Перейти к содержанию

Recommended Posts

manana

Иногда можно встретить упоминания (десятилетней давности), что программы-ревизоры являются наиболее эффективным средством от заражения вирусами. Так ли это сегодня? p.s. Лично сам считаю, что нынче файловые вирусы редки, а ревизор от троянов и червей не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

От червей и троянов наоборот очень поможет. Ревизор скажет о новом файле, в котором сидит троян.

Другое дело, что сейчас все программы постоянно обновляются включая саму систему. Постоянно будет кричать о новых и измененных файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

А если малварь не записывает тело в файловую систему, а лишь висит в памяти, то ревизор его не заметит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

А как зловред может сидеть в памяти без файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana
А как зловред может сидеть в памяти без файла?

Насколько мне известно, есть возможность через эксплоит запустить процесс в памяти без изменения файловой системы.

Есть такая программа-ревизор Adinf. Кто-нибудь пользуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Дела обстоят так:

1. Ревизор выдаст при сканировании инфу о новых/измененных файлах. Все это уже постфактум - зловред уже собрал пароли и выслал их хозяину.

2. Экран застлал собою винлок. Как в этом случае должен помогать ревизор - загадка.

3. Троян несет на борту руткит-компонент - просто скрыл свои файлы и все. Ревизор не увидит. Причем достаточно примитивного руткита.

4. Файл с определенными извратами из памяти можно запустить и без эксплоита, но ->

5. В 99% зловред все-таки имеет файл на диске, но по вышеперечисленным причинам его обнаружение ревизором неэффективно/бессмысленно.

6. Не всегда можно понять по имени файла зловред это или нет. Например, файл в темповой директории с расширением tmp вполне может быть зловредом, записанным в авторан (например, как либа).

В общем и целом: защита должна быть упреждающей, а не констатирующей (аля "констатирую - вот этот файл зловред, удалю его, как попал непонятно").

Раз есть такой интерес к каким-то отличным от антивируса средствам защиты, то рекомендую присмотреться к настройкам антивируса - его можно перевести в параноидальный режим, и он начнет задавать много вопросов о подозрительных действиях в системе. Есть и принципиально другой класс защиты - песочницы (лучший представитель - DefenceWall HIPS).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

Видимо, стоит рассматривать в контексте объекта защиты/модели нарушителя.

Объект защиты:

В общем, так. Строится внутренняя корпоративная сеть, компьютеров этак на сто (возможно, в будущем будут подключены филиалы по VPN). Из основных предоставляемых услуг - корпоративные веб-сайт и почта. Из вспомогательных - DNS и др. Директорат боится утечек и, поэтому, будут отсутствовать доступ к сети интернет и использоваться DLP-системы.

Модель нарушителя: инсайдер, возможно даже сам администратор, могущий внести свою флешку в белый список DLP-системы и отправить по почте троян директору. Ну или хитрый пользователь.

Варианты защиты:

Логика руководства такова: раз сеть выделена, то и малвари взяться неоткуда. Антивирусы в общем-то и не нужны, которые без обновления баз из интернета все равно будут неэффективны.

Но по опыту бывалых, пользователи все равно найдут лазейку и смогут вставлять флешки/диски.

Предлагался такой вариант: установить антивирус с возможностью загрузки баз с FTP-сервера. Минусы: существует возможность, что конкуренты наймут вирмейкера, который разработает малварь индивидуально под нашу защиту. Сигнатуры в антивирусной лаборатории не появятся => троян не детектится. В принципе можно понадеяться на эвристик, как вариант...

С учетом вышесказанного был предложен вариант использования программ-ревизоров. Поскольку обновлений ОС не ожидаются, а софт в принципе постоянен и неизменен, то ревизоры будут блокировать неизвестные/измененные программы/процессы/потоки, что теоретически должно заблокировать даже ранее неизвестное вредоносное ПО.

Прошу помочь советом.

P.S. Возможно, мне стоило создать отдельный топик, но раз уж начал, то пишу в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

manana: С вашим набором требований я бы скорее в сторону application whitelisting смотрел. Я не говорю, что других методов быть не должно, но в условиях неизменности софта как раз этот подход работает очень неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×