Цитата:
laprad 10:09 07-02-2015
Цитата:
Comodo руками процесса System
Как выявили, что именно Comodo?
потому что максимально возможно выгрузил все "лишние" процессы, нажал кнопку "обновить" и активность тут же и началась
laprad 10:09 07-02-2015
Цитата:
Comodo руками процесса System
Как выявили, что именно Comodo?
CIS 5.10
При включенном контроле исполнения приложений и выбранном режиме "обрабатывать неопознанные файлы как заблокированные" тест не проходит
данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.
Впрочем, в 5-ке опция «Не запускать в Sandbox приложения для установки» вынесена на вкладку настройки собственно Sandbox. Поэтому как бы она и не должна влиять на режим блокировки.
Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.
Если отмечена опция, согласно которой доверенные инсталляторы неподконтрольны Auto-Sandbox — значит, они не должны контролироваться ни в каком режиме, и их дочерние процессы не должны ни изолироваться, ни блокироваться.
CIS 7
Контроль исполнения в настройках отсутствует. Наиболее близкое по смыслу - "Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как заблокированное" не работает, файл запускается и свободно выходит в сеть.
CIS 8.1
Контроль исполнения в настройках также отсутствует. Расширенные настройки автопесочницы ничего не дают
Повторяю: тот же эффект в версиях 6-7-8 дает отключение опции «Обнаруживать программы, требующие повышенных привилегий». А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.
Правда, с одним забавным глюком
чтобы предотвратить запуск неопознанных программ доверенными инсталляторами, следуетВ CIS 7 настройка этих опций ничего не меняет, файл так же беспрепятственно запускается.
- настроить Auto-Sandbox на блокировку или виртуализацию программ, не являющихся доверенными;
- отключить опцию «Обнаруживать программы, требующие повышенных привилегий»;
- отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
исследования действительно интересны, но крайне - как бы так сказать? - искусственны что ли?
Что бы это могло значить?
В CIS 7 настройка этих опций ничего не меняет, файл так же беспрепятственно запускается.
Запуск малвари доверенными инсталяторами - довольно экзотическая ситуация, как заметил gjf
вполне пригодная для использования злоумышленниками
Не воспроизвелсявидео
Неправда, блокируется (или изолируется, или ограничивается, в зависимости от режима Auto-Sandbox)Проверил еще раз на CIS 8.1 (WinXP, VirtualBox). Настройки автопесочницы видны на видео (виртуализация отключена, добавлена блокировка неопознанных). Дополнительно:
Проверил в CIS 7 на WinXP (VMware). Сделать видео?
Теоретически пригодная - не значит эффективная или целесообразная или применяемая на практике.
Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо? Я не смог
Как его подсунуть жертве - это уже вопрос социальной инженерии.
Плюс один: Комод не особо популярен у вирусмейкеров.
Упомянутый на предыдущей странице Privatefirewall не препятствует запускам этих тестовых образцов при любых настройках.
Так это главный вопрос, и в случае его решения такие хитрости как эксплуатация обсуждаемого бага совсем лишние.Уязвимость есть, воспроизводится очень легко, и этого достаточно. Вопросы конкретных методов заражения здесь - оффтоп.
А где взять тестовые образцы? Хочу сам его проверитьЭти тестовые образцы используют баги Комода, с другими системами защиты могут не работать, работать не так, как описано и т.п.
Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо?
видео
Результат тот же.
Взять можно на оффоруме Комода, в разделе багов (нужна регистрация):
Есть смысл пробовать ваши образцы на других продуктаХ?
Уязвимость есть, воспроизводится очень легко, и этого достаточно.
Вопросы конкретных методов заражения здесь - оффтоп.
Результат тот же.
Пока вывод такой — дополнительно нужен запрет запуска посторонних файлов, имеющих имена интерпретаторовМеня терзают смутные сомнения, что это сработает, т.к. в вышеприведенном примере "левый" msiexec.exe в конечном результате был воспринят Комодом, как C:\Windows\system32\msiexec.exe, что можно увидеть как в окне активных соединений, так и в окне активных процессов. Иначе он просто не смог бы выйти в сеть, т.к для запущенного файла нет правил, фаервол в пользовательском режиме с блокировкой без оповещений.
Возможно, но, создается впечатление, что
добавить новое правило Auto-Sandbox:
действие: «Блокировать»,
цель: группа «InterpretersNames»,
рейтинг: «Неопознанный»;
работать также не будет
И все это костыли, а их и в самом Комоде хватает.
А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот.
Главное средство — правила HIPS, которые я дал там же.Судя по всему, только они и работают, файл даже не попадает в неопознанные.
Не понял мысль
Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся довереннымиВсе бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.
Уж больно все нововведения и фиксы Комода напоминают костыли, к-рыми подпирают кем-то давно написанное ядро.
Все бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.
Эта опция отвечает за автоматическое занесение в доверенные.Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.
Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.
Запуск неопознанного файла доверенным инсталлятором должен пресекаться отключением опции «Обнаруживать программы, требующие повышенных привилегий».Запуск неопознанного файла должен грамотно обрабатываться независимо от этой опции. Тут налицо безобразная кривость эвристика командной строки. Кстати, если его отключить, все вышеописанные косяки с .exe файлами пропадают, все работает, как и должно. Правда, возникает потенциальная проблема с файлами .bat и .cmd, хотя они тоже относятся к категории исполняемых файлов и, соответственно, должны обрабатываться равнозначно .exe.
Ярлык «Add to trusted and run.lnk» создает файл «test2.exe». Если включена опция «Доверять приложениям, установленным с помощью доверенных инсталляторов», то этот файл станет доверенным. Если отключена — не станет. Тоже обычное поведение.Отнюдь. Это не нормальное поведение Комода, а следствие кривой работы эвристика ком. строки, т.к., по факту, и команда copy и последующий запуск файла test2.exe выполняются из-под cmd.exe.
Правда, возникает потенциальная проблема с файлами .bat и .cmd
Это не нормальное поведение Комода, а следствие кривой работы эвристика ком. строки
А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот
Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся доверенными, а «старые» файлы, которые лишь запускаются им, остаются неопознанными
Все бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.
Эта опция отвечает за автоматическое занесение в доверенные.
Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.
не создает, а лишь временно запускает. Поэтому файл «test.exe» и не должен становиться доверенным ни при каких параметрах
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)