Перейти к содержанию
WindowsNT

Application Whitelisting vs традиционные средства защиты

Recommended Posts

WindowsNT

Dear Mr. Justice,

1. Да, человек достаточно подробно описал ситуацию и особливо разорялся на тему, что MSE пропустил угрозу. Да, он нарушил ещё одно фундаментальное правило безопасности, работал Администратором, пусть и с включённым UAC. Дальше никто в детали особенно не вникал, но несколько человек поделились подобными инцидентами.

Вот что вы скажете за известный Lockdir? Посмотрите, он уже годами каждый божий день мучает сотни глупых пользователей и администраторов, которые свою вину за отсутствие бэкапов и SRP пытаются спихнуть на других. Тем не менее, эффективность антивирусных программ против него почему-то крайне низка. А почему?

2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Фактически, разница заключается лишь в двух иконках на рабочем столе Администратора.

Во время работы стандартным пользователем разницы не видно вообще. Правила SRP составлены так, что нет необходимости чудить, диалогов нет. Корпоративным пользователям и без того объяснено, что они не имеют права что-либо скачивать или приносить; домашние пользователи понимают, для чего это нужно и заходят Администратором по необходимости.

3. Вот тут тов. Umnik намекает, что скрипты плагинов всё равно могут исполниться и нанести вред. Он прав. Видимо, сейчас довольно много malware эксплуатирует дыры в Java. Однако, практически всё оно дропает exe либо dll, которым затем пытается передать управление. Что останавливается с помощью того же SRP на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Диалог с UAC:

щёлкаю на иконке "Разрешить ";

устанавливаю нужную программу;

щёлкаю на иконке "Запретить", если неизвестно откуда, Внезапно, стало стало устанавливаться програмное обеспечение.

Хватит петь мантры ....Whitelisting, о Whitelisting :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Не скинете содержимое иконок - ну типа команды запуска и как вы пополняли список? Родителям бы поставил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
1. Да, человек достаточно подробно описал ситуацию и особливо разорялся на тему, что MSE пропустил угрозу. Да, он нарушил ещё одно фундаментальное правило безопасности, работал Администратором, пусть и с включённым UAC. Дальше никто в детали особенно не вникал, но несколько человек поделились подобными инцидентами.

Все-таки в связи с данным инцидентом возникает несколько вопросов.

1. Все ли обновления безопасности ОС и нативных приложений Microsoft были установлены.

2. Каким браузером пользовались и какой версией, в каком состоянии находился прикладной софт (актульность версий и наличие

всех установленных обновлений безопасности).

3. Насколько актуально было состояние баз антивирусной программы, не изменялись ли настройки антивируса в сторону снижения уровня безопасности.

4. Был ли включен брандмауэр.

5. Как отреагировал UAC (промолчал или был алерт) и как отреагировал на него пользователь.

6. Какая уязвимость была задействована. Странно, что этот случай не получил широкой огласки или я ошибаюсь?

Вот что вы скажете за известный Lockdir? Посмотрите, он уже годами каждый божий день мучает сотни глупых пользователей и администраторов, которые свою вину за отсутствие бэкапов и SRP пытаются спихнуть на других. Тем не менее, эффективность антивирусных программ против него почему-то крайне низка. А почему?

От Lockdir спасает backup. Специалисты рекомендуют регулярно делать архивацию. Это бесплатный сервис, особо продвинутых версий Windows для его использования не требуется. Согласен, что backup не идеальный вариант (есть недостатки), но он может в значительной степени минимизировать ущерб и вернуть систему и пользовательские файлы в первоначальное состояние (до заражения).

100% защиты от заражения, как я уже говорил нет. Whitelisting тоже не панацея и без антивируса он может в некоторых случаях быть бесполезен, потому что не спасает от social engineering. У антивируса здесь есть преимущества - он вызывает большее доверие по сравнению с Whitelisting, который блокирует все без разбору и не в состоянии отличить вирус от безопасного ПО.

2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Так можно разрешить запуститься и вредоносной программе. Домохозяйка, у которой отсутствуют экспертные знания в обалсти ИБ запросто это сделает.

Я все-таки на данный момент придерживаюсь такой позиции: домохозяйке без антивируса не обойтись, а без Application Whitelisting можно. Если переубедите - буду рад.

А если говорить в целом, то я поддерживаю использование Application Whitelisting, но не вместо, а совместно с антивирусом, при условии, если пользователь готов платить за приобретение более продвинутых верисий Windows, понимает что такое Application Whitelisting и как им пользоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

1. Конкретно в описанном инциденте после раскрытия типа угрозы (MBR Bootkit) сразу было принято решение о полном уничтожении содержимого разделов + зачистка MBR. То есть, поступили в соответствии с Best Practices. Копать столь глубоко не стали, предположив Java Vulnerability Exploitation. Поскольку я рядом свечку не держал, за все пункты не отвечу.

2. Не-не-не, мы не путаем предотвращение угрозы и расхлёбывание последствий. Backup есть мера восстановления уже скомпрометированной системы, причём он вполне очевидно несвеж. Будь то сутки, неделя или месяц, он всяко сделан не секунду назад. Мерой предотвращения является Whitelisting и мог бы являться антивирус. В этом и суть вопроса, что если Whitelisting предотвращает конкретно Lockdir на 100% (сто процентов), почему с этим не справляются антивирусные программы?

Загляните в раздел форума Лечение, это же смешно — каждый день происходит клоунада под названием "Наш системный администратор - лох", которую можно демонстрировать студентам годами. Только что вот посмотрел — на первой же странице три свежих темы с названием lockdir. Или вот цитата из типичного вопроса: "один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

3. Да, так можно разрешить запуститься вредоносной программе.

А можно же её предварительно проверить на virustotal, пусть и без гарантии?

А можно же её предварительно проверить стационарным антивирусом, пусть тоже без гарантии? Так вам будет интереснее?

Иными словами, технически всё может быть несколько наоборот:

- можно обойтись Whitelisting-ом без антивируса

- но нельзя обойтись антивирусом без Whitelisting-а, причём об этом прямо говорят как заражение первоначального автора топика, так и прочие множественные инциденты.

Если бы можно было обойтись антивирусом, война с вирусами закончилась бы уже 20 (двадцать) лет назад. Но пока что ей конца не видно. Она бесконечна, и вирусы в ней ВЫИГРАЛИ. Вполне доказанным, на мой взгляд, является факт, то Blacklisting не в состоянии обеспечить предотвращение заражений не только на все 100%, но даже на любом приемлемом уровне вообще. Если вы готовы воспользоваться предлагаемой технологией пусть даже совместно с антивирусной программой, с чего начнёте?

4. OlegAndr: http://blog.windowsnt.lv/2011/05/30/preven...th-srp-russian/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

А можно узнать каким образом бухгалтер не туда деньги перечислил?

И в чем конкретно вина админа

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Куда деньги делись, лучше спросить у автора .) http://virusinfo.info/showthread.php?t=123251

Вина системного администратора состоит в самом факте заражения. Не бухгалтер что-то подхватил, а системщик не настроил систему должным образом для предотвращения заражений, это же очевидно. Во-первых, для того, чтобы вирус мог нанести вред операционной системе, он должен исполниться с привилегиями Администратора либо Системы. Как вирус мог получить привилегии Администратора? Если исполнился от лица бухгалтера, у которого откуда-то были привилегии. Стопроцентная вина системщика. Как вирус мог получить привилегии Системы? Если исполнился через непропатченную уязвимость. Стопроцентная вина системщика. Далее можно попытаться решить вопрос, как вирус вообще смог запуститься? Видимо, не было чего? Правильно, Application Whitelisting. Стопроцентная вина системщика. Кстати, а что насчёт применения администратором EMET (http://www.microsoft.com/en-us/download/details.aspx?id=29851)? Ооо...

Конеш, существует некоторая вероятность, что это был ZeroDay против системы, который к тому же смог обойти DEP и EMET. Но я бы не стал утверждать, что форум "Помогите" прям таки пестрит пострадавшими именно от таких угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Вина системного администратора состоит в самом факте заражения. Не бухгалтер что-то подхватил, а системщик не настроил систему должным образом для предотвращения заражений, это же очевидно.

По пунктам

1. Допустим система заражена и легла... - Ладно это вина админа

2. Ушедшие на лево деньги. вот вопрос а тут какая вина админа

Если есть клиент-банк - то как с его помощью могут уйти деньги ? просто не представляю

Если отправка через веб-интерфейс и попадание на фейковый сайт - то теоретически можно - логин-пароль - можно конечно засандалить некоторую сумму налево. Но почему не все деньги??? судя по вопросу ушли частично и только один платеж

В обоих случаях чем поможет вайтлистинг ;). и брауезр и клиент-банк должны запустится и будут в белом списке

Насколько я знаю что деньги в никуда не уходят - надо указать точные данные куда именно... Так.?

Давайте все таки определимся как деньги ушли куда-то и кто в этоми виноват ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Давайте все таки определимся как деньги ушли куда-то и кто в этоми виноват ))))

Бесполезный вопрос :lol: Тут будет один ответ, не было Whitelisting :facepalm: Почему пишут вирусы, почему воруют миллионы с ДБО, почему упал на голову кирпич, не было Whitelisting :lol:

m601.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Ну может не так все печально ))

Надо верить людям ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
1. Конкретно в описанном инциденте после раскрытия типа угрозы (MBR Bootkit) сразу было принято решение о полном уничтожении содержимого разделов + зачистка MBR. То есть, поступили в соответствии с Best Practices. Копать столь глубоко не стали, предположив Java Vulnerability Exploitation. Поскольку я рядом свечку не держал, за все пункты не отвечу.

Не получив ответа на заданные мною вопросы, трудно выявить истинную причину заражения. Возможно причиной заражения было несоблюдение пользователем элементарных правил безопасности: например, на ПК было установлено непропатченное ПО, что привело к проникновению инфекции в систему.

Загляните в раздел форума Лечение, это же смешно — каждый день происходит клоунада под названием "Наш системный администратор - лох", которую можно демонстрировать студентам годами. Только что вот посмотрел — на первой же странице три свежих темы с названием lockdir. Или вот цитата из типичного вопроса: "один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

Во всех этих случаях, чтобы выяснить причину заражения нужно внимательно изучить ситуацию и попытаться найти ответы на указанные выше вопросы.

3. Да, так можно разрешить запуститься вредоносной программе.

А можно же её предварительно проверить на virustotal, пусть и без гарантии?

Не уверен, что для домохозяйки такой способ подходит. Им нужна защита на уровне "поставил и забыл". Кроме того, не любой файл можно проверить с помощью virustotal и этот сервис использует далеко не все средства обнаружения и нейтрализации угроз, которыми располагает локальная защитная программа (например, отсутстует Behavior Analyzer).

А можно же её предварительно проверить стационарным антивирусом, пусть тоже без гарантии? Так вам будет интереснее?

Вот этот вариант действительно интересен.

Иными словами, технически всё может быть несколько наоборот:

- можно обойтись Whitelisting-ом без антивируса

- но нельзя обойтись антивирусом без Whitelisting-а, причём об этом прямо говорят как заражение первоначального автора топика, так и прочие множественные инциденты.

На мой взгляд, эти утвержедния справедливы по отношению к пользователям, имеющим специальную подготовку. Не уверен, что домохозяйкам это подойдет, но здесь могу ошибаться.

Если бы можно было обойтись антивирусом, война с вирусами закончилась бы уже 20 (двадцать) лет назад. Но пока что ей конца не видно. Она бесконечна, и вирусы в ней ВЫИГРАЛИ. Вполне доказанным, на мой взгляд, является факт, то Blacklisting не в состоянии обеспечить предотвращение заражений не только на все 100%, но даже на любом приемлемом уровне вообще. Если вы готовы воспользоваться предлагаемой технологией пусть даже совместно с антивирусной программой, с чего начнёте?

Одно непонятно, почему Microsoft настоятельно рекомендует домашним пользователям пользоваться антивирусным ПО, а не Whitelisting (если ошибаюсь, поправьте). Может быть потому, что антивирус, в отличии от Whitelisting, подойдет большинству пользователей?

WindowsNT, благодарю за дискуссию. Ваши усилия зря не пропали - я не исключаю, что потрачусь на более продвинутый Windows и буду пользоваться Whitelisting, подумаю над этим. Но подойдет ли это всем пользователям? В этом я пока не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
А также я смогу в Банке Москвы работать с он-лайн банкингом (используется Java)?

Не используется там джава, вернее не нужна, удалил у себя и плагины отключил, и все работает. Конечно переводы свыше 50к только через джава аплет, но можно бить суммы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я не могу ее удалить и отключить, она мне нужна и для других целей :) И БМ у меня ее активно использует :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

1. Для белого списка что является программой - exe, dll, js, bat?

2. Как белый список защищает от drive-by?

3. Что упомянутому на 1 странице drive-by, сумевшему обойти UAC и MSE, мешает обойти белый список?

4. Почему [и если] заражаются системы с UAC, а с белым списком нет?

5. Что делать, если хочется посмотреть новую программу, но нет уверенности, что она не испортит систему (кроме ВМ и песочницы, где программа, например, игра, не заработает)?

6. Есть ли проверенная альтернатива встроенному белому списку для Home версий Windows - сторонние приложения, которые контролируют запуск программ по белому списку?

Не имею предубеждения к белым спискам, так как по белому списку настроен брандмауэр Windows 7 (оффтоп: хотя не полностью - иногда отключается интернет, а на форуме провайдера не могут дать ответ на конкретный вопрос, какие именно правила в фаирволе windows нужны для стабильного подключения локальной сети и VPN, а какие правила можно отключить, отключаю по 1 в день)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • mafanya
      Сделать настроение отличным на весь день помогут прикольные картинки на сайте https://proprikol.ru. Удобный интерфейс в сочетании с красивым дизайном понравятся каждому пользователю. Портал наполнен картинками различных жанров, просто перейдите в интересующую вас рубрику и наслаждайтесь просмотром. В честь дня рождения или какого-нибудь торжества есть поздравительные открытки. Для любителей смешных гифок на сайте отведена отдельная категория. Не забывайте делиться позитивом с друзьями. Для этого нужно скачать понравившуюся картинку, а затем отправить её любым удобным способом.
    • mafanya
    • Kuisa
      Тут стоит посмотреть себе качественные шторы плиссе https://alumdevelop.ru/solntsezashhitnye-sistemy/shtory-plisse/ Не так давно их заказывали себе и остались довольны. Смотрятся круто и цена скажу я вам очень даже адекватная на все это дело
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×