» Comodo Internet Security

XenoZ
Да просто уже задолбали.
И судя по оффоруму, наше число растёт )))

Лежачего не бьют, но - ради интереса посмотрел процессы при обновлении баз антивируса - хоть собственно обновлений было немного (14-часовое отставание), Comodo руками процесса System прочитал с диска полгигабайта данных, а потом уже комодошный процесс записал на диск около 300 мегабайт... это какой гений придумал? такое впечатление, что b0020991.cav сначала распаковывается(зеркалится?), к нему приклеиваются (патчатся?) инкрементальные обновления, и потом новый файл снова сохраняется/упаковывается в 270 мегабайтный cav. Cудя по продолжительности обновления и нагрузке на проц - именно так. Такие же тупняки можно наблюдать и у современных касперских, но там база из кучи файлов и бекапы делаются..

Еще вопрос, таскменеджер и PH показывают по комодо ну очень приятные цифры, например, в PH - при включеном антивирусе, файрволе и проактивке - 4 процесса cmdagent.exe, cistray.exe, cis.exe, cavwp.exe занимают Private WS - 7 мегабайт, Working Set - 15 мегабайт. а если глянуть Virtual Size - около 750 мегабайт. Как узнать сколько реально сидит/откусывается от ОЗУ? Предположим неидеальное поведение, в своп ничего не выгружается, ведь, если антивирус постоянно включен, то, как минимум, его база постоянно развернута в ОЗУ?
Временно отключил антивирус, Virtual Size остался прежним, что-то я не понимаю..

laprad

Цитата:

Virtual Size остался прежним

Virtual Size не имеет отношения к потреблению физического ОЗУ. Вообще не стоит забивать себе голову такой чепухой. Распределение памяти - дело ОС, пусть она этим и занимается. Внутренний менеджмент памяти в винде сложный и запутанный, там без поллитра не разберешься

laprad 10:09 07-02-2015
Цитата:

Comodo руками процесса System

Как выявили, что именно Comodo?

Accessisdenied 20:11 07-02-2015
Цитата:

Вообще не стоит забивать себе голову такой чепухой

Но как ответить на простой вопрос: каково потребление памяти у Comodo? Как сравнить это потребление у разных продуктов, или у разных конфигураций одного, или при выполнении им разных задач?

emhanik

Цитата:

laprad 10:09 07-02-2015
Цитата:
Comodo руками процесса System

Как выявили, что именно Comodo?

потому что максимально возможно выгрузил все "лишние" процессы, нажал кнопку "обновить" и активность тут же и началась

All
Возвращаясь к нашим баранам...
Проверил на виртуалке уязвимость LNK-file can execute any program with trusted installer's privileges [M1410].
CIS 5.10
При включенном контроле исполнения приложений и выбранном режиме "обрабатывать неопознанные файлы как заблокированные" тест не проходит - запуск файла блокируется. При отключении режима или отключении контроля файл запускается и свободно выходит в сеть.
CIS 7
Контроль исполнения в настройках отсутствует. Наиболее близкое по смыслу - "Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как заблокированное" не работает, файл запускается и свободно выходит в сеть.
CIS 8.1
Контроль исполнения в настройках также отсутствует. Расширенные настройки автопесочницы ничего не дают, файл также запускается и свободно выходит в сеть, появляясь, тем не менее, в неопознанных. Правда, с одним забавным глюком: при запуске песочница рапортует, что файл заблокирован, однако, результат - чуть выше.

XenoZ 03:16 08-02-2015
Цитата:

CIS 5.10
При включенном контроле исполнения приложений и выбранном режиме "обрабатывать неопознанные файлы как заблокированные" тест не проходит

emhanik 19:42 31-01-2015
Цитата:

данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.

Впрочем, в 5-ке опция «Не запускать в Sandbox приложения для установки» вынесена на вкладку настройки собственно Sandbox. Поэтому как бы она и не должна влиять на режим блокировки.

Цитата:

Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.
Если отмечена опция, согласно которой доверенные инсталляторы неподконтрольны Auto-Sandbox — значит, они не должны контролироваться ни в каком режиме, и их дочерние процессы не должны ни изолироваться, ни блокироваться.

XenoZ 03:16 08-02-2015
Цитата:

CIS 7
Контроль исполнения в настройках отсутствует. Наиболее близкое по смыслу - "Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как заблокированное" не работает, файл запускается и свободно выходит в сеть.
CIS 8.1
Контроль исполнения в настройках также отсутствует. Расширенные настройки автопесочницы ничего не дают

emhanik 15:31 31-01-2015
Цитата:

Повторяю: тот же эффект в версиях 6-7-8 дает отключение опции «Обнаруживать программы, требующие повышенных привилегий». А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.

(ну т.е. контроль исполнения приложений в блокировке)

XenoZ 03:16 08-02-2015
Цитата:

Правда, с одним забавным глюком

Не воспроизвелся



Ну и очередной раз повторю в пустоту:
чтобы предотвратить запуск неопознанных программ доверенными инсталляторами, следует
- настроить Auto-Sandbox на блокировку или виртуализацию программ, не являющихся доверенными;
- отключить опцию «Обнаруживать программы, требующие повышенных привилегий»;
- отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
Этот подход имеет проблемы с юзабильностью. В версиях CIS 7-8 эти проблемы частично решаются расширением контекстного меню. В версиях CIS 5-6 решения, скорее всего, нет.

emhanik

Цитата:

чтобы предотвратить запуск неопознанных программ доверенными инсталляторами, следует
- настроить Auto-Sandbox на блокировку или виртуализацию программ, не являющихся доверенными;
- отключить опцию «Обнаруживать программы, требующие повышенных привилегий»;
- отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».

В CIS 7 настройка этих опций ничего не меняет, файл так же беспрепятственно запускается.

Всем доброго дня. Люди, установлен Comodo Firewall 8.1.0.4426 + Emsisoft Anti-Malware. Система Win 7 max х64. Работает тандем уже 2 недели, но Comodo Firewall последние 3 дня не обновляется. Пытаюсь принудительно запустить обновы, пишет, что версия и прочее не нуждается в обновлении. Что бы это могло значить?

emhanik
XenoZ
Не такой уж это страшный баг
Запуск малвари доверенными инсталяторами - довольно экзотическая ситуация, как заметил gjf

Цитата:

исследования действительно интересны, но крайне - как бы так сказать? - искусственны что ли?

KOGERENT

Цитата:

Что бы это могло значить?

Что версия и прочее не нуждается в обновлении

XenoZ 15:40 08-02-2015
Цитата:

В CIS 7 настройка этих опций ничего не меняет, файл так же беспрепятственно запускается.

Неправда, блокируется (или изолируется, или ограничивается, в зависимости от режима Auto-Sandbox)
Проверил в CIS 7 на WinXP (VMware). Сделать видео?

Accessisdenied 17:00 08-02-2015
Цитата:

Запуск малвари доверенными инсталяторами - довольно экзотическая ситуация, как заметил gjf

Ясно же показал: ситуация никакая не экзотическая, а вполне пригодная для использования злоумышленниками.

emhanik

Цитата:

вполне пригодная для использования злоумышленниками

Теоретически пригодная - не значит эффективная или целесообразная или применяемая на практике.
Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо? Я не смог

Accessisdenied,
да я понял, что не нуждается. Только вот интересно, что до этого, фаер обновлялся минимум раз в сутки. Аватар соответствует...

emhanik

Цитата:

Не воспроизвелся

видео

Цитата:

Неправда, блокируется (или изолируется, или ограничивается, в зависимости от режима Auto-Sandbox)
Проверил в CIS 7 на WinXP (VMware). Сделать видео?

Проверил еще раз на CIS 8.1 (WinXP, VirtualBox). Настройки автопесочницы видны на видео (виртуализация отключена, добавлена блокировка неопознанных). Дополнительно:
- отключил опцию «Обнаруживать программы, требующие повышенных привилегий»;
- отключил опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
Результат тот же.
(за качество видео пардон, машина старая, одновременно и виртуалку и запись видео тянет на пределе)

Добавлено:
Accessisdenied

Цитата:

Теоретически пригодная - не значит эффективная или целесообразная или применяемая на практике.
Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо? Я не смог

Элементарно: в качестве конечного исполняемого файла использовать, например, filecoder или winlocker. Как его подсунуть жертве - это уже вопрос социальной инженерии.
Плюс один: Комод не особо популярен у вирусмейкеров.

XenoZ

Цитата:

Как его подсунуть жертве - это уже вопрос социальной инженерии.

Так это главный вопрос, и в случае его решения такие хитрости как эксплуатация обсуждаемого бага совсем лишние. При падении в реку даже во время дождя зонтик без надобности

Цитата:

Плюс один: Комод не особо популярен у вирусмейкеров.

Упомянутый на предыдущей странице Privatefirewall не препятствует запускам этих тестовых образцов при любых настройках. И никаких багов не нужно - там просто такой функционал не предусмотрен. Подозреваю что в большинстве подобного софта аналогично. Но что-то популярностью данный способ не пользуется.

Цитата:

Упомянутый на предыдущей странице Privatefirewall не препятствует запускам этих тестовых образцов при любых настройках.

А где взять тестовые образцы? Хочу сам его проверить

Accessisdenied

Цитата:

Так это главный вопрос, и в случае его решения такие хитрости как эксплуатация обсуждаемого бага совсем лишние.

Уязвимость есть, воспроизводится очень легко, и этого достаточно. Вопросы конкретных методов заражения здесь - оффтоп.


Добавлено:
Serjkov1ck

Цитата:

А где взять тестовые образцы? Хочу сам его проверить

Эти тестовые образцы используют баги Комода, с другими системами защиты могут не работать, работать не так, как описано и т.п.
Взять можно на оффоруме Комода, в разделе багов (нужна регистрация):
https://forums.comodo.com/format-verified-issue-reports-cis/heur-cmdline-analysis-fails-when-cmdline-contains-multiple-commands-m1020-t104958.0.html
https://forums.comodo.com/format-verified-issue-reports-cis/trstd-installer-runs-as-iu-when-its-pvgs-must-be-only-pathdetermined-m1245-t107011.0.html
https://forums.comodo.com/format-verified-issue-reports-cis/unknown-file-automatically-trusted-when-it-replaces-a-trusted-one-m1305-t107570.0.html
https://forums.comodo.com/format-verified-issue-reports-cis/interpreters-are-recognized-only-by-theirs-names-m1409-t109237.0.html
https://forums.comodo.com/format-verified-issue-reports-cis/lnkfile-can-execute-any-program-with-trusted-installers-privileges-m1410-t109236.0.html

emhanik
Есть смысл пробовать ваши образцы на других продуктаХ?

Accessisdenied 18:11 08-02-2015
Цитата:

Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо?

Я уже привел конкретный пример: подмена файлов и каталогов ярлыками, запускающими вирус. Обычно Comodo успешно пресекает запуск, но стоит чуть модифицировать ярлыки...

Блокировка запуска с внешних носителей — хорошее решение, но не безоговорочное. Кому-то нужно запускать оттуда программы, у кого-то (у многих!) отсутствует SRP, кто-то исключает ярлыки из контроля SRP, кто-то использует AppLocker...

Наконец, вредоносные программы не только на внешних носителях бывают. Жертва может получить «письмо из налоговой», к которому будет прикреплен архив, содержащий вредоносную программу и ее стартер.

Вообще-то я говорю о ярлыках, только потому что это простейший способ выполнить командную строку, на которой Comodo споткнется. Но ведь не единственный.


Немного отойду от темы злоумышленников и напомню, что Comodo наделяет привилегиями инсталляторов ряд портативных браузеров и других программ. Значит, все, что пользователь скачает, станет доверенным. Все, что пользователь запустит прямо из браузера (а почему бы нет? Comodo же контролирует!) — выполнится с правами доверенного инсталлятора.


Отойду от темы доверенных иснталляторов и вернусь к злоумышленникам.
Криво реализованный анализ командной строки позволяет запустить программу так, что Comodo примет ее за любую другую и даст ей чужие права (в смысле и хипса, и фаервола).
Это значит, что если Вы позволили программе запуститься — не факт, что сможете далее контролировать ее активность через Comodo.
Добавим к этому, что и сам запуск может произойти бесконтрольно. Разнообразия ради — это можно провернуть не только через привилегии доверенного инсталлятора, но и через специфичную для CIS 8 уязвимость к подмене доверенного файла. Реализацию ярлыком я давал.


XenoZ 18:38 08-02-2015
Цитата:

видео

Понятно. Уведомления о «блокировке» не было при обычном имени целевого файла. Оно появилось после того, как я дал ему имя инсталлятора и добавил аргумент в командную строку.


Цитата:

Результат тот же.

А у меня нет.
CIS 7 на WinXP: http://youtu.be/k3pcQEG4sko
CIS 8.1 на Win7x64: http://youtu.be/cG-B8TVbiqE
Upd: Таки произошел...

20:02 08-02-2015
Цитата:

Взять можно на оффоруме Комода, в разделе багов (нужна регистрация):

Вторую ссылку я бы заменил:
https://forums.comodo.com/format-verified-issue-reports-cis/some-portable-internet-browsers-are-granted-as-trusted-installers-m1368-t107943.0.html

Serjkov1ck 20:17 08-02-2015
Цитата:

Есть смысл пробовать ваши образцы на других продуктаХ?

Нет.

XenoZ

Цитата:

Уязвимость есть, воспроизводится очень легко, и этого достаточно.

Достаточно для чего? Как повод для общения здесь? Согласен. Хотя есть и другие, этот тоже годный

Цитата:

Вопросы конкретных методов заражения здесь - оффтоп.

Вопросы методов заражения - это вопросы практической применимости, пользы для одной стороны и опасности для другой. Целесообразность эксплуатации этой уязвимости околонулевая. Соответственно её опасность - тоже. Если вопросы безопасности, к тому же связанные с обсуждаемым приложением здесь - оффтоп, тогда что не оффтоп? Сферические уязвимости в вакууме?

XenoZ 18:38 08-02-2015
Цитата:

Результат тот же.

Упс... Действительно, запуск произошел, когда целевой файл имел имя интерпретатора и запускался с аргументом командной строки.

Пока вывод такой — дополнительно нужен запрет запуска посторонних файлов, имеющих имена интерпретаторов: http://www.comss.ru/page.php?id=2347#vuln-cis-int

emhanik

Цитата:

Пока вывод такой — дополнительно нужен запрет запуска посторонних файлов, имеющих имена интерпретаторов

Меня терзают смутные сомнения, что это сработает, т.к. в вышеприведенном примере "левый" msiexec.exe в конечном результате был воспринят Комодом, как C:\Windows\system32\msiexec.exe, что можно увидеть как в окне активных соединений, так и в окне активных процессов. Иначе он просто не смог бы выйти в сеть, т.к для запущенного файла нет правил, фаервол в пользовательском режиме с блокировкой без оповещений.

XenoZ
Это работает.
Comodo сначала понимает, что происходит запуск находящегося на рабочем столе (или где там еще) файла msiexec.exe, а только потом дает ему права файла, путь которого указан в качестве аргумента.
Следовательно, запрет запуска файлов с именами интерпретаторов должен решить проблему.
Теперь главное — перечислить все эти имена)

emhanik
Возможно, но, создается впечатление, что
добавить новое правило Auto-Sandbox:
действие: «Блокировать»,
цель: группа «InterpretersNames»,
рейтинг: «Неопознанный»;
работать также не будет, т.к. у меня было указано общее блокирующее правило на "все приложения", поглощающее вышеуказанное.
И все это костыли, а их и в самом Комоде хватает.
А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот.

XenoZ 21:59 08-02-2015
Цитата:

Возможно, но, создается впечатление, что
добавить новое правило Auto-Sandbox:
действие: «Блокировать»,
цель: группа «InterpretersNames»,
рейтинг: «Неопознанный»;
работать также не будет

Да, но конкретно этот фрагмент — лишь небольшой вспомогательный костыль на маловероятный случай, если произойдет не просто запуск файла с именем интерпретатора, а реальная подмена интерпретатора на его месте в системе. Согласен, что далеко не всегда этот костыль поможет, но он и не основной тут.
Главное средство — правила HIPS, которые я дал там же.


Цитата:

И все это костыли, а их и в самом Комоде хватает.

Не понял мысль


Цитата:

А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот.

Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся доверенными, а «старые» файлы, которые лишь запускаются им, остаются неопознанными. В 8-ке изменилось только ведение списка неопознанных файлов.

emhanik

Цитата:

Главное средство — правила HIPS, которые я дал там же.

Судя по всему, только они и работают, файл даже не попадает в неопознанные.


Цитата:

Не понял мысль

Уж больно все нововведения и фиксы Комода напоминают костыли, к-рыми подпирают кем-то давно написанное ядро.


Цитата:

Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся доверенными

Все бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.

XenoZ 00:04 09-02-2015
Цитата:

Уж больно все нововведения и фиксы Комода напоминают костыли, к-рыми подпирают кем-то давно написанное ядро.

В точности такое же впечатление.


Цитата:

Все бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.

Эта опция отвечает за автоматическое занесение в доверенные.
За «временное доверие» — опция обнаружения инсталляторов для Auto-Sandbox (да, увы, не совсем)
Кстати, я оформлял пожелание, чтобы можно было отключить обнаружение инсталляторов полностью. К рассмотрению приняли.

emhanik

Цитата:

Эта опция отвечает за автоматическое занесение в доверенные.

Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.

XenoZ 10:58 09-02-2015
Цитата:

Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.

Отвечаю согласно своему примеру.

Ярлык «Run.lnk» временно запускает файл «test.exe» без ограничений. Подчеркиваю: не создает, а лишь временно запускает. Поэтому файл «test.exe» и не должен становиться доверенным ни при каких параметрах. Это обычное поведение Comodo.

Ярлык «Add to trusted and run.lnk» создает файл «test2.exe». Если включена опция «Доверять приложениям, установленным с помощью доверенных инсталляторов», то этот файл станет доверенным. Если отключена — не станет. Тоже обычное поведение.

На моих видео по CIS 7 и CIS 8.1 все именно так.

Запуск неопознанного файла доверенным инсталлятором должен пресекаться отключением опции «Обнаруживать программы, требующие повышенных привилегий». Да, оказалось, что не всегда пресекается... Но решение нашлось.

emhanik

Цитата:

Запуск неопознанного файла доверенным инсталлятором должен пресекаться отключением опции «Обнаруживать программы, требующие повышенных привилегий».

Запуск неопознанного файла должен грамотно обрабатываться независимо от этой опции. Тут налицо безобразная кривость эвристика командной строки. Кстати, если его отключить, все вышеописанные косяки с .exe файлами пропадают, все работает, как и должно. Правда, возникает потенциальная проблема с файлами .bat и .cmd, хотя они тоже относятся к категории исполняемых файлов и, соответственно, должны обрабатываться равнозначно .exe.

UPD

Цитата:

Ярлык «Add to trusted and run.lnk» создает файл «test2.exe». Если включена опция «Доверять приложениям, установленным с помощью доверенных инсталляторов», то этот файл станет доверенным. Если отключена — не станет. Тоже обычное поведение.

Отнюдь. Это не нормальное поведение Комода, а следствие кривой работы эвристика ком. строки, т.к., по факту, и команда copy и последующий запуск файла test2.exe выполняются из-под cmd.exe.