В Defence+ есть несколько предопределенных категорий, таких как:
Доверенные
Неопознанные
Заблокированные
в них помещаются приложения при включенной настройке автообработки приложений сэндбоксом.
При отключении этой настройки Defence+ предлагает создавать только политики управления файлами.
При помещении файла в одну из трех вышеперечисленных категорий (в частности, доверенные) и попытке последующей подмены исполняемого файла Defence+ реагирует правильно - выдавая новый запрос об обнаруженном неизвестном приложении. Вероятно, используется проверка хеша, или что-нибудь в этом роде, неважно.
Однако, если приложению был разрешен полный доступ (как, например, explorer.exe в настройках по умолчанию) в политиках управления файлами - при попытке последующей подмены исполняемого файла не происходит НИЧЕГО. Файл выполняется с максимальными разрешенными ему привилегиями, в данном случае - полными. Т.е. при инфицировании или же полной замене доверенного неподписанного приложения последствия могут быть кхм…
Вопросы:
почему не проверяется контрольная сумма как в случае с тремя предопределенными группами?
Проверяются ли компоненты доверенного приложения, что если я сделаю инжект доверенному приложению (неважно как), Defence+ уведомит меня об изменении исполняемого кода?
Почему explorer.exe в настойках по умолчанию разрешено все - в т.ч. и запуск любых подписанных/не подписанных приложений без уведомлений (а оно так и происходит, т.к. явно разрешено политикой, проверенно)
используемая версия CIS: 5.3.175888.1227
Тестовый пример с исходными кодами в аттаче:
Разрешить starter0.exe запуск Hi.exe с помощью политик (при первом запуске)
настройках изменившиеся файлы просто блокируются независимо от того, включена песочница или нет, при включенной песочнице - отправляются в неё с указанными для таких случаев правами. Имеют ли силу эти права без песочницы нужно проверять, но всё руки не доходят…
??? (см. выше)
Начиная с пятой версии, к сожалению, нет. Почему так сделано не совсем понятно.
Потому, что у Вас активна не конфигурация “Proactive Security”.
“Firewall Security” - самая слабенькая. Там по умолчанию выключена песочница, не мониторится доступ к клавиатуре и к картинке на экране, отключена та самая опция, которую я обвёл на картинке выше и список охраняемых обектов поменьше. В “Proactive Security”, наоборот, все настройки на максимуме, мониторится, например, доступ к сокетам, расширен набор проверяемых привилегий, вроде алерта на попытку выключения/перезагруки и т.д. Ну и эксплорер, является не “системным”, а “доверенным”, соответственно, все, что он запускает - через алерт. Где-то в английской ветке мне попадался полный список, только сейчас не найду его чего-то… Собственно, можете сами пощёлкать конфиги и увидите, что меняется…
Не совсем понятно, что конкретно есть "полный доступ", какая указана политика? К тому же у эксплорера разные политики по умолчанию (см. ниже)
Да хотя бы применение правила - обработать как “Системное приложение” - по умолчанию разрешено все + разрешен запуск любых приложений,
explorer.exe был просто как пример.
настройках изменившиеся файлы просто блокируются независимо от того, включена песочница или нет...
Использовались настройки - при которых сама возможность запуска песочницы сохраняется, но запрещена автообработка файлов, как на указанном Вами скриншоте, т.е. при обнаружении неподписанного приложения Defence+ предлагает сразу создать для него правила, или же вообще отменить его запуск. Песочница не используется по причине, скажем так, не совсем корректной реализации и наличии уязвимостей, впрочем, ее функционал меня не интересует. А вот CIS HIPS очень хвалили, теперь начинаю думать, за что?
(см. выше)
в том то и шутка юмора, что при занесении приложения в одну из трех указанных групп контрольная сумма проверяется, а при применении политик нет. Почему - неизвестно. Еще раз приведу пример
если starter0.exe обработать как “Системное приложение”, а затем подменить на starter1.exe то программа будет выполнена без всякого предупреждения, несмотря на то, что это абсолютно другое приложение. Не верите - скачайте архив с примером. Программы в нем не вирусы - исходные коды “на три строчки” прилагаются.
Т.е. получается, что использовать настройки политики куда опаснее, чем простое можно/нельзя.
Начиная с пятой версии, к сожалению, нет.
Другие версии не видел. В руки попала сразу пятая, и я был очень огорчен, когда пара самописных тестов обошла защиту HIPS, что случалось крайне редко и применялось мной для выявления скорее уж совсем некачественных продуктов. Я слышал много хороших отзывов именно о проактивной защите данного продукта...
Вдогонку к вышесказанному - CIS Firewall сегодня попался на простое перебивание портов, когда у легитимного приложения (к примеру, у браузера, отбирают открытый порт и цепляют к нему что-то другое). Вместе с HIPS так наверно не получилось бы, но сам файер не справился. Печально.
В общем, для себя я сделал два вывода:
Если продукт использовать, то только целиком - отдельные компоненты разваливаются на глазах.
Продукт защиту дает, но до первого пробоя. Т.е., если, к примеру, антивирус пропустил и допустил заражение - вся защита накрывается медным тазом. Чего быть не должно, для этого и используются разные степени защиты: antivir/HIPS/firewall/sandbox etc.
Будем ждать дальнейшего развития, т.к. лидера в этой области пока нет и действительно хороших-удобных продуктов очень мало.
P.S. GUI у него тормозной. Непонятно почему. Неужели из-за шкурок?
userq, Вы половину функционала зачем-то выключили, и теперь возмущаетесь.
Известно. Потому, что Вы сами специально отключили эту проверку и ругаетесь, что её нет.
Конкретнее плиз.
Очень интересно. С каких пор с этим справляются просто стенки?
ХИПС и стенка - это единое целое, хоть и настраиваются каждый сам по себе. И предполагают, естественно, совместное использование. Очень интересно, от чего можно сегодня защититься простой стенкой.
О каком пробое Вы говорите? Вы повыключали половину опций. Я продуктом пользуюсь почти четыре года и до сих пор у меня нет четкого плана, как его “пробивать”. Особенно, если он на параноидальном режиме.
Ммм, простите, Вы, наверно, разработчик? Или тестер?
Все описанное мной до этого - на правах багрепорта. Принимать во внимание или нет - решать тоже Вам.
Этот спор немного утомляет, Вы просто не хотите понять, что я имею в виду совсем другой недостаток, который исправляется тремя строчками кода - введением проверки контрольной суммы как в первом случае описанном мной. Я не писал о глобальной или какой-либо другой уязвимости, я указал на недоработку, весь необходимый функционал уже присутствует. Хотя, в свете Ваших заявлений об отсутствии проверки загружаемых элементов приложения…
Как я уже писал раньше: была включена максимальная светозвуковая сигнализация на все, что только можно. Единственное, что было отключено - АВТОМАТИЧЕСКИЙ “SANDBOXING” (по причине некоторой несовместимости и подозрении на дырку - еще не решил, это баг или фича). Ручной оставлен. Рискну напомнить, что при автоматическом “SANDBOXING’ге” непроверенное приложение АВТОМАТИЧЕСКИ запускается, хотя и с ограничениями (которые, в режиме по-умолчанию более чем мягкие, даже, как Вы утверждаете, в максимальной защите при конфигурации COMODO - Proactive Security). При ручном режиме HIPS задает вопрос: “А нужно ли вообще его запускать?”. Ответ лежит на совести пользователя. Также, хочу заметить, что в АВТОМАТИЧЕСКОМ режиме ОТСУТСТВУЕТ виртуализация файловой системы и реестра, вместо них применяется запрещение флагов типа seDebugPriveledge/seLoadDriverPriveledge и.т.д. Как написано у Вас в справке - для обеспечения большей совместимости. К сожалению, совместимости не до конца. Почему? Нет желания выяснять, проще найти другой продукт, реализующий функционал песочницы.
Опять же HIPS != Sandbox. Это разные продукты, и если Ваше утверждение (при отключении sandbox’а)
Вы половину функционала зачем-то выключили, и теперь возмущаетесь.
истинно, то мне лучше искать другой продукт. Лично мне он неподходит. Я НИКОГО НИ К ЧЕМУ НЕ ПРИЗЫВАЮ.
Известно. Потому, что Вы сами специально отключили эту проверку и ругаетесь, что её нет.
Отключил проверку на подмену исполяемого файла? Вы серьезно?
Очень интересно. С каких пор с этим справляются просто стенки?
"Просто стенка" в этом случае должна была закрыть порт и блокировать сетевую активность приложения вплоть до его перезапуска. А в случае перезапуска с другим набором библиотек, отличным от предыдущей сессии - показывать маски-шоу, но вот это уже задача HIPS. Тут задача - вырваться наружу любыми средствами и отправить отчет. Остальное неважно.
О каком пробое Вы говорите? Вы повыключали половину опций. Я продуктом пользуюсь почти четыре года и до сих пор у меня нет четкого плана, как его "пробивать". Особенно, если он на параноидальном режиме.
Вообще-то я говорил о возможном заражении вирусом доверенного файла, но раз Вы настаиваите, то навскидку:
радует галочка, по умолчанию вкюченная в настройках Sandbox (раз уж мы о нем заговорили) в конфигурации COMODO - Proactive Security
Автоматически доверять файлам из доверенных программ установщиков. Признаюсь честно - НЕ ПРОВЕРЯЛ, но что-то подсказывает мне что достаточно обернуть программу в InstallShield Installer его сертификат присутствует в вайт листе. В любом случае, доверия эта настройка совсем не вызывает :(
ЗЫ. Просто хотел отправить подробный багрепорт, а вылилось в килограммы текста. Извините за демагогию. Всегда есть вероятность, что лыжи в порядке, а я…
Багрепорты здесь: Bug Reports - CIS. Но лично я, пока, бага не вижу. Я ещё раз повторяю, Вы сами отключаете опцию, а потом возмущаетесь, что её нет. И что принимать во внимание тоже не понимаю. Что не следует снимать эту галку? Я её и так не снимаю.
Где Вы видите спор? И странно, что два поста Вас уже утомили.
Я не хочу понять, зачем сначала выключать проверку изменившихся файлов в том числе, а потом возмущаться, что её нет. Включите сразу тренировочный режим, вот где раздолье.
Какую конкретно недоработку? Я могу предложить только алерт, “приложение изменилось, запускать - не запускать”. В лучшем случае это фичреквест по поводу интерфейса, а не “багрепорт” и не “потенциальная уязвимость”. Что касается проверки библиотек, то лично я пока исхожу и предположения, что её переделывают, в прошлом её виде она требовала очень больших настроек, чтобы быть удобной. Не будет в следующей версии, будем скандалить в английской ветке, уже предметно.
Я Вам уже показывал опцию, хотите - просто блокируйте запуск.
С чего Вы это взяли? В автоматическом режиме чего?
А кто-то говорил, что это одно и то же?
Вы регистрировались на форуме и написали аж три длинных поста исключительно для того, чтобы сообщить, что продукт Вам лично не подходит и что Вы никого не призываете?
Абсолютно серьёзно. Вы сами написали: “но запрещена автообработка файлов, как на указанном Вами скриншоте” То есть Вы вообще выключили эту галку, так? И чего Вы ждали, если в правилах на приложение учитываются права, путь и хэш, а перепроверку хэша Вы отключаете?
Опишите конкретнее, что Вы делали.
Для того, чтобы что-то заразить, “вирусу” надо стать, как минимум, “Trusted Application”.
Я Вам могу привести продукт, который при настройках по умолчанию вообще ни от чего не защищает. Обсуждать настройки по умолчанию вообще нет особого смысла, тем более, что по поводу “доверенных поставщиков” вообще в английской ветке уже идёт большой скандал и предлагаются варианты в вишлисте. Радует как аз то, что продукт можно настроить так, чтобы эти проблемы вообще не замечать.
Кто против багрепортов? Но я Вам уже написал, Вы настроили программму так, как Вам показалось правильным, а фактически Вы просто отключили проверяемый функционал.
Sandbox - элемент проактивной защиты(HIPS).И не надо подменять понятия!Песочница сделана для того,чтобы меньше беспокоить пользователя(как в случае с чистой проактивкой),только и всего…
Понимаете,CIS-это комплексный многоуровневый продукт,который осуществляет все свои функции при согласованном взаимодействии всех компонентов.(И при оптимальных настройках по-умолчанию)Как живой организм-попробуйте у себя на время отключить какой-нибудь орган.И не надо думать,что отключив половину функций в CIS ты изобрел велосипед.
P.S.Тот же самый тест с настройками по-умолчанию CIS пройдет как танк.
