SafeGroup

Dziś miało premierę nowe narzędzie od NoVirusThanks - nosi nazwę NVT OSArmor i jak wynika z opisu oraz analizy funkcjonalności mamy do czynienia właściwie z blokerem behawioralnym To tyle interesujące, że poza Kataną od DrWeb nie było właściwie nic nowego od lat w tej kategorii oprogramowania zabezpieczającego i przynosi nadzieję, że ten gatunek aplikacji jednak nie umiera
Wg opisu autora i listy monitorowanych akcji  OSArmor dzięki zastosowaniu 30 specjalnych restrykcji potraf m.in.:
- blokować uruchamianie podejrzanych procesów potomnych, co pozwala na blokowanie uruchamiania exploitów
- blokować podejrzane procesy przez aplikacje wrażliwe, jak np. MS Word, Excel czy czytniki PDF
- blokować procesy uruchamiane poprzez autostart z napędów USB
- blokowanie pewnych typowych szkodliwych procesów uruchamianych z linii komend
- blokuje działanie ransomware polegające na kasowaniu plików powstałych dzięki usłudze kopiowania woluminów shadow copies - (vssadmin.exe)
- blokuje pobieranie plików zalnych (tzw. remote downlaod)
- kontroluje zachowanie pewnych procesów systemowych)
- blokuje uruchamiane plików z podwójnym rozszerzeniem
- blokuje działanie podejrzanych skryptów.

Lista akcji na screenach poniżej...obrazki własne
[attachment=1106]


Program jest darmowy, działa od Windows XP wzwyż...i chwała autorom za to  
Może być doskonałą dodatkową i wszechstronną warstwą ochrony i możemy mieć tylko nadzieję, że to dopiero początek jego świetlanej przyszłości. Program po instalacji uruchamia na stałe w systemie 2 procesy i jak widać poniżej na screenie zużycie zasobów jest na bardzo przyzwoitym poziomie
[attachment=1106]

Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

Wątek na Wildersach

[Aby zobaczyć linki, zarejestruj się tutaj]

Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.

Hmm czyli co?! mamy Mamutu w wydaniu NVT

nice

(17.12.2017, 20:38)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.

Patrząc na program i podobieństwo do Mamutu na przykład, to
- mamy na pewno podobieństwo w wykazie monitorowanych akcji, choć OSA nie daje możliwości konfiguracji odpowiedzi na nią - jest blokuj albo nie blokuj
- nie mamy na pewno możliwości podpowiedzi z bazy danych na serwerach dostawcy, co od razu wprowadza wskazówki dla użytkownika czy akcja jest zaufana czy podejrzana...nie ma też podpowiedzi społeczności, co było opcją w ThreatFire...nie ma też lokalnej listy zaufanych dostawców, jak było w DSA i wciąż jest w Privatefirewall
- mamy na pewno wykaz zdefiniowanych i wbudowanych zachowań, które są automatycznie blokowane, co nasuwa podobieństwo do zasad SRP...ale SRP ze względu na różne właściwości ochronne systemów Windows w zależności od jego wersji, nie działają wszędzie tak samo, co widać na przykład w aplikacji

[Aby zobaczyć linki, zarejestruj się tutaj]

naszego kolego Andy'ego.

Andreas z NVT potwierdził, że można aplikację uznać za bloker behawioralny

Cytat:Yes it can be considered like a behavioral blocker with pre-built rules (install and forget).

Cytat:OSArmor uses internal rules to analyze processes behaviors and block suspicious processes.

 
Ponadto jest nowsza już wersja z kilkoma poprawkami...żeby ją zainstalować, należy odinstalować poprzednią

Cytat:I updated OSArmor with these changes:

- Fixed FP with chrome.exe
- Block flag TESTSIGNING on Bcdedit.exe
- Allow PortableApps (.paf.exe) by Rare Ideas, LLC
- Minor improvements

Please just uninstall it from Control Panel and then download and install it again from:

[Aby zobaczyć linki, zarejestruj się tutaj]

Let me know if the chrome.exe FP is gone for you.

We'll add a enable\disable option soon.

Dodano także 2 nowe filmy z OSA w akcji.

Autor mocno pracuje nad programem wprowadzając poprawki i sugerowane przez użytkowników zmiany...mamy więc nową wersję 1.1

Cytat:This is the changelog:

[18-Dec-2017] v1.1.0.0

+ Block any process executed from java.exe and javaw.exe (unchecked by default)
+ Block any process executed from mmc.exe (unchecked by default)
+ Block any process executed from wmiprvse.exe (unchecked by default)
+ Block any process executed from mstsc.exe (Remote Desktop) (unchecked by default)
+ Block unknown processes executed from TeamViewer (unchecked by default)
+ Block execution of any process related to TeamViewer (unchecked by default)
+ Block execution of .wsf scripts
+ Improved detection of suspicious processes
+ Improved detection of suspicious svchost.exe behaviors
+ Fixed hiding of the GUI window on PC reboot
+ Fixed some false positives

To update just uninstall the old version and install the new one.

No reboot needed.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowa wersja i nowe funkcje/możliwości

Cytat:New version v1.2 is available:

[Aby zobaczyć linki, zarejestruj się tutaj]

[19-Dec-2017] v1.2.0.0

+ Block processes named like *keygen* or *crack* (unchecked by default)
+ Block execution of schtasks.exe is now unchecked by default
+ Prevent Regsvr32.exe from using /i: powershell
+ Fixed some false positives

Spokojnie, za miesiąc czy dwa soft przestanie być rozwijany.

(20.12.2017, 15:36)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Spokojnie, za miesiąc czy dwa soft przestanie być rozwijany.

Poczułem gorzką nutę sarkazmu i ciężki bagaż doświadczeń weterana. Odrobina prawdy w tym jest, a obawiam się że z czasem może okazać się duuużo więcej niż odrobina...

NVT to jakiś atencjusz chyba.

Ależ macie krytyczne podejście...krytykanckie wręcz!.
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha

(20.12.2017, 19:18)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ależ macie krytyczne podejście...krytykanckie wręcz!.
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha

Dobra, dobra.... Lepiej powiedz (jako utajniony zamknięty betatester   ), kiedy się doczekam obiecanej publicznej bety NoVirusThanks EXE Radar Pro. Czekam już.. bodajże od lipca... A miał być...

No faktycznie gościu ma ża dużo na głowie, a robi kolejne projekty bez dodatkowych ludzi przywali go nadmiar roboty jak u mnie i może sie skończyć zawaleniem kilku projektów przynajmniej.....

Nie wiem Zeno...nie dostałem nowej bety do testów.

Pierwszą wersję testowałem, coś tam chroni ale nie całkiem. Zawsze może być dodatkowe zabezpieczenie do już istniejącego av

Przetestujesz nowe wydanie?

Przy najbliższej okazji, może w piątek bo mam wolne

OK...fajnie, że znajdziesz chwilę...czekamy więc

NVT jest świetnym przykładem działania zasady Pareto
- na 80% wyniku pracy przypada 20% wysiłku,
a na końcowe 20% - 80% wysiłku.

Nowa wersja

Cytat:Released a new version v1.3:

[Aby zobaczyć linki, zarejestruj się tutaj]

[22-Dec-2017] v1.3.0.0

+ Block processes with known fake extensions (i.e .pdf.exe)
+ Prevent WMIC from using "process call create" via cmdline
+ Block command-lines that match *\Start Menu\Programs\Startup\*
+ Block command-lines that match shellcode-like patterns
+ Block execution of any process related to UltraVNC (unchecked by default)
+ Block execution of any process related to RealVNC (unchecked by default)
+ Block execution of any process related to Nir Sofer (unchecked by default)
+ Block execution of any process related to LogMeIn (unchecked by default)
+ Block known Bitcoin miners command-lines
+ Prevent wbadmin.exe from deleting backup catalog
+ Block unsigned processes located on root folder (i.e C:\) (unchecked by default)
+ Block SOAP WSDL requests via command-line
+ Block execution of syskey.exe
+ Block execution of cipher.exe
+ Number of pre-defined rules increased to 60
+ Do not delete the settings when the program is uninstalled
+ Improved showing of main window from tray icon
+ Fixed many false positives
+ Improved internal rules

All reported FPs should be fixed.

On the next version we will add support for exclusions.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nagrałem test na ustawieniach standardowych.



Jak widać na końcu ransom zaszyfrował pliki, incydent się zdarzył też przy innych wykonywanych PE