SpyShelter Firewall
(24.05.2017, 09:21)ichito napisał(a): - albo ograniczają z góry możliwości zadziałania szkodnika i tym samym blokują szkodliwe modyfikacje systemu/danych - tu choćby systemowe ograniczenia konta zwykłego użytkownika, mechanizm UAC, programy bazujące na restrykcjach

Nieprawda. "Stworzony przez badaczy szkodnik monitoruje lokalny system plików pod kątem utworzenia nowych folderów we wspomnianym miejscu i gdy to nastąpi, podmienia plik LogProvider.dll jego uzłośliwioną wersją. Przejęty DLL zostaje załadowany, pozwalając uruchomić wrogi kod z najwyższymi uprawnieniami . Jako że wszystko to dzieje się w ramach zwykłego konta użytkownika , User Access Control nic z tym nie robi ."

Jak widać na zwykłym koncie użytkownika, z włączonym UAC - może uruchomić się szkodnik z najwyższymi uprawnieniami.

https://www.dobreprogramy.pl/Oczyszczani...75025.html

(24.05.2017, 09:21)ichito napisał(a): - pozwalają na pewne lub wszystkie modyfikacje, ale w kontrolowanym środowisku czyli piaskownice i wirtualizacje, które to modyfikacje są kasowane w określonym momencie
To prawda, ale czytałem że niektóre złośliwe oprogramowanie potrafi wydostać się z piaskownicy.
Odpowiedz
(24.05.2017, 20:18)wortax napisał(a): Nieprawda. "Stworzony przez badaczy szkodnik monitoruje lokalny system plików pod kątem utworzenia nowych folderów we wspomnianym miejscu i gdy to nastąpi, podmienia plik LogProvider.dll jego uzłośliwioną wersją. Przejęty DLL zostaje załadowany, pozwalając uruchomić wrogi kod z najwyższymi uprawnieniami . Jako że wszystko to dzieje się w ramach zwykłego konta użytkownika , User Access Control nic z tym nie robi ."

Jak widać na zwykłym koncie użytkownika, z włączonym UAC - może uruchomić się szkodnik z najwyższymi uprawnieniami.
Musisz naprawdę bardziej kontrolować to, co piszesz...ale już poszło, więc odpowiem tak..."jedna jaskółka nie czyni wiosny" jak mawiali starożytni Indianie i wskazany POC nie oznacza, że mechanizm przestał działać. Nie od dziś wiadomo, że prób obejścia LUA czy UAC było sporo i to skutecznych, ale mówiłem nie tylko o systemowych rozwiązaniach.

(24.05.2017, 20:18)wortax napisał(a): To prawda, ale czytałem że niektóre złośliwe oprogramowanie potrafi wydostać się z piaskownicy.
Tak wiem...wspominałem kiedyś o takich testach tu na przykład
https://safegroup.pl/showthread.php?tid=...#pid168439
ale podobnie, jak poprzednio - udane próby wyjścia z piaskownicy to raczej eksperymenty badaczy, a nie codzienność, więc nie ma potrzeby dyskredytować takich rozwiązań, bo póki co należą do tych najbardziej skutecznych i dających ochronę przed znakomitą większością szkodników.
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości