Comments 52
«Ведь есть еще один (конечно, не панацея) интересный трюк… который доступен в Windows»
Сидеть под ограниченной учетной записью и не отключать UAC.
Сидеть под ограниченной учетной записью и не отключать UAC.
спасибо за 1й комментарий
UAC никогда не отключен. Учетная запись — соглашусь частично. ведь файлу не надо многое чтобы попытаться запуститься из-под ограниченной учетной записи с папки TEMP а потом эксплуатировать уязвимость повышения привилегий.
Ведь еще конечно можно ограничить права на запись в ветки реестра… но это уж 100% не выход
UAC никогда не отключен. Учетная запись — соглашусь частично. ведь файлу не надо многое чтобы попытаться запуститься из-под ограниченной учетной записи с папки TEMP а потом эксплуатировать уязвимость повышения привилегий.
Ведь еще конечно можно ограничить права на запись в ветки реестра… но это уж 100% не выход
интересно, добавлю в топик, но это может ограничить функционал уже существующих программ, как говорит microsoft.
Используемые в наборе средств EMET технологии снижения опасности могут быть несовместимы с некоторыми приложениями, поскольку блокируют важные для них функции. Перед развертыванием набора средств EMET в рабочей среде, тщательно испытайте его на всех целевых компьютерах с помощью тестовых сценариев. Технологии снижения опасности, которые вызывают проблемы, можно отключить. Дополнительные сведения см. в руководстве пользователя, которое устанавливается вместе с набором средств EMET.
Файл можно записать не во временную папку, а в любой пользовательский каталог. Те локеры что я встречал использовали домашний каталог пользователя
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку %appdata%\..\Local\Temp
Это что за папка такая? Может, Вы имели ввиду %temp%
?
Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!
Я так понимаю, что тут возникнут проблемы при использовании различных программ, к которым мы привыкли. Например, WinRAR. При запуске файлов из архивов (даже если текстовый в архиве) он как раз копируется в папку %temp% и от туда запускается
Проблем будет очень много. Куда всем инсталляторам копировать временные бинарники?
Я бы еще запретил ОЗУ. :)
Я бы еще запретил ОЗУ. :)
с WinRar у меня проблем небыло. если есть проблемы с программой — вам (Win7) в моем случае — четко выдает сообщение что такая-то программа не может запуститься… и да… тогда я иду обратно в групповые политики, и меняю правило на «Неограниченный»… потом меняю обратно… но что делать, если вы хотите себя обезопасить? ( и да, не всегда нужно быть таким параноиком )
Где-то на просторах интернета вычитал, что вместо антивируса под XP нудно сделать:
1. Лишить юзера прав админа. Напрочь. Нет, ему для работы никогда не понадобятся права (дебильный узкоспециализированный софт не в счёт)
2. Позволить юзеру запускать программы только от туда, куда он не может писать (Windows и Program files)
3. Запретить запуск программ оттуда, куда юзер может писать (флешки и т.п.)
Как правило, последует следующий диалог:
Юзер: Вася, мне срочно нужны админские права!
Админ: Мариванна/Пёртиваныч, Вам НЕ НУЖНЫ админские права
Юзер: срочно мне давай админские права! Я буду жаловаться директору!
Админ: я установлю Вам любой софт по служебке от директора
… тишина…
1. Лишить юзера прав админа. Напрочь. Нет, ему для работы никогда не понадобятся права (дебильный узкоспециализированный софт не в счёт)
2. Позволить юзеру запускать программы только от туда, куда он не может писать (Windows и Program files)
3. Запретить запуск программ оттуда, куда юзер может писать (флешки и т.п.)
Как правило, последует следующий диалог:
Юзер: Вася, мне срочно нужны админские права!
Админ: Мариванна/Пёртиваныч, Вам НЕ НУЖНЫ админские права
Юзер: срочно мне давай админские права! Я буду жаловаться директору!
Админ: я установлю Вам любой софт по служебке от директора
… тишина…
сочувствую тем, кто работает в такой организации
а зачем бухгалтеру админские права?
хитрые, устаревшие, неподдерживаемые клиентбанки, работающие годами, например, написанные через такую задницу, что перенос их на другую машину грозит полной неработоспособностью. Я на сталкивался уже с ними.
Ну. Это исключения «под служебку».
А всякие шимы не умеют с этим бороться?
А всякие шимы не умеют с этим бороться?
там на хр не всегда можно 2/3 сп ставить в некоторых клиентбанках, помню навозились один раз
я такие вещи обычно старасю вынести в отдельную подсеть + влан, сделать имидж каким-нить акронисом
и выпускать в инет на айпишники серверов клиентбанка с переводом данной машины в разряд клиент-банк-софт — онли, без всяких офисов/кодеков/флешей/жав и прочего шлака.
я такие вещи обычно старасю вынести в отдельную подсеть + влан, сделать имидж каким-нить акронисом
и выпускать в инет на айпишники серверов клиентбанка с переводом данной машины в разряд клиент-банк-софт — онли, без всяких офисов/кодеков/флешей/жав и прочего шлака.
это просто прописывается в ИТ политиках приказом по компании.
Так это правильная политика — админские права есть у админов и хелпдеска, всё.
Исключения типа инженеров СЦ, которые пачками прошивают оборудование, те же мобильники или модемы, или программисты, которым иногда надо подключиться, ввести админский логин для установки нового софта, всё.
WSUS решает…
Исключения типа инженеров СЦ, которые пачками прошивают оборудование, те же мобильники или модемы, или программисты, которым иногда надо подключиться, ввести админский логин для установки нового софта, всё.
WSUS решает…
У меня вопрос такой — может ли в этой схеме юзер создать ярлык на программу и ее запустить?
нет, система определяет при запуске непосредственно exe-файла — можно или нет запустит ь по такому-то пути.
Тогда малварь вполне может быть написана на vbs / js / powershell / cmd в параметрах запуска?
Ну, если быть таким дотошным, то regedit.exe, cmd.exe,cscript.exe,wscript.exe. powershell.exe можно запретить. Кто-то скажет о невозможности запуска прикладных «костылей» — так и не надо этих костылей на машине НЕРАЗРАБОТЧИКА, т.е. обычного пользователя.
Я не админ, но везде, где я работал были логон скрипты. С другой стороны, получается что это зависит от софта — уверен ли ты, например, что это перечисление софта исчерпывает весь список того, что может навредить при запуске с какими-то параметрами.
Вообще было бы интересно увидеть инструкцию, как просто сделать «бабушкоустойчивую» конфигурацию. (Юзер может сделать все что угодно, но сломать систему не может и не может скачать и запустить исполняемый файл)
Вообще было бы интересно увидеть инструкцию, как просто сделать «бабушкоустойчивую» конфигурацию. (Юзер может сделать все что угодно, но сломать систему не может и не может скачать и запустить исполняемый файл)
Меня одного бесит, когда зачеркивают слова, которые случайно вырвались?
отличный способ сохранять систему в рабочем состоянии, особенно когда пользователей несколько — Shadow Defender.
ставите чистую систему, весь необходимый софт, далее «замораживаем» системный раздел дефендером. при каждой перезагрузке система возвращается в исходное состояние. хоть пять винлокеров запустите. этот способ работает на 100%
ставите чистую систему, весь необходимый софт, далее «замораживаем» системный раздел дефендером. при каждой перезагрузке система возвращается в исходное состояние. хоть пять винлокеров запустите. этот способ работает на 100%
Скажите, а вы точно знаете что наткнулись на zero day уязвимость, а не просто, кто-то другой запустил установщик локера? Было ли всключено автообновление? Как локеру удалось захватить именно вашу учетную запись?
А где Вы видите чтоб речь шла про zero day уязвимость?
Судя по «уязвимость кот-я использовалась в IE — первоначально файл сохраняется в %temp%» уязвимость была не закрыта — вот и интересно по какой причине — вендор не закрыл или вендор не знал или автор отключил автообновление или еще что.
скажем так — 90% предположение что файл не запускался кем-то специально.
По поводу заплаток от майкрософта — всем нам известно что у них даже критический уязвимости фиксятся согласно планам и как правило накопительные обновления выпускаются несколько позже, в запланированную дату. смотрите Microsoft Security Bulletin
По поводу заплаток от майкрософта — всем нам известно что у них даже критический уязвимости фиксятся согласно планам и как правило накопительные обновления выпускаются несколько позже, в запланированную дату. смотрите Microsoft Security Bulletin
Вот, если бы автор статьи выяснил, что это zero day или, хотя бы известная дыра на которую заплатка не вышла. И привёл бы факты, это доказывающие — это было бы интересно. А так получается вот что: откуда файл и как попал в систему — не выяснено. Предлагаемый вариант защиты, мягко говоря, вызывает вопросы и кучу нареканий. Подробностей выковыривания зловреда тоже нет. Что интересного в статье — неясно. Вот и результат голосования за топик всё это подтверждает
статья была не про то как я «выковыривал» зловред, а про то как предотвратить заражение если он все же попал в систему.
Про вариант защиты — ведь ясно было написано — что это не панацея.
В статье описан еще один способ для предотвращения заражения путем ограничения запуска с использованием групповой политики, быть может это было интересно тем 32 человекам, которые оставили статью в избранном.
В любом случае — спасибо за критику и комментарии, учту в будущем.
Про вариант защиты — ведь ясно было написано — что это не панацея.
В статье описан еще один способ для предотвращения заражения путем ограничения запуска с использованием групповой политики, быть может это было интересно тем 32 человекам, которые оставили статью в избранном.
В любом случае — спасибо за критику и комментарии, учту в будущем.
не поленился найти именно для вас описание что этот вирус эксплуатирует уязвимость системы для IE9
www.lavasoft.com/mylavasoft/malware-descriptions/blog/backdoorwin32poisontrojanwin32genericbt
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4969
www.lavasoft.com/mylavasoft/malware-descriptions/blog/backdoorwin32poisontrojanwin32genericbt
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4969
Сходив по ссылкам получается, что кумулятивное обновление вышло 21 сентября technet.microsoft.com/en-us/security/bulletin/ms12-063
А когда примерно было заражение? И еще вы не ответили, было ли включено автообновление винды
А когда примерно было заражение? И еще вы не ответили, было ли включено автообновление винды
Ну, прям у нас вин локеры zeroday повсеместно использовали. Не пугайте народ почём зря. Тот кто имеет зиродай не будет его юзать в обычном вин локере. Это очень глупо.
Да и реверсить патчи вряд ли станут — зачем, если всё из метасплоита взять можно? Экономия кучи времени и сил.
Да и реверсить патчи вряд ли станут — зачем, если всё из метасплоита взять можно? Экономия кучи времени и сил.
Это всё теоретические размышления.На практике имеем вот что: отреверсить не так просто, как звучит. И даже после нахождения баги большой вопрос создания более менее стабильного эксплоита. В этом плане метасплоит намного лучше подходит: там уже и с системами добились стабильности и универсальности, и даже комменты есть по ходу самого сплоита.
Sign up to leave a comment.
Так ли страшны новые эксплоиты, если их не видит антивирус?