Comments 63
А как сильно это будет влиять на производительность самого процессора?
Ничего не понял как оно будет работать. Формально шифровальщик-вымогатель просто читает файл и пишет вместо него новый. Дополнительную проблему это создает тем, что для этих операций ему не надо быть администратором. Как конкретный процессор может помешать этому?
Скорее всего, процессор может передать антивирусу Windows данные о подозрительном поведении программ или драйверов.
Использует встроенное видеоядро, если оно есть, для ускорения вычислений и для разгрузки самого процессора. Чтото в духе OpenCL или CUDA…
Ну и отдельные вопрос, как эта защита отразится на работе с личными криптоконтейнерами?
Всё проще: Отслеживает характерные для шифрования инструкции. Если их много — поднимает панику.
Т.е. в задачи разработчиков криптовымогателей добавится «запустить на этом процессоре, в случае, если срабатывает эвристика, изменить алгоритм, например, отказаться от использования аппаратных инструкций шифрования»
Насколько я понимаю, само по себе никак — это просто набор аппаратных средств мониторинга, которые дальше могут быть задействованы соответствующим софтом. Очень грубо говоря, "аппаратный ускоритель" для антивирусов. :)
Получается, Hardware Shield блокируют запуск не подписанного кода из UEFI, TDT следит за поведением не подписанных драйверов и программ. Но как антивирус из операционной системы может что-либо сделать на таком уровне? Это минимум должен быть уровень гипервизора же, разве не так?
Проблема всей современной «борьбы» с шифровальщиками в том, что борются не с причиной, а со следствиями. Достаточно просто антивирусам начать бить тревогу, если софт начинает массово перебирать файлы (особенно, если это неожиданные пути!) — в нормальной жизни такое возможно только для считанного количества программ (фактически те же антивирусы, да архиваторы), цифровые подписи которых заведомо известны и/или можно вести соотв. реестр. Любое другое ПО считать заведомо вредоносным и разрешать его работу только после явного одобрения пользователя. Каковое одобрение может запретить админ организации, кстати говоря — чтобы после запуска документ.docx.exe шифрование таки не успело привести к радикальным последствиям.
А все вот эти вот добавления хешей вирусов в базы антивирусов — это какое-то приседание впустую. Вроде и делается что-то, только достаточно внести минимальные изменения в .exe файл, чтобы современные антивирусы перестали его видеть.
Достаточно просто антивирусам начать бить тревогу, если софт начинает массово перебирать файлы
Нет, недостаточно. Я делал прототип антишифровальщика в начале 2018. Более-менее приличные результаты получались из накопления статистики по целому ряду параметров, включая факт ее наследования и устаревания. (Чтобы нельзя было разбить шифровальщик на множество отдельных процессов, каждый из которых делает маленькое легитимное действие, может даже через штатный функционал стороннего софта).
Но это будет всё равно лучше того, что есть сейчас. Потому что сейчас защиты от шифровальщиков — нет. Достаточно на коленке написать любую программу для этих целей и ее пропустят все 100% антивирусов, пока кто-то им ее в базу данных не добавит. Это НЕ защита, это профанация.
Я даже интереснее вопрос задам: почему в 2021 году все еще можно запустить документ.docx.exe? Первый, кто должен был бы не дать это сделать — антивирус. И тут вообще не важно, есть ли этот файл в его базе или нет, если это легитимный файл, то тот же самый антивирус (на другом компе) не дал бы его создать.
Я не понимаю, почему современные антивирусы даже не пытаются вводить какие-то дополнительные меры защиты. Причем вполне примитивных — типа проверки соответствия формата внутри расширению у файла — уже было бы достаточно, чтобы снять кучу проблем заранее.
Любое другое ПО считать заведомо вредоносным и разрешать его работу только после явного одобрения пользователя. Каковое одобрение может запретить админ организации, кстати говоря — чтобы после запуска документ.docx.exe шифрование таки не успело привести к радикальным последствиям.Но это и было реализовано при царе-горохе в UAC, который юзвери либо отключают, либо кликают «Да» не глядя.
Контроль и зонды, чтобы превратить пк в аналог яблофона, где всё только за бабло и от монополиста-издателя.
<sarcasm>Предлагаю сделать запуск программ платным за каждый сеанс на уровне железа и только после получения разрешающего токена от производителя процессоров. Причём деньги надо брать и c производителя ПО (вы же хотите, чтобы ваша программа была запущена), и с пользователя (вы же хотите воспользоваться программой). Этот чудный мир уже близко. Безопасности можно добиться, сделав запуск вирусов на миллионах заражённых компьютеров разорительным для вирусописателей. </sarcasm>
Как я понял, обманутый пользователь запускающий «Подписать важный договор.ехе» просто будет дополнительный раз предупрежден и на автомате на один раз больше нажмет ОК.
Но если при этом автоматически сделается снапшот изменяемых объектов на уровне ниже системного с возможностью вернуть, «как было», может и будет толк. Хотя я в такое не верю.
Ещё один "антивирус", отжирающий у проца ресурсы. Как это поможет против "бухгалтерши Клавы", которая с любым антивирусом запустит "Договор.doc.exe", и спустит тем самым любую защиту в унитаз? А если там зиродей, то разницы нет как это антивирус, хардварный или софтварный.
А вот в процессоры эти костыли втыкают специально, более привилегированные режимы, шифрование виртуальной памяти и tp… Скоро будете вводить лицензии в процессоры что бы разблокировать дополнительный функционал на следующий год год использования.
ps: За своими фигурами лучше всего следят шахматистки.
habr.com/ru/company/intel/blog/141318
Скоро будете вводить лицензии в процессоры что бы разблокировать дополнительный функционал на следующий год год использования.
Ну что вы, подписки на дополнительный функционал не дадут достаточного ROI. Куда выгоднее продавать подписку на лицензию на использование RDRAND.
Если все четко будет работать, то отличная новость. А то мошенников сейчася что не ибе, что телефонных развелось((
Вторая технология — Advanced Platform Telemetry — позволяет включить прозрачный и не нагружающий CPU сбор телеметрии, нацеленной на поиск подозрительной активности (пока непонятно, что конкретно собирается). Собранные данные накапливаются в специальном буфере и позже могут быть отправлены в облако тем же самым Windows Defender (т.е. это заточка чисто под облачное сканирование данного антивируса, чтоб не жрало ресурсов).
Сначала была система полного доверия, типа ДОС, где каждая программа могла вытворять все что угодно, но и защищаться могла тоже как угодно.
Потом сделали разделение на пространство пользователя и ядра, «защищенный режим» и все такое.
Спустя некоторое время коду ядра уже нельзя было просто доверять, поэтому добавили слой гипервизора.
Однако ж гипервизорам тоже оказывается доверять нельзя. Поверх них добавили trustzone/EL3 (arm) или sgx/txt (intel).
А вдруг враги проберутся и туда? Добавили обвязку, которая стартует раньше всех и контролирует процессор, причем сначала изнутри (intel ME), а потом и снаружи.
Что дальше? Теперь весь «правильный» код надо подписывать, а за неподписанным следить, чтобы некоторые операции он не выполнял вообще. Разумеется следить будем с самого низа, потому что доверять выше никому нельзя — там же уже окопались враги.
Что дальше? Цензура кода уже есть, дискриминация тоже, ограничение в правах давно уже, подпись выданная уполномоченными органами тоже имеется, концлагеря (песочницы и виртуалки) тоже в наличии, что еще осталось-то? Социальный рейтинг?
Вот такой прогресс. А вирусы, а что вирусы? Они и не замечают похоже всей этой возни.
Не большой специалист по шифровальщикам, но кажется проблема в том что любая программа может прочитать любой файл пользователя.
Почему не делают решений по этому вектору? — например чтобы docx мог читать только условный Ворд, с которым в системе ассоциировано расширение?
Это если по-быстрому. В целом конечно вообще странно, что какой-нибудь любимый арканоид может копаться в особо ценных фотографиях с отпуска.
Криптовымогателям — твердое «нет». Intel добавит защиту от шифровальщиков на уровне процессора