+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Ransomware (/thread-11337.html)
RE: Ransomware - Apocalypse - 06.02.2018
(06.02.2018, 10:35)morphiusz napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...
Bloker behawioralny to wciąż składnik ochrony Deafult Allow - musi posiadać sygnatury wzorów złego zachowania ( tak jak skaner antywirusowy ma sygnatury złośliwego kodu). Blokery behawioralne wymiękały, przynajmniej na początku, jeśli chodzi o fileless malware - producenci musieli je zaktualizować. I tak co jakiś czas jest - zupełnie nowe malware, które stosuje nowy, dotąd nieznany sposób infekowania.
Idąc tym tokiem rozumowania to wszystkie te płątne pakiety jak BTS czy KIS nie są niczego warte bo nie mają piaskownicy?
RE: Ransomware - Quassar - 07.02.2018
Raczej coś bardziej solidnego typu HIPS czy w ostateczności Anti-exe ale piaskownica w pakiecie też była by miła.
Emsisoft właśnie ma bardzo agresywnego BB jak nie ma czegoś na białej liście to z góry blokuje i pyta użytkownika o decyzje dzięki temu pomimo słabej wykrywalności uzyskuje 100% w testach o ile użytkownik prawidłowo zareaguje na zagrożenie(komunikat)
Jedyny pakiet który ma to wszystko na pokładzie i działa na wysokim poziomie to tylko Comodo.Choć nie przepadam za tą firmą.
RE: Ransomware - Tibu 11 - 07.02.2018
Piaskownice jeszcze mają Avast IS i Chinczyk
RE: Ransomware - Cascudo - 07.02.2018
Nie zapomnijmy, że Taki Eset ma Hips`a i to dość czułego...
Tak jak pisze Adrian s.c gdyby ludzie nie bali się pogrzebać w ustawieniach (siłą rzeczy uczyliby się funkcji danego programu) to odsetek zainfekowań byłby sporo mniejszy.
Osobiście nie ważne jaki AV używam/używałem od ką pamiętam to ustawiałem na max.
Wolę mieć więcej FP (ale szczerze to jakoś mi się nie zdarzają) niż niższy stopień zabezpieczeń.
Tak na marginesie to przy każdym pakiecie IS polecam ustawić firewall na pytaj, czasem może być to ostatnia linia obrony.
RE: Ransomware - Apocalypse - 08.02.2018
Ja bym właśnie ustawił firewall na "nie pytaj tylko blokuj wszystkie nieznane połączenia". Co do ustawiania programów na max to potrafi być to naprawdę irytujące jak taki HIPS wali komunikatami. Myślę, że w tej sytuacji opytmalna jest jednak piaskownica. Mało komunikatów + domyślnie blokowane nieznane programy.
RE: Ransomware - Quassar - 08.02.2018
Zgadzam sie z Apocalypse Piaskownica i dodatkowe restrykcje na pliki wykonywalne a baza danych...
Sporo programów ma domyślnie pełny dostęp do zasobów których nie potrzebuje a w razie infekcji taki program może zostać wykorzystany jako furtka do infekcji zasobu danych.
RE: Ransomware - morphiusz - 08.02.2018
(06.02.2018, 13:05)Apocalypse napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
(06.02.2018, 10:35)morphiusz napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...
Bloker behawioralny to wciąż składnik ochrony Deafult Allow - musi posiadać sygnatury wzorów złego zachowania ( tak jak skaner antywirusowy ma sygnatury złośliwego kodu). Blokery behawioralne wymiękały, przynajmniej na początku, jeśli chodzi o fileless malware - producenci musieli je zaktualizować. I tak co jakiś czas jest - zupełnie nowe malware, które stosuje nowy, dotąd nieznany sposób infekowania.
Idąc tym tokiem rozumowania to wszystkie te płątne pakiety jak BTS czy KIS nie są niczego warte bo nie mają piaskownicy?
Nie chodzi tu o brak piaskownicy per se - chodzi o domyślne uruchamianie nieznanych plików z pełnią praw do robienia czegokolwiek.
Default Deny może traktować potencjalnie niebezpieczne pliki piaskownicą, może całkowicie blokować ich uruchamianie, może nakładać ograniczenia (albo i ograniczenia + piaskownica).
Wydaje się też, że cechą rozwiązania Deafult Deny jest jego automatyzm lub półautomatyzm - stąd trudno nazwać HIPS rozwiązaniem Deafult Deny. Bo tutaj Deny nie jest deafult, tylko zależne od użytkownika
Deafult Deny to np. automatyczna piaskownica czy anti-exe. Tak jak już wspomniano, wiele tych pakietów umożliwia konfigurację, która zrobi z nich rozwiązania oparte na DD.
Jednak niewiele jest rozwiązań (a z tych popularniejszych to tylko Comodo), które politykę DD stosują jako rozwiązanie w konfiguracji domyślnej (co ma swoje wady i zalety).
RE: Ransomware - ichito - 10.02.2018
@morphiusz
OSArmor od NVT z ostatnio rozwijanych aplikacji to wg mnie właśnie przykład realizowania polityki "dafault-deny". Oczywiście najnowsze wersje już wprowadzają możliwość wyłączania ochrony na czas np. instalacji czy aktualizacji, czy wyłączeni całego modułu "anti-exploit", ale zasadniczo wszystkie 3 pozostałe panele są zafiksowane na "blokuj" we wszystkich akcjach.
Odnośnie blokerów behawioralnych o "obowiązkowości" posiadania sygnatur...tu się niezgodzę, bo klasyczne BB jak DSA, TF czy Mamutu nie miały sygnatur i choć mogły wspomagać się decyzjami społeczności (TF i Mamutu), to obywały się bez tego całkiem dobrze. Każdy z nich działał inaczej i trudno doszukiwać się podobieństw
DSA - zużycie CPU
TF - heurystyka
Mamutu - lista kontrolowanych akcji.
Zgadzam się odnośnie HIPS - co prawda niektóre pozwalały na domyślne blokowanie niektórych działań/procesów jak SSM na przykład, ale reguła jest interakcja z użytkownikiem i na podstawie jego decyzji tworzenie reguł.
RE: Ransomware - morphiusz - 10.02.2018
Ichito, jeśli nie pasuje Ci moje stwierdzenie „sygnatura rozpoznania” odnośnie blokerów behawioralnych to zastąp sobie to terminem „aktualizacja” lub „nowa wersja”. Bo chyba nie uważasz, ze np. wersja mamutu np z 2011 r wykryje wszystkie podejrzane zachowania dzisiejszego malware? Odpowiedz brzmi nie - bo to co prawda nie w tak dużym stopniu jak skaner AV, ale wciąż, rozwiązanie opierające się na pewnych wzorcach (typu: plik próbuje zmodyfikować wartości rejestru odpowiedzialne za autostart -> pokaz alert). Obecne malware (np fileless malware) wykorzystują techniki, których blokery behawioralne bez aktualizacji wzorów rozpoznania nie ogarniają.
Tak samo heurystyka - używa znanych wzorców złośliwego oprogramowania. Jej algorytmy tez musza być aktualizowane aby nadążyć w swoistym wyścigu zbrojeń pomiędzy producentami AV a przestępcami.
RE: Ransomware - Quassar - 10.02.2018
To prawda nawet SS ma pare tego typu poprawek z tego 2 wprowadzone za moim zgłoszeniem.
RE: Ransomware - ichito - 11.02.2018
(10.02.2018, 16:13)morphiusz napisał(a):No trochę nie pasuje...ale to już tak musi chyba zostać[Aby zobaczyć linki, zarejestruj się tutaj]
Ichito, jeśli nie pasuje Ci moje stwierdzenie „sygnatura rozpoznania” odnośnie blokerów behawioralnych to zastąp sobie to terminem „aktualizacja” lub „nowa wersja”. Bo chyba nie uważasz, ze np. wersja mamutu np z 2011 r wykryje wszystkie podejrzane zachowania dzisiejszego malware? Odpowiedz brzmi nie - bo to co prawda nie w tak dużym stopniu jak skaner AV, ale wciąż, rozwiązanie opierające się na pewnych wzorcach (typu: plik próbuje zmodyfikować wartości rejestru odpowiedzialne za autostart -> pokaz alert). Obecne malware (np fileless malware) wykorzystują techniki, których blokery behawioralne bez aktualizacji wzorów rozpoznania nie ogarniają.
Tak samo heurystyka - używa znanych wzorców złośliwego oprogramowania. Jej algorytmy tez musza być aktualizowane aby nadążyć w swoistym wyścigu zbrojeń pomiędzy producentami AV a przestępcami.
Jestem świadom, że programy starsze i nierozwijane nie są w stanie wykryć niektórych najnowszych wyrafinowanych zagrożeń...ale zdaję sobie sprawę doskonale, że te najnowsze i rozwijane też nie do końca sobie z tym radzą mimo, że oferują "cudeńka" technologiczne. Preferuję aplikacje niesygnaturowe, bo one dają mi większe poczucie kontroli i decydowania o tym, co się dzieje. Może nie są tak wycudowane technologicznie, ale wyznaję zasadę, że w ochronie ważniejsza jest świadomość ewentualnych słabych punktów, niż przeładowanie funkcjami, nad którymi nie jestem w stanie zapanować.
RE: Ransomware - Quassar - 11.02.2018
No to trochę jak z antywirusem i testami... jeśli av wykrywa wszystkie próbki z przed połowy roku to nie znaczy że ochroni ci przed nowymi ale z drugiej strony jak po ponad roku dalej połowy próbek nie wykrywa to też nie dobrze świadczy...
ale ludzie dalej wychwalają te sztuczne testy AV gdzie dają av z 2 tygodnie na opracowanie szczepionki i po 2 tygodniach piszą że niemal każdy av radzi sobie w 100%
A ciekawe co z firmami kto wykasuje te wirusy, przez te parę tygodni może wirus sporo firm powalić
RE: Ransomware - Tibu 11 - 11.02.2018
Ja na testy nie patrze , wiem jedno silnik od Comodo mało wykrywa w porównaniu do Arcabita.
Pewnie bedziecie pisać że serce w Comodo to nie silnik lecz inne mechanizmy. Wole żeby dobrze chronił przed wirusami jak i przed zaszyfrowaniem plików (Arcabit)
RE: Ransomware - Quassar - 11.02.2018
Zgadza się, liczy sie końcowy efekt, a nie początkowa hipoteza...
Jeśli dany soft nie spełnia wymogów należy go wymienić na inny lub uzupełnić brak poszczególnych luk innym dodatkowym oprogramowaniem
Ogólnie to comodo ma każdy mechanizm z osobna tworzony i razem w pakiecie wrzucony z czego inne IS to zwykle sam AV z BB a reszte warstw to taki lekki pic na wode, niby jest ale jakoś nie funkcjonuje.
RE: Ransomware - Tibu 11 - 11.02.2018
Czy Comodo ma w planach dać samą instalkę do sandboxu ?
RE: Ransomware - Quassar - 11.02.2018
Nie wiem, ale zawsze możesz zainstalować pakiet i wyłączyć wszystkie funkcje oprócz pożądanej
RE: Ransomware - Tibu 11 - 11.02.2018
Dobra