AppGuard 3.4.2.0 kontra Blackhole exploit kit

[ichito]

Tytuł jest żywcem zapożyczony - celowo - z artykułu na "sąsiednim" forum, gdzie AppGuard ma swoich zagorzałych użytkowników i w sumie aż dziw, że u nas na forum program nie zrobił takiej furory i nawet nie ma właściwie osobnego swojego wątku. Ale miało być o teście...ktoś z użytkowników AG może objaśnić, o co biega w tym teście?...bo z jednej strony wynika, że AG jest do pokonania i że to raczej niezbyt skomplikowany sposób, a z drugiej pojawiły się tezy, że to nie tak, że niby coś w ustawieniach systemu nie było prawidłowo...i że właściwie nic się nie stało. Niemniej mam wrażenie, że wygląda to na coś w stylu "jeśli fakty nie przystają do tezy, to tym gorzej dla faktów"
Wspomniany test

[Aby zobaczyć linki, zarejestruj się tutaj]

[artoor]

O ile ja osobiście dobrze zrozumiałem, to po restarcie maszyny wirtualnej sterownik (appguardowy) BrnFileLock zablokował to dziadostwo. A co za tym poszło nie zostały ponownie ubite uruchomione programy, jak to miało miejsce zaraz po infekcji (przed restartem). Czyli wg mnie w pewnym sensie AG spełnił swoją rolę... na pewno nie w 100%, ale niech mi ktoś pokaże program do tego celu, który zapewni 100% ochronę. Nie sądzę, żeby to było powodem do odstawienia tego zacnego strażnika

[ktośtam]

Dokładnie tak jak pisze artoor .
LSP ubił tylko gui AppGuard ale sterownik pozostał nienaruszony.
Prawdą jest, że po częściAG oblał ten test, gdyż:

Ochrona user-space nie do końca zadziałała jak powinna i użytkownik był narażony na utratę niezapisanej pracy oraz kradzież tożsamości.

Na filmie widać również, że exploit potrzebował kilku podejść zanim udało mu się całkowicie przemycić szkodnika do systemu, więc trzeba na prawdę się postarać, żeby dopuścić do infekcji.
Kolejną ciekawą sprawą jest to, jak wyglądałaby sytuacja gdyby w systemie zainstalowany był EMET i proces javaw.exe byłby przez niego chroniony, gdyż na filmie widać, że exploit wykorzystał ten właśnie proces do załadowania LSP.
Blue Ridge również nie udaje, że problemu nie ma i na Wildersach pisze:

I''ve asked one of the developers to take a look. I hope to get back to you all in the next few days. Thanks to all of you for bringing this to our attention!

Także poczekamy na oficjalne stanowisko BR w tej sprawie.

Ponadto z całej tej sytuacji możemy wyciągnąć naukę, że powierzenie ochrony systemu tylko jednej aplikacji (nieważne jak byłaby skuteczna), to spory błąd.

---

Dodano: 06 lis 2012, 10:11

@ ichito , kiedyś był wątek o AppGuard

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Wiem Ktosiu o tym wątku, ale on jest z 2009, więc nie odgrzewałem go
Co do wyników testu - podsumowałbym to tak "trafiła kosa na kamień", bo jak widać i jak ktoś kiedyś słusznie zauważył, że jeśli program wydaje się być niezwykle skuteczny, to oznacza że nie ma jeszcze...lub my nie wiemy, że jest...jakieś malware, które go potrafi złamać/obejść. AG uchodził za twierdzę niemal jak DW i choć od dawna było wiadomo o jego ograniczeniach, to część użytkowników chyba bezkrytycznie mu ufała. Oczywiście cytowany test nie przekreśla wartości AG niemniej chyba czas zacząć podchodzić do tego programu bardziej z rezerwą, gdyż utrata danych i kradzież tożsamości (jak zauważył SE7EN) nie jest chyba zbyt satysfakcjonująca dla nas

[artoor]

Panowie, jedna jeszcze kwestia. Abstrahując od tego, że test miał na celu poniekąd udowodnić, że AG nie jest nie do złamania, to rozumiem, że gdyby takie coś miało miejsce w życiu podczas standardowego użytkowania komputera (co zdaje się trochę z logicznego punktu widzenia niemożliwe - bo kto wielokrotnie uruchamia "na siłę" jakąś stronę, która z uporem maniaka włącza javę), ale gdybyśmy założyli, że takie coś wystąpiło w środowisku sandboxie, nic by nie wyciekło na zewnątrz... dobrze myślę? Tak dla spokojności sumienia pytam

[ktośtam]

Oczywiście Ichito, że nie ma programu, który zapewni 100% skuteczności. Sam Ilya podkreśla, że DW jest dodatkową linią obrony przed szkodliwym oprogramowaniem, dlatego u mnie w podpisie widzisz AG ale również SBIE i EMET.
Żadna aplikacja jest napisana przez człowieka, który nie jest istotą nieomylną, nie jest wolna od błędów i znajdzie się drugi człowiek, który te błędy wykorzysta do złych celów. Nasze szczęście, że tą osobą był SE7EN i informacja poleciała szybko do producenta, który na pewno wyeliminuje ten błąd w przyszłych wersjach programu.
Mimo wszystko, nie sądzę, żeby zaczęły się teraz wielkie migracje z AG na inny soft, bo to tylko jeden test i jedna porażka (w dodatku częściowa, gdyż po restarcie AG zablokował działania LSP). AG jest świetnym softem, lekkim i niezwykle skutecznym ale nadal powinniśmy patrzeć na niego jako na jedną z warstw ochrony.

@ artoor :
Tak. Jeżeli masz przeglądarkę w piachu, to nic takiego nie miałoby miejsca.

[ichito]

Mimo wszystko, nie sądzę, żeby zaczęły się teraz wielkie migracje z AG na inny soft, bo to tylko jeden test i jedna porażka (w dodatku częściowa, gdyż po restarcie AG zablokował działania LSP). AG jest świetnym softem, lekkim i niezwykle skutecznym ale nadal powinniśmy patrzeć na niego jako na jedną z warstw ochrony.

Tez tak myślę, bo inaczej świadczyłoby o tym, że taki użytkownik nie bardzo wie, jakie korzyści ma już w tej chwili i z pewnością byłby to zwyczajnie "owczy pęd".

[marsellus]

...gdyż utrata danych i kradzież tożsamości

Żeby ktoś źle nie zrozumiał, chodzi tylko o niezapisane prace z tej sesji w której odpalił się LSP.

Z kradzieżą tożsamości moim zdaniem też może być różnie, w końcu LSP cały czas działał z restrykcjami (AG Agent był aktywny)
Poza tym system był specjalnie przygotowany: stara java, stary flash, stary Adobe Reader- co nie zmienia faktu że jak już stwierdził SE7ENtaka sytuacja nie powinna mieć miejsca

[ichito]

Poza tym system był specjalnie przygotowany: stara java, stary flash, stary Adobe Reader- co nie zmienia faktu że jak już stwierdził SE7ENtaka sytuacja nie powinna mieć miejsca

Marsellus...to prawda, że system był spreparowany, ale śmiem twierdzić, że tylko z naszego punktu widzenia. Tysiące...może nawet miliony...ma takie systemy w domach i firmach...systemy nieaktualne, a podatne aplikacje niezałatane - pamiętacie pewnie jeszcze, że na porządku dziennym były "tweaki" w postaci blokowania automatycznych aktualizacji? Jak działa Adobe, to po co zmieniać?...Java stara?...ale działa, więc niech zostaje...i takie tam podobne.
Nie każdy z takich użytkowników ma u siebie zainstalowany AG...większość nie ma i pewnie nigdy o nim nie słyszeli, więc tym bardziej mogą mieć problem...i jak po nitce do kłębka wracamy do tezy, że "i tak wszystko zależy od użytkownika i że jest on najsłabszym ogniwem w tym wszystkim"