Как стать автором
Обновить

Так ли страшны новые эксплоиты, если их не видит антивирус?

Время на прочтение 3 мин
Количество просмотров 6.4K
Каждый раз, открывая Internet Explorer браузер, кто-то из вас панически боится подхватить очередной вирус… Но так ли это на самом деле? Неужели все мы беззащитны от таких вещей?

Все, о чем говорится в статье, относится к Windows-based системам

Вместо вступления

Так уж исторически сложилось, что за компьютером кроме меня сидят и другие члены моей семьи. Однажды включив его утром, ко мне в монитор постучался привет от WinLocker'a… ну как так могло произойти, подумал я, ведь у меня стоял антивирус с самыми последними базами который эту гадость пропустил… а кто-то сидящий быть может еще и запустил. И да, браузер был IE9.
С Winlocker'ом я справился, и даже поинтересовался сколько антивирусов его ловило в тот момент (только 1 ).

Нет blue pill, которая бы так взяла и защитила вас от экслоита. Если он есть, то, в 70% случаев его очень тщательно продумали (привет, metasploit и иже с ним) и, увы, операционная система и антивирус ( если он вообще есть ) беззащитны…

Но что же делать с оставшимися 30% написанными на коленке? Неужели можно защитить себя от таких новшеств, как обфусцированные WinLocker'ы и другая малварь?

Ближе к делу

До этого момента, я знал несколько путей для предотвращения заражения:
  • используем HIDS ( обычно используется ка проактивная защита — когда ваш антивирус/фаервол мониторит систему и говорит что такой-то файл хочет что-то сделать )
  • используем более надежный браузер (Chrome? )
  • sandbox (или это уже устарело? )
  • корпоративные клиенты конечно могут использовать еще что-то вроде Honey-pot'ов для вылавливания новой неизвестной малвари в процессе анализа трафика
  • набор средств от майкрософт — EMET (спасибо, Speedimon ) — программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении
  • конечно, может быть еще привязка IPS системы


Я отказался использовать методы, описанные выше (в частности, HIDS ).

Групповые политики

Ведь есть еще один (конечно, не панацея) интересный трюк… который доступен в Windows
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку %Temp% (у меня Win7 -> %appdata%\..\Local\Temp), откуда и запускался, используя autorun запись в реестре.
Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!

Делаем простые 4 шага:

  1. Открываем Групповые политики системы (gpedit.msc)
  2. Конфигурация компьютера — Параметры безопасности — Политики ограниченного использования программ
  3. Создаем дополнительное правило для пути
  4. Вводим нужный нам путь, выбираем уровень безопасности Запрещено — и вуаля! Теперь программа никогда не запустится с этого пути


Read, write access будет, но не будет доступа на выполнение — даже несмотря на то что вы сидите с правами администратора — лично было проверено мной при проверке автозагрузки этого же Winlocker'a с папки Temp.

Если вам нужно что-то запустить, вы всегда можете поменять уровень безопасности для этой политики.

Надеюсь, этот дополнительный метод кому-нибудь поможет… К тому же, просматривая лог приложений журнала Windows по источнику SoftwareRestrictionPolicies ( код события 866 ) я уже наглядно вижу что для моего ПК это не прошло зря, ведь за ним сидят неопытные пользователи, использующие IE9 IE10.

UPD:
Спасибо за критику и высказывания в комментариях. интересно, что после написания статьи, зловред до сих пор детектят только 22 из 46 антивирусных компаний.

UPD2:
спасибо shanker и ApeCoder за комментарий по поводу сомнительности в том, действительно ли это эксплоит.
Этот Winlocker попал в систему путем эксплуатации уязвимости CVE-2012-4969
Его анализ от lavasoft можно найти тут
Теги:
Хабы:
+2
Комментарии 52
Комментарии Комментарии 52

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн