Pull to refresh

Comments 44

Менять DataBasePath это интересно, особенно если задать новый путь к файлу а не папке.
А то вдруг малвари научатся читать из реестра путь.
А что помешает малваре считать путь к файлу, а не к папке? Здесь вообще подход строится на том, что малвари достаточно тупы (т.к. пишутся пачками, на коленки и побыстрее) и не ведут себя, православно беря пути из реестра.
В этой ветке реестра прописан только путь к папке.
Я имел ввиду записать туда путь к файлу.
Тогда малварь должна подставить в конец пути \hosts которого не найдет.
Кстати, да. А еще, скорее всего выпасть с ексепшеном и соответствующим диалоговым окном от системы. А это еще один флажок «Шеф, у нас проблемы», помню так детектилась вирусня, которая пыталась себя записать на букву диска, соответствующую cd-bay, например.
А у системы от таких выкрутасов крыша не поедет?
Удаление файла hosts и замена его на папку не вредило, значит и путь в реестре не особо изменит ситуацию.
Ну файлу hosts можно обрезать файловые примиссии, оставив только чтение. На работоспособности системы не сказывается, зато от мелких пакостников неплохо защищает.
UFO just landed and posted this here
1. Уважающие себя АВ-комплексы выдадут алерт при попытке самозашидулиться
2. Можно отключить шедулер
3. Очень многие малвари прописывают таски через тот же… cmd.exe:

«C:\WINDOWS\system32\cmd.exe» /c copy C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\system32\drivers\etc\hosts.sam /Y && at 15:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\14727500aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts"

В данном примере из жизни реальной малвари видим и прямой путь до hosts, и использование cmd :)
UFO just landed and posted this here
Я думаю, что те пользователи, которые ловят вирусы — скорее всего не читают хабр и вообще хоть что-нибудь. Так что у них скорее всего будет в настройках «не отображать расширения для известных типов файлов».

Еще у них 6-8 надстроек браузера (интернет експлорера), в авто-запуске минимум 30 наименований файлов неизвестного происхождения и все в таком-же духе. Пишу очевидные вещи, не смог себя перебороть :)
Как же я вас понимаю, от mail спутника офигеваю
Эх, вот бы софтинку, которая бы сэмулировала всю эту песочницу в один клик…
Под видом этой софтинки как раз вирусню и подсунут.
>Начать стоит с того, что самой не очевидной защитой является использование учетной записи пользователя, а не администратора
привет вам от User Account Control и команд sudo и su
это как раз самая очевидная защита, так как она почти у всех включена по умолчению, и о ней все знают

>что на ХР автозапуск с флешек можно отключить
да и не только на икспи

а вот один из неочевидных спрособов — сделать железный файрвол для флешки с режимами «только чтение», «запретить создание типичных вирусных папок и файлов, а также запретить назначение атрибутов, а также запретить писать загрузочную запись»
давно руки чешутся такой сделать, да всё влом копать спецификацию юсб

>Производится путем проверки имени компьютера, пользователя, нахождения в адресном пространстве определенных dll-библиотек, ключу операционной системы.
откуда у Вас такая осведомлённость о том, как устроен анубис и прочие онлайн-песочницы
может там какая-нибудь хитроумная песочница, которая всё это подменяет
может там вообще используется полнеценная виртуальная машина, имитирующая обычную винду с кучей прог, которые у обычного юзера понаустановлены?
требую пруф

>2. Обнаружение виртуальной машины (VMWare, SandBox)
>Путем поиска определенных процессов, ключей реестра, железа, выявление различий с обычной системой разными ассемблерными трюками.
Например, попыткой исполнения VMENTER

>дать малвари понять, что ее исследуют и она сама откажется от своих дурных намерений.
многие не откажутся, если цель вирмейкера — заразить как можно больше машин и тырить данные/использовать как ботнет
пусть детектит, если малваь укоренится как следует в системе и авер её не сможет вычистить

>А вот тут-то и есть небольшая хитрость защиты, дело в том, что путь к папке etc указан в реестре и если поменять путь на другую папку (туда положить все файлы из предыдущей, а из etc потереть), то троянец будет несколько удивлен…

а вы уверены, что горе-поделки будут за путём лазать в реестр? они скорее запишут по захардкоденому пути, взяв только переменные окружения
ваш совет приведёт к тому, что некоторые немалварьные проги не смогут нормально работать
к тому-же, для редактирования хостс нужны права админа, а их надо ещё запросить, что повлечёт срабатывание UAC

>можно подменить системный cmd.exe
вы явно троллите
нельзя ничего системного подменять — могут порушиться нормальные программы
и с чего вы взяли, что шеллкоды используют cmd?
почему не вызов system, почему не powershell, почему не windows Script Host, почему не пожатую и кастрированную lua?

>при срабатывании эксплоита именно он зачастую запускает загруженную малварь и метод самоудаления тоже реализован через bat-файл, да и во время своей работы вредонос время от времени нагружает командный интерпретатор работой.
дело Бабушкина живёт и процветает ;)

>против чего точно нет в запасе эксплоитов, например Линукс.
прописать в юзерагенте линукс — идея неплохая, но с чего вы взяли, что линукс никому не нужен, а уязвимости в файрфоксе или хроме специфичны для винды.макоси?
как база для ботнета любая ось годится

и почему вы не упомянули ВИРТУАЛИЗАЦИЮ
в частности, скажу вам, в Sandboxie абсолютное большинство программ отлично работает
KOLANICH, спасибо за вопросы… приятно когда кто-то еще интересуется тем же чем и ты, потому постараюсь на все ответить :)

Цитировать не буду, чтобы не генерировать много букв, а просто пойду по порядку объяснять:
— большинство людей сидят под админом и с выключенным uac, а даже если он и включен, то можно обойти (встречаются даже такие смешные способы когда малварь в цикле до бесконечности пытается сделать некое действие пока ей не разрешат или не прибьют ее процесс:) )
— на ХР автозапуск с флешек можно вырубить, на более новых осях он итак отключен (благодаря kido, кстати)
— о том как устроен анубис можно догадаться при ковырянии малвари — если она проверят такие имена\библиотеки, то наверняка знает что делает… но это несерьезно:) А если говорить про достоверный способ, то узнать все об анубисе и подобных легко так: делается билд пинча, заливается туда на анализ, затем читаем отчет, который троян прислал — там будет вся инфа о системе.
— разумеется, что бОльшая часть малвари не использует никаких средств против исследования и будет пытаться работать даже на калькуляторе
— с чего я взял как работают шеллкоды? мои два основных занятия это поедание пельменей и ковыряние малвари :)
— суть защиты от редактирования хостса в том и есть — малварь в реестр не полезет, а запишет по фиксированному пути (т.е попытается), а толку будет с этого мало
— я не троллю. Ничего системного подменять не советую. В нескольких местах написал как стоит относится к моей статье, хотите если подменять на реальной машине, то вы должны быть уверены в своих навыках.
— с чего я взял, что линукс никому не нужен? эксплоит-паки регулярно ковыряю по мере того, как вирмейкеры начинают продавать новую версию своих поделок и как-то еще не встречал чтобы эксплоит-пак пытался ехе-шник на линукс загрузить.
— про базу для ботнетов согласен, но вот только заражение машин на линуксе происходит иначе, например так: на сервер через уязвимый сайт заливается шелл, затем хакается сервер и становится частью ботнета (канал широченный, скорость огромная...).
— Sandboxie не упомянул (не упомянул ни одной защитной программы) потому что это очевидно — программа предназначена для защиты — пошел на официальный сайт, скачал, установил, пользуюсь… — чего тут неочевидного? вот потому и не упомянул.
Позвольте поспорить с первыми двумя пунктами:
— UAC отключают эникейщики и прочие недалёкие юзеры, которым мешает лишнее выскакивающее окно во время установок софта или запуска его с повышенными привилегиями. По умолчанию он включён.
— Автозапуск на Windows XP+ включён по умолчанию, просто его удобнее и быстрее выключать, чем на XP.
Спасибо. Интересные трюки. Вряд ли буду использовать на практике, но вектор безопасности задан хороший, в каких-то ситуациях может и пригодится сделать по аналогии

PS: вспомнился пресловутый Бабушкин. Бедняга, даже ничего подобного не смог изобрести…
UFO just landed and posted this here
Я бы еще рекомендовал использовать EMET, последнию 3.5 Tech Preview версию — в ней помимо DEP/NullPage pre-allocation/разных ASLR/HeapSpray pre-allocation/SEHOP/EAF еще и реализовали целый ряд достаточно эффективных механизмов предотвращения использования ROP эксплуатационных техник так, что 99.99% малвари тупо не сможет передать управление на свой пейлоад и мах чего будет грозить юзеру — крэш приложения.

Вот на почитать — kb.atraining.ru/new-emet-3-5/.
Я у себя сделал так: создал отдельного бесправного пользователя (назовём его BrowserSandbox) и запускаю браузеры через простенький bat-файл командой runas /profile /savecred /user:BrowserSandbox C:\Soft\Opera\opera.exe
Правда, это не решает проблемы с открытием ссылок из приложений, но и тут я уже придумал, как сделать.

Для тех, кто захочет воспользоваться этим методом с браузером Firefox:
Ещё одна проблема, с которой я столкнулся — при попытке использования Мозиллы таким образом на Windows 7 при включенном флэш-плагине она имеет свойство подвисать секунд на 40-60 на страницах, где есть флэш. При более ранних версиях Adobe Flash это происходило ТОЛЬКО при выполнении следующих условий: Win 7, одноядерный процессор, флэш-плагин, страница с флэшем, ограниченная учётка мозиллы. Сейчас подвисает и на многоядерном тоже.
а зачем так сложно и еще мириться с лагами и подвисаниями? может лучше NoScript в браузер и отключить все плагины? (включать, например флэш, когда хотите фильм в онлайне посмотреть)
Тут я полностью уверен, что, даже если выйдет какой-то 0-day для самого браузера, а не для плагинов, дальше этой ограниченной учётки малварь никуда не пролезет. И к тому же мне так удобнее, чем с виртуалкой. Опера, повторюсь, работает как надо. Мозилла — почему-то нет. Не знаю, стоит ли на такую странную конфигурацию открывать баг в треккере :) И, если открывать, то в треккере какого продукта?

И потом, я уже пробовал браузинг с NoScript. Не знаю, как у остальных, но у меня возникало ощущение снижения отзывчивости. Зашёл на сайт, половины содержимого нет, треть перекошена, начинаешь смотреть, с каких поддоменов разрешать скрипты и т.д.
Согласен. Тут уже кто как привык…
Firefox+NoScript+WOT+Adblock (3 штуки) + другие + стоит «Антивирус К»
нетбук на атом 230 с подключенным монитором fullhd. Памяти 2Гб 1 модулем. Диск наверно 5400об/мин.

тормозов нет при открытии +40 вкладок! Некоторые плагины съедают память когда общее количество 2Гб на это забиваешь.
(а вот Флеша тормоза, флеш часто без яваскриптов не запускается, так что имхо от него больше пользы)

Практика показала, что noScript домашнии пользователи осиливают в 50% случаев. На остальных нужно тратить больше сил :)

Кстати в crome плагин NoScript мне это больше понравился (реализация интерфейса)
Снижение отзывчивости не в результате торможения! А в результате неслабого увеличения количества телодвижений, необходимых для отображения одной страницы.
95% пользователей обычно ежедневно посещают 95% уже старых сайтов и 5% новых.
Для старых сайтов правило сохраняются. Для новых обычно нужно разрешить 1 в редких случаев 2 скрипта от самого сайта.
Остальные же скрипты в 95% случаев носят рекламно-спамерный характер.

Возможно вы те 5% которому нужна реклама и спам :)
Закрывать новые окна, подпрыгивать со стула от рекламного ролика прикрепленного к краю страницы вам наверно нравится больше.

К примеру есть опция разрешать скрипты для страниц в избранном. Так что если сайт стоит того чтобы быть занесен в избранное то нажать на звездочку это не сложно. ctrl+D Enter
Если говорить не про исследования малвари, а про меня, то из перечисленного вами использую обычный адблок+носкрипт+лиса+отключенные плагины (на личном ноутбуке).
Но в реальности я почти всегда занят какими-то ковыряниями и сижу в виртуалке, соответственно инет-серфинг тоже с нее, а там никакой защиты нет — если какая дрянь полезет, то я ей только рад буду :)
UFO just landed and posted this here
1. Будьте вежливы. Хабр не место для дилетантствующих хамов.

2. Каждый сам решает что ему дороже: удобство или безопасность. Есть компромиссы между этими крайностями, например: «я знаю, что без антивируса компьютер работает намного быстрее и меньше лагает, но все равно его использую, т.к считаю это необходимым компромиссом между производительностью и безопасностью»

3. Никому менять юзерагент я не советовал, просто написал, что произведя такое действие бОльшая часть вредоносных айфреймов на связки эксплоитов будет открывать тупо гугл, а не листинги кода, целью которого будет свалить в крэш какой-нибудь плагин

4.… но если серьезно взяться рассуждать к каким неудобствам приведет смена юзерагента, то:
4.1 При ручном скачивании обновления (например флэш плеера) придется вручную указать, что у нас windows
4.2 Статистика посещений сайтов начнет на сколько-то процентов подвирать (смотря сколько людей изменят)
4.3 Какие-то сайты (найдете — напишите, мне такие не встречались) немного перекосятся

5. Что касательно защиты от малвари: даже если половина exploit-pack'ов не будет работать, то это уже серьезно.
Спорить не буду. Может смотря на какой юзерагент менять. У меня все нормально отображается.
А что мешает перенести папку «USERS», «PROGRAME DATA»на диск D:\
и для диска D: отключить в политиках запуск приложений в исключения можно добавить lnk (по умолчанию ярлыки также не будут запускаться)

Про то что во многих сборках отключают UAC и сидят под админом упоминать не стоит.
А про путь к файлу hosts идея. Интересно другое знают ли про это антивирусы.

браузер и pdf просмотрщик графики и плеер медиа можнонужно запускать в песочнице.

Вместо того чтобы косить «под витруалку» можно сидеть в виртуалке. Для многих это реально.
Так-же есть решения машин-времени они тоже многим подойдут shadow defender как пример. Проверено на неопытных пользователях.

К данному решению стоит вписать и другие гипервизоры тот же hyper-v.

Еще можно запускать приложения по списку хешей придется ручками добавлять новые.

Я считаю что сидеть под пользователем и отключение запуска приложений с диска d (где профиль и запуск большинства программ в месочнице)
будет гораздо полезнее решения автора.
А я и не предлагал отказаться от других средств защиты :)
Просто когда много долбишь малварь, скапливается много чего интересного, чем хочется поделиться с другими чтобы другим тоже было интересно :)
А что еще осталось за кадром?
можно приложения запустить от имени другого пользователя чтобы не было видно. Если это не жрет ресурсы то почему бы и нет.
Самое интересное за кадром остается, так как нельзя говорить о том, что хакеры смогут начать во вред использовать.
Например, если я знаю какие-то способы безпалевного инжекта в процесс, то я об этом молчу (сообщаю об этом только нужным людям в АВ-компаниях), а не начинаю трубить направо и налево об этом… Можете считать это камнем в сторону огорода товарища М.
спасибо, познавательно, в последний раз когда нахватал зловредов, сделал немного кардинальней — просто ушел на linux sabayon, в соседнем мониторе винда из вирталбокс на весь экран в силу необходимости виндософта.
Sign up to leave a comment.

Articles