Так ли страшны новые эксплоиты, если их не видит антивирус?

в 15:00, , рубрики: информационная безопасность, Песочница, метки:

Каждый раз, открывая Internet Explorer браузер, кто-то из вас панически боится подхватить очередной вирус… Но так ли это на самом деле? Неужели все мы беззащитны от таких вещей?

Все, о чем говорится в статье, относится к Windows-based системам

Вместо вступления

Так уж исторически сложилось, что за компьютером кроме меня сидят и другие члены моей семьи. Однажды включив его утром, ко мне в монитор постучался привет от WinLocker'a… ну что за censored, подумал я, ведь у меня стоял антивирус с самыми последними базами который эту гадость пропустил… а кто-то сидящий быть может еще и запустил. И да, браузер был IE9.
С Winlocker'ом я справился, и даже поинтересовался сколько антивирусов его ловило в тот момент (только 1 ).

Нет blue pill, которая бы так взяла и защитила вас от экслоита. Если он есть, то, в 70% случаев его очень тщательно продумали (привет, metasploit и иже с ним) и, увы, операционная система и антивирус ( если он вообще есть ) беззащитны…

Но что же делать с оставшимися 30% написанными на коленке? Неужели можно защитить себя от таких новшеств, как обфусцированные WinLocker'ы и другая мразь малварь?

Ближе к делу

До этого момента, я знал несколько путей для предотвращения заражения:

  • используем HIDS
  • используем более надежный браузер (Chrome? )
  • sandbox (или это уже устарело? )
  • корпоративные клиенты конечно могут использовать еще что-то вроде Honey-pot'ов для вылавливания новой неизвестной малвари в процессе анализа трафика
  • конечно, может быть еще привязка IPS системы

Я отказался использовать методы, описанные выше (в частности, HIDS ).

Групповые политики

Ведь есть еще один (конечно, не панацея) интересный трюк… который доступен в Windows
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку %appdata%..LocalTemp, откуда и запускался, используя autorun запись в реестре.
Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!

Делаем простые 4 шага:

  1. Открываем Групповые политики системы (gpedit.msc)
  2. Конфигурация компьютера — Параметры безопасности — Политики ограниченного использования программ
  3. Создаем дополнительное правило для пути
  4. Вводим нужный нам путь, выбираем уровень безопасности Запрещено — и вуаля! Теперь программа никогда не запустится с этого пути

Read, write access будет, но не будет доступа на выполнение — даже несмотря на то что вы сидите с правами администратора — лично было проверено мной при проверке автозагрузки этого же Winlocker'a с папки Temp.

Если вам нужно что-то запустить, вы всегда можете поменять уровень безопасности для этой политики.

Надеюсь, этот дополнительный метод кому-нибудь поможет… К тому же, просматривая лог приложений журнала Windows по источнику SoftwareRestrictionPolicies ( код события 866 ) я уже наглядно вижу что для моего ПК это не прошло зря, ведь за ним сидят неопытные пользователи, использующие IE9 IE10.

Автор: val3ntin

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js