Comments 63
А как сильно это будет влиять на производительность самого процессора?
Ничего не понял как оно будет работать. Формально шифровальщик-вымогатель просто читает файл и пишет вместо него новый. Дополнительную проблему это создает тем, что для этих операций ему не надо быть администратором. Как конкретный процессор может помешать этому?
Как я понял, что Threat Detection Technology может детектировать некую нагрузку от не подписанных приложений в Windows 10 Secured-Core (используются слова «эвристика» «аналитика), используя видеоядро (так и не понял, встроенное или внешнее) для разгрузки CPU.
Скорее всего, процессор может передать антивирусу Windows данные о подозрительном поведении программ или драйверов.
Скорее всего, процессор может передать антивирусу Windows данные о подозрительном поведении программ или драйверов.
Всё проще: Отслеживает характерные для шифрования инструкции. Если их много — поднимает панику.
Использует встроенное видеоядро, если оно есть, для ускорения вычислений и для разгрузки самого процессора. Чтото в духе OpenCL или CUDA…
Использует встроенное видеоядро, если оно есть, для ускорения вычислений и для разгрузки самого процессора. Чтото в духе OpenCL или CUDA…
А разве тогда просто не сделают криптовымогатель специально с использованием других инструкций? (алгоритмов шифрования вагон целый). И почему под это дело не попадет проверенное ПО? (может там в вычислениях используется много таких же инструкций)
Вообще странно звучит. Если будет исключение для проверенного ПО, то не смогут ли вымогатели использовать его для шифрования.
Да банально шифровать будет не все и сразу а по чуть-чуть в течении скажем месяца. Ну чтобы алярм не триггерить. Второй момент — триггер срабатывает при подозрительной активности выше уровня X. Следовательно все что нужно — успеть зашифровать критически важные системные области, чтобы в большинстве случаев окирпичить клиента.
Ну и отдельные вопрос, как эта защита отразится на работе с личными криптоконтейнерами?
Ну и отдельные вопрос, как эта защита отразится на работе с личными криптоконтейнерами?
Всё проще: Отслеживает характерные для шифрования инструкции. Если их много — поднимает панику.
Т.е. в задачи разработчиков криптовымогателей добавится «запустить на этом процессоре, в случае, если срабатывает эвристика, изменить алгоритм, например, отказаться от использования аппаратных инструкций шифрования»
Насколько я понимаю, само по себе никак — это просто набор аппаратных средств мониторинга, которые дальше могут быть задействованы соответствующим софтом. Очень грубо говоря, "аппаратный ускоритель" для антивирусов. :)
Думаю также, но смущает эта цитата «Они работают на базовом уровне, ниже ОС, так что даже в том случае, если шифровальщику удается получить максимальный уровень доступа, его можно нейтрализовать»
Получается, Hardware Shield блокируют запуск не подписанного кода из UEFI, TDT следит за поведением не подписанных драйверов и программ. Но как антивирус из операционной системы может что-либо сделать на таком уровне? Это минимум должен быть уровень гипервизора же, разве не так?
Получается, Hardware Shield блокируют запуск не подписанного кода из UEFI, TDT следит за поведением не подписанных драйверов и программ. Но как антивирус из операционной системы может что-либо сделать на таком уровне? Это минимум должен быть уровень гипервизора же, разве не так?
А не будут ли при этом страдать штатные инструменты шифрования?
Ну да, надо вот мне сделать шифрованный архив 7z или тысячу таких архивов (ну, каждый файл в отдельный архив) — что, нельзя уже? А ведь это, по сути, и есть штатное поведение шифровальщика (ну разве что исходные файлы мусором не перезаписывает).
Если штатный инструмент подписан, то его легче отделить от неподписанного вируса.
Ну были же шифровальщики на базе powershell+pgp, обе программы — вполне себе легальные и подписанные, а вся суть — в bat-скрипте, который их и дергал.
Можно требовать наличие подписи у PowerShell-скрипта. Windows, кстати, по умолчанию не запускает неподписанные скрипты (это, конечно, легко обходится, но всё же).
А кто помешает сформировать powershell-скрипт «на лету», и подписать свежесгенерированным сертификатом прямо на компе с вирусом? При желании, можно и сертификат и в хранилище положить, для этого даже админские привилегии скорее всего не потребуются.
Проблема всей современной «борьбы» с шифровальщиками в том, что борются не с причиной, а со следствиями. Достаточно просто антивирусам начать бить тревогу, если софт начинает массово перебирать файлы (особенно, если это неожиданные пути!) — в нормальной жизни такое возможно только для считанного количества программ (фактически те же антивирусы, да архиваторы), цифровые подписи которых заведомо известны и/или можно вести соотв. реестр. Любое другое ПО считать заведомо вредоносным и разрешать его работу только после явного одобрения пользователя. Каковое одобрение может запретить админ организации, кстати говоря — чтобы после запуска документ.docx.exe шифрование таки не успело привести к радикальным последствиям.
А все вот эти вот добавления хешей вирусов в базы антивирусов — это какое-то приседание впустую. Вроде и делается что-то, только достаточно внести минимальные изменения в .exe файл, чтобы современные антивирусы перестали его видеть.
Проблема всей современной «борьбы» с шифровальщиками в том, что борются не с причиной, а со следствиями. Достаточно просто антивирусам начать бить тревогу, если софт начинает массово перебирать файлы (особенно, если это неожиданные пути!) — в нормальной жизни такое возможно только для считанного количества программ (фактически те же антивирусы, да архиваторы), цифровые подписи которых заведомо известны и/или можно вести соотв. реестр. Любое другое ПО считать заведомо вредоносным и разрешать его работу только после явного одобрения пользователя. Каковое одобрение может запретить админ организации, кстати говоря — чтобы после запуска документ.docx.exe шифрование таки не успело привести к радикальным последствиям.
А все вот эти вот добавления хешей вирусов в базы антивирусов — это какое-то приседание впустую. Вроде и делается что-то, только достаточно внести минимальные изменения в .exe файл, чтобы современные антивирусы перестали его видеть.
Достаточно просто антивирусам начать бить тревогу, если софт начинает массово перебирать файлы
Нет, недостаточно. Я делал прототип антишифровальщика в начале 2018. Более-менее приличные результаты получались из накопления статистики по целому ряду параметров, включая факт ее наследования и устаревания. (Чтобы нельзя было разбить шифровальщик на множество отдельных процессов, каждый из которых делает маленькое легитимное действие, может даже через штатный функционал стороннего софта).
Возможно, что и так. Я даже, в принципе, готов мириться с ложными срабатываниями.
Но это будет всё равно лучше того, что есть сейчас. Потому что сейчас защиты от шифровальщиков — нет. Достаточно на коленке написать любую программу для этих целей и ее пропустят все 100% антивирусов, пока кто-то им ее в базу данных не добавит. Это НЕ защита, это профанация.
Я даже интереснее вопрос задам: почему в 2021 году все еще можно запустить документ.docx.exe? Первый, кто должен был бы не дать это сделать — антивирус. И тут вообще не важно, есть ли этот файл в его базе или нет, если это легитимный файл, то тот же самый антивирус (на другом компе) не дал бы его создать.
Я не понимаю, почему современные антивирусы даже не пытаются вводить какие-то дополнительные меры защиты. Причем вполне примитивных — типа проверки соответствия формата внутри расширению у файла — уже было бы достаточно, чтобы снять кучу проблем заранее.
Но это будет всё равно лучше того, что есть сейчас. Потому что сейчас защиты от шифровальщиков — нет. Достаточно на коленке написать любую программу для этих целей и ее пропустят все 100% антивирусов, пока кто-то им ее в базу данных не добавит. Это НЕ защита, это профанация.
Я даже интереснее вопрос задам: почему в 2021 году все еще можно запустить документ.docx.exe? Первый, кто должен был бы не дать это сделать — антивирус. И тут вообще не важно, есть ли этот файл в его базе или нет, если это легитимный файл, то тот же самый антивирус (на другом компе) не дал бы его создать.
Я не понимаю, почему современные антивирусы даже не пытаются вводить какие-то дополнительные меры защиты. Причем вполне примитивных — типа проверки соответствия формата внутри расширению у файла — уже было бы достаточно, чтобы снять кучу проблем заранее.
Любое другое ПО считать заведомо вредоносным и разрешать его работу только после явного одобрения пользователя. Каковое одобрение может запретить админ организации, кстати говоря — чтобы после запуска документ.docx.exe шифрование таки не успело привести к радикальным последствиям.Но это и было реализовано при царе-горохе в UAC, который юзвери либо отключают, либо кликают «Да» не глядя.
В процессорах АМД довольно давно есть некие противо-вредительские механизмы (они даже пытались на коробках об этом писать). Это имеет какое-нибудь отношение к обсуждаемой теме?
Как бы это супер чудо не заблокировало обычную работу…
А именно для этого оно всё и делается.
Контроль и зонды, чтобы превратить пк в аналог яблофона, где всё только за бабло и от монополиста-издателя.
Контроль и зонды, чтобы превратить пк в аналог яблофона, где всё только за бабло и от монополиста-издателя.
А где вы видели vPro в домашних ПК? Это корпоративный сектор и отдельная линейка чипсетов — Q.
<sarcasm>Предлагаю сделать запуск программ платным за каждый сеанс на уровне железа и только после получения разрешающего токена от производителя процессоров. Причём деньги надо брать и c производителя ПО (вы же хотите, чтобы ваша программа была запущена), и с пользователя (вы же хотите воспользоваться программой). Этот чудный мир уже близко. Безопасности можно добиться, сделав запуск вирусов на миллионах заражённых компьютеров разорительным для вирусописателей. </sarcasm>
Для этого сперва придётся разработать эвристики, способные в реальном времени обнаруживать сторонников республиканской партии.
Как я понял, обманутый пользователь запускающий «Подписать важный договор.ехе» просто будет дополнительный раз предупрежден и на автомате на один раз больше нажмет ОК. Тут надо прививать культуру, а не видеокарту отдавать под антивирус.
Thunderbird клиент молча не сохраняет файл вируса если тот пришёл аттачем в сообщении. Даже не спрашивает об этом. Только что попробовал.
Как я понял, обманутый пользователь запускающий «Подписать важный договор.ехе» просто будет дополнительный раз предупрежден и на автомате на один раз больше нажмет ОК.
Но если при этом автоматически сделается снапшот изменяемых объектов на уровне ниже системного с возможностью вернуть, «как было», может и будет толк. Хотя я в такое не верю.
Ещё один "антивирус", отжирающий у проца ресурсы. Как это поможет против "бухгалтерши Клавы", которая с любым антивирусом запустит "Договор.doc.exe", и спустит тем самым любую защиту в унитаз? А если там зиродей, то разницы нет как это антивирус, хардварный или софтварный.
Маркетологи, блин. Не проще ли просто отслеивать активность в файловой системе? Верным признаком будет постоянно высокая энтропия данных, записываемых вымогателем.
У Veracrypt или любого другого софта для легитимного шифрования разделов/файлов будет постоянно высокая энтропия данных на запись.
Шифровальшики не шифруют файл целиком, это слишком долго. Они шифруют только отдельные малые части файлов это позволяет быстро испортить максимальное количество файлов, не нагружая процессор от слова совсем, даже вентиляторы вой не подымут. И при наличии SSD это всё происходит очень быстро. Защита должна быть на уровне операционной системы. Типа snapshot-ов и ограничения на количество изменяемых файлов свеже установленными программами.
А вот в процессоры эти костыли втыкают специально, более привилегированные режимы, шифрование виртуальной памяти и tp… Скоро будете вводить лицензии в процессоры что бы разблокировать дополнительный функционал на следующий год год использования.
ps: За своими фигурами лучше всего следят шахматистки.
А вот в процессоры эти костыли втыкают специально, более привилегированные режимы, шифрование виртуальной памяти и tp… Скоро будете вводить лицензии в процессоры что бы разблокировать дополнительный функционал на следующий год год использования.
ps: За своими фигурами лучше всего следят шахматистки.
Лицензии уже пытались. Не взлетело. К счастью
habr.com/ru/company/intel/blog/141318
habr.com/ru/company/intel/blog/141318
Скоро будете вводить лицензии в процессоры что бы разблокировать дополнительный функционал на следующий год год использования.
Ну что вы, подписки на дополнительный функционал не дадут достаточного ROI. Куда выгоднее продавать подписку на лицензию на использование RDRAND.
Шифровальщик можно написать так, чтобы он использовал легитимный шифровальный функционал (штатный системный, или установленный на компе самим пользователем), тот-же КриптоПро, OpenVPN и т.д. И тогда вредоносное шифрование ничем не будет отличаться от легитимного шифрования самим пользователем — шифрующий софт тот-же, шифруемые файлы те-же.
Если все четко будет работать, то отличная новость. А то мошенников сейчася что не ибе, что телефонных развелось((
Судя по презентациям на сайте самой Intel, никакой магии там нет. Intel TDT содержит две основных функции. Первая — Accelerated Memory Scanning, суть которой в том, чтобы вынести сканирование памяти на встроенный GPU. Согласно проведённым Intel тестам, при работе специальной версии Windows Defender, использующей эту технологию, нагрузка на CPU при сканировании памяти на вирусы сокращается с 20% до 2%.
Вторая технология — Advanced Platform Telemetry — позволяет включить прозрачный и не нагружающий CPU сбор телеметрии, нацеленной на поиск подозрительной активности (пока непонятно, что конкретно собирается). Собранные данные накапливаются в специальном буфере и позже могут быть отправлены в облако тем же самым Windows Defender (т.е. это заточка чисто под облачное сканирование данного антивируса, чтоб не жрало ресурсов).
Вторая технология — Advanced Platform Telemetry — позволяет включить прозрачный и не нагружающий CPU сбор телеметрии, нацеленной на поиск подозрительной активности (пока непонятно, что конкретно собирается). Собранные данные накапливаются в специальном буфере и позже могут быть отправлены в облако тем же самым Windows Defender (т.е. это заточка чисто под облачное сканирование данного антивируса, чтоб не жрало ресурсов).
Инфографика на испанском пикантно украшает новость :)
Какое-то очередное падение системы доверия исполняемому коду. С неясными перспективами, как и всегда.
Сначала была система полного доверия, типа ДОС, где каждая программа могла вытворять все что угодно, но и защищаться могла тоже как угодно.
Потом сделали разделение на пространство пользователя и ядра, «защищенный режим» и все такое.
Спустя некоторое время коду ядра уже нельзя было просто доверять, поэтому добавили слой гипервизора.
Однако ж гипервизорам тоже оказывается доверять нельзя. Поверх них добавили trustzone/EL3 (arm) или sgx/txt (intel).
А вдруг враги проберутся и туда? Добавили обвязку, которая стартует раньше всех и контролирует процессор, причем сначала изнутри (intel ME), а потом и снаружи.
Что дальше? Теперь весь «правильный» код надо подписывать, а за неподписанным следить, чтобы некоторые операции он не выполнял вообще. Разумеется следить будем с самого низа, потому что доверять выше никому нельзя — там же уже окопались враги.
Что дальше? Цензура кода уже есть, дискриминация тоже, ограничение в правах давно уже, подпись выданная уполномоченными органами тоже имеется, концлагеря (песочницы и виртуалки) тоже в наличии, что еще осталось-то? Социальный рейтинг?
Вот такой прогресс. А вирусы, а что вирусы? Они и не замечают похоже всей этой возни.
Сначала была система полного доверия, типа ДОС, где каждая программа могла вытворять все что угодно, но и защищаться могла тоже как угодно.
Потом сделали разделение на пространство пользователя и ядра, «защищенный режим» и все такое.
Спустя некоторое время коду ядра уже нельзя было просто доверять, поэтому добавили слой гипервизора.
Однако ж гипервизорам тоже оказывается доверять нельзя. Поверх них добавили trustzone/EL3 (arm) или sgx/txt (intel).
А вдруг враги проберутся и туда? Добавили обвязку, которая стартует раньше всех и контролирует процессор, причем сначала изнутри (intel ME), а потом и снаружи.
Что дальше? Теперь весь «правильный» код надо подписывать, а за неподписанным следить, чтобы некоторые операции он не выполнял вообще. Разумеется следить будем с самого низа, потому что доверять выше никому нельзя — там же уже окопались враги.
Что дальше? Цензура кода уже есть, дискриминация тоже, ограничение в правах давно уже, подпись выданная уполномоченными органами тоже имеется, концлагеря (песочницы и виртуалки) тоже в наличии, что еще осталось-то? Социальный рейтинг?
Вот такой прогресс. А вирусы, а что вирусы? Они и не замечают похоже всей этой возни.
Не большой специалист по шифровальщикам, но кажется проблема в том что любая программа может прочитать любой файл пользователя.
Почему не делают решений по этому вектору? — например чтобы docx мог читать только условный Ворд, с которым в системе ассоциировано расширение?
Это если по-быстрому. В целом конечно вообще странно, что какой-нибудь любимый арканоид может копаться в особо ценных фотографиях с отпуска.
А как эта защита поможет от сценария когда шифровальщик использует вполне легальную программу для шифрования? К примеру уже был шифровальщик использующий OpenPGP для шифрования файлов, причем шифровальщик использовал штатный функционал open PGP надежного затирания исходного незашифрованного файла.
Исходя из написанного работать будет только на бумаге, а по факту это отличный способ продать новые процессоры, а потом снова латать дыры.
И, конечно же, их реализация будет лишена таких досадных уязвимостей, как спектр.
Sign up to leave a comment.
Криптовымогателям — твердое «нет». Intel добавит защиту от шифровальщиков на уровне процессора