Перейти к содержанию
Anmawe

Технологии защиты от шифровальщиков. Какой антивирус лучше защитит личные файлы?

Recommended Posts

Anmawe

 

есть ли у какого-нибудь бесплатного антивируса  компонент, который умеет определять, что эта программа вредоносная и откатывать действия вредоносной программы

 

Речь о насколько опасном уровне действий? До 4 разных ключей (вроде Run, Runservice, что-то в Software) и созданные файлы (exe, dll, sys; bat, vbs, scr, reg)? Или убитая MBR?

 

 

Почитайте здесь например http://eugene.kaspersky.ru/2011/09/15/fichi-nevidimogo-fronta/

 

Можете сами на виртуалку установить касперского  (или запустить на компе Shadow Defender, защищенный режим, но от кражи информации он не защищает) , запускать что угодно, скаченное с любых сайтов, и сами увидите, как будет работать мониторинг активности, какую активность он будет признавать вредоносной и что будет откатывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

 

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

 Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

К сожалению шифровальщики очень хорошо могут "Маскироваться" под легальное ПО !

 

Немного поясню как я понимаю, если я напишу сейчас фигню, поправьте меня, знаю что здесь есть люди в разы грамотней меня в этом вопросе, поэтому если где-то ошибаюсь поправьте:

 

Итак, почти все АВ отслеживают API винды, например исполняют вирус в так-называемой песочницы, и в зависимости от активности вируса, выносят ведикт что шифровальщик или нет, как уже сказал можно отслеживать API, можно ещё какое-то поведение...

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально... :(

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно... ;)

 

Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

 

А вот эту защиту очень кстати тяжело пробить ! (ИМХО)

 

По крайне мере сколько не запускал винлоков, неодин несмог заблокировать систему, вернее один всё-же смог (Это батник...), но там нужно-было запустить с правами админа его... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Например, norton sonar в песочнице, прежде всего, сразу видит желание что-то "зашифровать" (поменять расширения, массированная нагрузка на HDD и т.д.), он в песке моделирует набор конф. данных типа mp3 файлов и т.д. 

 

из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...  :(

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно...  ;)

 

Песочница Comodo смысла сама по себе не имеет, потому что она может спасти только явных угроз (вред от которых явно заметен, сейчас очень популярна тактика паковать полезные проги с вредоносными, думаю, такая практика и раньше была распространена) и то не от всех. 

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

:lol: То, что там ниже...это Е.К. написал? Знаете, форум ЛК заливается гневом и матами по поводу шифровальщиков и отчасти, это заслуга супер-убер модуля под названием SystemWatcher. 

 

Откат есть у Symantec SONAR, TrendMicro Aegis 100%, в том числе анализ в реальном времени вне песочницы, а вот чего нет у SW?

Правильно - песочницы (песок есть ещё у BitDefender AVC), что ужасно плохо, ужасно, почему?

 

Потому что когда вредонос - шифровальщик начинает бурагозить, мистер SW вместо того, чтобы просто дать ему песок, даёт ему реальную систему "порулить", при этом судорожно пытается ловить падающие тарелки в виде шифрующихся файлов, этими "осколками фарфора" он забивает папку Temp (убер-друпер технология защиты данных на базе SW, реализованная в KIS 15), когда спустя долгое время он понимает, что это вредонос, тут его осеняет - начинаем откат, эффективность отката около 30% (см. на ФКЛК).

Тех. уровень ребят из ЛК довольно высок, один из самых, но вопрос один: вы хвастаетесь офигенным эмулятором с точной копией ОС, может пора и SW подарить эту мега-штуку? 

 

Запустите шифровальщик на Norton, ага, не пройдёт и 5 секунд, как с профилем SONAR.Cryptolocker... файлик полетит в карантин с очень высокой вероятностью, при этом песок позволил SONAR-у без вреда для системы убить шифровальщика. 

Можете сами на виртуалку установить касперского

Да? А полноценная поддержка виртуальных систем имеется? Это будет искусственное испытание. Система должна быть только реальной, ибо в системных требованиях нет подтверждения о работе на виртуалках. 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Понятно, что заточить можно, но ведь с начала момента распространения зловреда очень многое может для него поменяться, экспертный HIPS ведь работает не один, а в тандеме, как минимум, с облаком, а облако выполняет миссию мониторинга, постоянного, выявляя различные связи касательно любого объекта.

(В теории, у Symc всё выглядит подобным образом)

HIPSы ловят  не обязательно поведение именно шифровальщика, это не обязательно профили под семейство, профили есть, которые заточены под конкретное поведение в системе от  инжекта в доверенные процессы до ковыряния в настройках автозапуска.

Каждый профиль по-разному использует облако и данные от др. модулей, общие профили используют очень агрессивную тактику и очень сильно зависят от репутации, например, SONAR. Heur. [...]

Зловред даже если не на бурагозит где-нибудь (если будет бурагозить хоть на пару компах (собираемые шаблоны поведения любого софта SONAR-ом или PBS в SystemWatcher), его репутация очень скоро до плинтуса опустится - в теории, так задумано, фолсы экспертных HIPSов также ловят-собираемыми шаблонами), он может распространяться с источников, активность которых будет признана вредоносной или подозрительной, репутация его снизится, до попадания на компы юзеров его могут встретить авто-дятлы и аналитики, которые могут прибить файл и без супер-анализа просто по телеметрии.

 

Если говорить о Symc, то загрузка файла с репутацией низкой или плохой - Ws.Rep.1 - карантин, отсылка в вирлаб. Т.е. даже не дойдёт до SONAR. 

Эвристика тоже завязана на репутации (её агрессивности и не доверчивости) и аналитике облака. Файлы, загружаемые извне в систему - дополнительный риск, агрессивность защиты повышается автоматически - так у Symc.

 

Один модуль обойти можно, но инфраструктуру взаимосвязанных модулей куда сложнее. Конечно, это не 100%, но сделано очень многое, чтобы обойти всё это стало если и возможно, то на довольно короткое время. 

 

Вендоры давно уже сделали большой шаг - они скрыли в облаке основные свои секреты, облако сделало модули гибкими, кто-то пошёл ещё дальше - к межпрограммному интерфейсу, к режимам работы (агрессивность проверки, глубина проверки и т.д., зависит от это ситуации).

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику.

Понятно, что практика всё расставляет на свои места. Но к чему это я?

К тому, что сам факт того, что вредонос не обнаруживался на системе злоумышленника - мало о чём говорит. Если лодка 949А Антей смогла приблизится к авианесущей группировке - это мало о чём говорит. АУГ впорядке, никто не пострадал.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы бы определились чем вы заниметесь - либо говорите конкретно за технологию, либо хвалите продукцию Симантек при каждом удобном случае по мере удобности либо сужаясь до одной конкретной технологии, либо расширяясь до всех модулей, работающих на защиту пользователя. Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Добавлю ещё к тому что сказал priv8v, можно ещё попробовать с таблицей импорта поиграть (IAT), т.е. если по простому в вирусе может-быть IAT одна, а на самом деле использоваться совершенно другая и таким образом можно обходить проактивную защиту...

 

Также можно ещё как-нить извините хитровыебанно вызывать API в вирусе, много раз видел в исходниках вирусов так маскировали API...

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику. Понятно, что практика всё расставляет на свои места. Но к чему это я?

Облака хорошо работают для детекта угроз направленных в массы, пример я делаю криптолок, он может не детектится не нортоном, не каспером... Далее начинаю его распространять, получаю какой-то процент жертв и в кратчайшие сроки мой зловред уже будет детектится, какие это сроки я не скажу, наверное кто работает в АВ, могут сказать сколько времени занимает обнаружение нового образца...

 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ? ;)

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Товарищ Konstantin Yudin на официальном форуме Доктор веба написал, что это бредни маркетологов ЛК . (по поводу восстановления системы до её оригинального, незараженного состояния)

 

http://forum.drweb.com/index.php?showtopic=320581&p=761489

 

100% откат не возможен. такова архитектура ОС. там столько подводных камней, особенно с отложенной записью секций.

 

да да да, бредни маркетологов. у них все просто и запросто. иди сначала контекст сопоставь с процессом, когда часть операций делается отложенно из ядра от лица системы...

 

Разумеется, Доктор веб обнаруживает шифрование файлов не хуже, чем касперский

 

мониторинг активности в Доктор вебе у нас уже две версии существует. у нас детект на 6-10 файле.

 

И разумеется, касперский хуже восстанавливает файлы, а доктор веб - лучше

 

сам проверял этот механизм (мониторинг активности в касперском), работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

 

http://forum.drweb.com/index.php?showtopic=320581&p=761946

 

Однако, по мнению товарища с форума ЛК, Доктор веб с настройками по умолчанию защищает хуже

 

Товарищ Mike 1 написал

 

На настройках по умолчанию результаты у доктор веба хуже. В DrWeb нужно самому настраивать защиту от потери данных, (да эта реализация мне нравится больше чем у ЛК) но если взять среднестатистическую домохозяйку, которая не будет лезть в дебри настроек DrWeb, то восстановить файлы на дефолтных настройках DrWeb ничего не сможет.


 

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

 

 

На форумах ЛК и доктор веб хоть и пишут, что их антивирус грохает шифровальщика уже после 3-10 защифрованного файла, но видимо, это такой рекламный трюк, чтобы те, кто в это верит, купил их антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

 

Это развёрнутое описание концепта инфраструктурного в ответ на обход с выводом, который прямо указывает на то, что наличие концепта на практике мало о чём говорит с точки зрения эффективности в реальном бою против антивируса. То время ушло. Даже APT уже не так эффективны, я могу ошибаться, но банальная политика Default Deny может остановить APT, ведь запуск запрещается по надёжному признаку. 

 

Облака хорошо работают для детекта угроз направленных в массы

 

Конечно. Но многие вендоры решили привлечь репутационные даные и данные статического анализа как ещё один эшелон защиты - репутационный, на практике это Ws.REP.1 (срабатывающий после загрузки файла), Artemis (Mcafee), UDS KSN (ЛК). Для чего? Кирилл Керценбаум (бывший глава Рос. подразделения Symc) как-то на заре выпуска 2010 линейки Norton рассказывал, основная цель - суметь принять более независимое (от технического уровня угрозы) решение относительно огромного кол-ва файлов (если знать что такое репутация и как она строится - это действительно мощнейшее средство), которые не относятся ни к "чёрному" списку, ни к "белому". Т.е. на ряду с той задачей, о которой вы сказали, есть ещё одна - использование репутации не только как мощного источника контекстных данных, но и прямое использование для детекта. 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ?  ;)

 

Жертвы будут, конечно. Я и писал, что на короткое время такое возможно. Бэкапы в помощь. 

Запускал на виртуалке, на реальной системе тестить нет возможности

 

Жаль. На виртуалке ведь не все зубы у проактивки динамической, возможно, эмуляторы там тоже не очень, как и самозащиты. Знаю, что SEP  имеет поддержку виртуальных сред и чётко пишется, что SONAR 3.5 адаптирован под них. SONAR 5 (NS 22) такой адаптации не имеет, как и SONAR 4.5 в NIS 2014. Такая же история может быть с любыми другими антивирусами. Сегодня я на практике это не проверял, но в промежутке с 2010 по 2012 это проверяли другие люди и действительно: на виртуалке SONAR может срабатывать реже. 

 

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

фолсы экспертных HIPSов также

 

Вот пример фолса. Мой медиаплеер был добавлен антивирусом в базы не только как какой-то троян или рекламное ПО и т.д., но и в поведенческие сигнатуры. То есть при наличии программы в этих сигнатурах отчет проактивки даже не говорит, за какие действия программы её блокируют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

А такой тест будет кому-то интересен ?

 

Если-да, то могу повторить, незнаю как у меня со временем будет, но немного времени сейчас появилось...

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

А такой тест будет кому-то интересен ?

Я ни в коем случае не требую, я просто напоминаю, что это может быть важно при проверке способности антивируса детектировать что-либо убер-обфусцированное и всё. 

 

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

 

 

Вы уже пробовали на KAV 2015 , dr web 10 и убедились, что они не всегда обнаруживают, что идет массовое шифрование файлов и не всегда восстанавливают все зашифрованные файлы  ?

 

Или просто предполагаете или верите, что ничего не изменится ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

(1) Для этого достаточно посмотреть их форумы. 

 

Вы же точно посмотрели, что в тех темах у пользователя именно на этом компе есть Др. Веб? Так как я не в курсе можно ли с 7 компов восстанавливать файлы по 1 лицензии (стандартно до 2 ПК). Вот пример записи из лога:

Common Dr.Web antivirus does not installed,

Dr.Web Enterprise Suite agent is not installed,

нет ключа SOFTWARE\Doctor Web, сервисов в CurrentControlSet\Services\, ключей в CurrentControlSet\Enum\Root\.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

 

Так такой тест будет интересен или нет ?

 

Вообще конечно, если сам вирус детектится по поведению, то и после крипта будет детект тоже, крипт нужен для снятия сигнатурного детекта...

 

Тут нужно тогда искать семплы, которые "Обходят" поведенческий детект и криптовать их (Например популярные криптолокеры которые есть) !

 

Ещё вариант писать свои, или изменять исходники, но тогда тест будет "Однобоким", сам процесс создания криптолокера, не такой-уж сложный, можно сделать простенький криптолокер всего за пару строк на си, другое дело, что лучше тестить на "Боевых" образцах, ну и плюс разбавить чем-то своим...

 

Но это уже серьёзная работа будет, одному человеку непод силу мне кажется... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

(1) Для этого достаточно посмотреть их форумы. 

(2) Это ясно и без практических экспериментов.  Вектор прогресса злоумышленников устремляется за добычей денег, в большинстве случаев. Раньше это был просто вандализм. Теперь - 2 в 1. Всё всегда меняется. Ничего нет постоянного. Всегда ни один антивирус ничего не обнаруживает. И пропуск шифровальщика чуть более вероятен (из-за его эффективности и популярности), нежели пропуск другой угрозы. Антивирусы тоже на месте не стоят. 

 

 

1. Хорошо, покажите конкретные темы на их форумах, где пострадал человек, у которого был KAV KIS 2015, dr web 10 (антивирус не восстановил все зашифрованные файлы) .

 

Я вот не понимаю - почему вы считаете, что если туда обратился человек за помощью, это значит , что у него обязательно стоял KAV KIS 2015, dr web 10, и базы были актуальны, и антивирус не отключали, или какой-либо компонент ?

 

Где вы такое видели ?

 

2. Вы хотите сказать, что если есть "поведенческие сигнатуры" в мониторинге активности, в превентивной защите, то можно обойти защиту, если троян будет работать так, чтобы не попадать под правила, заложенные в компонентах Мониторинг активности, превентивная защита ? Другими словами - троян будет работать так, чтобы не попадать под правила, заложенные в Хипсе (настройки антивируса по умолчанию) .

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике

 

Расскажите подробнее

 

 1. Как конкретно троян будет скрывать "потенциально-опасные" API ?

 2. Что значит  маскируют" своё поведение под "Легальное ПО" ?

 

- У трояна есть цифровая подпись ?

- троян внедрил код в доверенный процесс (в explorer.exe например) ?

 

Если верить ЛК, Мониторинг активности контролирует все процессы, и вообще всё. Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

троян внедрил код в доверенный процесс (в explorer.exe например)

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

1354199daf51.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

В том-то и дело, что не всё контоллируется...

 

По мойму в этой-же теме уже было написанно кратко:http://www.anti-malware.ru/forum/index.php?showtopic=29998&p=183921и вот: http://www.anti-malware.ru/forum/index.php?showtopic=29998

 

Всё это обходится... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.

 

http://support.kaspersky.ru/11151

 

 

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

:facepalm:  А вы уверены, что это не ложное срабатывание? Я вот думаю, что это ложное срабатывание. Антивирусу не понравился упаковщик. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.   http://support.kaspersky.ru/11151

Статистика от Николая Гребенникова: 90% юзеров KSN не лазят в настройки. Антивирус - услуга, он должен по умолчанию всё делать, такие требования выдаёт рынок. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Threat#47 для включения этой защиты достаточно произвести импорт файла-настроек, где основную работу уже сделали за пользователя, добавив нужные правила в работу HIPS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • denesik53
      Разработка Стратегии Создания Веб-Сайта Для Успеха Цели сайта  Прежде, обратитесь к дизайнеру, создать присутствие в интернете фирмы в Коломне, определить, каковы цели и задачи в интернете. При создании целей необходимо убедиться они:  Конкретный
       Измеримый
       Достижимый
       Реалистичный
       Своевременный Это гарантирует сможете правильно контролировать успех деятельности в интернете, даст четкое понимание хотите, присутствие в интернете, достичь.  С точки зрения типов целей любое количество вещей включают в следующие области:  Продавать
       Чтобы обслуживать клиентов
       Снизить цену
       Построить новый образ
       Общаться с внешним миром После четко определили цели в интернете, перейти к следующему этапу определения аудитории.  Цели Знание на кого хотите нацелиться, по ряду причин. Во-первых, целевые повлияет на нужен сайт сделаете подано и функциональность предоставлены, во-вторых он сможет определить, какие сообщения переданы на странице, в-третьих, он определит сегментировать информацию, представленную на странице, делаете, дают представление сделать.  При определении целей, действительно, понимаете индивидуальные потребности гарантировать сайт специально обслуживает потребности посетителей. Не тратите драгоценное время и деньги, пытаясь угадать, используют предоставленная функциональность и нет.  Сообщения ресурса Сообщения хотите передать, тесно связаны с целями и задачами. Сообщения хотите передать, повлияют на все аспекты сайта от визуального элемента до содержимого и функциональности.  Например, аудитория воспринимала включать любое количество сообщений, как:  Новаторский
       Захватывающий
       Высокое качество
       Недорогой
       Служба заказчика Например, сайт хочет передать отличное обслуживание клиентов, предоставить онлайн-службу поддержки-предоставляя клиентам возможность получить помощь 24 часа в сутки. Организация стремится передать изображение низкой стоимости, обеспечит упрощенный ресурс передает восприятие дешевой альтернативы.  Стратегия создания сайта После прояснили цели, задачи и сообщения, начать думать о типе онлайн-стратегии подходящей организационных потребностей. Сосредоточены вокруг одного из шести уровней:  Нет присутствия в интернете
       Основное присутствие в интернете
       Статический информационный ресурс
       Простой интерактивный ресурс Коломны
       Интерактивный сайт, поддерживающий транзакции пользователей
       Полностью интерактивные страницы, поддерживающий весь процесс покупки Так, например, нужен базовый информационные страницы, состоящий из двух и трех не обновлять на регулярной основе, будете смотреть на базовое присутствие. Нужен ресурс электронной коммерции связан с автономной системой инвентаризации, позволит клиентам управлять и предоставлять маркетинговые инструменты поддержки процесса покупки, полностью интерактивный сайт, подходящим потребностей.  Однако при определении типа необходимо учитывать время и затраты, поскольку, продвинутый сайт, больше времени и затрат требуется разработки.  Планирование Интернет-Маркетинга Как часть стратегии, разрабатываете план интернет-маркетинга охватывает следующие области:  Продукт - продаете? 
       Место-где будете продавать? Например, есть автономная операция? Будет деятельность в интернете необходимо связать в деятельности в автономном режиме? Как поставите продукт? 
       Продвижение-как будете получать людей, посетить сайт? 
       Цена, какие цены будете взимать с клиентов? 
       Процесс-какой процесс следовать посетители, находятся на сайте? Как вызовет призыв к действию? 
       Вещественные доказательства, какие вещественные доказательства получат посетители? Например, после заказа продукта получат автоматическое электронное письмо, отправите автоматическое электронное письмо при отправке? 
       Люди-какая сила человека потребуется поддержки деятельности в интернете? Например, нужны люди, человек 24 часа онлайн seo-3p.my1.ru,gi3-pr.my1.ru поддержки? Партнерские отношения-вам нужны, партнерские отношения, сделать деятельность в интернете на самом деле? Если да, какие типы партнеров нужны - например, технологические партнеры разработки сайта, партнеры по доставке доставки продуктов.  Охватывая электронный маркетинг, убедиться приняли внимание ключевые факторы в работе, доставке и успехе деятельности в интернете. И с каждым из элементов, тесно связанных с целями, задачами и сообщениями, гарантировать деятельность в интернете последовательной в подходе.  Вопросы проектирования и создания сайтов Если есть хорошее представление хотите сделать и собираетесь сделать обратить внимание и на дизайн сайта. Тема сама по себе, однако есть в принципе четыре области рассмотреть:  Интернет-брендинг-так, например, какого цвета хотите? Соответствовал оффлайн-бренду?
       Простота использования-как пользователи найдут путь вокруг страницы? Существует четкий процесс навигации по сайту и быстро, легко и найти необходимую информацию? 
       Доступность-как обеспечить соответствие доступности узла? Будете предоставлять посетителям возможность увеличить размер текста и изменить цвета? Будет сайт доступен в альтернативных форматах? 
       Поисковая оптимизация-смогут поисковые системы найти ресурс (т. е. не анимирован flash и состоит из текста, встроенного в изображения)?  Ваш дизайнер должен в состоянии помогут с соображениями и гарантировать сайт создан с использованием последних стандартов кодирования, установленных W3C. Но не бойтесь задавать вопросы, уточнить, ресурс соответствовать вышеуказанным соображениям.  Функциональные Требования к сайту Функциональность сайта определяться типом, процессами обеспечить через присутствие в интернете. Веб-страницы состоящих из расширенных функциональных возможностей, часто потребуется воспользоваться услугами разработчика сайтов сможет предоставить расширенные функциональные возможности. С точки зрения функциональности охватывать любое количество вещей, начиная от поиска объекта, до онлайн-регистрации, онлайн-каталог обновить самостоятельно.  При выборе функциональности сайта, убедитесь тщательно продумали, он поможет достичь целей. В противном случае понести дорогостоящий счет, с небольшим возвратом инвестиций. Хотите, предоставляет расширенный функционал, рассмотрим поэтапный подход и разработка программного обеспечения компания сможет помочь, обеспечивая минимальную переделку, основываясь на понимании будущих потребностей.  Время, деньги и ресурсы Создание и поддержание присутствия в интернете требует времени, денег и ресурсов, учитывать с начала. Помимо планирования сколько времени и денег потребуется первоначальной реализации, необходимо учитывать текущие расходы. И включать в любое количество вещей, как:  Общее обслуживание и обновление сайта, нет системы управления контентом (CMS)
       Затраты на привлечение трафика с помощью кампаний с оплатой за клик и постоянной поисковой оптимизации (SEO)
       Хостинг
       Доменные названия
       Повседневное управление сайтом, например своевременный ответ на электронные письма С каждой из затрат в ближайшее время сложения, убедиться сайт обеспечивает возврат инвестиций,  Измерение После сайт запущен и работает действительно, контролируете, помогает достижения целей. Ее нет и надо поискать почему. целый ряд полезных инструментов, один из простых вещей, аналитики.  Тип аналитического пакета зависеть от сайта, однако требуется пакет предоставит информацию о трафике, посещаемом, посещаемых страницах и лояльности посетителей. С помощью информации сможете определить популярность, а понять типы информации интересует посетителей и оценить, считается сайт липким.  Создание успешного онлайн-присутствия - не быстрый процесс, он требует времени и планирования, обеспечить успех. Разрабатывая онлайн-стратегию, гарантировать сайт поможет достичь целей, а обеспечит организации возврат инвестиций. sozdat-sait.my1.ru
    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
×