Каждый раз, открывая Internet Explorer браузер, кто-то из вас панически боится подхватить очередной вирус… Но так ли это на самом деле? Неужели все мы беззащитны от таких вещей?
Все, о чем говорится в статье, относится к Windows-based системам
Так уж исторически сложилось, что за компьютером кроме меня сидят и другие члены моей семьи. Однажды включив его утром, ко мне в монитор постучался привет от WinLocker'a… ну как так могло произойти, подумал я, ведь у меня стоял антивирус с самыми последними базами который эту гадость пропустил… а кто-то сидящий быть может еще и запустил. И да, браузер был IE9.
С Winlocker'ом я справился, и даже поинтересовался сколько антивирусов его ловило в тот момент (только 1 ).
Нет blue pill, которая бы так взяла и защитила вас от экслоита. Если он есть, то, в 70% случаев его очень тщательно продумали (привет, metasploit и иже с ним) и, увы, операционная система и антивирус ( если он вообще есть ) беззащитны…
Но что же делать с оставшимися 30%написанными на коленке? Неужели можно защитить себя от таких новшеств, как обфусцированные WinLocker'ы и другая малварь?
До этого момента, я знал несколько путей для предотвращения заражения:
Я отказался использовать методы, описанные выше (в частности, HIDS ).
Ведь есть еще один (конечно, не панацея) интересный трюк… который доступен в Windows
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку
Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!
Read, write access будет, но не будет доступа на выполнение — даже несмотря на то что вы сидите с правами администратора — лично было проверено мной при проверке автозагрузки этого же Winlocker'a с папки Temp.
Если вам нужно что-то запустить, вы всегда можете поменять уровень безопасности для этой политики.
Надеюсь, этот дополнительный метод кому-нибудь поможет… К тому же, просматривая лог приложений журнала Windows по источнику SoftwareRestrictionPolicies ( код события 866 ) я уже наглядно вижу что для моего ПК это не прошло зря, ведь за ним сидят неопытные пользователи, использующиеIE9 IE10.
UPD:
Спасибо за критику и высказывания в комментариях. интересно, что после написания статьи, зловред до сих пор детектят только 22 из 46 антивирусных компаний.
UPD2:
спасибо shanker и ApeCoder за комментарий по поводу сомнительности в том, действительно ли это эксплоит.
Этот Winlocker попал в систему путем эксплуатации уязвимости CVE-2012-4969
Его анализ от lavasoft можно найти тут
Все, о чем говорится в статье, относится к Windows-based системам
Вместо вступления
Так уж исторически сложилось, что за компьютером кроме меня сидят и другие члены моей семьи. Однажды включив его утром, ко мне в монитор постучался привет от WinLocker'a… ну как так могло произойти, подумал я, ведь у меня стоял антивирус с самыми последними базами который эту гадость пропустил… а кто-то сидящий быть может еще и запустил. И да, браузер был IE9.
С Winlocker'ом я справился, и даже поинтересовался сколько антивирусов его ловило в тот момент (только 1 ).
Нет blue pill, которая бы так взяла и защитила вас от экслоита. Если он есть, то, в 70% случаев его очень тщательно продумали (привет, metasploit и иже с ним) и, увы, операционная система и антивирус ( если он вообще есть ) беззащитны…
Но что же делать с оставшимися 30%
Ближе к делу
До этого момента, я знал несколько путей для предотвращения заражения:
- используем HIDS ( обычно используется ка проактивная защита — когда ваш антивирус/фаервол мониторит систему и говорит что такой-то файл хочет что-то сделать )
- используем более надежный браузер (Chrome? )
- sandbox (или это уже устарело? )
- корпоративные клиенты конечно могут использовать еще что-то вроде Honey-pot'ов для вылавливания новой неизвестной малвари в процессе анализа трафика
- набор средств от майкрософт — EMET (спасибо, Speedimon ) — программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении
- конечно, может быть еще привязка IPS системы
Я отказался использовать методы, описанные выше (в частности, HIDS ).
Групповые политики
Ведь есть еще один
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку
%Temp% (у меня Win7 -> %appdata%\..\Local\Temp), откуда и запускался, используя autorun запись в реестре.Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!
Делаем простые 4 шага:
- Открываем Групповые политики системы (gpedit.msc)
- Конфигурация компьютера — Параметры безопасности — Политики ограниченного использования программ
- Создаем дополнительное правило для пути
- Вводим нужный нам путь, выбираем уровень безопасности Запрещено — и вуаля! Теперь программа никогда не запустится с этого пути
Read, write access будет, но не будет доступа на выполнение — даже несмотря на то что вы сидите с правами администратора — лично было проверено мной при проверке автозагрузки этого же Winlocker'a с папки Temp.
Если вам нужно что-то запустить, вы всегда можете поменять уровень безопасности для этой политики.
Надеюсь, этот дополнительный метод кому-нибудь поможет… К тому же, просматривая лог приложений журнала Windows по источнику SoftwareRestrictionPolicies ( код события 866 ) я уже наглядно вижу что для моего ПК это не прошло зря, ведь за ним сидят неопытные пользователи, использующие
UPD:
Спасибо за критику и высказывания в комментариях. интересно, что после написания статьи, зловред до сих пор детектят только 22 из 46 антивирусных компаний.
UPD2:
спасибо shanker и ApeCoder за комментарий по поводу сомнительности в том, действительно ли это эксплоит.
Этот Winlocker попал в систему путем эксплуатации уязвимости CVE-2012-4969
Его анализ от lavasoft можно найти тут
