Перейти к содержимому


Фото
- - - - -

Dr.Web и виртуализация ядра програмного кода (API)

Kernel API Virtualization Comodo

  • Please log in to reply
39 ответов в этой теме

#1 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Октябрь 2021 - 17:10

Доброе утро! 

 

Многие наверно слышали о хакерских атаках на Kaseya VSA и Solarwinds. Хакеры использовали уязвимости 0 дня. На разных форумах обсуждали эти истории и эксперты склонялись к тому что от этого никто не застрахован. Но компания Comodo так не считает и выдает целую статью на тему "как бы мы могли защитить клиентов от таких атак". Ссылки оставлю ниже.

 

По их мнению технология виртуализация API ядра это "следующее поколение" защиты от антивирусных компаний. Хотелось бы услышать мнение Вебовцев чем хороша эта модель защиты и что может противопоставить Dr.Web этой технологии. По сути как я понял Comodo при запуске неизвестного ему файла помещает его в автоматическую песочницу и затем проводит анализ на вредоносность отсылая информацию о файле в облако. Затем через какой то промежуток времени облако возвращает клиенту (у которого в песке лежит файл) вердикт - Безопасный или Опасный. Если Безопасный то в дальнейшем данный файл уже не считается неизвестным а добавляется в список разрешенных к запуску в реальной среде. Если же Опасный то отправляется в карантин. В принципе идеальная защита ИМХО. 

 

https://www.erdalozkaya.com/kernel-api-virtualization/

 

https://techtalk.comodo.com/2021/07/08/kaseya-vsa-breach-consequences-of-security-failures/


Сообщение было изменено AxelMi: 21 Октябрь 2021 - 17:13


#2 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 21 Октябрь 2021 - 18:47

Песочнице с облаком уже сто лет во вторник.



#3 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Октябрь 2021 - 19:44

Песочнице с облаком уже сто лет во вторник.

Локальную авто-песочницу у других конкурентов ещё не встречал. Да есть у некоторых пески с ручным запуском файлов через контекстное меню или облачные песочницы типа LiveGuard ESET или CyberCapture от Avast но такого песка как у Comodo что то невидно. Ещё один плюс заметил - HIPS Comodo (если настроить) может усилить изоляцию авто-песочницы, например закрыв доступ изолированному файлу/программе к диску D или к другим важным папкам в системе. Изолированный объект просто не сможет прочитать то к чему ему заблокировали доступ и всё это дополняется неплохим файрволом. То есть выходит что в системе находится некий аналог Dr.Web vxCube ​но под видом антивирусного комплекса.

 

Минус их решения со слов пользователей это слабое обнаружение угроз и очень медленное вынесение вердикта облаком. В этом плане другие конкуренты смотрятся лучше. Но со слов тех же пользователей Comodo - при любом раскладе любой хоть шифратор или троян не сможет инфицировать систему потому что будет изолирован авто-песочницей до вынесения вердикта. 

 

Выходит что авто-песок это панацея от всех бед до вынесения вердикта лабораторией. Если внедрить такую технологию в Drweb Security Space то конкуренты бы нервно курили в сторонке ИМХО.  



#4 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 21 Октябрь 2021 - 20:02

Всё это не так однозначно. Песочницы требуют много времени и квалификации юзера. Её востребованность вызывает сомнение. 

Пробовал я как то comodo и как то меня не впечатлила его песочница. Да и надежда на то, что в облаке у них всё на высоте тоже как то не очень.



#5 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 21 Октябрь 2021 - 21:16

Всё это не так однозначно. Песочницы требуют много времени и квалификации юзера. Её востребованность вызывает сомнение.

Обычный пользователь, если антивирус мешает ему запустить кряк к игрушке, отключает антивирус... :(


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#6 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Октябрь 2021 - 22:07

Всё это не так однозначно. Песочницы требуют много времени и квалификации юзера. Её востребованность вызывает сомнение. 

Пробовал я как то comodo и как то меня не впечатлила его песочница. Да и надежда на то, что в облаке у них всё на высоте тоже как то не очень.

 

 

Всё это не так однозначно. Песочницы требуют много времени и квалификации юзера. Её востребованность вызывает сомнение.

Обычный пользователь, если антивирус мешает ему запустить кряк к игрушке, отключает антивирус... :(

 

Недостаток квалификации юзера на мой взгляд можно устранить путем улучшения белого списка. Чем больше белый список знает тем меньше неизвестные файлы будут попадать в этот самый авто-песок. Этим они кстати и пытались бороться выпустив более упрощенный вариант антивируса с названием Comodo Cloud AV. Но что то у них там пошло не так и этот AV сняли с производства. А так задумка была со слов пользователей многообещающей. Из живых полу-аналогов наверно можно взять только CyberCapture от Avast как пример. По началу он частенько кидался на те или иные файлы но со временем стал это делать очень редко что говорит о том что белый список достиг таких размеров что квалификация юзера уже не требовалась.



#7 Kord

Kord

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 21 Октябрь 2021 - 23:26

Но со слов тех же пользователей Comodo - при любом раскладе любой хоть шифратор или троян не сможет инфицировать систему потому что будет изолирован авто-песочницей до вынесения вердикта. 
 
Выходит что авто-песок это панацея от всех бед до вынесения вердикта лабораторией. Если внедрить такую технологию в Drweb Security Space то конкуренты бы нервно курили в сторонке ИМХО.

Допустим, есть 2 EXE-файла.
1-й: при схождении определённых звезд генерирует текст в файл "%TEMP%/text.log". Больше ничего не делает, и по идее вердикт облака/песочницы: безопасный.

2-й: самораспаковывающийся архив, в котором 2 файла:
1) зашифрованый архив с очень вредоносным содержимым.
2) bat-файл, в котором 2 комманды: задать переменную %а%, равную содержимому файла "%TEMP%/text.log" и распаковать зашифрованый архив с паролем %а%.
Т.к. распаковка зашифрованрого архива будет не возможна по причине отсутствия правильного пароля, вердикт песочницы должен быть: файл безопасный.
Но вот когда сойдутся звезды на реальной машине...

#8 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 22 Октябрь 2021 - 01:21

 

Но со слов тех же пользователей Comodo - при любом раскладе любой хоть шифратор или троян не сможет инфицировать систему потому что будет изолирован авто-песочницей до вынесения вердикта. 
 
Выходит что авто-песок это панацея от всех бед до вынесения вердикта лабораторией. Если внедрить такую технологию в Drweb Security Space то конкуренты бы нервно курили в сторонке ИМХО.

Допустим, есть 2 EXE-файла.
1-й: при схождении определённых звезд генерирует текст в файл "%TEMP%/text.log". Больше ничего не делает, и по идее вердикт облака/песочницы: безопасный.

2-й: самораспаковывающийся архив, в котором 2 файла:
1) зашифрованый архив с очень вредоносным содержимым.
2) bat-файл, в котором 2 комманды: задать переменную %а%, равную содержимому файла "%TEMP%/text.log" и распаковать зашифрованый архив с паролем %а%.
Т.к. распаковка зашифрованрого архива будет не возможна по причине отсутствия правильного пароля, вердикт песочницы должен быть: файл безопасный.
Но вот когда сойдутся звезды на реальной машине...

 

Вы приводите пример взаимодействия только двух компонентов это авто-песочницы + облачного анализа. При таком раскладе конечно же облако может совершить ошибку и вся концепция авто-песка как панацеи от всех бед сводится к нулю. Но Comodo при работе авто-песочницы дополняет недостатки как песка так и облака другими проактивными технологиями. Тем самым делая из авто-песочницы многоуровневую защиту. 

 

Вкратце а логике работы Comodo:

 

1. Поведенческий анализ (Behavior Blocker) - важная часть модуля HIPS (Defense+), ответственная за аутентификацию каждого исполняемого файла, который загружается в память. Поведенческий анализ (Behavior Blocker) перехватывает все файлы, прежде чем они будут загружены в память, а также попытки упреждающего чтения или кэширования со стороны этих файлов. Он вычисляет контрольную сумму исполняемого файла в тот момент, когда тот пытается загрузиться в память. Затем он сверяет эту контрольную сумму со списком известных или распознанных приложений, которые в Comodo считаются надежными. В том случае, если контрольная сумма исполняемой программы соответствует одной из записей, то приложение безопасно, и Поведенческий анализ (Behavior Blocker) позволяет ему запуститься. Если в списке надежных соответствующая контрольная сумма не найдена, то исполняемый файл считается нераспознанным и автоматически запускается в песочнице. Когда это произойдет, программа уведомит вас об этом.

 

2. Viruscope — система, позволяющая проводить динамический анализ поведения запущенных процессов и вести запись их активности. Viruscope контролирует действия процессов, запущенных на Вашем компьютере, и предупреждает Вас в случае их подозрительного поведения. Кроме формирования еще одного уровня обнаружения вредоносных программ и профилактики подсистема представляет собой ценное дополнение к основной функции Поведенческого анализа (Behavior Blocker) по контролю над процессами, добавляя возможность отмены потенциально нежелательных действий программ без необходимости их полного блокирования. Это обеспечивает более детальное управление иными легальными программами, которые требуют определенных действий для своей правильной работы. Оповещения Viruscope дают вам возможность изолировать процесс и отменить произведенные им изменения либо позволить процессу продолжить действие.

 

Viruscope имеет файлы «распознаватели» которые содержат наборы поведений, на которые VirusScope должен обратить внимание в том числе и на поведение шифраторов.

 

Во втором случаи о котором Вы упомянули если облако выдаст вердикт "Безопасный" и файл пойдёт на запуск его перехватит VirusScope и всё что начнёт развертываться из архива по пойдёт обратно в песочницу независимо от родительского процесса или будет уничтожено самим VirusScope



#9 Kord

Kord

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 22 Октябрь 2021 - 08:43

Вы приводите пример взаимодействия только двух компонентов это авто-песочницы + облачного анализа. При таком раскладе конечно же облако может совершить ошибку и вся концепция авто-песка как панацеи от всех бед сводится к нулю.
...

Во втором случаи о котором Вы упомянули если облако выдаст вердикт "Безопасный" и файл пойдёт на запуск его перехватит VirusScope и всё что начнёт развертываться из архива по пойдёт обратно в песочницу независимо от родительского процесса или будет уничтожено самим VirusScope.

А смысл тогда в такой песочнице/облаке? Ждать по несколько минут вердикта перед запуском? На сколько знаю, в большинстве антивирусных лабораторий файлы анализируются в собственных песочницах и в последствии заносятся в антивирусные базы. И гораздо быстрее проверить файл по базам.
Без Hips и подобных технологий нельзя, а тут Доктору есть чем похвастаться

Сообщение было изменено Kord: 22 Октябрь 2021 - 08:48


#10 Kord

Kord

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 22 Октябрь 2021 - 08:51

И кстати, у DrWeb Security Space 12 одно время была в настройках "Аппаратная виртуализация", потом пропала. Видимо не просто так

#11 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 22 Октябрь 2021 - 12:09

Хорошо тут комодо пиарят.
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#12 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 22 Октябрь 2021 - 12:27

 

Вы приводите пример взаимодействия только двух компонентов это авто-песочницы + облачного анализа. При таком раскладе конечно же облако может совершить ошибку и вся концепция авто-песка как панацеи от всех бед сводится к нулю.
...

Во втором случаи о котором Вы упомянули если облако выдаст вердикт "Безопасный" и файл пойдёт на запуск его перехватит VirusScope и всё что начнёт развертываться из архива по пойдёт обратно в песочницу независимо от родительского процесса или будет уничтожено самим VirusScope.

А смысл тогда в такой песочнице/облаке? Ждать по несколько минут вердикта перед запуском? На сколько знаю, в большинстве антивирусных лабораторий файлы анализируются в собственных песочницах и в последствии заносятся в антивирусные базы. И гораздо быстрее проверить файл по базам.
Без Hips и подобных технологий нельзя, а тут Доктору есть чем похвастаться

 

Это по их мнению и есть панацея от всех бед. И в этом есть доля правды. У разных лабораторий есть свои облачные песочницы на подобии CyberCaptur Avast. Но у них есть ограничения, они могут анализировать только файлы определенного расширения например exe. Поэтому их дополняют стенкой работающей по белым спискам чтобы в случаи чего заблокировать запуск файла который не может быть проанализирован в облачном песке. Однако у этой же защиты по белым спискам есть и свои минусы. К примеру у Avast "Усиленный режим" не блокирует запуск скриптов и командных файлов и они этот изъян пытаются перекрыть эвристикой и другими защитными средствами. Comodo же просто их отправит в песочницу пока по данному объекту лаборатория не выдаст окончательное готовое противоядие. Проблема Comodo заключается в том что они создали панацею от всех бед но у них проблемы/недоработки по части анализа файлов лабораторией а в Доктор Веб таких проблем нет.  



#13 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 22 Октябрь 2021 - 12:30

Хорошо тут комодо пиарят.

Вопрос изначально был таким что Drweb может противопоставить виртуализации ядра програмного кода (API). Раз эта технология может противодействовать атакам 0 дня почему бы её не реализовать в DrWeb Security Space.

 

#14 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 22 Октябрь 2021 - 12:36

И кстати, у DrWeb Security Space 12 одно время была в настройках "Аппаратная виртуализация", потом пропала. Видимо не просто так

Проблема в Windows 10. Там разработчики что то намудрили с режимом Virtualization Based Security (VBS) и некоторые отказались от аппаратной виртуализации. А так как я понял она усиливает возможности HIPS в антивирусе. 



#15 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Октябрь 2021 - 20:41

И кстати, у DrWeb Security Space 12 одно время была в настройках "Аппаратная виртуализация", потом пропала. Видимо не просто так

Проблема в Windows 10. Там разработчики что то намудрили с режимом Virtualization Based Security (VBS) и некоторые отказались от аппаратной виртуализации. А так как я понял она усиливает возможности HIPS в антивирусе.
Не мало гвоздей в гроб загнал фикс meltdown/spectre уязвимости.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#16 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 14:24

 

 

И кстати, у DrWeb Security Space 12 одно время была в настройках "Аппаратная виртуализация", потом пропала. Видимо не просто так

Проблема в Windows 10. Там разработчики что то намудрили с режимом Virtualization Based Security (VBS) и некоторые отказались от аппаратной виртуализации. А так как я понял она усиливает возможности HIPS в антивирусе.
Не мало гвоздей в гроб загнал фикс meltdown/spectre уязвимости.

 

Добрый день! Вы если не ошибаюсь крестный отец Drweb Cureit... Не могли бы поделиться мыслями насчёт философии сдерживания Comodo. Как она на Ваш экспертный взгляд? И реализуема ли в Drweb? Они ведут статистику по заражениям у себя на сайте https://www.comodo.com/labs-statistics/?af=7639. И заражений у них по нулям. Нагрузка на саппорт с обращениями по заражениям очень низкая + они дают гарантию в 500$ что если их комплекс пропустит угрозу они выплатят эту сумму. Пока что таких счастливчиков не наблюдалось...



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 14:59

Слова comodo не более чем рекламная болтовня, а вот что факт, что множество малвари адвари и т.п. подписано их сертификатом, много лет уже. Деньги как говорится не пахнут.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 15:06

Ни один безопасник на этой планете не скажет что есть 100% защита, это физически не возможно, т.к. каждый день появляются новые вектора и технологии, не типичные подходы и т.д. бесконечный поток apt который проворачиваются годами на виду у секюрити продуктов это наглядно подтверждают, взламывают и шифруют уже целые города, а comodo нам вещает, что не волнуйтесь, все в порядке. Смешно.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 CCS

CCS

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 23 Октябрь 2021 - 15:20

Слова comodo не более чем рекламная болтовня, а вот что факт, что множество малвари адвари и т.п. подписано их сертификатом, много лет уже. Деньги как говорится не пахнут.

 

Ни один безопасник на этой планете не скажет что есть 100% защита, это физически не возможно, т.к. каждый день появляются новые вектора и технологии, не типичные подходы и т.д. бесконечный поток apt который проворачиваются годами на виду у секюрити продуктов это наглядно подтверждают, взламывают и шифруют уже целые города, а comodo нам вещает, что не волнуйтесь, все в порядке. Смешно.

Всё бы ничего но как тогда расценивать их заявления "Мы единственная компания, которая может обеспечить «Активную защиту от взлома»" которой они любят кидаться против других конкурентов? Ладно бы если их там я не знаю как нибудь приструнили и показали им всю их несостоятельность но никто ведь ещё этого не сделал... 

 

Нападки на Crowdstrike тому подтверждение: https://www.linkedin.com/feed/update/urn:li:activity:6691745209501536256/



#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Октябрь 2021 - 15:21

Статья от Комодо менее пафосная чем вы их тут на словах передаёте :)
With best regards, Konstantin Yudin
Doctor Web, Ltd.



Also tagged with one or more of these keywords: Kernel API Virtualization, Comodo

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых