Огонь по своим

[priv8v 960]

Ну, может эти люди и поняли, а я нет Лично я не понял, что именно не разрешается батнику, который создает и запускает ехе-файл (в смысле этот батник создается ехе-файлом)

Распишите если можно подробно кто в какой группе и как наследует права.

[Danilka 678]

Распишите если можно подробно кто в какой группе и как наследует права.

Подробно:

Есть зловред,который создает этот батник:

В этом батнике прописанны команды, предназначенные для уничтожения с помощью ГМЕР( logsvc.exe) всех запущенных файлов плагина GBPlugin с использованием параметра killfile.

Рассматриваем только ручной режим работы KIS(остальное все по умолчанию),т.к. на автомате аллертов не будет-батник попадает при запуске в слабые ограничения, гмер находится в доверенных у KIS, но так как он запущен грубо говоря с помощью батника- он унаследует права и ограничения батника и на все действия гмер KIS выдаст аллерты- естественно все действия по удалению плагина можно будет запретить. Вот о чем я.

[priv8v 960]

он унаследует права и ограничения батника и на все действия гмер KIS выдаст аллерты

Иными словами если его запустить руками (двойной щелчок) и удалять эти файлы из окна гмера, то алертов от КИСа в этом режиме не будет? (т.к запускали мы его чисто, а не ограниченным батником).

В какой группе будет гмер у КИСа при запуске:

а). из батника

б). руками - мышкой

?

[Danilka 678]

Иными словами если его запустить руками (двойной щелчок) и удалять эти файлы из окна гмера, то алертов от КИСа в этом режиме не будет? (т.к запускали мы его чисто, а не ограниченным батником).

В какой группе будет гмер у КИСа при запуске:

а). из батника

б). руками - мышкой

?

Иными словами- если запустить гмер ручками и сносить все из его окна- аллертов не будет-т.к. ГМЕР в доверенных у KIS(в любом режиме-хоть автомат,хоть ручной)

а) При запуске из батника гмер будет в доверенных,но будет иметь права группы в которой находится сам батник-это слабые ограничения(грубо говоря-формально гмер в доверенных,но фактически в слабых ограничениях)

б)В доверенных.

p.s. Иными словами -любое приложение из группы доверенные,будет иметь права приложения которое его запустило-это наследование прав. Пример с FAR уже приводил.

[priv8v 960]

Инфа про батник запускающий гмер точна? Просто мне лень поднимать тестовую машину и ставить на нее кис.

Просто если смотреть с точки зрения ОСи, то дочерние приложения выглядят так:

explorer > cmd > gmer

Но, я вполне допускаю, что КИС может понять, что это батник и выставить разрешения как должно.

А на полном автомате как будет? (по-моему, таковы настройки по умолчанию - если не снимать и не ставить никакие галочки при установке).

[Danilka 678]

priv8v

Сам пример батника тут: http://www.securelist.com/ru/weblog/32239/Ogon_po_svoim

По логике KIS цепочка будет такая:

userinit.exe->explorer-> сам батник->gmer

На полном автомате никак- аллертов не будет- это если брать цепочку батник->gmer. Но я допускаю, что вредонос(пока его нет в базах) попадет не в слабые ограничения- а в сильные и до запуска гмер дело не дойдет вообще.

p.s. по поводу настроек- во время установки KIS пользователь выбирает что ему нужно-автомат или ручной. так что тут 50\50. Кто что выберет..

[priv8v 960]

а где можно посмотреть (я все-таки снова поставлю кис), что гмер хоть и находится в доверенных, но раз его запустил кто-то из ограниченных, то он наследует ограниченные права?

(в каком окошечке это видно)

Хочу сам поколупаться еще немного...

[Danilka 678]

На скрине отметил.

[ASMax 20]

Я думаю вот что. Очень бы мне хотелось понять авторов данных инструментов. Почему они не озаботились хотя бы минимальными защитными механизмами? Ведь "плохим парням" необходимо сначала провести достаточно глубокий анализ. Так почему бы не воспользоваться технологиями "плохих парней"? Можно использовать полиморфные упаковщики, можно запросы из пользовательского пространства в драйвер шифровать, можно проверять какие-либо подписи, можно придумать еще какие-либо защитные механизмы, особенно если существует "консольный/удаленный" доступ к инструменту.

Дык обычно защищать протокол начинают уже после того как гром грянет. Например, одна_известная_фирма_производитель_защит_для_компакт_дисков после демонстрации им перехода в нулевое кольцо через их драйвер приняла серьезные меры с цифровыми подписями и т.п. Хотя другая_фирма_производитель_решений_для_виртуализации в аналогичной ситуации ограничилась лишь тем, что увеличила длину ключа, проверяемого в драйвере, с 16 до 24 байт, решив видимо, что его брутфорсят.

А вот захотят ли заморачиваться с защитами разные независимые антируткиты и т.п. - большой вопрос, т.к. они какбэ никому ничего не должны...

[sww 486]

Дык обычно защищать протокол начинают уже после того как гром грянет. Например, одна_известная_фирма_производитель_защит_для_компакт_дисков после демонстрации им перехода в нулевое кольцо через их драйвер приняла серьезные меры с цифровыми подписями и т.п. Хотя другая_фирма_производитель_решений_для_виртуализации в аналогичной ситуации ограничилась лишь тем, что увеличила длину ключа, проверяемого в драйвере, с 16 до 24 байт, решив видимо, что его брутфорсят.

А вот захотят ли заморачиваться с защитами разные независимые антируткиты и т.п. - большой вопрос, т.к. они какбэ никому ничего не должны...

Ладно, пофиг на Сони, но мне вообще, принципиально не нравится подход производителей инструментов. Конкретно:

после того как гром грянет

. Мы все-таки не пирожки продаем, а занимаемся серьезными вещами.

Кстати, увеличение длины ключа никому никогда не поможет, т.к. сервер и клиент находятся в одной среде, т.е. ключ известен. И если "альтруистические" ребята (пишущие анти-руткиты), ждущие что их купят, будут работать так, то на кой хрен они нужны серьезным компаниям... Это касается и гмер, и других продуктов...

Интересно где Йен которого давно пора забанить на этом портале? Молчит что-то, особенно после хамства в мою сторону, которое кто-то подправил и оно оказалось только в rss.

[Danilka 678]

sww

Слав, Олегу стоит тоже задуматься по поводу защиты AVZ? Помню был зловред,который юзал драйвер AVZ...

[Yen-Jasker 265]

Интересно где Йен которого давно пора забанить на этом портале? Молчит что-то, особенно после хамства в мою сторону, которое кто-то подправил и оно оказалось только в rss.

Здесь я, мне нечего добавлять, просто смотрю как эксперты шатаются из стороны в сторону - то нужна защита от батников, то не нужна. Причем проблема батников не новая, но год назад все говорили, что проблемы нет, а теперь зашевелились.

Это хорошо, так скоро дойдут и до того, что домашним пользователям нужен нормальный файрвол как в КИС 7, а не революционный придаток к ХИПСу, как в КИС 8 и 9.

А если все будет совсем хорошо, то скоро догадаются, что новые версии нужно делать не каждый год и не под даты футбольных турниров, а по готовности .

[sww 486]

sww

Слав, Олегу стоит тоже задуматься по поводу защиты AVZ? Помню был зловред,который юзал драйвер AVZ...

Всем нужно задуматься

[Ashot 110]

Ладно, пофиг на Сони

А разве про SONY речь? Это в SF в R0 можно было попасть...

[sww 486]

А разве про SONY речь? Это в SF в R0 можно было попасть...

А ведь действительно, ошибся

[priv8v 960]

Сейчас не подключался инет, дозванивался в техподдержку и долго ждал ответа оператора (трубу в это время зажимал головой и плечом...) к чему это я?.. К тому, что пока сидел, набросал для улучшения моего понимания того, как каспер смотрит на приложения в группе доверенных, небольшой троянчик... суть в следующем: беспалевным (это только в теории - я не проверял) способом пишет одну строку в файл хостс. Говорю сразу - с батниками это никак не связано, это имеет косвенное отношение к доверенным.

Кто может сказать как на него прореагирует КИС 2009 или 2010 и показать скрин активности приложений? Кому можно выслать в ЛС (вес 6 кб) ?

[ASMax 20]

А разве про SONY речь? Это в SF в R0 можно было попасть...

Угу.

Мы все-таки не пирожки продаем, а занимаемся серьезными вещами.

И если "альтруистические" ребята (пишущие анти-руткиты), ждущие что их купят, будут работать так, то на кой хрен они нужны серьезным компаниям... Это касается и гмер, и других продуктов...

Теоретически, на такую ситуацию можно было бы воздействовать тестами. Т.е. если независимые тесты подобных утилит начнут штрафовать участников за незащищенный протокол (как АВ штрафуют за фалсы), то это может побудить авторов к действиям. Но для этого желательно, чтобы хоть у кого-нибудь такая защита уже была реализована.

С другой стороны, для авторов антируткитов тоже не все очевидно, если говорить о защите кода. Использовать коммерческие протекторы? Дык они врядли захотят платить. Использовать бесплатные? Но тогда их поделка скорее всего начнет детектиться АВ. Писать самому? Многие не имеют в этом опыта, а написание серьезной защиты может оказаться трудозатратнее самого антируткита.

[sww 486]

Теоретически, на такую ситуацию можно было бы воздействовать тестами. Т.е. если независимые тесты подобных утилит начнут штрафовать участников за незащищенный протокол (как АВ штрафуют за фалсы), то это может побудить авторов к действиям. Но для этого желательно, чтобы хоть у кого-нибудь такая защита уже была реализована.

Мне кажется, что это сработает только теоретически. По-большому счету авторам анти-руткитов должно быть плевать на любые тесты и прецедент не спасет. Ну есть у кого-то подобная защита и что с того?

С другой стороны, если эти ребята желают быть купленными как Гмерек, то желательно чтобы хоть какая-то защита у них была. А независимых тестов в таком плане я нигде не видел, слишком сложно.

С другой стороны, для авторов антируткитов тоже не все очевидно, если говорить о защите кода. Использовать коммерческие протекторы? Дык они врядли захотят платить. Использовать бесплатные? Но тогда их поделка скорее всего начнет детектиться АВ. Писать самому? Многие не имеют в этом опыта, а написание серьезной защиты может оказаться трудозатратнее самого антируткита.

Я не говорил о серьезной защите, я говорил о минимальной. Можно обойтись и без полиморфных упаковщиков и в то же время затруднить анализ инструмента, а уж его использование "плохими парнями" и подавно.

[ASMax 20]

Мне кажется, что это сработает только теоретически. По-большому счету авторам анти-руткитов должно быть плевать на любые тесты и прецедент не спасет. Ну есть у кого-то подобная защита и что с того?

Если будет прецедент, то в тестах такой продукт, при прочих равных, займет более высокое место. И вот тогда, при условии что автор хочет чтобы его купили, ему придется работать уже на маркетинговую табличку с призовыми местами и на избавление от камента "security hole". Согласен, что это все теоретизирование, но других способов воздействия нет. Ну разве что детектить их.

[sww 486]

Если будет прецедент, то в тестах такой продукт, при прочих равных, займет более высокое место.

Повторюсь возможно, но кто и как будет проводить подобные тесты? Там надо провести анализ бинарников каждого анти-руткита. Ну вот кто этим будет заниматься?

[ASMax 20]

Повторюсь возможно, но кто и как будет проводить подобные тесты? Там надо провести анализ бинарников каждого анти-руткита. Ну вот кто этим будет заниматься?

Ну... будем надеяться, что antimalware.ru когда-нибудь.

[Dr.Golova 55]

Да передетектить их всех - нормальные программы в ядре не копаются, и даже близко подходить боятся. (с) Авира

[dr_dizel 385]

Например, RkU прошел жизненное тестирование. Было столько желающих его нагнуть, но все так и пошли в лес отсосиновики собирать.

[ASMax 20]

Например, RkU прошел жизненное тестирование. Было столько желающих его нагнуть, но все так и пошли в лес отсосиновики собирать.

Ты утверждаешь, что было много желающих воспользоваться драйвером РКУ в своих целях, но ни у кого не получилось?

[dr_dizel 385]

Ты утверждаешь, что было много желающих воспользоваться драйвером РКУ в своих целях, но ни у кого не получилось?

Ну было же целое паломничество к его драйверу. Всё баги там искали, бэкдоры.