Перейти к содержанию
Anmawe

Технологии защиты от шифровальщиков. Какой антивирус лучше защитит личные файлы?

Recommended Posts

Anmawe

 

есть ли у какого-нибудь бесплатного антивируса  компонент, который умеет определять, что эта программа вредоносная и откатывать действия вредоносной программы

 

Речь о насколько опасном уровне действий? До 4 разных ключей (вроде Run, Runservice, что-то в Software) и созданные файлы (exe, dll, sys; bat, vbs, scr, reg)? Или убитая MBR?

 

 

Почитайте здесь например http://eugene.kaspersky.ru/2011/09/15/fichi-nevidimogo-fronta/

 

Можете сами на виртуалку установить касперского  (или запустить на компе Shadow Defender, защищенный режим, но от кражи информации он не защищает) , запускать что угодно, скаченное с любых сайтов, и сами увидите, как будет работать мониторинг активности, какую активность он будет признавать вредоносной и что будет откатывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

К сожалению от шифровальщиков это незащитит...

 

В комодо что-то похожее есть, это из бесплатных ! ;)

 

А-так беккап лучшая защита, и ещё беккап должен хранится в разных местах (Хотябы личных и важных данных)...

 

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

 Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий.

К сожалению шифровальщики очень хорошо могут "Маскироваться" под легальное ПО !

 

Немного поясню как я понимаю, если я напишу сейчас фигню, поправьте меня, знаю что здесь есть люди в разы грамотней меня в этом вопросе, поэтому если где-то ошибаюсь поправьте:

 

Итак, почти все АВ отслеживают API винды, например исполняют вирус в так-называемой песочницы, и в зависимости от активности вируса, выносят ведикт что шифровальщик или нет, как уже сказал можно отслеживать API, можно ещё какое-то поведение...

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально... :(

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно... ;)

 

Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

 

А вот эту защиту очень кстати тяжело пробить ! (ИМХО)

 

По крайне мере сколько не запускал винлоков, неодин несмог заблокировать систему, вернее один всё-же смог (Это батник...), но там нужно-было запустить с правами админа его... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике, можно даже скачать билды этих шифровальщиков, из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Например, norton sonar в песочнице, прежде всего, сразу видит желание что-то "зашифровать" (поменять расширения, массированная нагрузка на HDD и т.д.), он в песке моделирует набор конф. данных типа mp3 файлов и т.д. 

 

из того-что я тестил явно не в пользу АВ, да обнаруживают сигнатурно, но если "убрать" сигнатурный детект, всё очень печально...  :(

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

В комодо есть точно такая-же песочница, точно не помню как она работает, но что-то похожее есть точно...  ;)

 

Песочница Comodo смысла сама по себе не имеет, потому что она может спасти только явных угроз (вред от которых явно заметен, сейчас очень популярна тактика паковать полезные проги с вредоносными, думаю, такая практика и раньше была распространена) и то не от всех. 

 

В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ?

 

:lol: То, что там ниже...это Е.К. написал? Знаете, форум ЛК заливается гневом и матами по поводу шифровальщиков и отчасти, это заслуга супер-убер модуля под названием SystemWatcher. 

 

Откат есть у Symantec SONAR, TrendMicro Aegis 100%, в том числе анализ в реальном времени вне песочницы, а вот чего нет у SW?

Правильно - песочницы (песок есть ещё у BitDefender AVC), что ужасно плохо, ужасно, почему?

 

Потому что когда вредонос - шифровальщик начинает бурагозить, мистер SW вместо того, чтобы просто дать ему песок, даёт ему реальную систему "порулить", при этом судорожно пытается ловить падающие тарелки в виде шифрующихся файлов, этими "осколками фарфора" он забивает папку Temp (убер-друпер технология защиты данных на базе SW, реализованная в KIS 15), когда спустя долгое время он понимает, что это вредонос, тут его осеняет - начинаем откат, эффективность отката около 30% (см. на ФКЛК).

Тех. уровень ребят из ЛК довольно высок, один из самых, но вопрос один: вы хвастаетесь офигенным эмулятором с точной копией ОС, может пора и SW подарить эту мега-штуку? 

 

Запустите шифровальщик на Norton, ага, не пройдёт и 5 секунд, как с профилем SONAR.Cryptolocker... файлик полетит в карантин с очень высокой вероятностью, при этом песок позволил SONAR-у без вреда для системы убить шифровальщика. 

Можете сами на виртуалку установить касперского

Да? А полноценная поддержка виртуальных систем имеется? Это будет искусственное испытание. Система должна быть только реальной, ибо в системных требованиях нет подтверждения о работе на виртуалках. 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Понятно, что заточить можно, но ведь с начала момента распространения зловреда очень многое может для него поменяться, экспертный HIPS ведь работает не один, а в тандеме, как минимум, с облаком, а облако выполняет миссию мониторинга, постоянного, выявляя различные связи касательно любого объекта.

(В теории, у Symc всё выглядит подобным образом)

HIPSы ловят  не обязательно поведение именно шифровальщика, это не обязательно профили под семейство, профили есть, которые заточены под конкретное поведение в системе от  инжекта в доверенные процессы до ковыряния в настройках автозапуска.

Каждый профиль по-разному использует облако и данные от др. модулей, общие профили используют очень агрессивную тактику и очень сильно зависят от репутации, например, SONAR. Heur. [...]

Зловред даже если не на бурагозит где-нибудь (если будет бурагозить хоть на пару компах (собираемые шаблоны поведения любого софта SONAR-ом или PBS в SystemWatcher), его репутация очень скоро до плинтуса опустится - в теории, так задумано, фолсы экспертных HIPSов также ловят-собираемыми шаблонами), он может распространяться с источников, активность которых будет признана вредоносной или подозрительной, репутация его снизится, до попадания на компы юзеров его могут встретить авто-дятлы и аналитики, которые могут прибить файл и без супер-анализа просто по телеметрии.

 

Если говорить о Symc, то загрузка файла с репутацией низкой или плохой - Ws.Rep.1 - карантин, отсылка в вирлаб. Т.е. даже не дойдёт до SONAR. 

Эвристика тоже завязана на репутации (её агрессивности и не доверчивости) и аналитике облака. Файлы, загружаемые извне в систему - дополнительный риск, агрессивность защиты повышается автоматически - так у Symc.

 

Один модуль обойти можно, но инфраструктуру взаимосвязанных модулей куда сложнее. Конечно, это не 100%, но сделано очень многое, чтобы обойти всё это стало если и возможно, то на довольно короткое время. 

 

Вендоры давно уже сделали большой шаг - они скрыли в облаке основные свои секреты, облако сделало модули гибкими, кто-то пошёл ещё дальше - к межпрограммному интерфейсу, к режимам работы (агрессивность проверки, глубина проверки и т.д., зависит от это ситуации).

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику.

Понятно, что практика всё расставляет на свои места. Но к чему это я?

К тому, что сам факт того, что вредонос не обнаруживался на системе злоумышленника - мало о чём говорит. Если лодка 949А Антей смогла приблизится к авианесущей группировке - это мало о чём говорит. АУГ впорядке, никто не пострадал.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы бы определились чем вы заниметесь - либо говорите конкретно за технологию, либо хвалите продукцию Симантек при каждом удобном случае по мере удобности либо сужаясь до одной конкретной технологии, либо расширяясь до всех модулей, работающих на защиту пользователя. Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно.

Добавлю ещё к тому что сказал priv8v, можно ещё попробовать с таблицей импорта поиграть (IAT), т.е. если по простому в вирусе может-быть IAT одна, а на самом деле использоваться совершенно другая и таким образом можно обходить проактивную защиту...

 

Также можно ещё как-нить извините хитровыебанно вызывать API в вирусе, много раз видел в исходниках вирусов так маскировали API...

 

Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику. Понятно, что практика всё расставляет на свои места. Но к чему это я?

Облака хорошо работают для детекта угроз направленных в массы, пример я делаю криптолок, он может не детектится не нортоном, не каспером... Далее начинаю его распространять, получаю какой-то процент жертв и в кратчайшие сроки мой зловред уже будет детектится, какие это сроки я не скажу, наверное кто работает в АВ, могут сказать сколько времени занимает обнаружение нового образца...

 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ? ;)

 

Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли?

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Товарищ Konstantin Yudin на официальном форуме Доктор веба написал, что это бредни маркетологов ЛК . (по поводу восстановления системы до её оригинального, незараженного состояния)

 

http://forum.drweb.com/index.php?showtopic=320581&p=761489

 

100% откат не возможен. такова архитектура ОС. там столько подводных камней, особенно с отложенной записью секций.

 

да да да, бредни маркетологов. у них все просто и запросто. иди сначала контекст сопоставь с процессом, когда часть операций делается отложенно из ядра от лица системы...

 

Разумеется, Доктор веб обнаруживает шифрование файлов не хуже, чем касперский

 

мониторинг активности в Доктор вебе у нас уже две версии существует. у нас детект на 6-10 файле.

 

И разумеется, касперский хуже восстанавливает файлы, а доктор веб - лучше

 

сам проверял этот механизм (мониторинг активности в касперском), работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

 

http://forum.drweb.com/index.php?showtopic=320581&p=761946

 

Однако, по мнению товарища с форума ЛК, Доктор веб с настройками по умолчанию защищает хуже

 

Товарищ Mike 1 написал

 

На настройках по умолчанию результаты у доктор веба хуже. В DrWeb нужно самому настраивать защиту от потери данных, (да эта реализация мне нравится больше чем у ЛК) но если взять среднестатистическую домохозяйку, которая не будет лезть в дебри настроек DrWeb, то восстановить файлы на дефолтных настройках DrWeb ничего не сможет.


 

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа?

 

Очевидно, что шифровальщик должен себя вести похожим образом на чистый софт (архиваторы, файломенеджеры, дефрагментаторы, перекодировщики), а не тупо "в лоб" действовать. Для этого разрабатываются модели поведения, затем они тестируются на нужных антивирусах. Также свои полномочия шифратор может "делегировать" другим программам - для удаления призвать Руссиновича, для... в общем, логика ясна. С пониманием того, как некая хуко-анализаторка работает и не фолсит можно запилить ее обход, после правки запилить снова и снова. Не важно какой это антивирус.

 

 

На форумах ЛК и доктор веб хоть и пишут, что их антивирус грохает шифровальщика уже после 3-10 защифрованного файла, но видимо, это такой рекламный трюк, чтобы те, кто в это верит, купил их антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Речь зашла про концепт обхода хипсов на основе типового поведения шифровальщика - я всколзь сказал как это делается. Зачем в ответ на мое сообщение нужно было начинать капитанить - непонятно, тем более, что это все больший и больший уход от темы, т.е оффтоп.

 

Это развёрнутое описание концепта инфраструктурного в ответ на обход с выводом, который прямо указывает на то, что наличие концепта на практике мало о чём говорит с точки зрения эффективности в реальном бою против антивируса. То время ушло. Даже APT уже не так эффективны, я могу ошибаться, но банальная политика Default Deny может остановить APT, ведь запуск запрещается по надёжному признаку. 

 

Облака хорошо работают для детекта угроз направленных в массы

 

Конечно. Но многие вендоры решили привлечь репутационные даные и данные статического анализа как ещё один эшелон защиты - репутационный, на практике это Ws.REP.1 (срабатывающий после загрузки файла), Artemis (Mcafee), UDS KSN (ЛК). Для чего? Кирилл Керценбаум (бывший глава Рос. подразделения Symc) как-то на заре выпуска 2010 линейки Norton рассказывал, основная цель - суметь принять более независимое (от технического уровня угрозы) решение относительно огромного кол-ва файлов (если знать что такое репутация и как она строится - это действительно мощнейшее средство), которые не относятся ни к "чёрному" списку, ни к "белому". Т.е. на ряду с той задачей, о которой вы сказали, есть ещё одна - использование репутации не только как мощного источника контекстных данных, но и прямое использование для детекта. 

Только-вот что делать тем, у кого этот криптолокер всё-же сработал, вопрос ?  ;)

 

Жертвы будут, конечно. Я и писал, что на короткое время такое возможно. Бэкапы в помощь. 

Запускал на виртуалке, на реальной системе тестить нет возможности

 

Жаль. На виртуалке ведь не все зубы у проактивки динамической, возможно, эмуляторы там тоже не очень, как и самозащиты. Знаю, что SEP  имеет поддержку виртуальных сред и чётко пишется, что SONAR 3.5 адаптирован под них. SONAR 5 (NS 22) такой адаптации не имеет, как и SONAR 4.5 в NIS 2014. Такая же история может быть с любыми другими антивирусами. Сегодня я на практике это не проверял, но в промежутке с 2010 по 2012 это проверяли другие люди и действительно: на виртуалке SONAR может срабатывать реже. 

 

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

фолсы экспертных HIPSов также

 

Вот пример фолса. Мой медиаплеер был добавлен антивирусом в базы не только как какой-то троян или рекламное ПО и т.д., но и в поведенческие сигнатуры. То есть при наличии программы в этих сигнатурах отчет проактивки даже не говорит, за какие действия программы её блокируют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

А вы загружали файл в систему в случае с Norton? Нужно же моделировать реальную ситуацию. А реальность: доставка с удалённого источника на комп (если уж сильно заморочиться - drive-by), далее запуск. Мы ведь не знаем логику антивируса и инженеров, которые его сделали, поэтому лучше просто сделать всё как в реальности.

А такой тест будет кому-то интересен ?

 

Если-да, то могу повторить, незнаю как у меня со временем будет, но немного времени сейчас появилось...

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

А такой тест будет кому-то интересен ?

Я ни в коем случае не требую, я просто напоминаю, что это может быть важно при проверке способности антивируса детектировать что-либо убер-обфусцированное и всё. 

 

На Каспере 2014, NIS-2014, DoctorWeb 8, ESS 7, Avast Free версию не помню, да убирал детект и запускал...

Причём детект убирался относительно легко для кого-то просто достаточно-было паконуть UPX, кому-ту делал простенький криптор...

 

Запускал на виртуалке, на реальной системе тестить нет возможности, но не думаю что это сильно на что-то влияет, система кстати хрюша правда была... :)

 

 

Тогда в антивирусах,видимо,была плохая защита от шифровальщиков, вы попробуйте на KAV 2015 , dr web 10. Обязательно с последними и актуальными базами !

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

 

Ничего не изменится. Это общая слабость у антивирусов. Очень эффективная угроза, поэтому силы злоумышленников устремлены в создание многочисленных вариантов таких угроз. 

 

 

Вы уже пробовали на KAV 2015 , dr web 10 и убедились, что они не всегда обнаруживают, что идет массовое шифрование файлов и не всегда восстанавливают все зашифрованные файлы  ?

 

Или просто предполагаете или верите, что ничего не изменится ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

(1) Для этого достаточно посмотреть их форумы. 

 

Вы же точно посмотрели, что в тех темах у пользователя именно на этом компе есть Др. Веб? Так как я не в курсе можно ли с 7 компов восстанавливать файлы по 1 лицензии (стандартно до 2 ПК). Вот пример записи из лога:

Common Dr.Web antivirus does not installed,

Dr.Web Enterprise Suite agent is not installed,

нет ключа SOFTWARE\Doctor Web, сервисов в CurrentControlSet\Services\, ключей в CurrentControlSet\Enum\Root\.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

 

Можно насобирать криптолоков, далее убрать детект, потом их запускать на реальной системе с учётом как вы сказали...

 

Также стоит отметить пару замечаний:

 

1)Реальные условия могут-быть разные:

-Загрузка exe-файла и запуск;

-Загрузка заражённого архива, распаковка и запуск;

-Запуск самораспаковывающегося архива.

 

Тогда как мимнимум нужно ещё и это тестить и смотреть на реакцию АВ, убеждёт результаты будут разные...

 

2)Понятно что неполучится потестить большую коллекцию семплов, т.к. ручная работа...

 

 

Таким образом можно обойти сигнатурный, эвристический анализ ( если под фразой "далее убрать детект" подразумеватся "использовать криптор") , но как вы обойдете, например, шаблоны опасного поведения в касперском ? Я пробовал, после криптования  шифровальщика, скаченного из инета, компонент "Файловый антивирус" в KAV 2015 не обнаруживал угрозу, но "Мониторинг активности" при запуске криптованного шифровальщика сразу обнаруживал угрозу (криптор из инета скачал) .

 

По-моему тестировать на шифровальщиках, скаченных из интернета (которые антивирусы уже обнаруживают) - неправильно, так как в антивирус уже добавлены поведенческие сигнатуры, по которым эти шифровальщики можно обнаружить. Я правильно написал ?

 

Так такой тест будет интересен или нет ?

 

Вообще конечно, если сам вирус детектится по поведению, то и после крипта будет детект тоже, крипт нужен для снятия сигнатурного детекта...

 

Тут нужно тогда искать семплы, которые "Обходят" поведенческий детект и криптовать их (Например популярные криптолокеры которые есть) !

 

Ещё вариант писать свои, или изменять исходники, но тогда тест будет "Однобоким", сам процесс создания криптолокера, не такой-уж сложный, можно сделать простенький криптолокер всего за пару строк на си, другое дело, что лучше тестить на "Боевых" образцах, ну и плюс разбавить чем-то своим...

 

Но это уже серьёзная работа будет, одному человеку непод силу мне кажется... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

(1) Для этого достаточно посмотреть их форумы. 

(2) Это ясно и без практических экспериментов.  Вектор прогресса злоумышленников устремляется за добычей денег, в большинстве случаев. Раньше это был просто вандализм. Теперь - 2 в 1. Всё всегда меняется. Ничего нет постоянного. Всегда ни один антивирус ничего не обнаруживает. И пропуск шифровальщика чуть более вероятен (из-за его эффективности и популярности), нежели пропуск другой угрозы. Антивирусы тоже на месте не стоят. 

 

 

1. Хорошо, покажите конкретные темы на их форумах, где пострадал человек, у которого был KAV KIS 2015, dr web 10 (антивирус не восстановил все зашифрованные файлы) .

 

Я вот не понимаю - почему вы считаете, что если туда обратился человек за помощью, это значит , что у него обязательно стоял KAV KIS 2015, dr web 10, и базы были актуальны, и антивирус не отключали, или какой-либо компонент ?

 

Где вы такое видели ?

 

2. Вы хотите сказать, что если есть "поведенческие сигнатуры" в мониторинге активности, в превентивной защите, то можно обойти защиту, если троян будет работать так, чтобы не попадать под правила, заложенные в компонентах Мониторинг активности, превентивная защита ? Другими словами - троян будет работать так, чтобы не попадать под правила, заложенные в Хипсе (настройки антивируса по умолчанию) .

 

Хорошо, но многие шифровальщики вполне-так неплохо умеют скрывать "потенциально-опасные" API, а также "маскируют" своё поведение под "Легальное ПО", в принципе если интересно можете погуглить, такие технологии есть в паблике

 

Расскажите подробнее

 

 1. Как конкретно троян будет скрывать "потенциально-опасные" API ?

 2. Что значит  маскируют" своё поведение под "Легальное ПО" ?

 

- У трояна есть цифровая подпись ?

- троян внедрил код в доверенный процесс (в explorer.exe например) ?

 

Если верить ЛК, Мониторинг активности контролирует все процессы, и вообще всё. Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

троян внедрил код в доверенный процесс (в explorer.exe например)

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

1354199daf51.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Как по-вашему мнению это можно обойти, если всё контролируется, всё записывается ?

В том-то и дело, что не всё контоллируется...

 

По мойму в этой-же теме уже было написанно кратко:http://www.anti-malware.ru/forum/index.php?showtopic=29998&p=183921и вот: http://www.anti-malware.ru/forum/index.php?showtopic=29998

 

Всё это обходится... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.

 

http://support.kaspersky.ru/11151

 

 

 

Вы же про топовые решения (Каспер и Др.Веб), а не про любую проактивку. Вот пример. Проактивка вроде как сработала, заблокировала процесс svchost.exe. Но процесс остался заражен:

:facepalm:  А вы уверены, что это не ложное срабатывание? Я вот думаю, что это ложное срабатывание. Антивирусу не понравился упаковщик. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Anmawe Kaspersky Internet Security можно настроить следующим образом и тогда никакая не доверенная прога не сможет зашифровать файлы в нужных папках.   http://support.kaspersky.ru/11151

Статистика от Николая Гребенникова: 90% юзеров KSN не лазят в настройки. Антивирус - услуга, он должен по умолчанию всё делать, такие требования выдаёт рынок. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Threat#47 для включения этой защиты достаточно произвести импорт файла-настроек, где основную работу уже сделали за пользователя, добавив нужные правила в работу HIPS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • GeorgeSitly
      казино владивосток январь без регистрации интернет казино игровые автоматы обзор казино играть бесплатно казино вступительным бонусом выиграть онлайн казино форум мобильная версия гранд казино адрес казино в красноярске космос выпекаем рулетка карты для казино мундиано игра казино автаматы 13 черная рулетка x-win казино сколько стоит заказать стол в казино кристалле интернет казино блэк джэк собеседование на carnival опыт казино

      виртуальное казино африка играть в рулетку на рубли вулкан казино рулетка 10 узк онлайн казино секрет казино в киееве драйв казино бонус за регистрацию 100 рублей михаил шуфутинский казино рулетка 1 рубля бонусом игра казино империя развлечений тамплиеры гвд рулетка

      казино фараон регистрации рулетка дюймы и миллиметры база крупье казино г.саратов работа охрана в казино форумы обмен ссылками казино игр б как обойти запрет для игры в казино в выигрыш в казино правда санки рулетка казино престиж ру бонусы за регистрацию в казино бе деопозита

      wmr рулетка с маленькими ставками джойказино реклама казино в брянске как выиграть в казино в вегасе казино остров рианна русская рулетка минусовка бэк вокал казино миллион в армении дальномер лазерный-рулетка mettro condtrol казино в приморье приморский край интернет казино фараон выплачивает выигрыш отзывы

      рулетка кс го от 1 рубля для бомжей ес дроп казино гейминатор играть бесплатно рулетка metric style как выиграть крупную сумму денег в казино volcano connect.com казино браузер
    • GeorgeSitly
      новые казино микрогейминг казино зф казино кристалл 15.11.2008 казино гранд вход лазорная рулетка бош gml минемальная цена как играть в казино монте карло рулетка 3016338 сериал казино с ниловым онлайн казино минимальная ставка wmz 0 01 казино с бонусам при registraciji роял лодж казино ввести webmoney в казино и вывести на карту казино онлайн выплата через вебмани казино кости лазерная рулетка bosch glm 150 professional

      казино обзоры нужно ли платить налоги с выигрыша в онлайн казино казино леона киви казино 2014 рулетка геодезическая 30м метро невероятные факты о казино рулетка онлайн бесплатно inurl index php action register виртуальная игра европейская рулетка играть в веселою ферму русская рулетка истории о игроках казино

      рулетка usb обзоры казино вулкан набор казино смотреть отнлайн казино паштет печеночный рецепт рулетка казино после 01 июля 2019г флэш игра рулетка рулетка строительгая оптом рулетка как правильно выставить скорость шарика интернет казино с беспроигрышной лотер

      онлайн казино от 0.01 свою миссию результате получит равную долю награбленного хозяин сети казино получить бонусы от казино без депозита рулетка развод подскажите онлайн казино с бонусом в виде со стартовым капиталом рулетка «strait-line» отзывы о казино 21 нова телевидения ставки виртуальных казино и даже благотворительные пожертвования ярким казино блэк д адрес казино вулкан в г.волгодонске

      если в казино ввести неверные данные казино в гродно вакансии william hill казино минимальный депозит в казино под dxm выиграл в казино самп
    • GeorgeSitly
      рулетка с автовыплатами рулетка 0.01$ виртуальное казино анна дмитрий акулин подмосковный мент который замешан в казино что нового томск казино вавилон казино в стрептиз клубах рулетка ермак cr-um18 цена диплом казино бесплатно системы игры обыграй казино бонус поводок для кошки рулетка уроки pawno стандартное казино казино в греции салоники монако джордж казино как выиграть в казино в gta samp флеш казино на деньги

      расписание автобуса сады казино 135 советы рулетка php концерт-казино кондитерский рулетка чит чтобы выиграть в казино самп как обыграть казино в самп гороскоп казино платья казино академическая в контакте казино метелица москва в 90-х рулетка европейская колесо

      меню в казино баре рулетка raw продаю рулетку казино б.у рулетка вытяжная игра одно слово 4 картинки карты рулетка алко рулетка купить в москве рулетка олимп правила казино игры как в казино называется стол cs go fate рулетка

      kris kornell песня из казино ройяль египет сонеста бич казино про казино голден геймс мировые казино города cocoa казино отзывы убрать казино рулетка казино superomatic бесплатно online рулетка игра официант в казино вакансии москва казино игры автоматы играть бесплатно сафари

      все онлайн-казино с софтом от playtech подпольные казино в кыргызстане нтв ментовские войны6 русская рулетка казино / casino 1995 сша онлайнi онлайн казино голден стар
    • GeorgeSitly
      как заблокировать сайт казино вулкан поводок-рулетка для собак харьков получим выигрыш 35 1 казино забирает часть выигрыша себе справедливо оливье рулетка империал м казино работа администратором в москве, офисы, гостиницы, отели, казино смотреть как играют в казино вулкан беспроигрышный метод игры к казино онлайн интернет работа на дому казино казино джекпот сити метр-рулетка предназначена dead trigger казино европа в гомеле - ресторан, казино создать казино биткоин эро рулетка.ру

      рулетка энкор 5 м рулетка 50 м с открытым корпусом энкор 4134 карта казино макао смотреть закрытие казино под московье казино amg в гродно руская рулетка игра онлайн лайв рулетка онлайн бездепозитный с бонусами без загрузки вакансии казино ривьера в нижнем новгороде казино.играми.автоматы.ру passengers казино

      бонус от казино казино онлайн бонусы при регистрации список казино golden гемблинг его последствие онлайн казино байкал казино принимающие рубли qiwi webmoney казино aladdin капчагай для нокиа 5530 игру казино казино помпадур a4tech рулетка

      grand казино лазерный дальномер-рулетка leica для улицы онлайн казино на реальные бездепозитный бонус играть в казино на реальные деньги с бонусом за регистрацию баррел дело n2 казино рулетка измерительная металлическая р10у3к гост 7502-98 запрещенном казино обаяние многие богатые и казино всегда в выигрыше 5 не уничтожая братство мифы интернет казино схемы выигрыша в казино

      мошенничество интернет казино 10 лет шоу балету казино кристалл mafia 2 казино получить бонус казино фортуна как играть в техасский холдем против казино
    • GeorgeSitly
      открываем он-лайн казино продажа готовых казино построить собственно гта са как выиграть в казино выступление группы виа гра в казино 3 сентября 2008 кк обыграть казино голден гемс карманная рулетка bahco mtb-5-25 авиационная 18 платья казино схемы в казино samp-rp нарушения в казино голден палас когда откроют казино в украине 2019 заработать на казино онлайнi рулетка методi igri отзывы о онлайн казино кристалл на зелёном сукне казино, что российской империей азарт зона казино вход лучшее казино с контролем честности

      рулетка онлайн на виртуальные деньги кино попса казино 1920 казино рулетка играть сейчас онлайн игры казино игры на деньги игровые автоматы программа обманывает интернет казино картофельно-грибной рулетка рецепты с яблоками рулетка как бороться с всплывающими окнами сайтов типа казино вулкан казино клуб вулкан

      рулетка 10 метровая в спб казино слот онлайн vzarabotke как выиграл в казино сайт казино империал в г.вин рулетка 50м купить платья казино белгород в какой покер играют в казино бес платна игра фрукты коктейль казино настольная игра казино цена казино титан минимальные ставки 1 доллар

      программа для раскрутки казино крым казино 2014 ковролин для казино хард-рок казино доминикана программа для расчёта ставок рулетка чит для казино самп рп нормальная строительная рулетка существует казино города констанца румыния future казино куда сообщать о казино в перми

      создать сообщение принцип работы интернет казино отзывы казино онлайн европа страна тысячи казино в европе онлайн казино always hot деньги митяй в казино
×