Перейти к содержанию
Anmawe

Технологии защиты от шифровальщиков. Какой антивирус лучше защитит личные файлы?

Recommended Posts

Threat#47

Образец нашёл. А теперь подробности, не маловажные. 

@priv8v

Вы дали скрин фаера, судя по нему, репутационного рейтинга не было не у дроппера, а у распаковавшегося элемента. SONAR не смог обнаружить. Да, я даже рад, уж слишком много видит. 

Но репутация то.....Ws.Rep.1 - детект. Так что, защиту не сломали. 

678964301e2b.jpg
1adcfbec687c.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

 

рейтинга не было не у дроппера, а у распаковавшегося элемента

 

Насколько я помню - это был не распаковавшийся элемент, а просто селфкопия.

 

 

PS: как я и предполагал, доказывание про Симантек будет продолжаться до бесконечности - никакие технологии в последнее время на форуме как-то нельзя отвлеченно обсуждать, туда придет какой-нибудь товарищ с характерными одинаковыми подписями (около трех новичков в последний месяц вижу) в подписи и начнет рассказывать про то как что сделано у Симантека, а у остальных не очень. Даже и здесь - заговорили про технологию от шифровальщиков, а скатывается все к тому, что репутацию давайте обсудим и т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

 

 

Про откат у КИС http://eugene.kaspersky.ru/2011/09/15/fichi-nevidimogo-fronta/

 

Может производить откат изменений даже после довольно длительной активности зловреда - сохраняет историю изменений.

Я знаю про наличие отката у SW. SW очень хороший HIPS, но тот факт, что он не имеет Sandbox считаю большим минусом и практически именно из-за крипторов, которые детектируются им уже после шифровки файлов, при этом откат файлов плох и лишь 30% будут восстановлены. А ещё...папка Temp не резиновая.

 

Но имеет эмулятор ... Давайте разберемся - чем эмулятор отличается от Sandbox. Оба эмулирует ОС - оба делают это не на 100%

 

Согласен с вами. Но я пока не добился ни от кого ответа чего функционально они отличаются. Я предполагаю, что эмулятор банальнее и проще учитывая разные данные о применением эмуляторов. Эмулятор относится к эвристику и только к нему. Вы, похоже, решили, что он может автоHIPSу принадлежать.

 

Статья Е.К. о эмуляторе: http://eugene.kaspersky.ru/2012/03/07/emulator/

 

Цитата:

 

Эмулятор запускает анализируемый файл в искусственной среде, которая эмулирует настоящую операционную систему. У этой среды есть своя память, диск, реестр, сеть, процессы, всевозможные подсистемы – в общем всё, чтобы заставить файл думать, что его запустил обычный пользователь на обычном компьютере. Но, в отличие от последнего сценария: а) все действия файла отслеживаются, протоколируются и направляются на анализ эвристику, б) ни один вызов не выходит за пределы среды и т.о. неизвестная вредоносная программа не сможет навредить компьютеру. Ага, получается, что эмулятор «на лету» создаёт что-то вроде защищённой виртуальной машины, в которой и изучает файлы. Этакий сейфбокс для подозрительных предметов – даже если рванёт, то никого не накроет.

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

 

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

Ну так зря писали. Странно, что вы вообще стали давать этот скрин. Тут наверное все вкурсе про то, что киберприступность всегда по определению впереди. Есть вопросы, на которые до сих не получены ответы, вы знаете на них ответы? По поводу реакции антивируса я вам написал и я вам, увы, не верю. Репутацию показал, реакция должна быть, так работает продукт. У вас не сработала, увы, не знаю почему. Я знаю как должно быть. 

716afd0e7c7b.png

Вот так и должно было быть, вот реакция на образец, что у вас - не знаю. DI срабатывает либо автоматически, либо при запуске. Так что не получилось обмануть репутацию, ибо это единственная тёмная лошадка, логику которой нельзя отследить хотя бы из-за постоянной изменчивости. 

 

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

 

рейтинга не было не у дроппера, а у распаковавшегося элемента

 

Насколько я помню - это был не распаковавшийся элемент, а просто селфкопия.

 

 

PS: как я и предполагал, доказывание про Симантек будет продолжаться до бесконечности

 

До бесконечности вы не собирётесь ни в чём разбираться. Мне проверить ваше знание продукта Norton? Тестируете то, чего не знаете? Или я реакцию на скриншотах на фотошопил? Чего вы выёживаетесь? Факт есть детекта? Есть, ну так чего ещё надо? Напишите по - человечески. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Обсуждаем одно, но все равно все сведется к обсуждению других модулей, в случае с Симантеком (судя по всем ресурсам) все всегда сводится к репутации - что новый неизвестный файл Симантек заалертит, причем независимо от того, что обсуждали до этого. Конкретно в этой теме вами было многократно сказано, что сонар в песочнице задетектирует поведение и в свете этого и шли многобуквенные разговоры о том какой Симантек в этом отношении продвинутый. В итоге - пшик и съезжание на тему "ну и лан, зато он бы его репутацией словил бы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

а у остальных не очень.

Скриншоты будьте добры. 

Обсуждаем одно, но все равно все сведется к обсуждению других модулей, в случае с Симантеком (судя по всем ресурсам) все всегда сводится к репутации - что новый неизвестный файл Симантек заалертит, причем независимо от того, что обсуждали до этого. Конкретно в этой теме вами было многократно сказано, что сонар в песочнице задетектирует поведение и в свете этого и шли многобуквенные разговоры о том какой Симантек в этом отношении продвинутый. В итоге - пшик и съезжание на тему "ну и лан, зато он бы его репутацией словил бы".

Странные вещи пишите. Т.е. вы считаете, что репутация не уровень защиты? А не расскажите про "логику" её работы? Вы там наверное досканально знаете то, чего мало кто знает. Только без аля "файл неизвестен"=плохая репутация, чушь, это всего лишь один из критериев. 

Пользователь спасён? Спасён. Что ещё требуется? Вы говорите так, будто на 100% знаете что такое Ws.Rep.1. В чём я сильно сомневаюсь, ибо и я и любой не сможет доказать точное знание этого детекта, ибо он облачный и очень сложно уловить чётко его реакцию, ежу ясно, что система признаков (+независимые репутационные признаки) - не один признак и обойти это куда сложнее. Это как раз и доказал ваш семпл. SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

 

. "зелёный"=не опытный, не разбирающийся.  :lol: Кто о чём. Вы что сейчас хотите? Вы почему-то мне это сейчас написали, но я не понял почему. ЭМУЛЯТОР=ЭВРИСТИК, ВСЁ! Вас ещё что-то беспокоит? Сколько раз можно повторять. Ну не связен он с HIPSом, НИКАК! (ну, может межпрограммным интерфейсом, который в KIS есть, это вообще другая история). 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

 

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

 

. "зелёный"=не опытный, не разбирающийся.  :lol: Кто о чём. Вы что сейчас хотите? Вы почему-то мне это сейчас написали, но я не понял почему. ЭМУЛЯТОР=ЭВРИСТИК, ВСЁ! Вас ещё что-то беспокоит? Сколько раз можно повторять. Ну не связен он с HIPSом, НИКАК! (ну, может межпрограммным интерфейсом, который в KIS есть, это вообще другая история). 

 

Я не говорил что эмулятор у HIPS. Имелось ввиду эмулятор файлового антивируса - через который проходят все файлы. Защита то комплексная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Скриншоты будьте добры.

Буду добр:

(заскринил из ваших комментов в этой теме)

c1e9203d7a57.png

 

 

 

SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее.

Странные вещи пишете - обсуждаем одно, а юзеры Симантека все сводят к репутации. Мы вроде обсуждали встроенные в хипсы защиту от шифровальщиков, а тут - на тебе, репутация. Тогда сюда можно и сигнатурный детект приплести - это ведь тоже один из элементов защиты. Но мы конкретно вроде на протяжении трех страниц обсуждаем хипсы.

 

Мы же не комплексную защиту обсуждаем и не репутацию? Или когда прижмет обсуждаем что угодно лишь бы про Симантек хорошо было сказано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Я не говорил что эмулятор у HIPS. Имелось ввиду эмулятор файлового антивируса - через который проходят все файлы. Защита то комплексная.

 

Так, это понятно, само собой. McAfee вон вообще пытается только эмулятором и обходится, как и ESET, кстати. 

 

Скриншоты будьте добры.

Буду добр:(1)

(заскринил из ваших комментов в этой теме)

c1e9203d7a57.png

 

 

 

 

SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее.

Странные вещи пишете - обсуждаем одно, а юзеры Симантека все сводят к репутации. Мы вроде обсуждали встроенные в хипсы защиту от шифровальщиков(2), а тут - на тебе, репутация. Тогда сюда можно и сигнатурный детект приплести - это ведь тоже один из элементов защиты. Но мы конкретно вроде на протяжении трех страниц обсуждаем хипсы.

 

(1) Пффф, так это факты, увы, техническая проблема. А что поделать? У Symc их нет? Думаю, что самая напрашивающаяся - ложняки репутации. Довольны? Я просто описал то, что волнует меня и хотел по реакции убедится, что нет реальных причин не делать песок для SW. Я Касперского тоже использую. 

(2) Если с позиции SONAR, то тем более зачем скрины? Это и так понятно. HIPS работает по профилям, даже если он имеет логику для контроля действий, которые не свойственны опред. семействам зловредов - можно найти к нему подход и даже контекстные данные репутационные могут не помочь. Это и так мне известно. 

 

Кстати, а тест был на виртуалке? А можете провести на реальной машине? Если нет, то я попробую. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

(1) Пффф, так это факты, увы, техническая проблема. А что поделать?

А я и не говорил что вы лжете. Вы высказываете свое мнение и свою точку зрения. Так что это вполне укладывается в то, что я об этом написал: "рассказывать про то как что сделано у Симантека, а у остальных не очень".

 

(2) Если с позиции SONAR, то тем более зачем скрины?

Потому, что я не съезжаю с темы. Обсуждаем хипсы и их способность поведенчески детектировать шифровальщики (в песочнице, в эмуле, на реальной машине с откатом и т.д - как раз это и обсуждали), вот в тему я и дал скрин. После чего уже вы начали просто прекращать это обсуждение и вести речь о репутации снова и снова, скриншоты+скриншоты и снова.

 

Какое-то бесполезное обсуждение выходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

(1) Пффф, так это факты, увы, техническая проблема. А что поделать?

А я и не говорил что вы лжете. Вы высказываете свое мнение и свою точку зрения. Так что это вполне укладывается в то, что я об этом написал: "рассказывать про то как что сделано у Симантека, а у остальных не очень". (1)

 

(2) Если с позиции SONAR, то тем более зачем скрины?

Потому, что я не съезжаю с темы. Обсуждаем хипсы и их способность поведенчески детектировать шифровальщики (в песочнице, в эмуле, на реальной машине с откатом и т.д - как раз это и обсуждали), вот в тему я и дал скрин. После чего уже вы начали просто прекращать это обсуждение и вести речь о репутации снова и снова, скриншоты+скриншоты и снова.

 

Какое-то бесполезное обсуждение выходит. (2)

 

(1) Не укладывается, потому что вообще не делался упор, что у Symc хорошо (я там ещё Aegis указывал, и AVC). Выходит, и у TrendMicro круто, и у BitDefender - вы не правы. 

(2) Для начала вы не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствие песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось. А кто-то опять подумал о чём-то своём и прочитал свою реакцию на посты, но не сами посты. 

Если вы хотите опровергнуть, что SONAR не хорошо спасает от повреждения данных, найдите зловред, который будет обнаружен SONAR-ом после шифровки данных. Правда и здесь я не говорю, что какой-то зловред-криптор не увидит песочницы SONAR, всё возможно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Не укладывается, потому что вообще не делался упор, что у Symc хорошо

 

Окей, это ваша точка зрения изнутри вашей черепной коробки, свою я озвучил выше. Тут спорить сложно, т.к это вопросы восприятия, возможно, что мне это только кажется, что у вас слишком много упоминаний симантека практически в каждом сообщении в хорошем ракурсе, а других наоборот.

 

Для начала в не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствия песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось

Это я и написал другими словами. Хорошо, что вы поняли и сами это написали, что обсуждались откаты действий, песок/эмуль/хипсы, а не комплексная защита от зловредов в принципе и не репутация, так что мой скрин был как раз в тему, а дальнейшие сообщения про репутацию - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз.

 

В данном случае неважно где тестить, результат будет одинаковым, что на виртуалке что на реальной системе, важно конечно тестить уже не на хрюше, а как минимум на 7-ке, ибо защита на этих двух системах может отличатся (Например в хрюше какие-то модули могут не работать)...

 

А так непонятно, почему считаете что на виртуалке тестить нельзя, что АВ использует какие-то там совсем-уж низкоуровневые механизмы, которые выходят за пределы винды и виртуалка их ломает, или что ?

 

По крайне мере, я сколько не тестил все системы работали, визуально точно, никаких ошибок в драйверах и т.д. не было ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

Не укладывается, потому что вообще не делался упор, что у Symc хорошо

 

Окей, это ваша точка зрения изнутри вашей черепной коробки, свою я озвучил выше. Тут спорить сложно, т.к это вопросы восприятия, возможно, что мне это только кажется, что у вас слишком много упоминаний симантека практически в каждом сообщении в хорошем ракурсе, а других наоборот.

 

Для начала в не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствия песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось

Это я и написал другими словами. Хорош, что вы поняли и сами это написали, что обсуждались откаты действий, песок/эмуль/хипсы, а не комплексная защита от зловредов в принципе и не репутация, так что мой скрин был как раз в тему, а дальнейшие сообщения про репутацию - нет.

 

Само собой, конечно. Просто мне показалось, что это начали обсуждать вы, вот я и напомнил, что как бы сработка есть. На то защита и комплексная. 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных (которая предварительно пытается успеть записать в Temp задеваемые криптором данные, интересно как это можно сделать, когда HDD итак занят криптором, например)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Просто мне показалось, что это начали обсуждать вы

Окей, принято. Перечитайте тему и убедитесь, что вам показалось. Предлагаю к обсуждению репутации симантека тут не возвращаться. Сильно если охота - можно создать отдельную тему.

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз.

См. мое предложение выше.

 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных

Над совершенствованием детекта шифрования в эмуле они также работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз. (1)

 

В данном случае неважно где тестить, результат будет одинаковым, что на виртуалке что на реальной системе, важно конечно тестить уже не на хрюше, а как минимум на 7-ке, ибо защита на этих двух системах может отличатся (Например в хрюше какие-то модули могут не работать)...

 

А так непонятно, почему считаете что на виртуалке тестить нельзя, что АВ использует какие-то там совсем-уж низкоуровневые механизмы, которые выходят за пределы винды и виртуалка их ломает, или что ? (2)

 

По крайне мере, я сколько не тестил все системы работали, визуально точно, никаких ошибок в драйверах и т.д. не было ! ;)

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

(2) По разным данным известно, что если антивирус не имеет документированной поддержки виртуальной системы, могут быть косяки с самозащитой и проактивной защитой, в том числе HIPS-защитой (сам осознал это в 2011 году, увидел разницу). Знаю, что SEP имеет поддержку виртуалки VmWare, но Norton таковой не имеет. Вот для чистоты эксперимента и хочу, чтобы на реальной тачке проходил тест. 

 

 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных

Над совершенствованием детекта шифрования в эмуле они также работают.

 

Само собой. Но тут мы опять упираемся в тему "есть ли преимущества у Sandbox HIPSа перед эмулятором. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение WS.Reputation.1 выделил в отдельную тему. Просьба придерживаться темы "Защита от шифровальщиков"  :flood: 

 

http://www.anti-malware.ru/forum/index.php?showtopic=30120

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×