» Comodo Internet Security

emhanik

Цитата:

В том варианте видео, что ты давал на руборде, не показана сама команда.

Да, пардон, запамятовал, что переписывал с английским фейсом Комода для оффорума.

Цитата:

В смысле?))

Относилось к вопросу выше цитаты. Ну да уже разобрались.

Цитата:

Кстати, если я правильно понял, в Comodo собираются менять именно антивирусный движок, а не хипс? Это я к тому, что, скорее всего, баги хипса никуда не денутся

Посмотрим, пока сложно сказать, что именно они хотят, а что конкретно поменяют.

emhanik
Возвращаясь к

Цитата:

В режиме виртуализации он, да, таки выйдет в сеть, но хоть не нагадит в системе.

Как оказалось, виртуализация не спасает. Вот видео, где неизвестный файл запускается и скачивает из сети (для демонстрации) файл-пустышку, также неизвестный, к-рый получает права доверенного, в реальной системе, обходя режим виртуализации:
https://www.youtube.com/watch?v=2R1wDuOJDnM

(На оффоруме этой проблемой заинтересовался yigido, представитель Malware Research Group, в теме
Protection against crypto viruses (Cryptolocker))

gjf
Ты зачем из шапки информацию о дырище убрал?

Добавлено:
All
Информацию о баге в шапке восстановил.

XenoZ
Блин, ну побойся Бога: какая это дырища? Создали какую-то искусственную ситуацию - и раздули флейм на десять страниц.

XenoZ 19:31 19-02-2015
Цитата:

Как оказалось, виртуализация не спасает

Хм, где я говорил, что режим виртуализации спасет сам по себе?
Почти во всех моих примерах это не так.

Вообще-то я всегда подчеркиваю необходимость следующего подхода:
- отключить обнаружение инсталляторов (опция автопесочницы)
- отключить доверие программам, созданным инсталляторами (опция рейтинга)
- заблокировать запуск программ, имеющих имена интерпретаторов, но иные расположения (правилами HIPS)

При этом подходе остается риск, что в правилах HIPS будет упущено какое-нибудь имя интерпретатора типа «interpreter.exe», известное злоумышленнику.
Если это так, то опасность представляет команда типа:

%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & interpreter.exe %windir%\system32\svchost.exe

Если Auto-Sandbox настроен на блокировку, то interpreter.exe выполнится в реальной среде. Если на виртуализацию — в виртуальной. Конкретно при этой команде.

Повторяю, речь о комплексе мер, а не об одной лишь виртуализации, как на твоем видео.

Проблема режима виртуализации — опасность виртуальной подмены интерпретатора. Решается выбором виртуализации с дополнительным уровнем ограничений «Недоверенное» (возможность появилась в CIS 8).

Впрочем, даже в этой конфигурации остается возможность запуска неопознанного файла в реальной среде...
https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192


Цитата:

(На оффоруме этой проблемой заинтересовался yigido, представитель Malware Research Group, в теме
Protection against crypto viruses (Cryptolocker))

Я пока невнимательно смотрел, но почему ты дал ему ссылку на баг-репорт про запуск батника, а не про использование имени интерпретатора?

gjf 20:34 19-02-2015
Цитата:

Создали какую-то искусственную ситуацию - и раздули флейм на десять страниц.

И какая же ситуация не являлась бы искусственной? От чего вообще должен защищать Comodo с такой точки зрения?

Пользователь запускает файл или ярлык — и в результате
1) неопознанная программа запускается с привилегиями установщика
2) получает привилегии любой другой программы
3) в т.ч. выходит в сеть
4) добавляется в доверенные

Если это не дырища, то что это?

All
Люди, что происходит? Неужели я настолько неясно выражаюсь? Ладно, английский хреновый, так вам же в руки и видео, и образцы, и, вообще-то, по-русски разжевал уже все...

Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.
Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела.
Получаю полный беспредел и отмену всех ограничений.
Дырища?

Несколько раз говорил Вам: напишите на официальный суппорт. Там есть и русская ветка. Нашли дырищу - так и напишите там тему "ДЫРИЩА!!!!!1111"

Если там признают - зеркальте тут. А так - просто беседы на завалинке.

emhanik

Цитата:

%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & interpreter.exe %windir%\system32\svchost.exe
Если Auto-Sandbox настроен на блокировку, то interpreter.exe выполнится в реальной среде. Если на виртуализацию — в виртуальной. Конкретно при этой команде.
Повторяю, речь о комплексе мер, а не об одной лишь виртуализации, как на твоем видео.

Там обсуждался вопрос о безопасности виртуализации, вот я и сляпал видеопример, где она обходится.
(а комплекс мер... вещь, конечно, полезная, но конкретно мне подвязывать бантиками шатающиеся костыли Комода как-то нет желания... Посмотрю, что они в марте выкатят.)

Цитата:

Проблема режима виртуализации — опасность виртуальной подмены интерпретатора. Решается выбором виртуализации с дополнительным уровнем ограничений «Недоверенное» (возможность появилась в CIS 8).
Впрочем, даже в этой конфигурации остается возможность запуска неопознанного файла в реальной среде...
https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192

На видео используется %comspec% /c %windir%\system32\tcmsetup.exe /Q & copy help.exe msiexec.exe /y & msiexec.exe и неопознанный файл запускается в реальной среде, качая себе "помощь" из сети.

Цитата:

Я пока невнимательно смотрел, но почему ты дал ему ссылку на баг-репорт про запуск батника, а не про использование имени интерпретатора?

Я ж написал ему "некоторые из оформленных багов", а ссылки ткнул для наглядности, первые, к-рые были в закладках.

Цитата:

Люди, что происходит?

Происходит глобальный пофигизм.

Добавлено:
gjf
Во флейме скучно стало - здесь решил потроллить?

XenoZ
При чём здесь троллинг? Вас не смутило, что последние N страниц у Вас с emhanik проходит сугубо диалог?

gjf
Цитата:

При чём здесь троллинг? Вас не смутило, что последние N страниц у Вас с emhanik проходит сугубо диалог?

Не смутило. Диалоги на руборде не запрещены. Тебе есть что сказать по теме - присоединяйся, нет - проходи мимо.

XenoZ
п. 2.8.2. главы VIII Соглашения по использованию

И по теме мне есть что сказать: данную "Дырищу" дырищей не считаю, а считаю результатом кучи свободного времени у людей, которым нечем больше заняться.

Шапку править не буду, охота позориться - вперёд.

gjf 21:49 19-02-2015
Цитата:

Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.

Во-первых, антируткиту требуется повышение прав.
Во-вторых, он имеет интерфейс. (Или какой-нибудь подписанный антируткит может действовать «тихо», прицельно убивая Comodo?)
...
Повторяю вопрос: от чего должен защищать Comodo?

XenoZ 21:57 19-02-2015
Цитата:

На видео используется %comspec% /c %windir%\system32\tcmsetup.exe /Q & copy help.exe msiexec.exe /y & msiexec.exe

Понятно.
При отключении 2 опций, о которых я выше писал, в режиме виртуализации запуск пошел в песочнице.
А после настройки HIPS против лжеинтерпретаторов и запуска не произошло.


Цитата:

Происходит глобальный пофигизм.

М-да

emhanik
Вы про Gmer слышали? AVZ?

gjf 22:36 19-02-2015
Цитата:

Вы про Gmer слышали? AVZ?

Ok, антивирусные утилиты могут исполнять свои скрипты.
Запроса прав администратора это не отменяет. Или?

Можете собрать образец, запускающийся незаметно, как то ярлыком? Без запроса прав администратора?

В любом случае — в моих баг-репортах речь не о вырубании Comodo.
И даны методы, вполне пригодные для использования злоумышленниками.

Третий раз спрашиваю: от чего должен защищать Comodo? В чем эта защита должна выражаться?
Таки, может, он вообще не нужен?

emhanik
Пф, на девяти компьюьтерах из десяти, что я вижу, UAC отключен и все работают под админом.
Ладно, я не хочу заниматься тут диспутами с Вами. У Вас уже есть личный собеседник - разбирайте Вашу личную маленькую сенсацию с ним.

gjf

Цитата:

п. 2.8.2. главы VIII Соглашения по использованию

Мимо. диалог по теме.

Цитата:

И по теме мне есть что сказать: данную "Дырищу" дырищей не считаю

Это твое право. А для обычного пользователя будет более чем достаточно, при "надежно защищенном" Комодом компьютере, получить, пардон, задницу во весь экран.

Цитата:

Вы про Gmer слышали? AVZ?

GMER AVZ
Тут топик по Комоду.

XenoZ

Цитата:

А для обычного пользователя будет более чем достаточно, при "надежно защищенном" Комодом компьютере, получить, пардон, задницу во весь экран.

Можно подумать что при "надежно защищенном" чем-то другим компьютере, для того же пользователя такой возможности не будет.

emhanik

Цитата:

Если это не дырища, то что это?

Выполнение заданных настроек.
Хотите алерты в подобных случаях? Включайте Paranoid Mode - будут алерты с избытком. В чем проблема?

gjf 23:11 19-02-2015
Цитата:

Пф, на девяти компьюьтерах из десяти, что я вижу, UAC отключен и все работают под админом.

Вот это сенсация.
Но до таких клинических случаев мне дела нет. Пользователей, которые отрубают UAC и делают ставку лишь на антивирус, мне, скажем так, не жаль.

Accessisdenied 16:32 20-02-2015
Цитата:

Выполнение заданных настроек.

Ничего подобного.

Привилегии установщика у портативных браузеров — дыра.
(Как и вообще у любого приложения, не запрашивающего права администратора. Примеров немало.)

Ошибочное наследование привилегий при составных командах — дыра.

Наделение одной программы привилегиями другой — дыра.
(Добавим еще вариант XenoZ'а.)

То, что CIS 8 не проверяет рейтинг после подмены файла, — дыра.


Все перечисленные уязвимости пригодны для использования злоумышленниками. (Простейшие методы я приводил. Другие сами можете придумать...)
В отличие от «атаки антируткитом» и т.п.

Напомню свой недавний комментарий: http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=6100#16



Цитата:

Включайте Paranoid Mode - будут алерты с избытком

Во-первых, мне «избыток» не нужен. Нужно, грубо говоря, чтобы вышеописанная лажа была устранена.

Понимаю, что негоже критиковать чужую работу, но разработчиков модуля анализа командной строки следовало бы взять за шкирку и потыкать носом в их художества. А не оправдывать, что это «выполнение заданных настроек»... facepalm

Во-вторых, в CIS 8 и параноидальный режим не поможет.
В-третьих, параноидальный режим не поможет вообще нигде, если допустить лишь запуск неопознанной программы. Пользуясь багом с определением интерпретаторов, она тут же выйдет из-под контроля, получив все привилегии другой (в т.ч. сетевые).


Который раз повторяю вопрос: в чем должна выражаться защита Comodo? В каких конкретных ситуациях он должен спасти? Какой вообще смысл его использования?
Адресуется всем, кто отрицает очевидное.

Update: Не проверял, но, вероятно, параноидальный режим не защитит от ярлыка с такой командой:
%COMSPEC% /c %windir%\System32\wuauclt.exe & test.exe

Accessisdenied
Понимаете, тут ситуация клиническая. Человек не хочет смириться с тем, что by design, а хочет свой Comodo с блекджеком и шлюхами. И об этом уже пишет не одну страницу.

Попытаться провести сравнение и попробовать свои "дырищи" на других аналогичных продуктах, чтобы понять, а "дырищи" ли это вообще - тут, конечно, сил и желаний нет.

emhanik (17:49 02-02-2015)
Цитата:

Мое время им убивается жесточайше.

"Мышки плакали, кололись, но продолжали жрать кактус"

Добавлено:

emhanik (19:08 20-02-2015)
Цитата:

Вот это сенсация.

Я ж и говорю: перестаньте ковыряться в несчастном Комоде, выйдите на улицу, посмотрите на мир. Обнаружите много новых сенсаций и впечатлений, которые куда интереснее, чем Ваши "дырища".

gjf
Чтобы не провоцировать пустой троллинг, повторю один-единственный вопрос: от каких ситуаций должен защищать Comodo?

emhanik
Задайте вопрос Мелиху. Или почитайте на официальном сайте описание.
Но перед тем, как писать Мелиху вопросы, учтите: Comodo бывает просто фаервол (с хипсом или без), бывает антивирус, бывает песочница и бывает даже браузер. Каждый в свою очередь - с кучей настроек.
Если хотите получить умный ответ - задайте умный вопрос.

gjf
Меня интересует мнение не Мелиха в данном случае, а тех, кто пользуется продуктом.
Ради чего?
Какая у кого версия и конфигурация, я не знаю.

emhanik
Я использую для блокировки и контроля сетевой активности.
Очень редко - настраиваю хипс. В основном по хипсу только фиксирую алерты.
Песочницей не пользуюсь.
Антивирус стоит - но только на подхват. По факту он ни к чему, но всё равно ставится в систему - так пусть хоть работает. Файловые вирусы он детектирует - и на том спасибо.

gjf 02:26 21-02-2015
Цитата:

Я использую для блокировки и контроля сетевой активности.

Только безопасных («легальных», сознательно используемых) программ, я правильно понял?

Ведь от сетевой активности вредоносных программ (запущенных хоть в реальной среде, хоть в Comodo Sandbox, хоть в SandboxIE...) он уже не очень-то спасет.


Цитата:

Очень редко - настраиваю хипс.

Т.е. задача пресекать запуск и контролировать активность неопознанных файлов перед ним не стоит?

Если все так, как я понял, то от собственно защиты мало чего остается... Действительно, бессмысленно обсуждать недостатки функций, которые почти не используются.
Однако многие как раз делают на эти функции ставку. И имеют на то все основания.

emhanik

Цитата:

Однако многие как раз делают на эти функции ставку. И имеют на то все основания.

Не имеют. 19:08 20-02-2015

Цитата:

Пользователей, которые отрубают UAC и делают ставку лишь на антивирус, мне, скажем так, не жаль.

Так какие у них основания?
У остальных... ну допустим спьяну или еще по какому недоразумению что-то такое запустится и Comodo даст лишние права - у ОС свое мнение есть.
Вот я запустил autoruns без админских прав и попытался что-то изменить в автозапуске:

А при запуске от админа будет что-то типа такого:

несмотря на то что Comodo этому приложению разрешает всё что оно делает.

А если пользователь сознательно запускает что попало, то на все алерты в том числе и от Comodo он просто нажмет "разрешить".
Если кто-то надел бронежилет, это еще не гарантирует что он не будет ранен или убит, даже если в нем нет дыр, особенно если надеясь на эту защиту будет пренебрегать остальными мерами безопасности.

emhanik
Поскольку я работаю под админом без УАКа (о ужас!), то что попало и где попало я не запускаю.
Для этих целей есть Sandboxie. Есть онлайн-анализаторы. Есть масса всего.
И если я вижу, что файл, который не должен лезть в сеть, в сеть всё-таки лезет - я его блокирую.
Итого:
1. Вредоносы могут и встать, если недосмотрю, но никуда и ничего отправить не смогут.
2. Руткиты встать не смогут, потому что необходимы привелегии ядра. Это легко отслеживается.
3. Файловая инфекция распознаётся слабеньким антивирусом, нынче это неактуально и не обновляется.

Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.

Accessisdenied (13:08 21-02-2015)
Цитата:

А если пользователь сознательно запускает что попало, то на все алерты в том числе и от Comodo он просто нажмет "разрешить".

+100500!

Accessisdenied
gjf
Господа, вы скатываетесь в оффтоп. Здесь никто не обсуждает степень защищенности конкретно ваших машин, топик немного о другом.
В защите Комода найдена дыра, а не в ваших системах. Если вас это не волнует, проходите мимо, не задерживайтесь.

gjf 00:20 22-02-2015
Цитата:

я работаю под админом без УАКа (о ужас!)

Ok, одни отключают UAC из-за отсутствия мозгов, другие, наоборот, слишком круты для него : ) Не хотел никого обидеть.
Все же рядовой пользователь, озабоченный безопасностью, отключать UAC не станет. Особенно, если настраивает систему кому-нибудь из менее опытных. Если в организации — то в любом случае не даст подопечному прав администратора, с UAC'ом или без него.

Кстати, напомню, откуда вообще всплыла тема UAC'а:
gjf 21:49 19-02-2015
Цитата:

Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.
Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела.
Получаю полный беспредел и отмену всех ограничений.
Дырища?

Так вот — дырища, если этот метод можно использовать.
Но используется ли он реальными зловредами? Я не знаю. Полагаю, что нет, и именно из-за UAC'а.
Если бы не UAC, то, по идее, можно укомплектовать зловред антируткитом и подсунуть хоть на той самой флешке с ярлыком.

Мой же ярлык гадит на уровне пользователя. И что он способен сделать, я перечислял: обойти все компоненты защиты CIS'а, короче говоря.

Вас ярлыком не обманешь — Ok. А ваших «подопечных»?

Да, Accessisdenied защищается от внешних носителей с помощью SRP. Ну так и я в числе прочего об этом же говорю.

Не будем зацикливаться на ярлыках и флешках — это простейший путь, но не единственный.
Можно письма рассылать, можно еще как-нибудь... Лучше меня знаете.
От всех этих путей заражения CIS неплохо защищает, если они не используют обсуждаемые дыры.


Цитата:

Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.

Пожалуйста — файл из моего баг-репорта: http://rghost.ru/68drpVCDC
Говорите, запускаете сомнительные программы в Sandboxie и контролируете их сетевую активность?
Этот образец просто скачивает страницу и открывает ее в блокноте. Заменить его стилером можете самостоятельно.

Если хотите, можно усовершенствовать прием, чтобы при этом стилер добавился в доверенные и не блокировался антивирусом.

P.S. Конкретно тот образец распаковывает файл и выдает его за «%windir%\system32\msiexec.exe». У кого этой программе заблокирован интернет — можно заменить аргумент на «%windir%\system32\svchost.exe» или любую другую программу.

emhanik
Вы, уважаемый, просто витаете в теории, но редко сталкиваетесь с практикой. О чём свидетельствует хотя бы
Цитата:

можно укомплектовать зловред антируткитом

Я - несколько наоборот. Ну да ладно - у всех своя специализация.
И вот с моей позиции я Вам поведаю: рядовой пользователь практически в течение недели гугли, как отключить УАК - и отключает его, поскольку тот надоедает вопросами.
А если и не отключает - то жмакает на кнопку "разрешить" быстрее, чем рядовой пользователь местного Варезника соглашается с лицензионными соглашениями при установке.
Так что не думайте, что Ваши дополнительные алерты кого-то успокоят.

Касательно Вашего примера. Запустил. Со скачиванием страницы с гугла - согласился. Вылетел алерт:


Естественно, выйти в сеть не дал, как не даю практически никому при установке.
Получил вот это:


По-прежнему не вижу дырищи.

Если же Вы хотите создать систему, где на любой пук выкидывает алерт - Вам потребуется отнюдь не рядовой пользователь, который все эти алерты разберёт.
Если же Вы хотите сделать так, чтобы от пользователя ничего не зависело, а безопасность была на уровне, то рекомендую простейшую команду:

Код: format c:

gjf
Давайте перепроверю у себя. Какая стоит ОС, версия CIS, Sandboxie и включен ли в CIS анализ командной строки?

gjf (00:20 22-02-2015)
Цитата:

А если пользователь сознательно запускает что попало

Скорее уж бессознательно.
UAC по большей части может принести пользу при не санкционированном пользователем повышении прав, имхо. Ну и иногда дополнительный алерт при запуске все же оказывается полезен, как и при удалении, например.

gjf
Проверил.
Интересная штука: для программ, запущенных в Sandboxie, вообще не работал анализ командной строки. Поэтому и баг не проявился.

Не знаю, хорошо это или плохо. В смысле защиты от данной уязвимости — хорошо. Но это также значит, что, например, выполняющиеся в Sandboxie jar-файлы получат те же сетевые права, что и javaw.exe...
Другой пример — msiexec.exe по умолчанию имеет доступ в интернет. Из-за отсутствия анализа командной строки под Sandboxie получаем доступ в интернет скриптов, содержащихся в MSI-файлах.

Конечно, мое упущение, что не проверил Sandboxie сразу.
Тем не менее — как в виртуальной среде Comodo, так и в реальной данный образец получает доступ в интернет.

gjf 22:59 22-02-2015
Цитата:

О чём свидетельствует хотя бы
Цитата:
можно укомплектовать зловред антируткитом

Ваша идея: вырубить защиту подписанным антируткитом и сделать с системой что угодно.
Я как раз говорю о ее неприменимости.

Мои же образцы укомплектовываются стартерами, дающими им права доверенных инсталляторов и обманывающими анализ командной строки.
И это работает.

(Точно так же, как работают банальные ярлыки на флешках. Но которым CIS пока противостоит.)

Да, я ошибся конкретно насчет Sandboxie. Но —
00:20 22-02-2015
Цитата:

Вредоносы могут и встать, если недосмотрю, но никуда и ничего отправить не смогут.

Раз таки могут встать в реальной системе, то и отправить могут.
Аналогично в комодовской виртуальной среде.