресурсов оперативно заносятся в базы Dr.Web в качестве не рекомендуемых для посещения. Компания «Доктор Веб» призывает своих пользователей проявлять бдительность во время посещения интернет-сайтов и соблюдать соответствующие меры предосторожности.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

А что, всё правильно. Кстати эта программулина, не знаю почему, на двух машинах, что встречались, вешала работу с http. Выключаешь - можно сёрфить, запускаешь - глохнет. Особо не разбирался и снёс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

Ага, ясно. Спасибо за информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info :) Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info :) Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

Бардак или by design?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Бардак или by design?

По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
MD5*: C406BFEFF66408B65DC8BD3E46696B7A

Однако :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно. :)

Моё мнение -- если программа в чём-то лукава, то ей не место в вайт-листе. Сейчас же создаётся больше путаницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

На сколько я вижу, в вайтлисте указан конкретный md5...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Вот это удивляет:

тулбар устанавливается даже в том случае, когда пользователь отказался от него

То есть программа явно совершает действия, несанкционированные пользователем, а значит является вредоносной.

Если это действительно так, то детектирование этой программы, по умолчанию, можно признать верным и обоснованным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

Babylon? Mail? SweetIM? Без моего согласия не установились.

2012_02_11_16_48_55.png

2012_02_11_16_56_06.png

post-4500-1328964791_thumb.png

post-4500-1328965168_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
По задумке все ок. Программа безвредна? Безвредна.

...для обычного юзера все это будет нифига не понятно. :)

Для обычного юзера Dr.WEB все это будет понятно:

Dr.WEB.jpg

post-14902-1332782333_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Для обычного юзера Dr.WEB все это будет понятно:

Это вообще к чему? Доброе утро..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
«Доктор Веб» приняли решение занести его в базы Dr.Web
Это вообще к чему? Доброе утро..

Это вообще к тому:

http://best-dem.ru/doktor-skazal-v-morg-znachit-v-morg.html

Покойной ночи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

Anubis

Analysis Report for http://download.media-get.com/download_mg.php?

Description Risk

Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.

Changes security settings of Internet Explorer: This system alteration could seriously affect safety surfing the World Wide Web.

Performs Registry Activities: The executable creates and/or modifies registry entries.

etc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Нормальная ситуация. Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Тогда много кого придётся расстрелять, к примеру - Mail.ru Group за их клиента ICQ , при установке этого клиента само окно инсталлятора сделано очень хитро, невнимательный пользователь обязательно отхватит себе этот косяк, если только во время установки не переставит галку на позицию вниз и не сдвинет прокруткой до самого упора, чтобы прочитать внизу ещё три очень "полезных" для него пункта:

1) Установить поиск от указанной компании поиском по-умолчанию

2) Сделать Mail.ru домашней страницей

3) Установить дополнительно всякую ненужную пользователю фигню, которая его вроде бы будет защищать от всевозможных бед.

Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки :)

P.S. Клиент ICQ скачан был мной только что, самый свежайший, цифровая подпись от 26 июня 2012 года, так что косячок до сих пор актуален, в своё время за такие проделки создателей программы QIP хотели тоже расстрелять, но они вроде бы потом что-то поменяли в своём установщике ))

icq_001.jpg

icq_003.jpg

post-3858-1342986087_thumb.jpg

post-3858-1342986835_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Не все так однозначно. Я общался с разработчиками MediaGet на эту тему. Скрытой установки тулбара у них не было. По крайней мере такую сборку найти не удалось, об этом написал только Доктор. Возможно, они сделали это так сказать "до кучи". Более того, была описана проблема, что снимаешь галочку установки тулбара, а он все равно устанавливается. Это совсем другое, согласитесь, чем "скрытая установка".

С установкой MediaGet тоже ав-компании ИМХО слишком жестко стали трактовать, не разобравшись в вопросе. Да, используется партнерка, которая на торрент-сайтах ставит альтернативную ссылку на загрузку, где грузится не файл .torrent, а файл exe с тем же именем. По задумке разработчиков это сделано в расчете на удобство братьев наших меньших, которые что такое торренты, клиенты, ссылки, раздачи и тп не знают и не хотят знать. Они качают exe и он все делает сразу сам. Удобно для многих.

P.S. Я не оправдываю MediaGet, просто не стоит сразу вот так зарубать проекты потому, что они не попадают в некоторый привычный шаблон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки :)

Их расстрелять первыми за кучу гадости в виде домашних страниц, тутбаров, гуард агентов .спутников и прочего барахла. Вот что-что бы я купил, это антивир ,блокирующий в принципе установку всего барахла (домашние страницы, тулбары, агенты, поисковики, ненужный софт) предлагаемого или скрыто устанавливаемого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В продолжение истории мы решили опубликовать результаты экспертизы торрент-клиента MediaGet на вредоносность и принадлежность к классу нежелательного ПО

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

На настоящий момент разработчики устранили все сомнительные "фичи" и ИМХО сейчас нет никаких причин для детектирования этой программы. Если только из-за упрямства из принципа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Взять вот MediaGet, по его поводу было проведено АМ особое исследование:

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Поведение было признано нормальным, клиент невредоносным.

Вот еще одно исследование MediaGet, мнение инное.. )

https://lurkmore.to/Участник:P2p/MediaGet

Кому верить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Уже, не актуально, сняли с баз.. )

https://www.virustotal.com/ru/file/ea90d06c...7f05c/analysis/

п.с

ранее, тоже разных "страшилок" начитавшись, шугался от MediaGet, как от черта.)) Всячески избегал его услуг..

Но вчера, увидев отчет экспертизы от АМ о MediaGet, решил попробовать..

Как ни странно, пока положительные впечатления. Удобный интерфейс, функциональность, много настроек, онлайн просмотр закачиваемого, новинки кино, муз и т.д.., не грузит систему. По сравнению с µTorrent, это как жигули с мерсом сравнивать, имхо. )

Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной.. )

Проактивка Комодо, ничего сверх "подозрительного" в действиях MediaGet не наблюдает. :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной..

Ориентироваться на обзор с лурки -это пять ;)

Хотя, лично я MediaGet не доверяю, есть старый, добрый,проверенный µTorrent :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • agrohimrne
      Where is administration?
      It is about advertisement on your website.
      Thank.
    • AM_Bot
      NGFW (Next Generation Firewall) изменили парадигму оперативного контроля внешнего сетевого трафика, предоставив компаниям возможность отсекать пакеты данных из определённых источников, а также анализировать сами передаваемые данные, проверять их на наличие вредоносных сигнатур, ограничивать работу с нежелательными ресурсами. Рассматриваем функции современного межсетевого экрана на примере представителя систем этого класса UserGate Next Generation Firewall.   ВведениеФункциональные возможности UserGate Next Generation Firewall2.1. Фильтрация контента по правилам2.2. Анализ трафика2.3. Защита от DoS2.4. Контроль интернет-приложений2.5. Антивирус2.6. Реагирование2.7. Собственная ОС2.8. Варианты поставкиСценарии использования UserGate Next Generation Firewall3.1. Основные настройки UserGate Next Generation Firewall3.2. Создание политик3.3. Работа со сценариямиВыводыВведениеКлассические межсетевые экраны, или файрволы, предназначены для фильтрации трафика между двумя сегментами сети на основании относительно простых принципов. Получив пакет данных из внешнего, небезопасного, сегмента, межсетевой экран определяет возможность его дальнейшей передачи в локальную сеть на основании IP-адреса и порта источника либо назначения. Такое взаимодействие соответствует третьему, сетевому уровню модели OSI.Использование классического межсетевого экрана, строящего свою работу на списках запрещённых и разрешённых адресов, никак не защищает ото множества других угроз, связанных с сетевым трафиком. Такая система совершенно прозрачна для вредоносных программ, фишинговых писем, трафика связанного с определёнными приложениями и сервисами. Первоначальная концепция предполагала, что купированием этих угроз займутся инструменты информационной безопасности за файрволом: антивирусы, почтовые сканеры, системы предотвращения вторжений и другие средства.Такой подход таит в себе определённые проблемы. Сам факт попадания вредоносной нагрузки за периметр безопасности уже несёт определённые угрозы. При этом значительная часть векторов атаки сегодня вообще не связана с какими-либо нелегитимными инструментами, а базируется на действиях инсайдеров или использовании взломанных аккаунтов. Безусловно, и для таких угроз существуют отдельные средства безопасности, однако не лучше ли предотвращать атаки на рубежах доверенного сетевого окружения?Именно такую концепцию принесли на рынок межсетевые экраны нового поколения (Next Generation Firewall, NGFW). В отличие от классических файрволов, анализирующих только заголовок пакета, NGFW способны разбирать и его содержимое. Это значительно расширяет круг возможностей межсетевого экрана. Современные NGFW представляют собой многофункциональные комплексы сетевой защиты, поскольку могут иметь в своём составе самые разнообразные модули:антивирусы,системы обнаружения и предотвращения вторжений (IDPS),собственный прокси-сервер,средства контроля почтового трафика,инструменты морфологического анализа,средства защиты от DoS-атак.Одним из пионеров разработки межсетевых экранов нового поколения в России является компания UserGate, имеющая 13-летний опыт в этой сфере. Ключевые компетенции UserGate находятся именно в области разбора трафика, в том числе зашифрованного. Флагманский продукт вендора UserGate Next Generation Firewall является основой экосистемы корпоративной кибербезопасности и может служить хорошим примером полнофункционального межсетевого экрана, обеспечивающего комплексную защиту и фильтрацию трафика до его попадания в локальную сеть. В этом материале мы кратко рассмотрим основные возможности системы на примере версии 6, а также познакомимся с несколькими сценариями её использования.Функциональные возможности UserGate Next Generation FirewallНабор функциональных возможностей UserGate Next Generation Firewall охватывает разнообразные потребности в сфере защиты трафика и фильтрации контента. Гибкие механизмы настройки межсетевого экрана позволяют выстраивать сложные логические схемы обработки данных и в автоматическом режиме реагировать на потенциально опасные или нелегитимные действия. Кратко остановимся на наиболее важных аспектах работы UserGate Next Generation Firewall.Фильтрация контента по правиламФильтрование трафика в UserGate Next Generation Firewall основывается на механизме правил — по сути, политик безопасности, описывающих действия системы при наступлении тех или иных заданных условий. Правила фильтрации могут блокировать или, наоборот, разрешать движение данных в зависимости от их типа, источника, получателя, приложения, категории и других параметров. Правила могут применяться к одному или нескольким пользователям и выполняются последовательно, что даёт возможность строить гибкую систему обеспечения кибербезопасности и осуществлять контроль работы сотрудников.При помощи правил можно не только создавать белые и чёрные списки ресурсов, но и контролировать множество параметров передаваемых пакетов, например тип используемого браузера, наличие определённых словоформ или типов информации. Правила используются не только для фильтрации контента, но и в других функциональных блоках системы — межсетевом экране, подсистеме ограничения пропускной способности и пр.Анализ трафикаГлубокий разбор трафика является ключевой функцией NGFW, основным источником данных для других подсистем. UserGate Next Generation Firewall способен детально исследовать нагрузку каждого передаваемого пакета, «на лету» определяя потенциально небезопасное содержимое, а также триггеры, по которым активируются заранее заданные правила и сценарии. Помимо обычного трафика система расшифровывает и защищённые SSL пакеты, работая с протоколами HTTPS, SMTPS и POP3S. При этом сервер NGFW осуществляет подмену оригинального сертификата на собственный, отдавая на сторону пользователя по-прежнему защищённый контент.Защита от DoSОдним из механизмов безопасности в UserGate Next Generation Firewall является функция ограничения числа соединений, открытых одним пользователем. Так же как и многие другие элементы NGFW, она реализована при помощи механизма правил и сценариев, что позволяет гибко настраивать чувствительность системы в соответствии с особенностями конкретной компании. Ограничение на количество одновременно открытых пользователем сеансов обеспечивает эффективное противостояние возможным DoS-атакам (Denial of Service) через пользовательские или гостевые учётные записи.Контроль интернет-приложенийUserGate Next Generation Firewall работает с приложениями на седьмом уровне сетевого взаимодействия модели OSI. Система идентифицирует приложения и даёт администратору возможность ограничивать их использование. Например, NGFW способен полностью заблокировать работу мессенджеров, торрент-клиентов и других нежелательных программ. Собственная база обновляемых сигнатур позволяет помимо этого защищать локальную сеть от угроз связанных с теми программами, которые работают с интернетом.АнтивирусВ состав UserGate Next Generation Firewall входит потоковый антивирус, который может проверять внешний трафик на наличие вредоносных программ. Анализ ведётся при помощи собственной базы сигнатур, что обеспечивает достаточную надёжность и блокировку основных угроз до того, как данные пересекут контур безопасности. С другой стороны, использование лёгкого сигнатурного антивирусного ядра минимально нагружает систему, что даёт возможность, при необходимости, проверять весь трафик полностью. Антивирусная защита использует механизм правил безопасности NGFW.РеагированиеВ UserGate Next Generation Firewall встроена система предотвращения вторжений, которая способна в настоящем времени реагировать на атаки киберпреступников, эксплуатирующих известные уязвимости. UserGate Next Generation Firewall даёт администратору возможность создавать различные наборы сигнатур для защиты различных сервисов, а также формировать на базе универсального механизма правил собственные сценарии для каждого типа трафика. Это позволяет не только формировать реакции на кибератаки, но и контролировать вредоносную активность внутри сети.Собственная ОСВ основе UserGate Next Generation Firewall лежит оригинальная операционная система UGOS, оптимизированная для задач быстрой и эффективной обработки трафика. Платформа создана на базе дистрибутива Linux и не использует готовых комплексных модулей: все подсистемы безопасности разработаны программистами UserGate и не содержат стороннего кода. С одной стороны, это позволяет быстро адаптировать её под требования заказчика, а с другой — существенно снижает вероятность атак на систему с использованием общеизвестных уязвимостей.Варианты поставкиUserGate Next Generation Firewall может поставляться как в виде виртуального межсетевого экрана, развёрнутого на одном из гипервизоров (VMware, Hyper-V, Xen, KVM, OpenStack, VirtualBox, отечественные разработки), так и в виде программно-аппаратного комплекса, созданного UserGate. Производитель предлагает несколько вариантов исполнения таких NGFW, предназначенных для организаций разного масштаба — от компаний сегмента СМБ до крупных предприятий и дата-центров.Сценарии использования UserGate Next Generation FirewallОсновные настройки UserGate Next Generation FirewallПервоначальные настройки UserGate Next Generation Firewall не займут много времени и сводятся в общем случае к конфигурации портов для работы с интернетом и локальными ресурсами, добавлению DNS-серверов, определению доменных записей для страниц блокировки и авторизации, а также указанию параметров работы механизма SSL-фильтрации. Кратко рассмотрим каждое из этих действий.Задание параметров портов выполняется в секции «Сеть — Интерфейсы» раздела «Настройки» UserGate Next Generation Firewall. Здесь собраны все физические и виртуальные порты, имеющиеся в системе. Для каждого интерфейса можно выбрать тип («Layer 3» или «Mirror»), назначить ему определённую зону и указать профиль Netflow, который будет использоваться для отправки данных на коллектор, учитывающий сетевой трафик. Тут же задаётся тип IP-адреса порта — динамический, получаемый через DHCP, или заранее определённый, статический. При необходимости можно настроить работу DCHP Relay, который будет раздавать адреса со внешнего сервера устройствам своего сегмента сети. Рисунок 1. Настройка свойств порта в UserGate Next Generation Firewall Для настройки DNS-серверов необходимо выбрать пункт меню «Сеть — DNS» в разделе «Настройки», нажать кнопку «Добавить» и задать адрес соответствующего хоста. При необходимости UserGate Next Generation Firewall может перехватывать DNS-запросы пользователей и изменять их. Для этого следует задать параметры работы DNS-прокси. Важно, что для фильтрации DNS-запросов необходимо приобрести отдельный модуль и создать соответствующие правила. Рисунок 2. Раздел настройки DNS в UserGate Next Generation Firewall Авторизация неизвестных пользователей (не идентифицированных Windows или агентами терминальных серверов либо не имеющих явно указанного IP-адреса в свойствах) осуществляется в UserGate Next Generation Firewall при помощи перехватывающего портала. Применяются правила заданные администратором, однако для корректной работы сервиса следует настроить доменные имена страниц аутентификации, блокировки и выхода из системы. Этот шаг можно пропустить, если в качестве DNS-сервера используется сервер UserGate Next Generation Firewall. Если же применяется собственный DNS-сервер, то необходимо создать на нём три соответствующие A-записи и указать в них IP-адрес и порт подключения к локальной зоне.Корректная работа системы фильтрации контента UserGate Next Generation Firewall возможна только при настроенной инспекции данных передаваемых по шифрованным протоколам, таким как HTTPS, SMTPS или POP3S. Файрвол дешифровывает указанный трафик, после чего анализирует его на предмет наличия ограничений, заданных правилами. После дешифровки и анализа данные повторно кодируются при помощи собственного сертификата. Обязательно нужно добавить его в список доверенных корневых сертификатов, иначе браузеры пользовательских устройств будут сигнализировать о возможной подмене SSL-удостоверения. Рисунок 3. Раздел «Инспектирование SSL» в UserGate Next Generation Firewall Чтобы настроить режим проверки шифрованного трафика, необходимо перейти в пункт «Политики безопасности — Инспектирование SSL» раздела «Настройки» и добавить новое правило, описывающее процесс работы с SSL-трафиком. Для каждого трафика, среди прочего, можно задать:Пользователя, группу пользователей или тип пользователей, для которых применяется правило.Список доменов, чей трафик подлежит инспектированию.Списки IP-адресов источников и назначения трафика.Возможность блокировки внешних сертификатов, не вызывающих доверия (самоподписанных, отозванных, с истекшим сроком действия).Создание политикОсновным инструментом фильтрации контента в UserGate Next Generation Firewall являются правила, объединённые в политики безопасности. Это универсальный механизм, который может инициировать определённые действия системы по ряду заданных параметров. Файрвол анализирует трафик, после чего блокирует его (или, наоборот, разрешает передачу данных) при срабатывании одного из триггеров. Правила применяются последовательно, в соответствии с очерёдностью, установленной их списком. Такой подход даёт возможность гибко настраивать обработку данных по разным параметрам.Для создания нового правила необходимо выбрать пункт «Политики безопасности — Фильтрация контента», находящийся в разделе «Настройки». Каждая политика может выполнять одно из трёх действий:Блокировать доступ к веб-странице («Запретить»).Предоставить доступ к веб-странице («Разрешить»).Показать пользователю предупреждение о нежелательности посещения этой страницы («Предупредить»).Рисунок 4. Настройка правила фильтрации контента в UserGate Next Generation Firewall Частным случаем действия «Запретить» является проверка трафика встроенным антивирусом. Если в передаваемых данных будет обнаружена сигнатура вредоносной программы, содержащая её страница не будет открыта.После выбора действий необходимо указать одно или несколько условий, которые будут инициировать срабатывание правила. Каждое условие добавляется в правило через логическое «И», то есть правило выполняется только при срабатывании всех указанных в нём условий. Например, можно ограничить трафик определённой категории сайтов для определённого пользователя. При этом для всех остальных категорий передача данных этому пользователю будет разрешена. Ниже приведена краткая характеристика основных условий, доступных в правилах фильтрации контента UserGate Next Generation Firewall.Источник трафика: список IP-адресов или доменов, откуда идёт трафик. Разрешение доменных имён в IP-адреса производится каждые пять минут, а результат хранится в течение жизни DNS-записи.Назначение трафика: список IP-адресов или доменов, являющихся получателями трафика. Порядок работы системы с ними — такой же, как для источников.Пользователи или группы пользователей, для которых применяется правило. Допускается использование таких масок, как «Any» (любой пользователь), «Known» (известный, то есть идентифицированный, пользователь), «Unknown» (неидентифицированный пользователь).Категории электронных ресурсов. Трафик проверяется по крупнейшей базе электронных ресурсов, разбитых на более чем 70 категорий. Например, правило может срабатывать на социальные сети, порнографию, онлайн-казино и другие сайты. Администратор может переопределить категорию любого сайта. Для фильтрации по категориям необходима отдельная лицензия на базу данных UserGate URL Filtering.Списки URL: чёрные и белые. Администратор может создавать собственные списки или приобрести готовые.Тип контента. Данное условие срабатывает при передаче аудио, видео, исполняемых файлов и пр. Для описания видов контента используется формат MIME. Морфологические базы для проверки передаваемого контента на наличие определённых слов, словоформ и выражений.Кроме того, можно задавать время работы правила, значение User-Agent, HTTP-метод и рефереры открываемой страницы.Работа со сценариямиДля определённых типов правил можно использовать дополнительные условия, сценарии. Однако прежде чем перейти к описанию работы с ними, кратко остановимся на базовых свойствах правил межсетевого экрана и правил пропускной способности, где, собственно, и используются сценарии.Правила межсетевого экрана регулируют обработку транзитного трафика, проходящего через UserGate Next Generation Firewall. В качестве условий, при срабатывании которых система блокирует или, наоборот, разрешает передачу данных, могут выступать пользователи, сервисы, приложения, а также зоны и IP-адреса источника трафика или его назначения. Правила пропускной способности, основываясь на тех же параметрах, способны ограничивать канал передачи данных. Рисунок 5. Окно свойств правил межсетевого экрана в UserGate Next Generation Firewall Сценарии позволяют UserGate Next Generation Firewall реагировать не только на одномоментные события, но и на произошедшие за некоторый интервал времени — например, несколько попыток использования одного приложения. Для создания нового сценария необходимо нажать кнопку «Добавить» в меню «Политики безопасности — Сценарии» раздела «Настройки». Сценарий может действовать только для того пользователя, на котором он сработал, или распространяться на всех пользователей, указанных в правиле. Можно также задать срок работы сценария после его активации. После создания сценария его необходимо указать в том правиле, для которого он будет применяться. Рисунок 6. Окно настройки сценария в UserGate Next Generation Firewall В качестве условий сценария может выступать срабатывание системы обнаружения вторжений или появление следующих сущностей в трафике пользователя:URL заданных категорий.Вирусы.Приложения.Определённые типы контента.Пакеты данных, превышающие определённый размер.Количество сессий с одного IP-адреса, превышающее некоторое значение.Объём трафика за единицу времени, превышающий определённое значение.Доступность определённого ресурса.С таким перечнем удобно выстраивать логику регулирования трафика. Например, при помощи сценариев можно переключить сеть на работу с запасным шлюзом, в случае недоступности основного.ВыводыUserGate Next Generation Firewall представляет собой полнофункциональный комплекс защиты внешних периметров сети и управления сетевым трафиком. Система даёт возможность построить сложные сценарии обработки и анализа сетевых пакетов на основе универсальных политик безопасности. С её помощью специалисты по информационной безопасности могут фильтровать поступающие извне данные на основе вердиктов антивирусного ядра, морфологического анализа, информации о приложении и других параметров. Различные триггеры можно собирать в цепочки, связанные логическим «И» (условия в рамках одного правила), а также логическим «ИЛИ» (последовательность нескольких правил).Ещё одним средством кибербезопасности является система ограничения количества одновременных сеансов, что полезно для эффективного противодействия DoS-атакам. При этом простой фиксацией проблем возможности UserGate Next Generation Firewall не ограничиваются. Используя тот же механизм правил и сценариев, можно настроить варианты реагирования NGFW на определённые события в информационной безопасности или нелегитимную сетевую активность.Помимо защитных функций UserGate Next Generation Firewall предоставляет администратору возможность контролировать сетевую активность пользователей, запрещая работу с определёнными ресурсами или приложениями. Это важно не только для ИБ, поскольку позволяет отсекать нерабочую активность персонала — использование соцсетей, игровых платформ, торрентов. Дополнительно NGFW может ограничивать пропускную способность канала при достижении пользователем определённых объёмов трафика, а также переключаться между разными интернет-провайдерами при выполнении заданных условий.UserGate Next Generation Firewall занимает передовые позиции в секторе NGFW российского рынка информационной безопасности и может конкурировать с ведущими зарубежными аналогами. Компетенции компании UserGate в сфере анализа сетевого трафика позволили ей создать зрелый продукт, способный стать существенным препятствием для кибератак, универсальным инструментом первой необходимости, который сможет обезопасить компанию от большого числа инцидентов даже при частичной недоступности других инструментов информационной безопасности.Читать далее
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.26.
    • demkd
      ---------------------------------------------------------
       4.13
      ---------------------------------------------------------
       o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
         (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
         Для создания дисков требуются установить следующие пакеты:
         o Три компонента из Windows ADK для Windows 10 версии 2004
           o средства развертывания
           o средства миграции (USMT)
           o набор средств оценки производительности Windows
         o Windows надстройка PE для ADK версии 2004
         (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
         (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
            то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.  o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.  
    • AM_Bot
      Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения событий по информационной безопасности с функциями поведенческого анализа. Программный комплекс получает данные от СЗИ и информационных систем, формирует контент для помощи в расследовании киберинцидентов и анализирует поведение пользователей и компонентов корпоративной сети. У продукта появились новые возможности, расскажем о них.    ВведениеИнтерфейс Ankey ASAPМодуль UEBA3.1. Анализатор терминальных команд3.2. Анализатор первых действий3.3. Анализатор базовой линии3.4. Работа анализаторов в действии3.5. Возможности по разработке собственного UEBA-контентаВыводыВведениеУвеличивающиеся риски целевых атак, новые требования регуляторов вместе с уходом иностранных вендоров с российского рынка заставили отечественные компании существенно пересмотреть подход к существующим внутри организаций средствам и методам обеспечения информационной безопасности. Не менее острой за прошедший год стала проблема определения и предотвращения инсайдерских атак. В некоторых случаях детектировать их имеющимися СЗИ представляется почти невозможным, так как во многих случаях это требует детального анализа пользовательского поведения внутри корпоративной сети, что, несомненно, влечёт за собой значительное увеличение затрат на обеспечение ИБ в организации. Одним из возможных решений проблемы можно назвать внедрение системы поведенческого анализа пользователей (UEBA).Ankey ASAP — программный комплекс, являющийся аналитической платформой кибербезопасности с функциями поведенческого анализа. Основываясь на данных, которые поставляются в систему в нормализованном виде из SIEM и иных средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, других систем корпоративной сети с целью выявить признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров. С момента последней публикации на Anti-Malware.ru статьи об Ankey ASAP платформа была комплексно переработана: от интерфейса до функциональных решений. Рассмотрим подробнее эти изменения.Интерфейс Ankey ASAPUX- / UI-дизайн системы претерпел комплексный рефакторинг, начиная от страницы аутентификации и заканчивая панелью визуализации инцидентов. Минимизация рабочей нагрузки на операторов системы (администраторов ИБ, аналитиков) путём частичного перекладывания ряда рабочих задач на платформу является одним из главных принципов при разработке системы. В этом Ankey ASAP помогают расширенные средства визуализации, навигации и работы со внутренним контентом. Рисунок 1. Панель визуализации инцидентов Удобная навигация между карточками позволяет легко ориентироваться во всех активах, а также связанных с инцидентами событиях. Система способна получать скоррелированные события изо внешних систем типа SIEM и выявлять ИБ-инциденты, происходящие в корпоративной сети, на основе алгоритмов поведенческого анализа. Благодаря средствам расширенной визуализации и обновлённым виджетам оператор платформы может выделить для себя наиболее значимые объекты анализа. В определении наиболее значимых инцидентов ему призваны помочь система гибкого скоринга и тесно связанная с ней система генерации уведомлений. Не стоит забывать и о постоянно растущем списке поддерживаемых системой источников.Модуль UEBAБыла существенно переработана функциональная часть Ankey ASAP. Изменения коснулись как отдельных компонентов архитектуры проекта, так и принципов работы ряда анализаторов, входящих в технологический блок UEBA-системы. О действующей функциональности этих анализаторов и пойдёт речь далее в статье. Рисунок 2. Подробные сведения об инцидентах Анализатор терминальных командЗа детектирование аномального поведения объектов наблюдения в Ankey ASAP отвечает ряд анализаторов, разделяемых по функциональному назначению. Одним из них является анализатор терминальных команд, призванный в первую очередь детектировать попытки реализации атак типа «Living-off-the-Land», то есть выявлять выполнение деструктивных терминальных команд при использовании легитимных или встроенных системных утилит (CMD, PowerShell, netcat и другие). На вход анализатора подаются события запуска процесса, а он по обученной заранее модели проводит классификацию: похоже это на LotL-атаку или нет. Рисунок 3. Принцип работы анализатора терминальных команд При сравнении методов работы существующих решений по безопасности следует особо отметить, что детектировать LotL-атаки возможно также и сигнатурными методами, однако там основой служат константные выражения в терминальных командах. Иначе говоря, для детектирования с помощью SIEM LotL-атаки с применением netcat необходимо, чтобы введённая команда содержала «nc» и некоторые определённые флаги. Переименовываем «netcat» в «моя секретная программа» — правила SIEM перестают работать; в ASAP же модель для классификации лишь немного потеряет в степени уверенности, что применяется именно netcat. Она также вынесет вердикт по оставшейся информации — например, по тем же самым флагам, которые были переданы в качестве аргументов.Анализатор первых действийГоворя о сигнатурных методах определения злонамеренной пользовательской активности, стоит также упомянуть, что рассматриваемые решения обычно позволяют детектировать уже реализованную угрозу. Однако одной из основных задач системы поведенческой аналитики является определение и пресечение потенциальной угрозы на более ранних этапах киберцепочки угроз (Cyber Kill Chain). Частично за выполнение этой задачи в Ankey ASAP отвечает анализатор первых действий сущностей. Внутренний контент платформы содержит в себе уже описанные аналитиками триггеры первых пользовательских действий, которые по всем своим признакам могут соответствовать легитимной модели поведения, однако их нетипичность применительно к определённым временным промежуткам свидетельствует об определённой степени «аномальности» подобного поведения.Такими триггерами могут быть:первое переключение пользователя в «root»;подключение к ИС нового съёмного носителя;обращение изо внутренней сети к новому внешнему хосту и др.Такие события вызывают в системе значительное изменение скоринга карточки анализируемого актива. Обо всех резких изменениях скоринга, а также о превышении определённого «безопасного» порога система сигнализирует соответствующими уведомлениями на информационной панели, что помогает оператору платформы своевременно реагировать и детектировать нетипичное для пользователя поведение.Анализатор базовой линииНа основе множества показателей, к которым относятся как собственное типичное поведение (например, учёт рабочего времени, проводимого конкретным пользователем за рабочим местом), так и признаки свойственные определённым группам сущностей (администратор, внешний нарушитель, вредоносные программы), анализатор формирует так называемые профили поведения для каждого объекта анализа. Так, любое отклонение поведения объекта от базового будет вызывать рост его скоринга в соответствии с описанной для данного сценария моделью.Анализатор позволяет предотвращать и детектировать инциденты в информационной безопасности, основываясь, например, на:нетипичном времени входа в систему;нетипичных операциях с сетевыми папками;нетипичных действиях по управлению политиками и др.Работа анализаторов в действииДля наглядности описания продемонстрируем работу анализаторов в одном из возможных сценариев. Находясь в разделе «Мониторинг» или «Инциденты», оператор платформы обнаруживает созданный системой инцидент о превышении скоринга для учётной записи «barbar». Рисунок 4. Раздел «Инциденты» в Ankey ASAP Перейдя к самой карточке учётной записи и установив фильтр по датам на интересующий нас временной промежуток, видим зафиксированные сигналы об аномальном поведении учётной записи, а также о начислении скоринга по каждому из них. Рисунок 5. Карточка инспектируемой учётной записи Обратимся к началу списка уведомлений, зарегистрированных для данной учётной записи. Рисунок 6. Список сгенерированных уведомлений для учётной записи Анализатор базовой линии фиксирует вход в нетипичное для данного пользователя время, о чём свидетельствует соответствующий сигнал. Затем уже следующий анализатор (первых действий) фиксирует просмотр и копирование содержимого сетевых папок, с которыми прежде пользователь не взаимодействовал. Уже на данном этапе система создаёт инцидент о резком росте скоринга в сутки (выше допустимых 100 баллов). Рисунок 7. Результат работы анализатора первых действий Двигаемся дальше: видим сгенерированное уведомление о попытке отправки архива через электронную почту. Инцидент, поступивший из SIEM, свидетельствует о том, что это действие было зарегистрировано DLP-системой, вследствие чего произошла блокировка отправки данных. Затем система отмечает подключение USB-накопителя, совершаемое впервые. Следующая за ним попытка копирования данных на съёмный носитель также зарегистрирована и блокирована DLP-системой. Больше никаких инцидентов от SIEM не поступало, поэтому можно посчитать, что отправка данных была успешно заблокирована.Однако, обращаясь к следующим сигналам, можно увидеть результат работы анализатора базовой линии: пользователь скопировал нетипичное для себя количество данных. Рисунок 8. Результат работы анализатора базовой линии Сразу за ним следует уведомление от анализатора терминальных команд. Видим, что пользователь всё же отправил данные во внешний репозиторий в обход DLP-защиты, применяя низкоуровневые механизмы взаимодействия (в данном случае — при помощи утилиты datasvcutil). DLP-система не регистрирует это событие, так как используемая утилита является штатной, что в данной ситуации эквивалентно «легитимной». Поскольку каждый сгенерированный системой сигнал вызывал своим появлением увеличение скоринга пользователя, Ankey ASAP создаёт инцидент по превышению скоринга, с чего и начинается расследование.Таким образом, в примерах из этого сценария мы можем разглядеть поведение типичного инсайдера. Анализируя события и инциденты в области безопасности раздельно, администратор ИБ может не получить полноценной картины проводимой атаки, особенно в тех случаях, когда злонамеренные действия пользователя сильно размыты во времени. Ситуация может быть осложнена тем, что некоторые СЗИ, использующие в своей работе сигнатурные методы обнаружения, порой упускают важный контекст из обрабатываемой информации, как, например, в описанном выше методе реализации LotL-атаки. Используемые в Ankey ASAP технологии машинного обучения, возможность подключения различных источников, аккумулирующий эффект скоринга способны значительно снизить подобные риски.Возможности по разработке собственного UEBA-контентаОтдельное внимание разработчики уделили созданию собственного внутреннего контента для платформы. Её функциональность может расширяться со стороны не только разработчика системы, но и пользователей. Для просмотра и редактирования существующего контента в платформе используется внутренний редактор конфигурационных правил. При необходимости администратор может править существующие модели, поставляемые вместе с платформой, а также на основе уже имеющихся создавать свои собственные. В этом разработчику контента способен помочь набор внутренних функций, используемых анализаторами. Все доступные функции подробно описаны в эксплуатационной документации.ВыводыИспользование платформ наподобие Ankey ASAP администраторами или аналитиками по ИБ способно значительно оптимизировать их рабочие процессы. Ankey ASAP помогает администратору выявлять аномальные или вредоносные действия пользователей или устройств: платформа может быть как инструментом активного мониторинга защищённости сети, так и конечной точкой аккумуляции всех сведений, которые необходимы для проведения расследований.В настоящее время активно ведётся работа по расширению уже имеющейся функциональности Ankey ASAP. Из планов на ближайшее будущее стоит выделить:поддержку новых источников данных, в частности — программного комплекса для мониторинга рабочего времени сотрудников StaffCop (ООО «Атом Безопасность»);расширение библиотеки анализаторов поведения;расширение имеющейся библиотеки виджетов панели мониторинга;реализацию отдельного дашборда по матрице MITRE ATT&CK;интеграцию с продуктами ООО «Газинформсервис» (линеек Ankey и Efros).Авторы:Андрей Шабалин, аналитик ИБ, компания «Газинформсервис»Расул Манкаев, инженер-аналитик, компания «Газинформсервис»Читать далее
×