Jump to content
Sign in to follow this  
yurasek

Защита папок общего доступа от внешнего шифрования

Recommended Posts

Здравствуйте.

При тестировании Защиты папок общего доступа от внешнего шифрования в KES 11 бета 2 я не смог убедиться в успешной работе данной защиты.

Для тестирования была написана программа, которая позволяет генерировать файлы с произвольными текстовыми данными, а также шифровать их.

На машине с KES 11 бета 2 и включённой Защитой папок общего доступа от внешнего шифрования, были сгенерированы файлы, которые затем были зашифрованы с другой машины через папку общего доступа. Защита никоим образом не проявила себя, соединение не было заблокировано, все файлы были зашифрованы. Для шифрования использовался простой метод подстановки (замены одного символа на другой), при этом шифрование происходило как с перезаписью оригинальных файлов, так и с созданием временных файлов в шифруемой папке, удалением оригинальных файлов, а затем переименованием временных файлов в оригинальные. В любом случае у исходных файлов менялось расширение на новое.

Работает ли Защита папок общего доступа от внешнего шифрования в KES 11 бета 2?

Опишите простейший сценарий, который можно было бы проверить простому обывателю?

Edited by yurasek

Share this post


Link to post

Добрый день. 

Для проверки защиты от шифрования вы можете использовать утилиту https://www.aescrypt.com/ запущенную на стороннем компьютере, выбрав файлы в общей папке компьютера защищенного KES 11 (с включенной защитой)  в качестве цели работы программы.

Share this post


Link to post

Здравствуйте, Евгений.

Спасибо за информацию, которая помогла кое-что прояснить.

Небольшой эксперимент показал, что для срабатывания в KES 11 бета 2 Защиты папок общего доступа от внешнего шифрования достаточно добавить второе разрешение любому файлу.

Например, в сетевой папке \\192.168.0.1\Test, если вменить имя у файла 1.txt на 1.txt.encrypted, то на компьютере с IP адресом 192.168.0.1, где установлен KES 11 бета 2 сработает Анализ поведения, информация о действиях которого отразится в отчёте:

KES11_crypren.thumb.png.345c14bb67b874268e7ddd5a226a52db.png

В связи с этим вопрос: контроль изменения расширения у файлов это, наверное, хорошо, если только это не ложное срабатывание, но не ограничивается ли только этим Защита папок общего доступа от внешнего шифрования?

Share this post


Link to post

Не совсем понимаю, почему мне посоветовали проверить Защиту папок общего доступа от внешнего шифрования в KES 11 бета 2 при помощи утилиты AES Crypt, ведь её консольная версия не умеет удалять оригинальные файлы после шифрования. В связи с этим я создал в тестируемой сетевой папке файлы с расширением *.txt, а также файл сценария, который при помощи AES Crypt шифровал каждый файл и сразу же удалял оригинал. KES 11 бета 2 в этом случае не проявил никакой реакции: все файлы были зашифрованы, а оригиналы удалены. Работа моей программы для шифрования, которая не меняет размер файла, но полностью меняет содержимое файла, а также его расширение, успешно блокируется, но только в том случае, если у шифруемого файла дописывается новое расширение. А такие сценарии как шифрование файлов без изменения расширения или шифрование файлов без расширения с добавлением расширения вообще не пресекаются защитой.

Share this post


Link to post

Здравствуйте,

приложите, пожалуйста :

1. скрипт

2. оригинальный файл

3. зашифрованный файл

4. трассировки KES по сценарию

- включаете трассировки

- запускаете скрипт

- убеждаетесь, что создан зашифрованный файл и удалён оригинал

- отключаете трассировки

5. скриншот настроек KES касательно защиты папок общего пользования

Спасибо.

 

 

 

Share this post


Link to post

Здравствуйте, Дмитрий.

Всё как Вы просили:

0. Конфигурация KES 11 бета 2: KES11b2_smb_encryptor.cfg

1. Скрипт шифрования и удаления оригинальных фалов по сети (используется консольная версия AES Crypt): KES11b2_smb_encryptor_bat.rar

2. 1024 уникальных оригинальных файлов: https://yadi.sk/d/RNodlgS_3QdKdE

3. 1024 зашифрованных файлов: https://yadi.sk/d/6ArN8Nqy3QdKd8

4. Трассировки KES 11 бета 2 по оговоренному сценарию: https://yadi.sk/d/TUmL9D3I3QdKdn

5. Скриншоты настроек KES касательно защиты папок общего пользования:

KES11b2_smb_encryptor_1.png.9cc5474bf9d5681e05effa72356fe199.png

 

KES11b2_smb_encryptor_2.png.5d7a0c3e991dea59900d70e799d53422.png

Share this post


Link to post
On 15.12.2017 at 12:57 AM, yurasek said:

Здравствуйте, Дмитрий.

Всё как Вы просили:

0. Конфигурация KES 11 бета 2: KES11b2_smb_encryptor.cfg

1. Скрипт шифрования и удаления оригинальных фалов по сети (используется консольная версия AES Crypt): KES11b2_smb_encryptor_bat.rar

2. 1024 уникальных оригинальных файлов: https://yadi.sk/d/RNodlgS_3QdKdE

3. 1024 зашифрованных файлов: https://yadi.sk/d/6ArN8Nqy3QdKd8

4. Трассировки KES 11 бета 2 по оговоренному сценарию: https://yadi.sk/d/TUmL9D3I3QdKdn

5. Скриншоты настроек KES касательно защиты папок общего пользования:

Согласно ответу разработчика, для исследования сценария необходимы трассировки с момента старта продукта (т.е. включенные перед перезагрузкой и последующим выполнением действий, описанных выше). Есть ли возможность собрать такие?

Спасибо.

Share this post


Link to post

Здравствуйте, Кирилл.

Всё как в предыдущий раз + трассировки с момента старта KES 11 бета 2:

0. Конфигурация KES 11 бета 2: KES11b2_smb_encryptor_2.cfg

1. Скрипт шифрования и удаления оригинальных файлов по сети (используется консольная версия AES Crypt): KES11b2_smb_encryptor_bat_2.rar

2. 1024 уникальных оригинальных файлов: https://yadi.sk/d/v7RKKk8L3QoQsp

3. 1024 зашифрованных файлов: https://yadi.sk/d/ByKgvo0x3QoQqw

4. Трассировки KES 11 бета 2 по оговоренному сценарию: https://yadi.sk/d/xIMBo75X3QoQr6

Edited by yurasek

Share this post


Link to post
16 hours ago, yurasek said:

Здравствуйте, Кирилл.

Всё как в предыдущий раз + трассировки с момента старта KES 11 бета 2:

0. Конфигурация KES 11 бета 2: KES11b2_smb_encryptor_2.cfg

1. Скрипт шифрования и удаления оригинальных файлов по сети (используется консольная версия AES Crypt): KES11b2_smb_encryptor_bat_2.rar

2. 1024 уникальных оригинальных файлов: https://yadi.sk/d/v7RKKk8L3QoQsp

3. 1024 зашифрованных файлов: https://yadi.sk/d/ByKgvo0x3QoQqw

4. Трассировки KES 11 бета 2 по оговоренному сценарию: https://yadi.sk/d/xIMBo75X3QoQr6

Получили уточнение по работе функционала от разработчиков.

Функция защиты от шифрования извне распространяется на локальные файлы. Под общим доступом подразумевается, что другие хосты в сети имеют доступ к определенным локальным папкам, в этом случае компонент распознает попытку шифрования. Файлы на удаленной машине он не затрагивает.

Спасибо.

Спасибо.

Share this post


Link to post

Здравствуйте, Кирилл.

Я не совсем понял к чему Ваше уточнение по работе функционала от разработчиков?

Share this post


Link to post

Здравствуйте,

функицонал предполагает, что если на машине, где установлен KES11, есть папки общего доступа, и кто-то извне, то есть из сети, пытается зашифровать файлы в этой общей папке, то мониторинг системы откатит активность шифровальщика.

То есть KES защищает общую папку, которая находится на этой же машине, от шифровальщиков, которые действуют из сети.

Сценарий, который вы используете не подходит.

Спасибо.

 

Share this post


Link to post

Здравствуйте, Дмитрий.

Не совсем понимаю, почему мой сценарий не подходит, ведь он в точности повторяет то, что Вы описали?

Share this post


Link to post

Добрый день,yurasek

 

 Добавлю от себя 5 копеек. Вы ставите перед разработчиками неразрешимую задачу. Ваши манипуляции с txt файлом ничем не отличаются от легитимных. Ибо формат файла позволяет все. Даже простое действие смены кодировки с 1251 на utf8 вполне себе может выглядеть, как шифрование. :)

Вот если не детектируется подмена формата - вместо zip внутри docx неразбираемая галиматья, вот это уже должно быть подозрительным. Правда не знаю ловит ли это компонент.

Share this post


Link to post
В 21.12.2017 в 13:56, Kirill Tsapovsky сказал:

Получили уточнение по работе функционала от разработчиков.

Функция защиты от шифрования извне распространяется на локальные файлы. Под общим доступом подразумевается, что другие хосты в сети имеют доступ к определенным локальным папкам, в этом случае компонент распознает попытку шифрования. Файлы на удаленной машине он не затрагивает.

То есть защита сетевых общих папок этим компонентом защиты не предусмотрена? Что подразумевается под понятием "Локальная папка"?

Share this post


Link to post
В 22.12.2017 в 15:41, yurasek сказал:

Здравствуйте, Дмитрий.

Не совсем понимаю, почему мой сценарий не подходит, ведь он в точности повторяет то, что Вы описали?

Проблема вероятно всего в этом:

В 11.11.2017 в 11:38, yurasek сказал:

Для тестирования была написана программа, которая позволяет генерировать файлы с произвольными текстовыми данными,

Попробуйте вместо генерирования абра-кадабры зашифровать реальные офисные файлы.

Share this post


Link to post

Хотя нет, проверил... Локально активность перехватывается, хотя отката я так и не увидел (допускаю, что минут за пять он не успел произойти, хотя обычно ему хватает куда как меньше времени), а вот с сетевой папкой проблемы...

Share this post


Link to post

Мне кто-то может объяснить, описанные мною нюансы поведения задокументированы?
Bug 2542685  - в него попадает недетект шифрования файлов на сетевом диске? Очень хорошо! Тогда в какую багу попадает отсутствие отката зашифрованных файлов на локальном диске?
 

Share this post


Link to post

yurasek 

Уточните, пожалуйста, какие настройки справедливы для хоста 192.168.0.211 из вашего примера ? 

Share this post


Link to post

Здравствуйте, Евгений.

Если я Вас правильно понял, то для хоста 192.168.0.211 справедливы настройки, которые я оставил в сообщении:

В 20.12.2017 в 21:48, yurasek сказал:

0. Конфигурация KES 11 бета 2: KES11b2_smb_encryptor_2.cfg

 

Share this post


Link to post
On 12/22/2017 at 3:41 PM, yurasek said:

Здравствуйте, Дмитрий.

Не совсем понимаю, почему мой сценарий не подходит, ведь он в точности повторяет то, что Вы описали?

Здравствуйте,

ваш сценарий с точностью наоборот.

В архиве вы приложили скрипт, который делает совсем другое:

c:\aescrypt.exe -e -p 12345 \\192.168.0.211\Test\5505BA7A491C1066.txt

del \\192.168.0.211\Test\5505BA7A491C1066.txt

то есть с локальной машины запускается скрипт, который шифрует файл на другой машине.

Мониторинг системы не откатывает файлы на другом хосте.

Спасибо.

 

 

Share this post


Link to post

Здравствуйте, Дмитрий.

Так ведь на хосте с IP 192.168.0.211 установлен KES 11.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.