Перейти к содержанию
Мутный

Репутационная антивирусная защита Symantec (WS.Reputation.1)

Recommended Posts

Мутный

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

SEP-даже и не ставил, про NSS говорю там тоже есть настройки, можно сделать так что он будет блокировать все файлы с WS.Reputation.1 ! ;)

 

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

SEP-даже и не ставил, про NSS говорю там тоже есть настройки, можно сделать так что он будет блокировать все файлы с WS.Reputation.1 ! ;)(1)

 

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания ! :) (2)

 

(1) Нет такой. Ws.Rep.1 итак всегда удаляется. Скажите примерное название настройки. 

(2) Скрипты Insight не поддерживает. Ложняки есть, конечно. Но в пределах нормы (судя по данным лаб). 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Тут попросили Ws.Rep.1 необсуждать ! Даже и незнаю, может модератор перенесёт посты в новую тему ?

 

 

(1) Нет такой. Ws.Rep.1 итак всегда удаляется. Скажите примерное название настройки.

 

 

Не всегда, я на одном ресурсе это доказал, делал формы на делфи, асме, си и Нортон у меня на дефолте не удалял, зато у пользователя который выкручивал всё на максимум у него была реакция по репе...

 

Вот что он на максимум выкручивал:

 

 

upload_2015-2-28_12-8-41.png

 

Вот его комментарий:

 

 

Эвристику и сонар на максимум!!! Ну и разница в детекте по настройкам очевидна! У меня на вашу форму срабатывает ws.reputation.1 у вас нет!

 

post-21429-0-85693600-1430328394_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Нет, эти настройки с Insight не связаны. Он не прав. Движок Insight не настраивается. Репутация у каждого пользователя может быть разной. Это очевидно из принципа её работы. 

Ну и разница в детекте по настройкам очевидна!

 

Я бы не сказал, что разница очевидная наблюдалась. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания !

 

Ложных срабатываний может быть очень много. И к тому же будет неизбежно большая серая зона файлов и веб-сайтов, у которых вообще не будет никакой репутации. Что с этим делать? По статистике вендоров такая серая зона составляет десятки процентов.

 

На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать? :) Приехали. Если будет работать социальная инженерия, что очень часто и происходит, то юзер запустит такой exe. И даже глазом не моргнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Тот кто сделал такие настройки, участвует в тестах (Любительских) и у него чуть-ли не 100% результат, гы-гы ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Ложных срабатываний может быть очень много. И к тому же будет неизбежно большая серая зона файлов и веб-сайтов, у которых вообще не будет никакой репутации. Что с этим делать? По статистике вендоров такая серая зона составляет десятки процентов.   На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать? Приехали. Если будет работать социальная инженерия, что очень часто и происходит, то юзер запустит такой exe. И даже глазом не моргнет.

Репутация в реализации Symantec и нужна для автоматической оценки серой зоны. Изначально так было задумано. Её подозрение - повышение агрессивности всех уровней защиты (особенно эвристик как с цепи срывается, Susp.Cloud который) ну и т.д. И вы правы - ложняков много, на популярный софт однако их почти нет - см. тесты, по данным Av-test за весь 2014 год точность защиты выше, чем у точного ESETа, но бывает ведь хочешь найти редкий файл, Ws.Rep.1 ему обеспечен почти наверняка даже если он не вредоносный и даже не новый. Всё же, это нормально, лучше пере,чем недо, особенно с учётом большинства на разумных пользователей.  Опытный проверит файл, новичок перестраховался и доверился антивирусу. Случаются ложняки на практике (уже более 5 лет использую) не часто, белые списки у Symc большие. 

a932558ae890.png

 

 

На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать?

Это бывает не часто и благо (я видел только один раз за 5 лет), что защита комплексная. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

серая зона файлов и веб-сайтов

Сайты да, если рассуждать с точки зрения блокировки по url, такие сайты без репутации и требующие что-то конфиденциальное вводить анализируются Scam Insight, она предупреждает о рисках, сайт летит в вирлаб.  

Если эвристик плагина SafeWeb что-то спалит - блокировка как "подозрительного", о сайте будет тут же сообщено вирлабу.

Есть IPS, который по факту знает зловредные техники и если кто-то зайдёт на такой сайт, где IPS что-то спалит или будет подозревать - сайт репутацию быстро потеряет, если на сайте есть файл,на который что-то сработало от Download Insight до SONAR - репутация снизится, сайт в вирлаб на проверку.

Ну и т.д. и т.п. 

 

 

В целом, репутация сайта формируется через анализ взаимосвязей разных факторов от георасположения до телеметрии (сработки на сайт технологий анализа содержимого, на файлы с сайта...).

 У Symc (как и у ЛК) репутация по сайтам понятие комплексное и если о сайте вообще ничего неизвестно - чисто репутация не поможет, может только предупредить (Scam Insight).

 

Эффективнее всего использовать против веб-сайтов именно репутацию получается у McAfee и TrendMicro. Ложные есть, но так ли это критично, ведь сайтов поисковик выдаёт целую тонну на запрос. Подробнее сказать не могу, не знаю как реализовано.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Эффективнее всего использовать против веб-сайтов именно репутацию получается у McAfee и TrendMicro. Ложные есть, но так ли это критично, ведь сайтов поисковик выдаёт целую тонну на запрос. Подробнее сказать не могу, не знаю как реализовано.

 

А McAfee такая репутация для сайтов ... просто жесть. Они даже наш сайт считали опасным одно время http://www.anti-malware.ru/forum/index.php?showtopic=4378

Ws.Rep.1 ему обеспечен почти наверняка даже если он не вредоносный и даже не новый. Всё же, это нормально, лучше пере,чем недо, особенно с учётом большинства на разумных пользователей.  Опытный проверит файл, новичок перестраховался и доверился антивирусу. Случаются ложняки на практике (уже более 5 лет использую) не часто, белые списки у Symc большие. 

 

Я вообще рекомендую неопытным юзерам ставить только подписанные ЭЦП программы. В этом случае ложных срабатываний на Ws.Rep.1 не должно быть вообще. Так как почти все из серой зоны скорее всего не будет подписано. Да и вообще сейчас нет смысла ставить непонятный ноунейм софт. Приличные канторы все свои продукты отдают антивирусным компаниям для добавления в белые списки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Я вообще рекомендую неопытным юзерам ставить только подписанные ЭЦП программы

Не подскажишь случаем каким способом и с помощью каких файлов обновляются скайп и адоб плеер? ;)

 

Так как почти все из серой зоны скорее всего не будет подписано.

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

 

Приличные канторы все свои продукты отдают антивирусным компаниям для добавления в белые списки.

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

Так разумнее. Сделал ПО. Отправь заранее всем сразу. В чём проблема? 30 минут потратить? 

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

 Всякое возможно, всё таки, область мониторинга конкретного вендора ограничена. Есть тесты (Av-TEST, Dennis), методологии довольно развитые. Они и указывают на меру точности (берут отовсюду реально используемое ПО и соотв. файлы), а ложают все, ложняки эти можно называть "относительно" популярными, Epic False-ами....всё это не важно.

Тема на ФКЛК сегодня: http://forum.kaspersky.com/index.php?showtopic=322618 UDS безопасную программульку спать отправил, а ведь Касперский один из самых точных антивирусов. Ну что тут поделаешь. Производитель программы даже не знал об этом. Кстати, Symc тоже его прибил эвристикой. На технику грех жаловаться. Есть ведь возможность заранее избавиться от потенциальных проблем. Кстати, детекта касперского (как и Symc) на VT не было, значит это был действительно проактивный UDS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сделал ПО. Отправь заранее всем сразу. В чём проблема? 30 минут потратить?

Вопрос не в проблеме, а в том, что антивирус априори прав. Т.е то, что он что-то хорошее задетектил выходит не его вина, а то, что автор программы не выслал ему все билды и данные. Итак 30 антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Не подскажишь случаем каким способом и с помощью каких файлов обновляются скайп и адоб плеер?  

 

Понимаю о чем ты :) В эту компанию еще Java нужно добавить, у которой неподписанный апдейтер был. Возможно сейчас это поменялось. Но тут ситуация такая, что апдейт приходит автоматом. А другое дело, если ты качаешь какой-то непонятный exe с говнохранилища "всебесплатноездесь.рф" :)

 

 

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

Было бы неплохо. Это кстати будет хорошей иллюстрация доверия антивирусных вендоров к тому или иному удостоверяющему центру.

 

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

 

Не должны, но в условиях риска быть задетектированными имеет смысл наладить контакт с антивирусниками. Хорошо если это будет какой-то плеер для десктопа и его у кого-то выпилят. А если это процесс от БД в продакшене или корпоративное ПО типа ERP? Пострадает клиент в первую очередь и будут прямые финансовые потери.

Вопрос не в проблеме, а в том, что антивирус априори прав. Т.е то, что он что-то хорошее задетектил выходит не его вина, а то, что автор программы не выслал ему все билды и данные. Итак 30 антивирусам.

 

Уже были случае совершенно субъективного детекта. Припоминаем случае с DrWeb и Zona или DrWeb и MediaGet. Это вообще большая проблема, которая выходит за рамки топика и ее смогут отрегулировать только судебные прецеденты. Заплатит какое-нибудь ООО "Доктор Веб" за неудачные детект миллионов 10 руб и потом будет думать лучше, аккуратнее работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Заплатит какое-нибудь ООО "Доктор Веб" за неудачные детект миллионов 10 руб и потом будет думать лучше, аккуратнее работать

Очень хороший вопрос можно ли привлекать за детекты. Например сфолсил кто-то на драйвер винды или какой-то другой системный файл - может ли его (антивирус) хоть кто-то привлечь к ответственности? Или тот же случай с Зоной. За что тут судить? Не за клевету же.

 

PS: про пруфы помню, накидаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Было бы неплохо. Это кстати будет хорошей иллюстрация доверия антивирусных вендоров к тому или иному удостоверяющему центру.

Выбирайте :)

 

Microsoft Corporation

https://www.virustotal.com/ru/file/ff900419dd2cee70af7de77ffe385bd333332e1db033a7d981c6bf215fea6bd1/analysis/

 

WinRar

https://www.virustotal.com/ru/file/7861114d70bf04831530bef71739fa0931a5a5a3f72e54b27ad5f9f6e0d253e7/analysis/

 

Malwarebytes Anti-Exploit

https://www.virustotal.com/ru/file/1f3bb33f6b86eda145965705d3bc4033dc552adad905a81305dd8066e1375350/analysis/

 

ElcomSoft

https://www.virustotal.com/ru/file/c2252106250857ef3c45445a10eaff700b5bd154a657795be8dd877ac6ec09e9/analysis/

 

Hideman VPN

https://www.virustotal.com/ru/file/f978f704be776efa657240b78b24942bdde39ae303b5424c2b5a7cff34873233/analysis/

 

Hamster Video Converter

https://www.virustotal.com/ru/file/0617c8c1be55ea923fbfef8d0a92957b8a753e47fb77d847d33778ae563e011c/analysis/

 

На текущий момент по каждой из этих ссылок красуется только один детект - WS.Reputation.1

 

PS: каждому из этих файлов не менее 5 месяцев жизни и они популярны (судя по разным именам заливок на вирустотал и тому, что по каждому из них еще неплохая статистика голосования пользователей). Также каждый из этих файлов имеет валидную ЭЦП.

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
На текущий момент по каждой из этих ссылок красуется только один детект - WS.Reputation.1

 

Расписались в незнании  принципов работы репутационных технологий. VT нормально показывает только СИГНАТУРЫ! (ибо все остальные вердикты у нормальных вендоров давно комбинированные и зависят от многих факторов). Очевидный факт. 

Подойдут только скрины с установленным продуктом. 

Неужели вы не обратили внимания на мою строчку из прошлого поста: "Кстати, детекта касперского (как и Symc) на VT не было, значит это был действительно проактивный UDS. "

Сработка на файл была, а на VT не было, точно также на VT она может быть, а в реальности не быть. Есть множество уточняющих ситуацию признаков, вот и всё. Скачайте файл с https - вообще никогда детекта не будет от Insight. Разбираться во всём надо.

..................

"mbae.exe" Insight работает только с Download Insight и только при загрузке дроппера.  :D Ws.Rep.1 не будет как вердикта, если файл уже внутри системы, ибо агрессивность имеет смысл только при защите от внешних угроз, дабы не испортить работу юзера. VT отжигает и здесь или вы отжигаете, наверное и то, и то.  

P.S. Отсюда у меня большие вопросы к любителям поговорить на Хабрике об этом обо всём, выложить на Хакере мега- тест на хэш-сигнатуры=ужас и т.д. Мракобесие, да и только. Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это. Разочаровался. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Расписались в незнании принципов работы репутационных технологий.

Да шо вы говорите? А ничего, что у меня там же написано тоже самое, но другими словами?

 

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

 

 

Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это.

Во как мы заговорили-то. Специально это скопирую сюда чтоб не потерли. Потом если сами не уйдете с форума можно сюда будет носом тыкать, что вы сами в каждой теме про Симантек ла-ла, а фанатизм как раз у других видите. Я очень тонко троллю и слишком хорошо знаком с разными технологиями (а с чего мне семью-то кормить?), поэтому могу себе позволить технический троллинг кого угодно на грани фола (кроме тех с кем у меня личное хорошее многолетнее знакомство).

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Сработка на файл была, а на VT не было, точно также на VT она может быть, а в реальности не быть. Есть множество уточняющих ситуацию признаков, вот и всё. Скачайте файл с https - вообще никогда детекта не будет от Insight. Разбираться во всём надо.

 

Что-то не пойму чем это утверждение, отличается от этого:

 

 

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

 

 

По сути вы подтвердили сказанное выше... :)

 

А так лично я не понимаю две причины:

 

1)По какой причине я должен отправлять свои программы в вирлаб, вот представьте например корпорацию, большую корпорацию (Международную даже...) !

В этой корпорации идёт разработка софта, оборудования и т.д. Оборудование меняется, софт меняется, дополняется и т.д. И что каждый раз пересылать, ждать пока кто-то там ответит и т.д. ? А если с точки зрения безопасности нежелательно пересылать, что делать ?

 

2)Белые списки - хорошо, но с таким подходом зачем вообще такой огород гарадить, т.е. можно-же как-то даже средствами винды ограничить запуск файлов, ограничить учётку и т.д.

Поняли, к чему я клоню ? Зачем тогда АВ ? Вон есть программы, ограничиивают запуск/права программ, по различным критериям и ненадо никаких облаков, баз и прочее не нужно это ! Работают быстро кстати...

 

 

на Хакере мега- тест на хэш-сигнатуры=ужас и т.д. Мракобесие, да и только. Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это. Разочаровался.

 

Ну здесь есть тема этого теста, вот кстати:http://www.anti-malware.ru/forum/index.php?showtopic=28976

 

Если есть какие-то вопросы, выслушаем тут вроде совсем другое обсуждается ! Причём тут репутация и детект по хешам ? Или репутация - по вашему это детект по хешу ? Непонял это предложение !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Оборудование меняется, софт меняется, дополняется и т.д. И что каждый раз пересылать, ждать пока кто-то там ответит и т.д. ?

 

Ложные детекты являются проблемой мелких контор. Они и бегают на поклон к антивирусам, а кому-то типа Java, Winrar, Adobe это ни к чему - их софт настолько известен, что ложняк бьет не по ним, а по антивирусу.

 

Причём тут репутация и детект по хешам ?

Камрада припекает и он бурлит эмоциями, поэтому тащит в тему все, что только может вспомнить, а вспомнить не так уж и много можно. Следующий шаг это уже переход на личности форумчан, админа и форума целиком (ФКП).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×