Liczba postów: 132
Liczba wątków: 11
Dołączył: 16.04.2018
Reputacja:
10
Na MT poprosiłem by Andy przetestował pakiet MKS przeciw atakom skryptowym.
[Aby zobaczyć linki, zarejestruj się tutaj]
Oto jego wnioski po przetestowaniu:
the MKSV on default settings blocked all samples, except those which used Bitsadmin. Yet, most PowerShell samples were blocked only via the Firewall rule (blocked outbound connections). The VBScript samples which used WMI were also blocked by the Firewall rule for wscript.exe (blocked outbound connections).
Most VBScript samples were blocked by heuristics (static detection) and it can be compared to BitDefender static detection.
MKSV has a very good protection against script trojan-downloaders. Yet, it is not perfect (can be bypassed, for example, by CHM scriptlets).
It is hard to compare MKSV to KIS, because KIS on default settings is not as good as MKSV, but KIS tweaked can also block all testing samples and additionally can detect/block other types of malicious scripts by AMSI or by blocking script interpreters
Tylko się cieszyć, że rodzimy produkt wypada dobrze( do tej pory najlepiej)
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Haha...właśnie jestem na MT i też to czytam Bardzo dobrze, że taki test został wykonany i bardzo dobrze, że jego wyniki wskazują, że MKSV na domyślnych ustawieniach daje lepszą ochronę, niż pakiet Kasperskiego Może Andy nam coś jeszcze skomentuje, to da nam lepszy obraz tego testu.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 132
Liczba wątków: 11
Dołączył: 16.04.2018
Reputacja:
10
06.11.2018, 15:06
(Ten post był ostatnio modyfikowany: 06.11.2018, 15:13 przez Konrad.)
Liczba postów: 61
Liczba wątków: 3
Dołączył: 22.08.2016
Reputacja:
36
07.11.2018, 20:29
(Ten post był ostatnio modyfikowany: 07.11.2018, 20:30 przez @andybear.)
Cześć.
Swojego czasu przygotowałem sporo niewinnych skryptów, które na wiele sposobów sciągają plik EXE ze strony internetowej i próbują go uruchomić. Były mi one prtrzebne do testowania Windows Defendera i reguł ASR aktywowanych przez ConfigureDefendera.
Ponieważ byłem ciekaw jak inne Antywirusy dają sobie radę ze skryptami, zrobiłem kilka testów, także dla programu mks_Vir (Konrad, dzięki za pomysł). Pomyślałem sobie, że wart jest on małej reklamy. Mój test był dosyć krótki, ale wskazuje na to, że mks_Vir walczy ze skryptami typu trojan-downloader na 2 znane sposoby:
1. Blokuje połączenia wychodzące dla niektórych interpreterów skryptów (w teście sprawdziłem tylko wscript.exe i powershell.exe).
2. Dokonuje skanowania skryptów po otworzeniu folderu (skanowanie podczas dostępu do pliku).
Skanowanie wygląda na dosyć skuteczne jeśli chodzi o pliki VBScript (testowane) i jest prawdopodobnie równie skuteczne także dla plików JScript. Było ono porównywalne z detekcją BitDefendera.
KIS ma ustawienia domyślne, w których podejrzane skrypty PowerShell nie są blokowane (są uruchamiane z pewnymi ograniczeniami) co pozwala na ściągnięcie z internetu i uruchomienie pliku wykonywalnego. Ustawienia domyślne programu mks_Vir są bezpieczniejsze dla użytkowników domowych. W KIS można poprawić znacznie ochronę za pomocą odpowiednich ustawień w module Kontrola Aplikacji (niestety nie wszyscy wiedzą jak to zrobić).
Ogólnie rzecz biorąc mks_Vir podobał mi się. Szkoda, że nie wiadomo jaka jest jego skuteczność jeśli chodzi o pliki wykonywalne (EXE, MSI, DLL, etc.).
Liczba postów: 132
Liczba wątków: 11
Dołączył: 16.04.2018
Reputacja:
10
Jestem użytkownikiem nowego MKS`a i bardzo sobie go chwalę.
Raz jeszcze dzięki Andy za przeprowadzenie testu
Z tego co się dowiedziałem to właśnie ekipa MKS/Arcabit pracuje nad CHM`ami o których wspomniałeś na MT
Fajnie jakby ktoś z MT podjąłby się regularnych testów w malwarehubie to by nam trochę rzuciło więcej światła na ten temat.
Wrzuciłem co prawda taką prośbę, ale puki co cisza.
Liczba postów: 61
Liczba wątków: 3
Dołączył: 22.08.2016
Reputacja:
36
08.11.2018, 00:15
(Ten post był ostatnio modyfikowany: 08.11.2018, 13:06 przez @andybear.)
Wynika to pewnie z braku angielskojęzycznej wersji.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
No cóż...mamy na forum kogoś od nich, więc możliwe, że się odezwie...może już z jakąś propozycją?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Czy były brane pod uwagę tutaj skrypty, które są poddane obfuskacji ? Mam na myśli skrypty typu Powershell.
Liczba postów: 61
Liczba wątków: 3
Dołączył: 22.08.2016
Reputacja:
36
08.11.2018, 21:31
(Ten post był ostatnio modyfikowany: 09.11.2018, 20:21 przez @andybear.)
(08.11.2018, 19:51)tachion napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Czy były brane pod uwagę tutaj skrypty, które są poddane obfuskacji ? Mam na myśli skrypty typu Powershell.
Nie, a i tak większość znanych antywirusów nie zablokowała nawet 50% skryptów (głównie VBScript).
Detekcja mks_Vir za pomocą heurystyki i sygnatur była bardzo zbliżona do BitDefendera, reszta skryptów została zablokowana przez domyślne ustawienia firewalla.
Detekcja skryptów PowerShell była ogólnie znacznie niższa (Kaspersky Free 0/9, BitDefender 3/9, F-Secure Safe 1/9, Avira 0/9, MalwareBytes Premium 0/9).
Chyba tylko KIS miał wsparcie AMSI, więc miał możliwość wykrycia wszystkich skryptów. Niestety, w domyślnych ustawieniach pozwalał na ściągnięcie i uruchomienie programu (z niewielkimi ograniczeniami = Low Restricted).
Poprawiłem omyłowo wpisany mianownik 23 (ogólna ilość skryptów) na 9 (ilość skryptów z użyciem PowerShell).
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
09.11.2018, 15:07
(Ten post był ostatnio modyfikowany: 09.11.2018, 15:10 przez tommyklab.)
Wy się tam z Kaspra śmiejecie... Ja pamiętam jak w 2008 roku KAV/KIS7 blokował zapisanie pliku w wordzie albo notatniku jak się wpisało "format c:\"
Teraz tego nie robi... hehe. Wogóle po tym jak Ewgenij zaczął zwiedzać świat a robią za niego to już nie ta jakość. Komercyjny domowy produkt KAV/KIS to zamulacz, w porównaniu do KES.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
|