Kasperskiy реагирует на ClickHouse как на троянское приложение

[RigelLab]

Windows 10 Домашняя для одного языка, 22H2

Установил wsl ubuntu 22.04 LTS

Установил clickhouse по инструкции https:/ / clickhouse.com/docs/ru/getting-started/install

 

Сразу же Касперский начал ругаться на бинарник clickhouse

Цитата

Событие: Обнаружен вредоносный объект
Приложение: clickhouse
Пользователь: K189\R
Тип пользователя: Инициатор
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Степень угрозы: Высокая
Тип объекта: Процесс
Путь к объекту: %AppData%\Local\Packages\CanonicalGroupLimited.Ubuntu22.04LTS_79rhkp1fndgsc\LocalState\rootfs\usr\bin
Имя объекта: clickhouse
Причина: Поведенческий анализ
Дата выпуска баз: Сегодня, 03.05.2024 7:26:00
MD5: 43360961A78B00F5379C24A4D51D1E76

и удалил все все конфиги .xml 

 

Кто сталкивался с проблемой? Это ошибка Касперского или в ClickHouse завёлся троян? В свете найденного бэкдора в xz возможен второй вариант

[AlexeyK]

1 час назад, RigelLab сказал:

Это ошибка Касперского или в ClickHouse завёлся троян?

Скорее всего первый вариант - ложное срабатывание Мониторинга активности. Этот файл на Opentip на текущий момент не категоризирован, загрузить его для анализа не представляется возможным из-за размера в 500 МБ. Поэтому Вам лучше создать запрос в поддержку, в котором описать ситуацию и прислать детектируемый файл. Если это ложное срабатывание, вирлаб уберет детектирование.

[Maratka]

2 часа назад, AlexeyK сказал:

Скорее всего первый вариант - ложное срабатывание Мониторинга активности.

У монитора активности не бывает ложных срабатываний. :), это же поведенческий детект: если ПО выглядит как малвара, ведет себя как малвара, да к тому же не находится в доверенных - то это малвара и есть.

 

2 часа назад, AlexeyK сказал:

в котором описать ситуацию и прислать детектируемый файл. Если это ложное срабатывание, вирлаб уберет детектирование

По одному бинарю не факт, что получится. Его конечно могут добавить в доверенную группу, но это помогает всего в 99% случаев, а не всегда и всюду. Т.е. нужно видеть на что именно идет срабатывание. Т.е. трейсы.

[AlexeyK]

26 минут назад, Maratka сказал:

У монитора активности не бывает ложных срабатываний. :), это же поведенческий детект: если ПО выглядит как малвара, ведет себя как малвара, да к тому же не находится в доверенных - то это малвара и есть.

Че-т какая-то демагогия. Если АВ каким-либо модулем детектирует безопасное ПО как вредоносное и удаляет его, то это ложное срабатывание. Пользователю без разницы, что это за модуль. Если с точки зрения несовершенных поведенческих шаблонов программа ведет себя как вредоносная, то это не значит, что она такая и есть. System watcher хоть и весьма силен, но ошибается в обе стороны - как в положительную, так и в отрицательную.

26 минут назад, Maratka сказал:

Т.е. нужно видеть на что именно идет срабатывание. Т.е. трейсы.

Поэтому и создается запрос в поддержку, чтобы при необходимости были предоставлены дополнительные данные. Думаю, они вполне справятся с этой задачей.

Edited May 3 by AlexeyK

[Maratka]

6 минут назад, AlexeyK сказал:

Че-т какая-то демагогия. Если АВ каким-либо модулем детектирует безопасное ПО как вредоносное и удаляет его, то это ложное срабатывание.

Т.е. если древний Word со сбитой подписью поменяет десяток файлов (или сотню) офисных документов, то его детектить не нужно, ибо это же Word! Так что ли?
 

[AlexeyK]

2 минуты назад, Maratka сказал:

Т.е. если древний Word со сбитой подписью поменяет десяток файлов (или сотню) офисных документов, то его детектить не нужно, ибо это же Word! Так что ли?

А по какой причине древний Word вдруг должен так делать? Если это действительно Word, этого не произойдет. Но я не это имел в виду, я говорил, что помимо правильных детектов есть и неправильные. Шаблоны поведения - это только шаблоны. Конечно, их постоянно дорабатывают, но поведенческий анализ был и остается ненадежным инструментом, поэтому должен быть под контролем других, более интеллектуальных модулей и специалистов-аналитиков.

Поставим вопрос наоборот: если PDM не видит угрозы в действиях неизвестной программы, то это автоматически безопасная программа? Или же тут есть несовершенство механизма обнаружения? В таком случае это будет пропуск угрозы, то есть ложно-отрицательный вердикт модуля.

Я имел возможность познакомиться с одним небольшим файлом, который был по KSN доверенным, но его действие при запуске - полная зачистка всего подряд на диске, в том числе и антивируса. После его активности систему нужно было полностью восстанавливать. Это было безопасное действие или нет?) На самом деле то был деинсталлятор определенной программы, который должен был запускаться только из папки самой этой программы, тогда он ничего более не удалял. Позже, правда, его все-таки поместили в недоверенные и стали детектировать.

[Maratka]

16 минут назад, AlexeyK сказал:

А по какой причине древний Word вдруг должен так делать? Если это действительно Word, этого не произойдет.

По той причине, что пользователь открыл документ, исправил, закрыл, открыл следующий. Или как Вы думаете в офисах работают?

17 минут назад, AlexeyK сказал:

Шаблоны поведения - это только шаблоны. Конечно, их постоянно дорабатывают, но поведенческий анализ был и остается ненадежным инструментом

Наоборот, практика подсказывает, что максимально надежный. Сообщений о детектах легальных файлов сканером или файловым антивирусом тут в разы больше. Да и сбить детект в их случаях проще, криптонул чем-нить, а то и просто перекомпилировал - и файл чистый. С поведенческим детектом этого понятно не произойдет в принципе.

20 минут назад, AlexeyK сказал:

Поставим вопрос наоборот: если PDM не видит угрозы в действиях неизвестной программы, то это автоматически безопасная программа? Или же тут есть несовершенство механизма обнаружения?

Скорее всего это просто отсутствие сигнатуры. Сигнатура - она и в Африке требуется, чтобы что-то детектить. Конечно, иной раз это может быть отсутствие перехвата какой-то активности в драйвере, но это - редко. Редко оно просто потому, что SW крайне редко (возможно, вообще никогда) не срабатывает на действие. Он срабатывать на последовательность действий, т.е. каждое из них - безвредное самое по себе, хотя возможно и подозрительное (тоже кстати не всегда и подозрительное), а вот все вместе- это уже практически наверняка малвара, ибо сигнатура кладется то не на пшик, а на действия вполне реальной малвары.

 

[AlexeyK]

19 минут назад, Maratka сказал:

пользователь открыл документ, исправил, закрыл, открыл следующий

Да, Вы правы, в таком случае обязательно нужно детектировать и удалять Word.)

19 минут назад, Maratka сказал:

Сообщений о детектах легальных файлов сканером или файловым антивирусом тут в разы больше.

Ну так информация о детектированиях SW новых неизвестных файлов отправляются в облако, затем робот может выдать детект файла сначала через UDS, потом сигнатурами. До PDM просто не доходит дело. Условно говоря, у трех пользователей сработал SW, а затем у тысяч сработал файловый монитор. После чего начинается исправление фолса аналитиками по запросам пользователей.)

[AlexeyK]

Вспомнил один интересный случай, когда зловред детектировался эвристикой, но сразу с двумя префиксами: PDM:HEUR:Trojan.Win32.Bingo.gen. Вот скрин отчета файлового АВ:

Отправил в поддержку данные, ошибку исправили - с тех пор PDM в вердикте отсутствует.🙂

Edited May 4 by AlexeyK

[Maratka]

Ну начальные версии эмуля где-то так и работали, если коротко - то по вердиктам SW. Там разница то копеечная, ну виртуальная среда "внутри" антивируса, но поведение то тоже самое (если конечно не написан специально под это дело анти-эмулятор).