Jump to content
Sign in to follow this  
aigir

KES11 вернулся с SHA256 на MD5?

Recommended Posts

KES 11.0.0.5186, установлен на изолированном компе (без KSC)

С сегодняшнего дня контроль программ в KES11 вдруг начал блокировать запуск программ, прописанных в разрешающих правилах  по хешу.
Стал разбираться и обнаружил, что KES11 с какого-то перепугу вместо ранее использованых хешей SHA256 стал вычислять MD5, и соответственно все правила, в которых был прописаны файлы с критерием "хеш SHA256", перестали работать.

Вот так теперь выглядит локальный список запускаемых файлов при добавлении условия "из свойств запускавшихся программ".
Видно, что часть файлов осталась с SHA256 (файлы, которые запускались ранее до сегодняшнего дня), а часть файлов уже с MD5. Скорее всего это файлы, которые запускались сегодня.
В частности Far был прописан с хешем SHA256, и еще вчера нормально запускался, а сегодня блокируется.

image.png.d8b0818a6d7bfcbb0f2e81fab10b5589.png

Edited by aigir

Share this post


Link to post

Добрый день. 

 

Пожалуйста, опишите ваш стенд подробнее, какая ОС используется какие политики применяются. Можем ли мы получить GSI с описанного компьютера ? Как были настроены категории программ ? 

Share this post


Link to post

Я же описал выше - изолированый комп (ноут) под Win7 x64, без KSC, политик и категорий.. все настройки локальные.
Контроль программ в режиме белого списка, часть условий созданы с критерием "хеш", прописаны SHA256-хеши конкретных исполняемых файлов.
До сегодняшнего дня все работало нормально, разрешенные по хешам программы запускались.
В базе запущеных исполняемых файлов все хеши были тоже SHA256.
При создании условий через пункт "задать вручную" при выборе файла тоже вычислялся хеш SHA256.
Скришоты выложу завтра.

А сегодня вдруг все разрешенные ранее по SHA256-хешам файлы начали блокироваться, и все новые хеши стали вычисляться по MD5.

Откуда вообще в KES11 мог взяться MD5, если начиная с KES10SP2 используется только SHA256?

И еще, может конечно не связано, но с 12 января задача обновления завершается с ошибкой, хотя сами базы при этом обновляются.
Подробности тут
На всякий случай добавлю - задача контроля целостности KES никаких нарушений не находит.

Edited by aigir

Share this post


Link to post

Обещанные скриншоты:

Правило по хешу SHA256, созданное ранее и до последнего времени нормально работающее.
image.png.e99f8894284417bf76985bfee55bb87a.png

А вот какой сейчас хеш (MD5) выдает этот-же KES на этом-же файле
image.png.b5c9f98feed25c6870397414e1415c66.png

 

 

Share this post


Link to post

Итак, полностью удалил KES11.0.0.5186 (включая настройки), установил заново.
Начальные базы сразу после установки из дистрибутива были от 30.10.2017
Сразу после установки проверил список запускаемых программ и определение хеша файла при добавлении условия вручную - все нормально, используется SHA256

5a606a8f0dce0_SHA256.jpg.75dcf0bb5d6bf36bef8b2a41c17196d7.jpg5a606aa6a67ba_FarSHA256.jpg.cefc8531748ef43519d7d7b80876b5f1.jpg

Но после первого-же обновления и перезагрузки в KES опять вместо SHA256 появился MD5
5a606b91e7db3_SHA256MD5.jpg.a4b5a14318eca9566445e7cdc424ec38.jpg5a606ba4d4a8a_FarMD5.jpg.eed4d3d044b49eb94764e73d6a6f9e4e.jpg

Получается, что описанная ситуация вызвана каким-то обновлением модулей.

Список програм с SHA256.jpg

Список программ с SHA256 и MD5.jpg

Edited by aigir

Share this post


Link to post

Блин, опять скриншоты куда-то делись. Продублирую еще раз.
Модераторы могут удалить предыдущее сообщение.

Итак, полностью удалил KES11.0.0.5186 (включая настройки), установил заново.
Начальные базы сразу после установки из дистрибутива были от 30.10.2017
Сразу после установки проверил список запускаемых программ и определение хеша файла при добавлении условия вручную - все нормально, используется SHA256

image.jpeg.1f0ce6e07385d7fce6059b65509ca516.jpeg
image.jpeg.5d257933e57da5192922701485d3eb50.jpeg
 

Но после первого-же обновления и перезагрузки в KES опять вместо SHA256 начал считать MD5

image.jpeg.ee1ac75bb5504f74ed6b9f88c58008dd.jpeg
image.jpeg.82e3b37526f7650c10e8ab9f6ee6dba4.jpeg

 

Получается, что описанная ситуация была вызвана каким-то из загруженых обновлений модулей.
Учитывая, что описанная ситуация возникла утром 17.01, это обновление скорее всего было опубликовано в период с 16:00 MSK 16.01.2018 до 8:00 MSK 17.01.2018

Edited by aigir

Share this post


Link to post

Хм.. странно,что никакой реакции ни от КЛ, ни от других пользователей.
Или это только у меня такой косяк?
Тип используемого хеша крайне важен для тех, кто использует контроль программ.
Правила контроля запуска, созданные с одним типом хеша, не будут работать, если KES начнет вычислять кеш по-другому (как это и произошло в моем случае)

Share this post


Link to post

Добрый день. 

 

Соберите, пожалуйста, полный GSI отчет с тестового компьютера. 

Пришлите архив с базами антивируса:

  1. Windows Vista, 7, 8, 10: %PROGRAMDATA%\Kaspersky Lab\KES*\Bases\

Share this post


Link to post

Сделаю не раньше понедельника.

А самим смоделировать слабо? Я же все подробно описал:
- ставим вчистую из дистрибутива KES 11.0.0.5186 (RC)
- включаем контроль программ, перегружаем (чтобы наполнить список запущеных программ)
- проверяем какие хеши вычисляет (добавление условия "из списка запущеных программ" или "условие вручную").. видим что вычисляются SHA256
- запускаем обновление, после чего потребуется перезагрузка
- проверяем еще раз вычисление хешей и видим, что вычисляются уже MD5

Share this post


Link to post
В 20.01.2018 в 16:25, Evgeny_E сказал:

Пришлите архив с базами антивируса:

  1. Windows Vista, 7, 8, 10: %PROGRAMDATA%\Kaspersky Lab\KES*\Bases\

Ссылку на архив кинул в личку

Share this post


Link to post

Добрый день.

Данные направили в отел разработки.

Share this post


Link to post

Добрый день!

Трассировку нужно включить после обновления, но до перезагрузки, интересен этап от загрузки продукта после перезагрузки до получения хэша md5.

Спасибо!

 

Share this post


Link to post

Снес KES11 полностью.
Перегрузился
Установил с нуля KES 11.0.0.5186 (RC)
Проверил вычисление хешей - считает SHA256
Обновился.. при первом-же обновлении вышли ошибки
Проверил вычисление хешей - считает SHA256
Включил трассировку
Перезагрузился
Проверил вычисление хешей - считает MD5
Архив с трассировками прилагается
И еще: в настройках была включена защита файлов трассировки
но сами файлы трассировочные оказались незашифрованы
image.png.1d5b4450c8890ad7f7b054fc104fdaec.png

Share this post


Link to post
20 hours ago, Evgeny_E said:

Информацию передали. Спасибо.

Разработчик сообщает, что в последних сборках продукта проблема исправлена и не воспроизводится.

Спасибо.

Share this post


Link to post

Вопрос: если вышеописанная проблема была вызвана некорректным обновлением - почему нельзя это исправить так-же через обновление?

Share this post


Link to post

Здравствуйте,

On 1/25/2018 at 9:19 PM, aigir said:

где эти последние сборки?

KES11.0.0.6387

7 hours ago, aigir said:

если вышеописанная проблема была вызвана некорректным обновлением - почему нельзя это исправить так-же через обновление?

Вышеописанная проблема не была вызвана некорректным обновлением.

Спасибо.

 

Share this post


Link to post
3 часа назад, Dmitry Eremeev сказал:

Вышеописанная проблема не была вызвана некорректным обновлением.

Изначально, до 17 января, хеши считались правильно (SHA256). И только 17 января поменялось на MD5.
Кроме того, повторный чистый эксперимент показал, что сразу после установки из дистрибутива хеши тоже считались правильно, и только после обновления и перезагрузки поменялось на MD5

Share this post


Link to post

aigir 

Это бета продукт, предназначенный для тестирования. Его поведение меняется и в некоторых аспектах будет отличаться от релизной версии. Обновление изменяло внутренние параметры работы компонентов защиты что и привело к отключению функционала. 

Последние версии используемые разработчиками не имеют зависимостей приводящих к описанному вами поведению. 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.