Перейти к содержанию

Recommended Posts

manana

Иногда можно встретить упоминания (десятилетней давности), что программы-ревизоры являются наиболее эффективным средством от заражения вирусами. Так ли это сегодня? p.s. Лично сам считаю, что нынче файловые вирусы редки, а ревизор от троянов и червей не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

От червей и троянов наоборот очень поможет. Ревизор скажет о новом файле, в котором сидит троян.

Другое дело, что сейчас все программы постоянно обновляются включая саму систему. Постоянно будет кричать о новых и измененных файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

А если малварь не записывает тело в файловую систему, а лишь висит в памяти, то ревизор его не заметит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

А как зловред может сидеть в памяти без файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana
А как зловред может сидеть в памяти без файла?

Насколько мне известно, есть возможность через эксплоит запустить процесс в памяти без изменения файловой системы.

Есть такая программа-ревизор Adinf. Кто-нибудь пользуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Дела обстоят так:

1. Ревизор выдаст при сканировании инфу о новых/измененных файлах. Все это уже постфактум - зловред уже собрал пароли и выслал их хозяину.

2. Экран застлал собою винлок. Как в этом случае должен помогать ревизор - загадка.

3. Троян несет на борту руткит-компонент - просто скрыл свои файлы и все. Ревизор не увидит. Причем достаточно примитивного руткита.

4. Файл с определенными извратами из памяти можно запустить и без эксплоита, но ->

5. В 99% зловред все-таки имеет файл на диске, но по вышеперечисленным причинам его обнаружение ревизором неэффективно/бессмысленно.

6. Не всегда можно понять по имени файла зловред это или нет. Например, файл в темповой директории с расширением tmp вполне может быть зловредом, записанным в авторан (например, как либа).

В общем и целом: защита должна быть упреждающей, а не констатирующей (аля "констатирую - вот этот файл зловред, удалю его, как попал непонятно").

Раз есть такой интерес к каким-то отличным от антивируса средствам защиты, то рекомендую присмотреться к настройкам антивируса - его можно перевести в параноидальный режим, и он начнет задавать много вопросов о подозрительных действиях в системе. Есть и принципиально другой класс защиты - песочницы (лучший представитель - DefenceWall HIPS).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

Видимо, стоит рассматривать в контексте объекта защиты/модели нарушителя.

Объект защиты:

В общем, так. Строится внутренняя корпоративная сеть, компьютеров этак на сто (возможно, в будущем будут подключены филиалы по VPN). Из основных предоставляемых услуг - корпоративные веб-сайт и почта. Из вспомогательных - DNS и др. Директорат боится утечек и, поэтому, будут отсутствовать доступ к сети интернет и использоваться DLP-системы.

Модель нарушителя: инсайдер, возможно даже сам администратор, могущий внести свою флешку в белый список DLP-системы и отправить по почте троян директору. Ну или хитрый пользователь.

Варианты защиты:

Логика руководства такова: раз сеть выделена, то и малвари взяться неоткуда. Антивирусы в общем-то и не нужны, которые без обновления баз из интернета все равно будут неэффективны.

Но по опыту бывалых, пользователи все равно найдут лазейку и смогут вставлять флешки/диски.

Предлагался такой вариант: установить антивирус с возможностью загрузки баз с FTP-сервера. Минусы: существует возможность, что конкуренты наймут вирмейкера, который разработает малварь индивидуально под нашу защиту. Сигнатуры в антивирусной лаборатории не появятся => троян не детектится. В принципе можно понадеяться на эвристик, как вариант...

С учетом вышесказанного был предложен вариант использования программ-ревизоров. Поскольку обновлений ОС не ожидаются, а софт в принципе постоянен и неизменен, то ревизоры будут блокировать неизвестные/измененные программы/процессы/потоки, что теоретически должно заблокировать даже ранее неизвестное вредоносное ПО.

Прошу помочь советом.

P.S. Возможно, мне стоило создать отдельный топик, но раз уж начал, то пишу в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

manana: С вашим набором требований я бы скорее в сторону application whitelisting смотрел. Я не говорю, что других методов быть не должно, но в условиях неизменности софта как раз этот подход работает очень неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×