Перейти к содержанию
Anmawe

Технологии защиты от шифровальщиков. Какой антивирус лучше защитит личные файлы?

Recommended Posts

Anmawe

 

есть ли у какого-нибудь бесплатного антивируса  компонент, который умеет определять, что эта программа вредоносная и откатывать действия вредоносной программы

 

Речь о насколько опасном уровне действий? До 4 разных ключей (вроде Run, Runservice, что-то в Software) и созданные файлы (exe, dll, sys; bat, vbs, scr, reg)? Или убитая MBR?

 

 

Почитайте здесь например http://eugene.kaspersky.ru/2011/09/15/fichi-nevidimogo-fronta/

 

Можете сами на виртуалку установить касперского  (или запустить на компе Shadow Defender, защищенный режим, но от кражи информации он не защищает) , запускать что угодно, скаченное с любых сайтов, и сами увидите, как будет работать мониторинг активности, какую активность он будет признавать вредоносной и что будет откатывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

 

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

 Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

К сожалению шифровальщики очень хорошо могут "Маскироваться" под легальное ПО !

 

Немного поясню как я понимаю, если я напишу сейчас фигню, поправьте меня, знаю что здесь есть люди в разы грамотней меня в этом вопросе, поэтому если где-то ошибаюсь поправьте:

 

Итак, почти все АВ отслеживают API винды, например исполняют вирус в так-называемой песочницы, и в зависимости от активности вируса, выносят ведикт что шифровальщик или нет, как уже сказал можно отслеживать API, можно ещё какое-то поведение...

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально... :(

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно... ;)

 

Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

 

А вот эту защиту очень кстати тяжело пробить ! (ИМХО)

 

По крайне мере сколько не запускал винлоков, неодин несмог заблокировать систему, вернее один всё-же смог (Это батник...), но там нужно-было запустить с правами админа его... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Например, norton sonar в песочнице, прежде всего, сразу видит желание что-то "зашифровать" (поменять расширения, массированная нагрузка на HDD и т.д.), он в песке моделирует набор конф. данных типа mp3 файлов и т.д. 

 

из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...  :(

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно...  ;)

 

Песочница Comodo смысла сама по себе не имеет, потому что она может спасти только явных угроз (вред от которых явно заметен, сейчас очень популярна тактика паковать полезные проги с вредоносными, думаю, такая практика и раньше была распространена) и то не от всех. 

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

:lol: То, что там ниже...это Е.К. написал? Знаете, форум ЛК заливается гневом и матами по поводу шифровальщиков и отчасти, это заслуга супер-убер модуля под названием SystemWatcher. 

 

Откат есть у Symantec SONAR, TrendMicro Aegis 100%, в том числе анализ в реальном времени вне песочницы, а вот чего нет у SW?

Правильно - песочницы (песок есть ещё у BitDefender AVC), что ужасно плохо, ужасно, почему?

 

Потому что когда вредонос - шифровальщик начинает бурагозить, мистер SW вместо того, чтобы просто дать ему песок, даёт ему реальную систему "порулить", при этом судорожно пытается ловить падающие тарелки в виде шифрующихся файлов, этими "осколками фарфора" он забивает папку Temp (убер-друпер технология защиты данных на базе SW, реализованная в KIS 15), когда спустя долгое время он понимает, что это вредонос, тут его осеняет - начинаем откат, эффективность отката около 30% (см. на ФКЛК).

Тех. уровень ребят из ЛК довольно высок, один из самых, но вопрос один: вы хвастаетесь офигенным эмулятором с точной копией ОС, может пора и SW подарить эту мега-штуку? 

 

Запустите шифровальщик на Norton, ага, не пройдёт и 5 секунд, как с профилем SONAR.Cryptolocker... файлик полетит в карантин с очень высокой вероятностью, при этом песок позволил SONAR-у без вреда для системы убить шифровальщика. 

Можете сами на виртуалку установить касперского

Да? А полноценная поддержка виртуальных систем имеется? Это будет искусственное испытание. Система должна быть только реальной, ибо в системных требованиях нет подтверждения о работе на виртуалках. 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Понятно, что заточить можно, но ведь с начала момента распространения зловреда очень многое может для него поменяться, экспертный HIPS ведь работает не один, а в тандеме, как минимум, с облаком, а облако выполняет миссию мониторинга, постоянного, выявляя различные связи касательно любого объекта.

(В теории, у Symc всё выглядит подобным образом)

HIPSы ловят  не обязательно поведение именно шифровальщика, это не обязательно профили под семейство, профили есть, которые заточены под конкретное поведение в системе от  инжекта в доверенные процессы до ковыряния в настройках автозапуска.

Каждый профиль по-разному использует облако и данные от др. модулей, общие профили используют очень агрессивную тактику и очень сильно зависят от репутации, например, SONAR. Heur. [...]

Зловред даже если не на бурагозит где-нибудь (если будет бурагозить хоть на пару компах (собираемые шаблоны поведения любого софта SONAR-ом или PBS в SystemWatcher), его репутация очень скоро до плинтуса опустится - в теории, так задумано, фолсы экспертных HIPSов также ловят-собираемыми шаблонами), он может распространяться с источников, активность которых будет признана вредоносной или подозрительной, репутация его снизится, до попадания на компы юзеров его могут встретить авто-дятлы и аналитики, которые могут прибить файл и без супер-анализа просто по телеметрии.

 

Если говорить о Symc, то загрузка файла с репутацией низкой или плохой - Ws.Rep.1 - карантин, отсылка в вирлаб. Т.е. даже не дойдёт до SONAR. 

Эвристика тоже завязана на репутации (её агрессивности и не доверчивости) и аналитике облака. Файлы, загружаемые извне в систему - дополнительный риск, агрессивность защиты повышается автоматически - так у Symc.

 

Один модуль обойти можно, но инфраструктуру взаимосвязанных модулей куда сложнее. Конечно, это не 100%, но сделано очень многое, чтобы обойти всё это стало если и возможно, то на довольно короткое время. 

 

Вендоры давно уже сделали большой шаг - они скрыли в облаке основные свои секреты, облако сделало модули гибкими, кто-то пошёл ещё дальше - к межпрограммному интерфейсу, к режимам работы (агрессивность проверки, глубина проверки и т.д., зависит от это ситуации).

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику.

Понятно, что практика всё расставляет на свои места. Но к чему это я?

К тому, что сам факт того, что вредонос не обнаруживался на системе злоумышленника - мало о чём говорит. Если лодка 949А Антей смогла приблизится к авианесущей группировке - это мало о чём говорит. АУГ впорядке, никто не пострадал.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы бы определились чем вы заниметесь - либо говорите конкретно за технологию, либо хвалите продукцию Симантек при каждом удобном случае по мере удобности либо сужаясь до одной конкретной технологии, либо расширяясь до всех модулей, работающих на защиту пользователя. Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Добавлю ещё к тому что сказал priv8v, можно ещё попробовать с таблицей импорта поиграть (IAT), т.е. если по простому в вирусе может-быть IAT одна, а на самом деле использоваться совершенно другая и таким образом можно обходить проактивную защиту...

 

Также можно ещё как-нить извините хитровыебанно вызывать API в вирусе, много раз видел в исходниках вирусов так маскировали API...

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику. Понятно, что практика всё расставляет на свои места. Но к чему это я?

Облака хорошо работают для детекта угроз направленных в массы, пример я делаю криптолок, он может не детектится не нортоном, не каспером... Далее начинаю его распространять, получаю какой-то процент жертв и в кратчайшие сроки мой зловред уже будет детектится, какие это сроки я не скажу, наверное кто работает в АВ, могут сказать сколько времени занимает обнаружение нового образца...

 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ? ;)

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Товарищ Konstantin Yudin на официальном форуме Доктор веба написал, что это бредни маркетологов ЛК . (по поводу восстановления системы до её оригинального, незараженного состояния)

 

http://forum.drweb.com/index.php?showtopic=320581&p=761489

 

100% откат не возможен. такова архитектура ОС. там столько подводных камней, особенно с отложенной записью секций.

 

да да да, бредни маркетологов. у них все просто и запросто. иди сначала контекст сопоставь с процессом, когда часть операций делается отложенно из ядра от лица системы...

 

Разумеется, Доктор веб обнаруживает шифрование файлов не хуже, чем касперский

 

мониторинг активности в Доктор вебе у нас уже две версии существует. у нас детект на 6-10 файле.

 

И разумеется, касперский хуже восстанавливает файлы, а доктор веб - лучше

 

сам проверял этот механизм (мониторинг активности в касперском), работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

 

http://forum.drweb.com/index.php?showtopic=320581&p=761946

 

Однако, по мнению товарища с форума ЛК, Доктор веб с настройками по умолчанию защищает хуже

 

Товарищ Mike 1 написал

 

На настройках по умолчанию результаты у доктор веба хуже. В DrWeb нужно самому настраивать защиту от потери данных, (да эта реализация мне нравится больше чем у ЛК) но если взять среднестатистическую домохозяйку, которая не будет лезть в дебри настроек DrWeb, то восстановить файлы на дефолтных настройках DrWeb ничего не сможет.


 

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

 

 

На форумах ЛК и доктор веб хоть и пишут, что их антивирус грохает шифровальщика уже после 3-10 защифрованного файла, но видимо, это такой рекламный трюк, чтобы те, кто в это верит, купил их антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

 

Это развёрнутое описание концепта инфраструктурного в ответ на обход с выводом, который прямо указывает на то, что наличие концепта на практике мало о чём говорит с точки зрения эффективности в реальном бою против антивируса. То время ушло. Даже APT уже не так эффективны, я могу ошибаться, но банальная политика Default Deny может остановить APT, ведь запуск запрещается по надёжному признаку. 

 

Облака хорошо работают для детекта угроз направленных в массы

 

Конечно. Но многие вендоры решили привлечь репутационные даные и данные статического анализа как ещё один эшелон защиты - репутационный, на практике это Ws.REP.1 (срабатывающий после загрузки файла), Artemis (Mcafee), UDS KSN (ЛК). Для чего? Кирилл Керценбаум (бывший глава Рос. подразделения Symc) как-то на заре выпуска 2010 линейки Norton рассказывал, основная цель - суметь принять более независимое (от технического уровня угрозы) решение относительно огромного кол-ва файлов (если знать что такое репутация и как она строится - это действительно мощнейшее средство), которые не относятся ни к "чёрному" списку, ни к "белому". Т.е. на ряду с той задачей, о которой вы сказали, есть ещё одна - использование репутации не только как мощного источника контекстных данных, но и прямое использование для детекта. 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ?  ;)

 

Жертвы будут, конечно. Я и писал, что на короткое время такое возможно. Бэкапы в помощь. 

Запускал на виртуалке, на реальной системе тестить нет возможности

 

Жаль. На виртуалке ведь не все зубы у проактивки динамической, возможно, эмуляторы там тоже не очень, как и самозащиты. Знаю, что SEP  имеет поддержку виртуальных сред и чётко пишется, что SONAR 3.5 адаптирован под них. SONAR 5 (NS 22) такой адаптации не имеет, как и SONAR 4.5 в NIS 2014. Такая же история может быть с любыми другими антивирусами. Сегодня я на практике это не проверял, но в промежутке с 2010 по 2012 это проверяли другие люди и действительно: на виртуалке SONAR может срабатывать реже. 

 

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

фолсы экспертных HIPSов также

 

Вот пример фолса. Мой медиаплеер был добавлен антивирусом в базы не только как какой-то троян или рекламное ПО и т.д., но и в поведенческие сигнатуры. То есть при наличии программы в этих сигнатурах отчет проактивки даже не говорит, за какие действия программы её блокируют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

А такой тест будет кому-то интересен ?

 

Если-да, то могу повторить, незнаю как у меня со временем будет, но немного времени сейчас появилось...

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

А такой тест будет кому-то интересен ?

Я ни в коем случае не требую, я просто напоминаю, что это может быть важно при проверке способности антивируса детектировать что-либо убер-обфусцированное и всё. 

 

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

 

 

Вы уже пробовали на KAV 2015 , dr web 10 и убедились, что они не всегда обнаруживают, что идет массовое шифрование файлов и не всегда восстанавливают все зашифрованные файлы  ?

 

Или просто предполагаете или верите, что ничего не изменится ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

(1) Для этого достаточно посмотреть их форумы. 

 

Вы же точно посмотрели, что в тех темах у пользователя именно на этом компе есть Др. Веб? Так как я не в курсе можно ли с 7 компов восстанавливать файлы по 1 лицензии (стандартно до 2 ПК). Вот пример записи из лога:

Common Dr.Web antivirus does not installed,

Dr.Web Enterprise Suite agent is not installed,

нет ключа SOFTWARE\Doctor Web, сервисов в CurrentControlSet\Services\, ключей в CurrentControlSet\Enum\Root\.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

 

Так такой тест будет интересен или нет ?

 

Вообще конечно, если сам вирус детектится по поведению, то и после крипта будет детект тоже, крипт нужен для снятия сигнатурного детекта...

 

Тут нужно тогда искать семплы, которые "Обходят" поведенческий детект и криптовать их (Например популярные криптолокеры которые есть) !

 

Ещё вариант писать свои, или изменять исходники, но тогда тест будет "Однобоким", сам процесс создания криптолокера, не такой-уж сложный, можно сделать простенький криптолокер всего за пару строк на си, другое дело, что лучше тестить на "Боевых" образцах, ну и плюс разбавить чем-то своим...

 

Но это уже серьёзная работа будет, одному человеку непод силу мне кажется... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

(1) Для этого достаточно посмотреть их форумы. 

(2) Это ясно и без практических экспериментов.  Вектор прогресса злоумышленников устремляется за добычей денег, в большинстве случаев. Раньше это был просто вандализм. Теперь - 2 в 1. Всё всегда меняется. Ничего нет постоянного. Всегда ни один антивирус ничего не обнаруживает. И пропуск шифровальщика чуть более вероятен (из-за его эффективности и популярности), нежели пропуск другой угрозы. Антивирусы тоже на месте не стоят. 

 

 

1. Хорошо, покажите конкретные темы на их форумах, где пострадал человек, у которого был KAV KIS 2015, dr web 10 (антивирус не восстановил все зашифрованные файлы) .

 

Я вот не понимаю - почему вы считаете, что если туда обратился человек за помощью, это значит , что у него обязательно стоял KAV KIS 2015, dr web 10, и базы были актуальны, и антивирус не отключали, или какой-либо компонент ?

 

Где вы такое видели ?

 

2. Вы хотите сказать, что если есть "поведенческие сигнатуры" в мониторинге активности, в превентивной защите, то можно обойти защиту, если троян будет работать так, чтобы не попадать под правила, заложенные в компонентах Мониторинг активности, превентивная защита ? Другими словами - троян будет работать так, чтобы не попадать под правила, заложенные в Хипсе (настройки антивируса по умолчанию) .

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике

 

Расскажите подробнее

 

 1. Как конкретно троян будет скрывать "потенциально-опасные" API ?

 2. Что значит  маскируют" своё поведение под "Легальное ПО" ?

 

- У трояна есть цифровая подпись ?

- троян внедрил код в доверенный процесс (в explorer.exe например) ?

 

Если верить ЛК, Мониторинг активности контролирует все процессы, и вообще всё. Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

троян внедрил код в доверенный процесс (в explorer.exe например)

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

1354199daf51.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

В том-то и дело, что не всё контоллируется...

 

По мойму в этой-же теме уже было написанно кратко:http://www.anti-malware.ru/forum/index.php?showtopic=29998&p=183921и вот: http://www.anti-malware.ru/forum/index.php?showtopic=29998

 

Всё это обходится... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.

 

http://support.kaspersky.ru/11151

 

 

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

:facepalm:  А вы уверены, что это не ложное срабатывание? Я вот думаю, что это ложное срабатывание. Антивирусу не понравился упаковщик. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.   http://support.kaspersky.ru/11151

Статистика от Николая Гребенникова: 90% юзеров KSN не лазят в настройки. Антивирус - услуга, он должен по умолчанию всё делать, такие требования выдаёт рынок. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Threat#47 для включения этой защиты достаточно произвести импорт файла-настроек, где основную работу уже сделали за пользователя, добавив нужные правила в работу HIPS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • aleks87
      Новое казино Booi 200% на депозит . Бонусы казино Booi Встречайте новое, горячее казино Буй от команды создателей культовой Play Fortuna! Эта азартная площадка порадует игроманов выгоднымибездепозитными бонусами, есть приветственный пакет, а основная изюминка проекта возврат ставок- Rebate. Это решение без преувеличений является инновационным. Официальный сайт казино Буй поразил удачным дизайном, который ярко выделяет заведение среди прочих. Онлайн казино Booi честно и быстро платит, турниры проводит с большими призовыми фондами до 6 000 евро. Да что говорить- рекомендуется к игре на деньги и бонусы.
      Как бывалый моряк, скажу – казино Буй порядочное и надежное заведение. Почему, как моряк? Да потому, что тут плавать не переплавать. Вас встретит огромное количество бонусов, акций, турниров и инноваций с возвратом денег за ставки. Различные кэшбеки и приветственные бонусы окатят вас с ног до головы. А сколько здесь игровых автоматов, ужас! Ну, в хорошем смысле слова. Я оценил лишь 5 моделей и уже заработал 5000 рублей с какой-то пятисотки. В общем, рекомендую всем доверить свои бабки молодому казино Booi и вы увидите, что Капитан оказался прав!ИнформацияПоддерживаемые языки: Английский, Немецкий, Русский Количество игр: 1217 Игровая валюта: Доллар США, Евро, Российский рубль Минимальный депозит: 5 USD Минимальная сумма вывода: 10 USD Лимиты по выводу: 3 000 EUR в день Сроки вывода: 0-24 часа Платежные cистемы: ecoPayz, Maestro, MasterCard, Neteller, PayAnyWay, PerfectMoney, QIWI, Skrill, SMS-платежи, SOFORT, Visa, WebMoney, Интер Касса, Криптовалюты, Яндекс.Деньги Игровые провайдеры: NetEnt, Betsoft Gaming, Big Time Gaming (BTG), Booongo, Elk Studios, Endorphina, Evolution Gaming, Habanero Systems, Microgaming (Quickfire), NoLimit City, Play’n’GO, Push Gaming, Quickspin, Relax Gaming, Thunderkick, Yggdrasil Gaming, Blueprint Gaming, Amatic, Red Tiger Gaming Название на английском: Booi! CasinoБонусы в Booi CasinoПриветственный бонус: Все игроманы портала могут значительно увеличить свой первый депозит на целых 200% от заведения. При этом максимальный бонус составляет целых 200 долларов. Чтобы активировать стартовое поощрение, необходимо внести сумму, превышающую 20 долларов. Вейджер поощрения – х20.Бездопозитный бонус 333 рубля: Если вы недавно стали членом игрового клуба Буй, не забудьте взять с собой приз в 333 бесплатных рублей! Играть без капиталовложений проще и, конечно же, дешевле, а тут еще и выдают бонус просто за подтверждение почты и мобильного номера телефона. Бонус сразу не вывести, необходимо учитывать правило отыгрыша по вейджеру-х40! Забрать Официальный сайт казино Booi геометрия ваших победДизайн официального сайта казино Буй отметился удачным сочетанием ярких и темных цветов. Все элементы интерфейса выполнены в стиле гиометрических фигур. Нестандартная визуальная подача заставляет геймеров остановиться и попробовать ассортимент новинок и бонусов. На стартовой страничке размещается слайдер громадных размеров, рекламирующий стартовые бонусы новых зарегистрированных игроков, турниры с внушительным призовым фондом в 100 000 долларов и другие не менее яркие поощрения. Игровая панель установлена чуть выше и выполнена в виде горизонтальной строчки с категориями: Игры, Промо, Турниры. В левом верхнем углу размещается логотип казино Буй, нарисованный в виде косой надписиBooi! и мартышки, которая вцепилась в букву B. В противоположном углу виднеется две навигационных кнопки: Регистрация и Войти. Уйма внимания любителей азартных развлечений приковано к игровому залу виртуальной игральной площадки Буй. Он разработан в виде огромного списка слотов, напоминающих иконки на рабочем столе компьютера. На них размещаются основные герои слотов и название, что позволяет игрокам изначально понять, в чем суть определенного игрового автоматв. Промотав игровой зал Booi casino, можно заметить перечень дополнительных категорий с левой стороны под ним. Здесь же имеется выбор языка интерфейса: русский и английский. Игроман может найти ценную информацию в таких категориях: О нас. Правила и условия. Ответственная игра. Партнерам. Правее от них располагается перечень самых популярных платежных систем для пополнения и вывода выигрышей: Visa/MasterCard, Maestro, Qiwi, WebMoney, Яндекс.Деньги, Skrill, Neteller. Регистрация нового аккаунта на сайтеЗакончив рассматривать удачно созданный игровой сайт, переходим к процедуре создания нового игрового профиля. Для этого необходимо клацнуть по кнопке Регистрация, расположенной в шапке сайта. При этом вас перекинет на новую вкладку, где перед глазами возникнет регистрационная анкета с предложением введения таких данных: электронный адрес почты, пароль для входа, никнейм игрока, валюта. Заполнив эти простые поля, вы нажимаете на боксик с подписью «Мне исполнилось 18 лет и я принимаю правила и условия», подтверждая регистрацию на сайте. Отнеситесь со всей серьезностью к изучению правил перед регистрацией. Даже если вы заядлый игроман, не знающий поражений, прочтите правила портала, ведь они могут отличатся от привычных вам в других азартных заведениях!Игровой зал казино Буй с лучшими слотамиКаждый бывалый игрок или зеленый новичок гемблинг индустрии найдет для себя подходящую версию аппарата на сайте casino Booi. Это обусловливается тем фактом, что новейшее заведение оснащено наиболее ходовой подборкой игральных устройств. Разработчики игорной площадки долгое время изучали конкурентов, выявляя спрос на определенные виды азартных забав. Такой подход и изучение нашенских порталов и иностранных гигантов гемблинга позволил воссоздать огромный список самых лучших игр.   Раздел Слоты игрового зала Буй казино, содержит огромное колличество классических моделей эмуляторов типа однорукий бандит. Любители данной линейки автоматов точно оценят такие предложенные названия: Big Bad Wolf, Book of Aztec, Dead of Alive и т.д. Среди невообразимого числа разновидностей автоматов также можно встретить и совсем недавно созданные автоматы: Cazino Zeppelin, Champions of Rome, Carnaval Forever.Любителям интеллектуальных развлечений больше подойдет сборка игр, размещенных в категории Настольные игры. Игроки с радостью встретят большо число столов в блэкджек, покер, рулетку, баккару и другие игры. Такой подход позволит геймерам, предпочитающим карты, подобрать наиболее интересную версию классических настольных и карточных игр.А те игроки, которым интересны карточные игры, но они еще не имеют достаточных навыков и не знают все комбинации наизусть, рекомендуем остановить свой выбор на видеопокере. Одноименный раздел подобных развлечений предложит большое число вариаций видеопокера:** Aces Eight Poker, All American Poker, Jack or Better.**Однако, если вам порядком надоели все виды развлечений, включая слоты и настольные забавы, возможно вас порадует подборка интересных лотерей? Опробуйте свою везучесть, испытайте судьбу, играя в популярные лотереи казино Буй: Big Instant Win Break, Bingo Bonanza, Cashapillar.В игровом зале представлены модели азартных устройств с прогрессивным джекпотом. И если в других конкурентных площадках такие игры редкость или имеются, но в небольшом количестве, то здесь их пруд пруди. Встречайте самые интересные развлечения с возможностью сорвать главный куш портала: 88 Dragon, A Night Paris, Bell of Fortune и т.д. Если вы хотите провести азартный досуг в компании настоящих игроков и живого крупье, обратите ваше внимание на категорию Live-игры. Только здесь вы найдете внушительное число видов рулетки, покера, баккары, блэкджека, и все это с настоящими профессиональными крупье. Вам скрасят досуг симпатичные девушки, идеально знающие правила игры и владеющие несколькими языками. Такая игра с применением веб-камеры позволит совершить виртуальное путешествие в реальный игровой клуб. Таков парадокс.Мобильная версия Буй казино Забудьте о тех временах, когда вам приходилось бежать с работы домой в надежде засесть за компьютером и сыграть в любимые игровые автоматы. Забудьте о тех очередях на компьютер с домашними. Используйте свой смартфон или планшет на полную – включите мобильную версию интернет-казино Буй и наслаждайтесь азартной игрой прямо в офисе или на отдыхе с друзьями. Круглосуточные игровые баталии ожидают вас на дисплее телефона на базе ОС Android или iOS. Тем более, для игры в такие автоматы достаточно простой и бюджетной модели. Подключайтесь к мобильному интернету и начинайте зарабатывать прямо сейчас!
    • aleks87
    • AM_Bot
      Корпоративные унифицированные шлюзы безопасности Next Generation Performance Series (Zyxel USG) от популярного много лет на российском рынке тайваньского производителя Zyxel Communications Corporation поддерживают все современные защитные технологии — межсетевой экран нового поколения (NGFW), антивирус, антиспам, модуль контентной фильтрации, контроль приложений, организацию защищенного канала VPN и др.   ВведениеМодельный ряд унифицированных шлюзов безопасности Zyxel USGОсновные функциональные возможности линейки Zyxel USGКак работают функции безопасности в Zyxel USGМладшие модели Zyxel USG40/40W/60/60WСтаршие модели Zyxel USG110/210/310 и USG1100/1900Особенности администрирования устройств линейки Zyxel USGСервисы и лицензирование устройств линейки Zyxel USGВыводы ВведениеНа рынке корпоративной информационной безопасности все чаще встречаются тезисы о том, что средства защиты информации, каждый со своей отдельной функциональностью, не работают, поскольку реальному бизнесу нужны законченные решения. Большинству руководителей среднестатистических компаний не так важно, что ваше средство умеет лишь что-то одно: защищает лучше всего от вредоносов, спама, превосходно фильтрует веб-трафик или способно организовать VPN. Необходим комплексный продукт, который сможет обеспечить адекватный уровень кибербезопасности, при этом обладая максимальным набором инструментов на борту.Для решения этой задачи разработаны унифицированные шлюзы безопасности Next Generation Performance Series Zyxel USG (решения класса UTM — Unified Threat Management) с модулем NGFW (Next Generation Firewall) на борту.Компания Zyxel уже более 30 лет производит устройства для организации сетевой инфраструктуры всех масштабов и знакома практически любому айтишнику в России еще по Dial-Up-модемам с конца 1990-х — начала 2000-х. Традиционно мы привыкли встречать Zyxel в сегменте устройств для дома и SOHO, однако начиная с 2015 года вендор вышел на рынок кибербезопасности, выделив ИБ в отдельное направление. Линейка корпоративных решений Zyxel достаточно широка, охватывает все сегменты рынка и призвана удовлетворить потребности практически любой компании. Рисунок 1. Портфель продуктов Zyxel для обеспечения корпоративной безопасности Решения по обеспечению информационной безопасности представлены четырьмя классами устройств: средства построения сетей VPN (линейка Zywall VPN), решения по защите от целенаправленных атак (линейка Zywall ATP), SD-WAN шлюзы Nebula с облачным централизованным управлением (линейка NSG Series) и универсальные шлюзы безопасности (Zywall USG). Cегодня мы подробно поговорим о Zyxel USG Performance Series. Модельный ряд унифицированных шлюзов безопасности Zyxel USGЛинейку USG Performance Series можно разделить на две группы моделей:USG40/40W/60/60W (младшие модели) — используются для защиты небольших и микропредприятий, подходят для решения задач по защите от вредоносных программ и запрещенных приложений и рекомендованы к применению там, где не требуются высокие скорости или обязательная отказоустойчивость;USG110/210/310/1100/1900 (старшие модели) — разработаны специально для удовлетворения потребностей современных крупных предприятий и сектора SMB+, которым помимо эффективного решения для оптимизации приложений и комплексной защиты сети нужна высокая доступность системы безопасности и консолидированное применение политик.Краткие характеристики всех моделей линейки приведены ниже. Таблица 1. Ключевые характеристики моделей устройств Zyxel USG SeriesМодельUSG40/40WUSG60/60WUSG110USG210USG310USG1100USG1900Пропускная способность межсетевого экрана, мбит/с4001,0001,6001,9005,0006,0007,000Максимальное число одновременных клиентских сессий50,000100,000150,000200,000500,0001,000,0001,000,000Пропускная способность UTM (антивируса и средства предотвращения вторжений), мбит/с5090450500550650710Пропускная способность средства предотвращения вторжений, мбит/с9515059066090010001200Пропускная способность антивируса, мбит/с5090450500550650710Поддержка сервисов Amazon VPCДаДаДаДаДаДаДаВозможность собрать отказоустойчивый кластер (HA)--ДаДаДаДаДаПоддержка управления точками доступа WiFi'--ДаДаДаДаДаФункция авторизации Facebook WiFiДаДаДаДаДаДаДаС полным перечнем всех продуктов компании Zyxel можно ознакомиться на официальном сайте. Основные функциональные возможности линейки Zyxel USGУстройства Zyxel серии USG соответствуют требованиям, предъявляемым к комплексным решениям класса UTM, и состоят из следующих модулей безопасности: межсетевой экран следующего поколения (NGFW), модули построения IPSec VPN и SSL VPN, средство обнаружения и предотвращения вторжений (IDP), контроль приложений, антивирус, антиспам, модуль контентной фильтрации, проверка и инспекция SSL-трафика (последний — только для моделей USG110/210/310 и USG1100/1900).Наличие этих функций призвано пресекать использование веб-приложений в личных целях, например, злоупотребление социальными сетями, видеохостингами и иным развлекательным контентом. Инструменты безопасности включают в себя интересную функцию — SSL Inspection, что позволяет детектировать угрозы в зашифрованном SSL-трафике. Самая свежая версия модуля Content Filtering 2.0 реализует фильтрацию трафика к сайтам, работающим по протоколу HTTPS, и обеспечивает безопасный серфинг пользователей в браузерах, блокировку IP по геометкам и другие функции защиты веб-соединений. Все устройства поддерживают работу с протоколами как IPv4, так и IPv6. Более детально функции безопасности разобраны в следующем разделе.Список технологий, реализованных в Zyxel USG, в полной мере оправдывает отнесение линейки к решениям класса «все-в-одном». И, что самое главное, Zyxel USG поддерживает все возможные технологии и способы подключения пользователей, без необходимости смены привычных для работы инструментов. Управлять точками доступа Wi-Fi, любыми каналами (проводные каналы, USB-модемы), настраивать защищенную сеть VPN между офисами, контролировать работу и оптимизировать пользователей в интернете, а также обеспечить информационную безопасность в комплексе — все это доступно в рамках одного установленного устройства Zyxel USG. Рисунок 2. Наиболее интересные функциональные возможности устройств Zyxel USG Series  Шлюзы серии USG обеспечивают бесперебойную работу в интернете с поддержкой двух (для моделей USG40/40W/60/60W) или более (для моделей USG110/210/310 и USG1100/1900) сетей по технологии multi-WAN для активной балансировки нагрузки или активно-пассивной отказоустойчивости. Кроме того, устройства оснащаются USB-портами для возможности подключения внешних сотовых модемов.В устройства серии USG интегрирован контроллер WLAN с поддержкой протокола CAPWAP (Control And Provisioning of Wireless Access Points — специализированный туннельный протокол, используемый для взаимодействия контроллера и точек радиодоступа), что обеспечивает централизованную аутентификацию, доступ и управление несколькими точками доступа в сети. В зависимости от конкретной модели и активированной лицензии универсальный шлюз одновременно может управлять до 130 точками доступа, при этом поддержка 2 точек доступа включена по умолчанию для всех устройств. Таким образом, компания может масштабировать беспроводную сеть и предоставлять Wi-Fi в отдельных зонах, например в переговорных комнатах и на ресепшен, при этом обеспечивая необходимый уровень разграничения доступа. Для этого на борту устройств имеются такие функции управления хотспотами, как система учета трафика и биллинг (для разворачивания платного Wi-Fi). Чтобы неавторизированные клиенты могли получить доступ к внешним ресурсам без сложной процедуры авторизации, реализована отдельная функция Walled Garden (позволяет задавать список разрешенных таким пользователям адресов). Zyxel USG поддерживает аутентификации пользователей одновременно разными методами, возможность авторизоваться через социальные сети и прописать собственное пользовательское соглашение (User Agreement), что повышает удобство, позволяет организовать дополнительные платные услуги и выполнить некоторые формальные требования. Как работают функции безопасности в Zyxel USGС помощью Zyxel USG компания может построить многоуровневую систему защиты своей сети от различных угроз и осуществлять блокировку доступа к подозрительным ресурсам. Реализованные технологии не только позволяют ограничить использование полосы пропускания отдельных приложений с целью повышения общей скорости интернета, но и улучшают продуктивность работы сотрудников компании.Пожалуй, две ключевые задачи любого UTM-решения — это обеспечить безопасную работу пользователей компании в интернете, а также организовать надежное и защищенное соединение между удаленными площадками.Для решения первой задачи устройства Zyxel линейки USG оснащены набором технологий защиты от вредоносных программ и оптимизации приложений. Рисунок 3. Концепция обеспечения безопасности компании при помощи Zyxel USG Series  Межсетевой экран нового поколения (Next Generation Firewall) поддерживает следующие технологии: режимы route/bridge, инспекция пакетов (Stateful packet inspection), прозрачность SIP/H.323 через NAT, разбор прикладных протоколов (ALG), детектирование аномалий в трафике, базовая защита от DDoS.Технология Intrusion Detection and Prevention (IDS/IPS) поддерживает: режимы route/bridge, сигнатурный и поведенческий анализ, автоматическое обновление и тонкую донастройку сигнатур вручную (включение/отключение, создание собственных списков и т. п.), возможность конфигурации индивидуальных профилей защиты.Application Patrol выполняет следующие функции: полный контроль использования популярных веб-ресурсов и приложений пользователями с поддержкой категорий (более 15) и гибкой настройкой, шейпинг трафика от определенных приложений, дополнительная авторизация пользователей, статистика и отчеты, специальные IDP/ADP-коннекторы для соцсетей.В устройствах реализованы антивирус Zyxel AV (движок от партнера — Bitdefender) и антиспам Zyxel AS (движок от партнера — CyREN), которые поддерживает: более 650 000 сигнатур вирусов, все популярные почтовые протоколы, HTTP, файлы неограниченного размера, автоматическое обновление баз, фильтрацию по IP-репутации, движок Recurrent Pattern Detection (RPD), распознавание X-Header, черные и белые списки, отчеты.Интегрированный в Zyxel USG Content Filtering 2.0 обеспечивает фильтрацию социальных сетей, вредоносных сайтов, блокировку сайтов (в том числе работающих по протоколу HTTPs), в том числе по ключевым словам, а также заданием отдельно черных и белых списков URL-адресов. Модуль осуществляет блокировку активного содержимого страниц в браузерах пользователей (Java Script, ActiveX и cookies), проверяет URL сайтов по собственной облачной базе потенциально опасных адресов. Реализована возможность ограничения серфинга пользователей по гео-IP и задания отдельных страновых политик. Для удобства администрирования и прозрачного взаимодействия с пользователями с помощью Content Filtering можно настроить перенаправление запросов (web-редирект) с выводом собственного информационного сообщения. Стоит отметить, что число подключаемых (пропускаемых через модуль Content Filtering) пользователей искусственно ничем не ограничено.Для организации защищенного VPN-соединения между филиалами Zyxel USG позволяет построить соединения по технологии site-to-site IPSec VPN. Ключевые географически удаленные друг от друга площадки с повышенными требованиями к надежности соединения возможно подключать с дополнительным применением IPSec VPN HA (load balancing and failover) для обеспечения постоянной доступности VPN-сессий. Отдельные пользователи могут получить защищенный доступ к ресурсам компании со своих персональных устройств (компьютеров, планшетов, смартфонов) через SSL, IPSec или L2TP over IPSec VPN. Кроме того, шлюз Zyxel USG способен интегрироваться с Amazon VPC (посредством IPSec VPN) для безопасного доступа к размещенным там приложениям. Рисунок 4. Технология построения VPN с помощью Zyxel USG Series  В рамках реализации IPSec VPN шлюз поддерживает все современные технологии данного стека:алгоритмы шифрования AES, DES, 3DES;VTI (Virtual Tunnel Interface) — применяется для создания маршрутизирующего интерфейса с целью более удобного управления и терминирования IPSec-туннелей;управление ключами (manual key, IKEv1, IKEv2 with EAP);прозрачность IPSec через NAT;обнаружение Dead peer (неиспользуемых, «мертвых» пиров);стандарт сертификатов и ключей согласно PKI X.509;организация VPN-кластера для повышенной доступности High Availability (HA) в двух вариантах: loadbalancing (балансировка нагрузки) и failover (отказоустойчивый);построение L2TP и GRE туннелей поверх IPSec;поддержка взаимодействия с протоколами iOS L2TP/IKE/IKEv2 VPN (от компании Cisco);гибкое и настраиваемое подключение VPN-клиентов.Модуль SSL VPN поддерживает любые браузеры операционных систем Windows и macOS и широкий набор протоколов (HTTP, FTP, SMTP, POP3, IMAP4). В модуле реализована технология full-tunnel (установка поверх дополнительного PPTP-соединения от клиента до шлюза). Для дополнительного удобства и прозрачности для пользователей можно настроить двухшаговую аутентификацию и кастомизировать клиентский портал на шлюзе. Младшие модели Zyxel USG40/40W/60/60WСохраняя все функции полноценного UTM, Zyxel USG USG40/40W/60/60W обеспечивают безопасность корпоративного класса (включая преимущества Next Generation Firewall) по цене, доступной для небольших компаний. Кроме того, в этих устройствах используется Fanless (безвентиляторный) метод охлаждения, что особенно важно в отсутствии выделенных серверных комнат на малых предприятиях. Таблица 2. Внешний вид и базовые параметры устройств Zyxel USG USG40/40W/60/60WМодельСпецификацияUSG40USG40WUSG60USG60W     Интерфейсы3 x LAN/DMZ, 1 x WAN, 1 x OPT3 x LAN/DMZ, 1 x WAN, 1 x OPT4 x LAN/DMZ, 2 x WAN4 x LAN/DMZ, 2 x WANПорты USB1122Консольный портДа (RJ-45)Да (RJ-45)Да (DB9)Да (DB9)Возможность монтажа в стойкуНетНетДаДаБесшумная технология охлажденияДаДаДаДаМакс. число интерфейсов VLAN881616Максимальное число туннелей IPSec VPN20204040Максимальное число соединений SSLVPN15152020Максимальное число управляемых точек доступа (AP)18181818Физические размеры216 x 143 x 33216 x 143 x 33242 x 175 x 36272 x 187 x 36 Для управления устройствами Zyxel USG USG40/40W/60/60W предусмотрен упрощенный режим настройки EASY MODE, который специально рассчитан на пользователей из небольших компаний. Рисунок 5. Панель управления режима EASY MODE устройств Zyxel USG USG40/40W/60/60W  При использовании этого режима настройка конфигурации выполняется с помощью удобных интегрированных программ-мастеров (wizard) с неперегруженным интерфейсом. В то же время наличие режима EASY MODE никоим образом не означает урезание функциональности (за исключением модуля SSL Inspection) и не ограничивает администраторов в дополнительных расширенных настройках. Старшие модели Zyxel USG110/210/310 и USG1100/1900Серии USG110/210/310 и USG1100/1900 функционально идентичны и различаются в основном только техническими характеристиками и, соответственно, производительностью. Таблица 3. Внешний вид и базовые параметры устройств Zyxel USG USG110/210/310/1100/1900МодельСпецификацияUSG110USG210USG310USG1100USG1900       Интерфейсы4 x LAN/DMZ,2 x WAN, 1 x OPT4 x LAN/DMZ,2 x WAN, 1 x OPT8 x GbE (конфигурируемые)8 x GbE (конфигурируемые)8 x GbE (конфигурируемые)Порты USB22222Консольный портДа (DB9)Да (DB9)Да (DB9)Да (DB9)Да (DB9)Возможность монтажа в стойкуДаДаДаДаДаМакс. число интерфейсов VLAN163264128128Максимальное число туннелей IPSec VPN10020030010002000Максимальное число соединений SSLVPN150150150500750Инспекция SSL (HTTPs)ДаДаДаДаДаМаксимальное число управляемых точек доступа (AP)343434130130Возможность установки в кластер (HAPro)ДаДаДаДаДаРезервирование внешних соединений (LinkAggregation)НетНетДаДаДаУправление хотспотамиДаДаДаДаДаФизические размеры300 x 188 x 44300 x 188 x 44430 x 250 x 44430 x 250 x 44430 x 250 x 44 Ключевое отличие старших моделей Zyxel USG — наличие механизма кластеризации и повышенной отказоустойчивости. Шлюзы USG110/210/310 и USG1100/1900 гарантируют высокое качество соединения, обеспечивая постоянно доступную связь. При развертывании внутри устройства собираются в кластер active-passive High-Availability (HA) или failover (в режиме соединения при сбоях). Для обслуживания указанных режимов компанией Zyxel разработан специальный сервис Device HA Pro, обеспечивающий мгновенное переключение при сбоях.Для поддержания внешней доступности и балансировки нагрузки при использовании интернета применяется механизм multi-WAN load balancing/failover (в том числе с поддержкой сотовых USB-модемов). Кроме того, поддерживается функция IPSec load balancing and failover, улучшая отказоустойчивость VPN-соединений с помощью организации VTI (Virtual Tunnel Interface). Особенности администрирования устройств линейки Zyxel USGУправлять шлюзами серии USG и настраивать правила безопасности помогает удобный инструмент — Unified Security Policy (Единая политика безопасности). Благодаря ему администратор может применять нужные настройки для каждой из функции UTM, при этом сократив время обслуживания и получив упорядоченное управление политикой безопасности в сети компании.Инженеры Zyxel позаботились не только о качестве самих устройств, но и разработали сопутствующие утилиты, которые призваны облегчить рутинные операции по администрированию шлюзов. Одна из них — Zyxel One Network (ZON), предназначенная для автоматизации повторно выполняемых процедур развертывания и управления сетью. Zyxel One Network упрощает конфигурирование, управление и диагностику для администраторов и офицеров безопасности. Технология Zyxel Smart Connect помогает сетевым устройствам Zyxel детектировать в корпоративной сети и распознавать друг друга, что позволяет полностью автоматизировать, например, восстановление заводских настроек или перезагрузку. Для решения задачи автоматизированного и оперативного обновления прошивок в шлюзах USG Series реализована другая полезная утилита — специализированный сервис Cloud Helper.Cloud Helper обеспечивает простой поиск информации о последней версии нужной прошивки, которая устанавливается сразу же после официального релиза производителя, что гарантирует ее достоверность и актуальность. Таким образом, обслуживание всей экосистемы Zyxel в компании существенно упрощается за счет интеграции в сеть различных устройств: маршрутизаторов, коммутаторов, точек доступа Wi-Fi, шлюзов и автоматизации их обслуживания.Компания Zyxel размещает на выделенном портале Zyxel OneSecurity оперативные бюллетени и рекомендации относительно последних угроз безопасности. Кроме того, на сайте можно найти информативные материалы о новинках сетевой безопасности. Интересной фишкой является то, что поиск нужной информации выполняется одним щелчком мыши прямо в интерфейсе продуктов USG Series. Упорядоченная структура ресурса, удобные инструкции и FAQ помогают администраторам безопасности обеспечить должный уровень защиты сети компании и упрощают управление продуктами Zyxel. Сервисы и лицензирование устройств линейки Zyxel USGВ каждое из устройств линейки Zyxel USG зашит полный набор технологий, а активация той или иной функциональности происходит посредством подключения необходимой лицензии. Производителем поддерживается модульность в следующем виде:Комплексная подписка на все сервисы безопасности Zyxel (AS, AV, CF, IDP/DPI).Подписка на сервис Zyxel CF (контентная фильтрация).Лицензия Zyxel на увеличение числа одновременных SSL VPN.Подписка на сервис Zyxel AV (антивирус).Подписка на сервис Zyxel IDP/DPI (обнаружение/предотвращение вторжений и патруль приложений).Подписка на сервис Zyxel AS (антиспам).Лицензия Zyxel SecuReporter.Лицензия Zyxel на увеличение числа управляемых точек доступа.Комплект лицензий Zyxel для IPSec VPN-клиента.Лицензия Zyxel для Cloud CNM SecuManager.Таким образом политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке шлюзов USG для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности.Дополнительно Zyxel предлагает воспользоваться Сервисом по удаленной настройке оборудования и Сервисом по опережающей замене оборудования в случае выхода из строя. ВыводыУниверсальные шлюзы безопасности Zyxel линейки USG соответствуют требованиям, предъявляемым сегодня к устройствам класса UTM с полноценным NGFW на борту. Поддерживаются все современные защитные технологии: межсетевой экран следующего поколения, модули построения IPSec VPN и SSL VPN, средство обнаружения и предотвращения вторжений (IDP), контроль приложений, антивирус, антиспам, модуль контентной фильтрации, проверка и инспекция SSL-трафика.Отдельно стоит отметить реализацию системы централизованного управления, существенно упрощающую конфигурирование парка устройства в компании. Модельный ряд достаточно широкий для удовлетворения задач любых компаний: от небольшой организации до крупного предприятия. Наличие гибкой политики лицензирования позволяет подобрать необходимый набор функций, не переплачивая лишнего. В то же время всегда существует возможность докупить и моментально активировать дополнительные технологические возможности. Читать далее
    • Joji
      Я смотрел обзор на мелбет  https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html, мне она очень понравилась , есть широкий выбор , и рейтинг у нее один из самых топовых  , в использовании очень удобная , есть мобильное приложение , с выводом средств ни разу не было проблем , так что рекомендую!
    • PR55.RP55
      santy Идеально не бывает - в ряде случаев команды применить можно, а  в ряде нет. Антивирусы и их хвосты так, или иначе приходиться удалять. Можно привести десятки тем  и с файлами и без файлов. Речь вот о чём:  У оператора должен быть выбор... свобода действия. И там где можно отдать одну команду оператору не придётся отдавать 10 команд. У каждого свой метод. и у оператора должен быть выбор. Кроме того это вопрос времени - когда время есть - это одно... тогда можно и критерии составлять. А иногда нужно быстро удалить ( и уже в свободное время заниматься анализом, критериями, сигнатурами )
×