Jump to content
Zandatsu

Вирусы-шифровальщики, и методы борьбы с ними с KES 10 [В процессе]

Recommended Posts

Только нужно чтобы был включен флаг "обнаруживать поведение, характерное для программ-троянов" в настройках проактивной защиты. По умолчанию, кажется, выключен.

Ну да как то так оно там настраивалось :rolleyes:

 

 

Все сделал INC000003493423 , подождем посмотрим. результаты сообщу.

Share this post


Link to post

Ответ меня немного под убил: (некоторые выдержки)

 

Если исходить из настроек компонента "Контроль активности программ", заданных по умолчанию, для неизвестных программ используется эвристический анализатор для определения группы, куда помещать. По умолчанию, выданное время на определение 30 секунд.

Из скрина отчета видно что определение происходит за 1 секунду, похоже что ТП вообще не смотрит то что им присылаешь

 

В текущей ситуации, наверняка сказать трудно, было ли достаточно 30 секунд выделенного времени, так как подобное вредоносное ПО использует антиэмуляцию, которая выполняет легитимные действия, чтобы обмануть поведенческий анализатор.

Ну опять таки время эмуляции составило 1-2 секунды. Причем тут антиэмуляция если вердикт конкретен

 

В текущей ситуации, наверняка знать нельзя, работал ли KSN на клиенте где запускалось вредоносное ПО, используется ли антиэмуляция и проходит ли 30 секунд до выдачи вердикта.

:dash1: учитывая что я написал в запросе по пунктам 1. Берем вирус Trojan-Dropper.Win32.Injector.jhxv для теста Контроля активности программ.

2. Отключаем файловый антивирус и мониторинг активности (иначе вирус ловится этими компонентами и тест не удается)

3. KSN включен

 

И теперь самое главное :b_lol1:

Также, не понятен смысл использования контроля активности программ для борьбы с вредоносным ПО

Зачем это писать если была дана ссылка на эту тему, а также существует оф.предложение от ЛК по защите от шифровщика на сапорте

 

ПС при этом я на 100% уверен что кейс дошел до ЛК а не застрял где-то у Энтерпрайза, так как сам его эскалировал.

Edited by DWState

Share this post


Link to post
Ответ меня немного подубил: (некоторые выдержки)

Из скрина отчета видно что определение происходит за 1 секунду, похоже что ТП вообще не смотрит то что им присылаешь

Ну опять таки время эмуляции составило 1-2 секунды. Причем тут антиэмуляция если вердикт конкретен

:dash1: учитывая что я написал в запросе по пунктам 1. Берем вирус Trojan-Dropper.Win32.Injector.jhxv для теста Контроля активности программ.

2. Отключаем файловый антивирус и мониторинг активности (иначе вирус ловится этими компонентами и тест не удается)

3. KSN включен

 

И теперь самое главное :b_lol1:

 

Зачем это писать если была дана ссылка на эту тему, а также существует оф.предложение от ЛК по защите от шифровщика на сапорте

 

ПС при этом я на 100% уверен что кейс дошел до ЛК а не застрял где-то у Энтерпрайза, так как сам его эскалировал.

Вам большое спасибо, за запрос и потраченное время. :bravo:

тут даже не посвященному понятно - что есть ошибка в логике работы программы (в частности контроля активности программ).

Ответы ЛК в связи с предоставленной информацией выглядят странно.

Edited by mvs

Share this post


Link to post
Ответ меня немного под убил: (некоторые выдержки)

Из скрина отчета видно что определение происходит за 1 секунду, похоже что ТП вообще не смотрит то что им присылаешь

Ну опять таки время эмуляции составило 1-2 секунды. Причем тут антиэмуляция если вердикт конкретен

:dash1: учитывая что я написал в запросе по пунктам 1. Берем вирус Trojan-Dropper.Win32.Injector.jhxv для теста Контроля активности программ.

2. Отключаем файловый антивирус и мониторинг активности (иначе вирус ловится этими компонентами и тест не удается)

3. KSN включен

 

И теперь самое главное :b_lol1:

 

Зачем это писать если была дана ссылка на эту тему, а также существует оф.предложение от ЛК по защите от шифровщика на сапорте

 

ПС при этом я на 100% уверен что кейс дошел до ЛК а не застрял где-то у Энтерпрайза, так как сам его эскалировал.

:ay: Молодец!

Я думаю, что они сами не знакомы со многими статьями с suppot.kaspersky.com, т.к. статьи пишут одни, занимаются другие

Share this post


Link to post

Написал ответ с пояснениями, скрестим пальцы и подождем ответа. Варианта конечно два - или дадут объяснение и мы поверим да все правильно или скажут "да косячок", впрочем есть еще третий вариант подобный первому ответу. :supercool:

Share this post


Link to post
Написал ответ с пояснениями, скрестим пальцы и подождем ответа. Варианта конечно два - или дадут объяснение и мы поверим да все правильно или скажут "да косячок", впрочем есть еще третий вариант подобный первому ответу. :supercool:

 

Ответ дан в инциденте. Вы можете его полностью скопировать в данной теме.

 

Уважаемый oit, все статьи на сайте технической поддержки читаем. Часто и внимательно.

В указанной в инциденте статье - http://support.kaspersky.ru/10905#block4, явно указано, что:

 

Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры Kaspersky Endpoint Security 10 для Windows.

 

Далее описывается процесс настройки категорий именно для помещения в группы с сильными и слабыми ограничениями.

У уважаемого пользователя DWState, именно такой вариант определения вредоносного ПО - группа со слабыми ограничениями. Бояться, при настройках из статьи, не стоит.

 

Повторюсь в обсуждаемой ветке форума, указанная сигнатура Trojan-Dropper.Win32.Injector.jhxv не используется для определения группы. Сигнатура используется для Антивирусной части продукта.

Для определения же группы используется сигнатурный анализатор в которых входит поведенческий анализ.

 

Также повторюсь, если в данной теме рассматривается вопрос только определения конкретного ПО конкретно контролем активности программ, а не противодействие шифровальщикам, рассказывать о том, что защита должна быть комплексной и полноценной, я не буду.

 

Будут вопросы, задавайте.

Share this post


Link to post
Ответ дан в инциденте. Вы можете его полностью скопировать в данной теме.

 

Уважаемый oit, все статьи на сайте технической поддержки читаем. Часто и внимательно.

В указанной в инциденте статье - http://support.kaspersky.ru/10905#block4, явно указано, что:

 

Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры Kaspersky Endpoint Security 10 для Windows.

 

Далее описывается процесс настройки категорий именно для помещения в группы с сильными и слабыми ограничениями.

У уважаемого пользователя DWState, именно такой вариант определения вредоносного ПО - группа со слабыми ограничениями. Бояться, при настройках из статьи, не стоит.

 

Повторюсь в обсуждаемой ветке форума, указанная сигнатура Trojan-Dropper.Win32.Injector.jhxv не используется для определения группы. Сигнатура используется для Антивирусной части продукта.

Для определения же группы используется сигнатурный анализатор в которых входит поведенческий анализ.

 

Также повторюсь, если в данной теме рассматривается вопрос только определения конкретного ПО конкретно контролем активности программ, а не противодействие шифровальщикам, рассказывать о том, что защита должна быть комплексной и полноценной, я не буду.

 

Будут вопросы, задавайте.

Спасибо за ответ от сотрудника ЛК!

Так тут как раз говорят об изменении анализатора, когда ФА и МС выключены.

Share this post


Link to post
Спасибо за ответ от сотрудника ЛК!

Так тут как раз говорят об изменении анализатора, когда ФА и МС выключены.

 

Честно, не совсем понятен вопрос. Файловый Антивирус работает как сигнатурно, так и эвристически. Мониторинг системы это проактивная защита по факту.

Все компоненты взаимосвязаны, в частности, мониторинг системы по умолчанию хранит историю активности программ, которую в своей работе используют компоненты Контроль активности программ, Файловый Антивирус, Сетевой экран и задачи проверки.

 

На самом деле не стоит рассматривать отдельно используемый компонент в подобных случаях. Тем более когда точно механизм поведенческого анализа не известен.

 

Вопрос по обсуждаемой теме становится более понятным со временем вникания, что в итоге нужно . Не хотелось бы отвечать односложно, например: "Так решил контроль активности программ, его действия не обсуждаются".

 

 

 

Share this post


Link to post
Спасибо за ответ от сотрудника ЛК!

Так тут как раз говорят об изменении анализатора, когда ФА и МС выключены.

Не совсем так, мы пытаемся понять правильно ли выдать вердикт по файлу и дать ему слабые ограничения (не утверждаем).

 

Из пояснений выходит что вердикт никак не влияет на определение группы - да логика присутствует в этом, ведь это поведенческий компонент, но и согласитесь что как то это неправильно, ну прямо как "пенопластом по стеклу", ну обозвал груздем так и засунь в кузов, так ведь нет называет поганкой и кидает в общую корзину. Может mvs лучше пояснит. :rolleyes:

Share this post


Link to post
Честно, не совсем понятен вопрос. Файловый Антивирус работает как сигнатурно, так и эвристически. Мониторинг системы это проактивная защита по факту.

Все компоненты взаимосвязаны, в частности, мониторинг системы по умолчанию хранит историю активности программ, которую в своей работе используют компоненты Контроль активности программ, Файловый Антивирус, Сетевой экран и задачи проверки.

 

На самом деле не стоит рассматривать отдельно используемый компонент в подобных случаях. Тем более когда точно механизм поведенческого анализа не известен.

 

Вопрос по обсуждаемой теме становится более понятным со временем вникания, что в итоге нужно . Не хотелось бы отвечать односложно, например: "Так решил контроль активности программ, его действия не обсуждаются".

Смысл понятен, что должно все работать, чтобы правильно отдетектилось.

Если позволите, по текущему примеру: вот не работает файловый ант-с и мониторинг, базы старые: троян обнаружился каким именно компонентом?

Он обнаружился как известный вирус/троян, а не как троянческое поведение!!! Почему контроль активности программ не учитывает этого при помещении в группы - вот это вопрос.

Share this post


Link to post
Не совсем так, мы пытаемся понять правильно ли выдать вердикт по файлу и дать ему слабые ограничения (не утверждаем).

я рассматривал конкретно ваш случай

Share this post


Link to post
Смысл понятен, что должно все работать, чтобы правильно отдетектилось.

Если позволите, по текущему примеру: вот не работает файловый ант-с и мониторинг, базы старые: троян обнаружился каким именно компонентом?

Он обнаружился как известный вирус/троян, а не как троянческое поведение!!! Почему контроль активности программ не учитывает этого при помещении в группы - вот это вопрос.

 

Вижу, потихоньку выстраиваем логическую цепочку. Теперь окончально вопрос понятен.

В вашего разрешения, рассматривать вариант что будет если все навернется, а останется только контроль активности программ (как пример), мы рассмотрим позже.

Предлагаю разобраться, подключив нужных специалистов по архитектуре компонента, с вопросом, почему контроль активности программ показывая сигнатуру не учитывает помещение в группы. Например не помещает сразу в сильные ограничения.

Если все согласны, узнаю подробности - сообщу.

Share this post


Link to post
Вижу, потихоньку выстраиваем логическую цепочку. Теперь окончально вопрос понятен.

В вашего разрешения, рассматривать вариант что будет если все навернется, а останется только контроль активности программ (как пример), мы рассмотрим позже.

Предлагаю разобраться, подключив нужных специалистов по архитектуре компонента, с вопросом, почему контроль активности программ показывая сигнатуру не учитывает помещение в группы. Например не помещает сразу в сильные ограничения.

Если все согласны, узнаю подробности - сообщу.

Я поддерживаю

Share this post


Link to post
Почему контроль активности программ показывая сигнатуру не учитывает помещение в группы. Например не помещает сразу в сильные ограничения.

Если все согласны, узнаю подробности - сообщу.

Оно самое

Share this post


Link to post

Договорились. Как выясню логику, отпишусь.

Результата два:

- неверное определение. Пойдет на исправление.

- все работает как призывает заданная логика. Будем заводить Feature Request.

 

Пока вижу только второй вариант. Для первого подойдут логи и сэмпл.

Для второго сценарий воспроизведения, он есть и он простой.

 

В инциденте пока ничего отписывать не буду. Оффициальный ответ когда будет, отпишем в инциденте, тут продублируем.

 

Сразу хочу предупредить - процесс не быстрый. Но затягивать не будем, так как шифровальщики чувствительная тема.

 

P.S. Будут какие предложения или вопросы, задавайте.

Share this post


Link to post

1) ура, поняли суть проблемы, oit в 10-ку попал с объяснениями.

надо менять логику работы компонента. и все таки я бы это назвал не запросом на исследование, а багом (по крайней мере в том виде в котором это сейчас)

 

2) по шифровальщикам - больной вопрос для все антивирусной индустрии в целом, и тут сразу бросается в "глаза" то что несмотря на кучу компонентов и ступеней защиты (KSN, PDM, FA, контроль активности и т.д.) вся надежда именно на сигнатурный анализ, и эвристика у ЛК в этом плане (по моим личным наблюдениям) не лучшая, вообще с вредоносными скриптами, cmd, bat, vbs у ЛК не очень, видимо это из-за выбора что лучше - минимизация ложных срабатываний или чрезмерная подозрительность. По какому пути собирается двигаться ЛК?

 

И тут как мне кажется развивать надо направление KSN, возможно переходить или иметь возможность самим предприятиям формировать свои базы KSN (подкручивать и пополнять их), как то улучшать программу белых списков.

 

3) почему в статьях по противодействию шифровальщикам не описываются например желательные настройки для почтового антивируса (рекомендации по переименованию почтовых вложений ),

хотя бы для наиболее популярных версий шифровальщиков? (scr, bat, cmd, js...)

Не пишется про возможность использования контроля запуска программ (белые списки по KL категориям + свой круг ПО) а не мониторинга?

 

 

Хочется видеть комплексную статью, с рекомендациями на разных уровнях (не только по настройкам политик антивируса но и общие рекомендации), хочется видеть описание наиболее популярных или опасных шифровальщиков и методы борьбы и защиты с ними.

Edited by mvs

Share this post


Link to post
Demiad в этой теме задавал вопрос про WSEE: что входит в арсенал WSEE для борьбы с шифровальщиками Edited by oit

Share this post


Link to post
Если честно, я не понял, зачем Demiad нужны какие-то спецнастройки для WSEE. WSEE это чисто серверный антивирус, а откуда на сервере может взяться шифровальщик? А если и возьмется, то неужели вы думаете, что у такого неумехи админа антивирус будет заранее специально настроен для противодействия ему?

Сисадмином может быть один, а антивирусной безопасностью заниматься другой.

На файловом сервере может оказаться вирус, профили со всеми файлами могут храниться на сервере.

 

Share this post


Link to post
В общем, с шифровальщиками надо бороться исключительно на рабочих станциях, а не на серверах.

Я бы перефразировал, лучше всего и дешевле бороться с шифровальщиками в головах пользователей, которые их качают и запускают.

Share this post


Link to post
Ну и что это объясняет или доказывает? По вашему мнению, разделение обязанностей приведет к тому, что или тот, или другой своими руками запустит шифровальщик на сервере?

И что? Лежит - жрать не просит. Сам по себе вирус не запустится. А если вирус не запустится, то и какая-либо особая защита от шифровальщиков на сервере не нужна.

У админа могут быть кривые руки, свалив последствия при этом на антивирусник.

 

Share this post


Link to post

Всем привет!

 

Ответил в инциденте, к какому итогу пришли в ходе разбора кейса INC000003493423.

 

1. Логи показывают, что продукт поместил как предусматривает логика.

2. В логике не было заложено выдача вердикта untrusted в случае наличия сигнатуры.

3. Завели issue 973446 на исправление. К сожалению, сроками не обладаем.

Share this post


Link to post
Всем привет!

 

Ответил в инциденте, к какому итогу пришли в ходе разбора кейса INC000003493423.

 

1. Логи показывают, что продукт поместил как предусматривает логика.

2. В логике не было заложено выдача вердикта untrusted в случае наличия сигнатуры.

3. Завели issue 973446 на исправление. К сожалению, сроками не обладаем.

это хорошо

В вашего разрешения, рассматривать вариант что будет если все навернется, а останется только контроль активности программ (как пример), мы рассмотрим позже.

думаю, рассматривать пока нечего :rolleyes:

Share this post


Link to post
Всем привет!

 

Ответил в инциденте, к какому итогу пришли в ходе разбора кейса INC000003493423.

 

1. Логи показывают, что продукт поместил как предусматривает логика.

2. В логике не было заложено выдача вердикта untrusted в случае наличия сигнатуры.

3. Завели issue 973446 на исправление. К сожалению, сроками не обладаем.

Здравствуйте, спасибо за информацию.

Share this post


Link to post

Добрый день! Подниму тему...

Каким образом можно проверить работу настроек на рабочей станции ? Утилиту/скрипт который эмулирует поведение шифровальщика. Спасибо.

Share this post


Link to post

Добрый день!

 

К сожалению, для клиентов у нас нет подобной утилиты.

Настройки, описанные в данной статье являются наиболее оптимальными для подобных вирусов.

 

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.