Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 23
В случае с Symantec ситуация ещё хуже, потому что в её программах распаковщики работают в ядре!
В ядре чего? Операционной системы или в антивирусных базах? Скорее всего логично последнее, но как иначе? Антивирус это в первую очередь универсальный распаковщик всего и вся, распаковщик, который вытащит файл, даже если стандартные разархиваторы не справятся. Поэтому для антивирусов распаковка должна находиться в постоянно обновляемых базах, чтобы можно было на лету добавить/обновить алгоритмы распаковки/анализа
Поскольку Symantec использует специальный драйвер для перехвата всех системных прерываний
Тоже вариантов нет — нужно перехватывать все ниже вредоносных программ
Тоесть вопрос не архитектуры, на что наезд, а качества программирования в компании
Я так понял, что распаковка производится в упомянутом драйвере. Это следует из фразы «мы можем легко запустить на исполнение на уровне ядра произвольный код». Обычно, когда говорят про «уровень ядра» имеется ввиду именно ядро ОС.
Если так, то это крайне неоптимально, тогда любое обновление этой части антивирусных баз потребовало бы перезагрузки для замены драйвера. Плюс драйвер перехватов может быть не один — нет смысла в каждый драйвер засовывать свою копию баз.
А причем тут антивирусные базы? Драйвер от них не зависит в общем случае. Драйвер осуществляет перехват набора ядерных функций, через это контролируется поведение запущенных приложений.
В случае с Symantec — оказалось, что этот драйвер помимо, собственно, перехвата, еще занимался распаковкой сжатых/зашифрованных исполнимых файлов.
Чтобы распаковать такой файл надо либо воспользоваться готовым распаковщиком (как с тем же UPX), или пишут эмулятор, который имитирует запуск программы, чтобы она сама себя распаковала: «Это помогает со стандартными упаковщиками, а для остальных приходится прибегать к эмуляции.». Что, по-вашему, храниться в базах в этом случае?
И вот именно этот эмулятор, судя по всему, и является частью драйвера в случае Symantec. Вопрос о разумности такого решения можно оставить открытым, стоит только отметить, что написание драйвера, в общем случае, сложнее, чем написание обычного приложения, а раз так, то у них (у разработчиков из Symantec), вероятно, были веские причины для такого решения.
В случае с Symantec — оказалось, что этот драйвер помимо, собственно, перехвата, еще занимался распаковкой сжатых/зашифрованных исполнимых файлов.
Чтобы распаковать такой файл надо либо воспользоваться готовым распаковщиком (как с тем же UPX), или пишут эмулятор, который имитирует запуск программы, чтобы она сама себя распаковала: «Это помогает со стандартными упаковщиками, а для остальных приходится прибегать к эмуляции.». Что, по-вашему, храниться в базах в этом случае?
И вот именно этот эмулятор, судя по всему, и является частью драйвера в случае Symantec. Вопрос о разумности такого решения можно оставить открытым, стоит только отметить, что написание драйвера, в общем случае, сложнее, чем написание обычного приложения, а раз так, то у них (у разработчиков из Symantec), вероятно, были веские причины для такого решения.
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
Parsing of maliciously-formatted container files may cause memory corruption, integer overflow or buffer overflow in Symantecs Decomposer engine. Successful exploitation of these vulnerabilities typically results in an application-level denial of service but could result in arbitrary code execution. An attacker could potentially run arbitrary code by sending a specially crafted file to a user.
Parsing of maliciously-formatted container files may cause memory corruption, integer overflow or buffer overflow in Symantecs Decomposer engine. Successful exploitation of these vulnerabilities typically results in an application-level denial of service but could result in arbitrary code execution. An attacker could potentially run arbitrary code by sending a specially crafted file to a user.
И? Про базы тут, опять же, ни слова нет.
В описании уязвимости говорится, что уязвимость не на уровне ядра, а уровне приложений. Значит не в драйвере, а в самой программе. Обычное место расположения анпакеров в антивирусах — базы. А вот как они обновляются — тут зависит от архитектуры конкретного антивируса. Антивирусное ядро может входить в состав баз или входить в состав самого антивируса
Нет, там указано, что отказ в обслуживании может быть на уровне приложения, а не то, что сама уязвимость на этом уровне. То есть, уязвимость в драйвере может привести к отказу основного приложения. Это уже не говоря о том, что там не указано, что именно считается приложением, может имеется ввиду, что отказ не-аппаратный.
Мда, послать подальше антивирусы 10+ лет назад — было правильным решением.
По-моему, антивирусы больше вредят системе, чем вирусы — в том смысле, что при грамотно настроенной системе и осторожной, аккуратной работе риск «заразиться» невелик, тогда как наличие антивируса безусловно нагружает систему постоянно. Это напоминает страховку — вероятность пожара невелика, но страховые взносы должны платиться регулярно.
Антивирус тоже стОит выбирать такой, чтобы настраивался. Тогда чем он будет постоянно нагружать систему, если все проверено и только трафик проверяй. Но из бесплатных ничего не впечатляло, проц был одноядерный, файрволл работает исправно, за компом кроме меня никто не работает. Вот и смысл в том антивирусе? Еще одно ПО, которому можно слишком многое. Обойдусь. И действительно, никаких проблем.
> Тогда чем он будет постоянно нагружать систему, если все проверено
Резидентные антивирусы контролируют все происходящее в системе — трафик, дисковые операции и т.д. Или теперь антивирусы не такие агрессивные?
Лично я отказался от резидентных АВ, предпочитая VirusTotal и раз в месяц CureIt ради профилактики. Для контроля системы еще пользуюсь Anvir Task Manager. Тоже, примерно за 10 лет, не заметил подхваченной заразы. То ли не подхватил, то ли не заметил :)
Резидентные антивирусы контролируют все происходящее в системе — трафик, дисковые операции и т.д. Или теперь антивирусы не такие агрессивные?
Лично я отказался от резидентных АВ, предпочитая VirusTotal и раз в месяц CureIt ради профилактики. Для контроля системы еще пользуюсь Anvir Task Manager. Тоже, примерно за 10 лет, не заметил подхваченной заразы. То ли не подхватил, то ли не заметил :)
На диске 100 000 файлов. Установив антивирус, вы выполнили полную проверку. В дальнейшем по всей логике нет нужды ПЕРЕпроверять то, что не менялось. Сканируется новое / изменяемое. В «грамотно настроенной системе» (с). А антивирус — это часть системы. Он тоже должен быть грамотно настроен. Есть такие, которые можно гибко настраивать, есть такие, которые нельзя.
>> Или теперь антивирусы не такие агрессивные?
При грамотной настройке — агрессивны в пределах необходимости. Если вы заносите НОВЫЙ 200-метровый архив-экзешник, логично потерпеть его проверку. Желательно при этом видеть соответствующее сообщение.
Меня совсем другие их недостатки напрягали.
>> Или теперь антивирусы не такие агрессивные?
При грамотной настройке — агрессивны в пределах необходимости. Если вы заносите НОВЫЙ 200-метровый архив-экзешник, логично потерпеть его проверку. Желательно при этом видеть соответствующее сообщение.
Меня совсем другие их недостатки напрягали.
К сожалению, аккуратных и грамотных пользователей гораздо меньше, чем рабочих мест, оборудованных компьютером.
Воистину, чем сложнее система, тем более она хрупка. Т.е. любое «лишнее» установленное приложение повышает потенциальную уязвимость машины в целом. И да, антивирусы тоже, ведь они тоже программы. Даже виртуальные машины, как программы, наверняка уязвимы и существует возможность просочиться заразе на хост-систему.
Что еще хуже — антивирусы вынуждены работать с повышенными привилегиями, следовательно — уязвимости в них наиболее опасны. Иронично, что антивирусы по идее должны повышать безопасность системы, но нет, реальность доказывает ошибочность и даже опасность иллюзии защищенности у пользователя, поставившему себе антивирус.
Потому, на мой взгляд, гораздо эффективнее система ограничения прав доступа на всех уровнях системы — чем более изолированы и автономны компоненты системы, тем меньше шансов на то, что в случае выхода из строя одного компонента не выйдет из строя вся система — в случае с вредоносным софтом «заражена» и прочее.
Что еще хуже — антивирусы вынуждены работать с повышенными привилегиями, следовательно — уязвимости в них наиболее опасны. Иронично, что антивирусы по идее должны повышать безопасность системы, но нет, реальность доказывает ошибочность и даже опасность иллюзии защищенности у пользователя, поставившему себе антивирус.
Потому, на мой взгляд, гораздо эффективнее система ограничения прав доступа на всех уровнях системы — чем более изолированы и автономны компоненты системы, тем меньше шансов на то, что в случае выхода из строя одного компонента не выйдет из строя вся система — в случае с вредоносным софтом «заражена» и прочее.
Контекстная реклама Symantec Antivirus от Яндекс.Директа особенно хорошо дополняет эту статью.
Для тех, у кого AdBlock
Интересные подробности: https://googleprojectzero.blogspot.com/2016/06/how-to-compromise-enterprise-endpoint.html
opennet напоминает в http://www.opennet.ru/opennews/art.shtml?num=44694, что libmspack распространяется по условиям GPL2:
PS: баг https://bugs.chromium.org/p/project-zero/issues/detail?id=820 открыт May 6, 2016, публично доступен с 17 мая. Здесь уже был пост 18 мая: https://geektimes.ru/post/275962/. CVE-2016-2208 "The kernel component in Symantec Anti-Virus Engine (AVE) 20151.1 before 20151.1.1.4 allows remote attackers to execute arbitrary code ..."
Symantec dropped the ball here. A quick look at the decomposer library shipped by Symantec showed that they were using code derived from open source libraries like libmspack and unrarsrc, but hadn’t updated them in at least 7 years.
opennet напоминает в http://www.opennet.ru/opennews/art.shtml?num=44694, что libmspack распространяется по условиям GPL2:
При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.
PS: баг https://bugs.chromium.org/p/project-zero/issues/detail?id=820 открыт May 6, 2016, публично доступен с 17 мая. Здесь уже был пост 18 мая: https://geektimes.ru/post/275962/. CVE-2016-2208 "The kernel component in Symantec Anti-Virus Engine (AVE) 20151.1 before 20151.1.1.4 allows remote attackers to execute arbitrary code ..."
> или публикации ссылки на веб-странице (её не нужно открывать).
Ничего не понимаю. То есть антивирус открывает все ссылки на всех открытых мной веб-страницах, и те ссылки, которые оказались на файлы — сам скачивает и распаковывает? Или как еще можно использовать уязвимость в распаковщике без открытия ссылки?
Ничего не понимаю. То есть антивирус открывает все ссылки на всех открытых мной веб-страницах, и те ссылки, которые оказались на файлы — сам скачивает и распаковывает? Или как еще можно использовать уязвимость в распаковщике без открытия ссылки?
И давно это антивирусы читают (буквально) почту и вытаскивают оттуда пароли к приаттаченным файлам?
Кто вообще до такого додумался?
Кто вообще до такого додумался?
Тот же гугл просто запретил пересылать зашифрованные архивы, вложенные архивы и большую пачку типов файлов, которые потенциально могут быть опасны.
Достоверно неизвестно. Несколько антивирусов, в том числе собственный. Вероятно, один из сторонних движков пробовал ряд типичных паролей к архивам. У них с 2012 года есть Virustotal с множеством движков, но для почты его не используют.
Несколько источников
https://cloud.google.com/security/whitepaper "Google Security Whitepaper. This whitepaper applies to Google Cloud Platform products described at cloud.google.com."
https://cloud.google.com/appengine/docs/java/mail/ App Engine Mail API Overview
Для Google Web Security for Enterprise в рекламе упоминались "несколько сигнатурных движков": http://www.gpartner.eu/documents/web_security_for_enterprise.pdf
В статье сотрудников Google "The Ghost In The Browser Analysis of Web-based Malware" 2007 года про онлайн-угрозы есть такое о классификации:
https://www.usenix.org/legacy/events/hotbots07/tech/full_papers/provos/provos.pdf
В http://www.ghettoforensics.com/2014/02/google-actively-scanning-malware-emails.html были комментарии от (предположительно) представителей — комбинация неназванных сторонних решений и собственных разработок (одно из внешних решений одно время пыталось применить ряд паролей к архивам):
Известно, что на 2014 год gmail не использовал VirusTotal (сервис мигрировал в google app engine в конце 2011 и был куплен google в сентябре 2012, но изначально сохранял независимость):
Google makes use of multiple antivirus engines in Gmail, Drive, servers and workstations to help identify malware that may be missed by antivirus signatures.
https://cloud.google.com/appengine/docs/java/mail/ App Engine Mail API Overview
Mail that matches a known signature for spam, viruses, or other malicious content may not be accepted for delivery.
Для Google Web Security for Enterprise в рекламе упоминались "несколько сигнатурных движков": http://www.gpartner.eu/documents/web_security_for_enterprise.pdf
Its patented security technology employs multiple reputation and behavior analysis techniques and vast amounts of daily web data to detect new threats. Its signature-based detection utilizes multiple, industry-leading anti-malware engines with hourly and emergency signature updates, two-hour signature response times, and the largest global malware research laboratories and collection networks.
Google Web Security for Enterprise is built on a proprietary security platform that detects new and known malware threats through the use of multiple signature-based anti-malware scan engines, multiple reputation and behavior detection engines, and automated machine-learning technologies. This combination of multiple detection technologies, heuristics, and the industry’s largest web data
set...
В статье сотрудников Google "The Ghost In The Browser Analysis of Web-based Malware" 2007 года про онлайн-угрозы есть такое о классификации:
https://www.usenix.org/legacy/events/hotbots07/tech/full_papers/provos/provos.pdf
To classify the different types of malware, we use a majority voting scheme based on the characterization provided by popular anti-virus software. Employing multiple anti-virus engines allows us to determine whether some of the malware binaries are actually new, false positive, or older exploits. Since anti-virus companies have invested in dedicated resources to classify malware, we rely on them for all malware classification.… As many anti-virus engines rely on creating signatures from malware samples, adversaries can prevent detection by changing binaries more frequently than anti-virus engines are updated with new signatures.
В http://www.ghettoforensics.com/2014/02/google-actively-scanning-malware-emails.html были комментарии от (предположительно) представителей — комбинация неназванных сторонних решений и собственных разработок (одно из внешних решений одно время пыталось применить ряд паролей к архивам):
Alex Petit-Bianco 19 February, 2014 13:26
Hey — to protect our users from downloading malicious files, we use a combination of third party antivirus software and internal virus scanning solutions to detect whether or not attachments or other downloadable files may be harmful. Your post alerted us to the fact that one of our third party software components was checking for encryption using 'infected.' as a password.
As a result, it decrypted a limited set of zipped payloads in attempts to search for malware. We're currently working on disabling that feature and appreciate you bringing it to our attention.
- Alex Petit-Bianco, Google Antivirus Infrastructure.
Известно, что на 2014 год gmail не использовал VirusTotal (сервис мигрировал в google app engine в конце 2011 и был куплен google в сентябре 2012, но изначально сохранял независимость):
This is Bernardo Quintero, VirusTotal's manager. Google is not using VT for scanning all emails for malware, we have nothing to do with what you mentioned. Could you update your post to clarify it? and let me know if you need more info about VirusTotal (I have no idea how Gmail scans for malware, but it's not related to VT).
Недавние новости про VirusTotal
В недавнее время (май 2016) VirusTotal начал ограничивать доступ к базе VirusTotal, пока производители антивирусов не интегрируют свои продукты в онлайн-сервис VT:
http://blog.virustotal.com/2016/05/maintaining-healthy-community.html?spref=tw "Maintaining a healthy community" — 4 MAY 2016
http://www.csmonitor.com/World/Passcode/2016/0509/Google-shakes-up-antivirus-industry "Google shakes up antivirus industry — MAY 9, 2016"
http://blog.virustotal.com/2016/05/maintaining-healthy-community.html?spref=tw "Maintaining a healthy community" — 4 MAY 2016
all scanning companies will now be required to integrate their detection scanner in the public VT interface, in order to be eligible to receive antivirus results as part of their VirusTotal API services.
http://www.csmonitor.com/World/Passcode/2016/0509/Google-shakes-up-antivirus-industry "Google shakes up antivirus industry — MAY 9, 2016"
Google is in the process of limiting access to a widely used database of computer viruses and malicious software in a move that is having a ripple effect across the cybersecurity industry.
VirusTotal, a subsidiary of the search giant, said last week that it was attempting to curtail abuses of the database by mandating that any companies that access it must also participate in the service to help it grow.… VirusTotal receives about 1.2 million files each day from its free… Companies pay to receive access to those files full of potentially new viruses and data on the consistency of malware scanners. Until the policy change, VirusTotal did not require companies to participate in scanning new files, meaning they did not add to the larger pool of malware information for the industry.
… industry insiders worry that access to VirusTotal let some antivirus companies develop software that only checked to see if VirusTotal had encountered the file before, rather than root out new strains of malware to protect their customers.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Многочисленные критические уязвимости в антивирусах Symantec/Norton