Перейти к содержимому


Фото
- - - - -

Блокировка криптолокеров политикой SRP


  • Please log in to reply
89 ответов в этой теме

#41 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 13 Январь 2016 - 13:03

а "зл0вредные" в "вредоносное программное обеспечениеные" :)

#42 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 13 Январь 2016 - 13:20

Разобрался, все делали правильно, нужна была перезагрузка.

Правило для проводника (работает): %LocalAppData%\Temp\*.zip\ 

 

Так же работают пути, для исполняемых файлов без архива:

%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\

%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\

 

Что касается "Назначенные типы файлов" в этом списке привязка к исполняемым файлам

И когда мы прописываем путь без конечного расширения, срабатывает блокировка по этому списку.



#43 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 13 Январь 2016 - 13:32

Что касается "Назначенные типы файлов" в этом списке привязка к исполняемым файлам.
И когда мы прописываем путь без конечного расширения, срабатывает блокировка по этому списку.

Да, по-моему, так SRP и работает.
В списке расширений по-умолчанию есть MDB/MDE, но нет DOC/XLS/PPT. То есть в некотором смысле MDB/MDE/DOC/XLS/PPT тоже исполняемые файлы.

Ага, вот оно как работает:

1 If you click a .lnk file (shortcut) in the UI, ShellExecute applies software restriction policies to it if the .lnk extension is included in Designated File Types. Otherwise, ShellExecute runs the target, where software restriction policies get applied in CreateProcess.

If the file type of the shortcut’s (.lnk) target is not an executable file directly, such as a .doc file, and if .doc is included in Designated File Types, software restriction policies rules are applied to the .doc file. If .doc is not included in Designated File Types,ShellExecute runs the handler with specified options (such as running “WinWord filename.doc”). At this point, CreateProcess applies software restriction policies to the application, WinWord, and not to the filename.doc, which was the actual target of the .lnk.



#44 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 13 Январь 2016 - 13:40

Так как тема "популярна", немного ссылок в тему:
CryptoPrevent is no longer based solely on Windows software restriction policies
XP and Viste SRP tests and ideas
Минимально необходимый набор правил для Software Restriction Policies



#45 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 13 Январь 2016 - 17:00

Некорректно задавать путь так:
%AppData%\
%AppData%\*\
1) оба пути распространяются на ВСЕ вложенные папки, препятствуя запуску/открытию файлов из списка назначенных
2) 1-й путь включает 2-й и наоборот :)
Правильно так:
%AppData%\*.exe
%AppData%\*\*.exe
Так блокируется только запуск .exe непосредственно находящихся в %AppData% и подпапках 1-го уровня. То есть нарушающих принцип хранения в AppData\Компания\ПО, из-за чего приходится делать исключения:
%LocalAppData%\Adobe\*.exe
%LocalAppData%\Viber\Viber.exe
К тому же рекомендуют убрать LNK из списка назначенных и добавить
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%

Сообщение было изменено IlyaS: 13 Январь 2016 - 17:05


#46 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 13 Январь 2016 - 17:14

Путь
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
надо заменить на
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
то есть для Vista+ должно быть:
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% 
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% 
Для XP/2003 x86 достаточно:
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% 

Сообщение было изменено IlyaS: 13 Январь 2016 - 17:15


#47 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 15 Январь 2016 - 15:57

Дебильный Касперский 2016 с новыми обновами со всеми наворотами, видит вирус шифровальщика, но его активность не глушит.

Скриншот добавлю завтра. Суть в дыре Касперского в проверке архивов, если не стоит галка проверять архивы, он будет пропускать вложения *.exe

Получается, что при запуске вируса, даже если он определяется как вирус, его активность не блокируется, он шифрует данные, а Касперскому пофиг.

 

В списке угроз обнаружил второй путь к вирусу, для Windows 7: C:\Documents and Settings\user\AppData\Local\Temp\Rar*\*.exe

Причем вирусом был создан ярлык на эту папку, и к ярлыку был запрещен доступ.

Думаю имеет смысл добавлять в запрет и эту папку. Но если таких ярлыков куча, то поможет только защита от первого запуска: %LocalAppData%\Temp\Rar*\


Сообщение было изменено Vito: 15 Январь 2016 - 16:00


#48 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 15 Январь 2016 - 16:15

Да, придти может и самораспаковывающийся архив:
%LocalAppData%\Temp\*.zip\
%LocalAppData%\Temp\_tc\
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\8z*\
%LocalAppData%\Temp\FTM*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\wz*\
В конце концов поменяют папку распаковки и правило снова не у дел. Соревнование брони и снаряда.

#49 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 19 Январь 2016 - 11:51

Скрин

Прикрепленные файлы:



#50 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 19 Январь 2016 - 15:48

Крякл сначала попал в %ProgramFiles%\1C?

#51 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 01:19

Отправил файл в ЛС.

Потестируй.

 

И еще вопрос, есть ли какая-нибудь возможность добавить запреты к архивам на Windows XP


Сообщение было изменено Vito: 20 Январь 2016 - 01:20


#52 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 02:53

Еще путь:

-------------------------------------------

%LocalAppData%\Temp\1C\*.exe

или

%LocalAppData%\Temp\1C\

 

Этот путь с установленным 1C будет сложно блокировать.

Если только через разрешение по хэшу файла.

-------------------------------------------

%Program Files (x86)%\1C\*.exe

или

%Program Files (x86)%\1C\

-------------------------------------------


Сообщение было изменено Vito: 20 Январь 2016 - 02:53


#53 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 11:06

Пригодится и такой путь:

C:\Users\%UserName%\AppData\Roaming\Skype\%UserSkype%\media_messaging\media_cache_v2\

 

p.s. его нужно укоротить



#54 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 20 Январь 2016 - 11:18

%AppData%\Skype\*\media_messaging\media_cache_v2\ или %AppData%\Skype\

#55 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 20 Январь 2016 - 11:23

И еще вопрос, есть ли какая-нибудь возможность добавить запреты к архивам на Windows XP

Правила для %AppData% годятся и для XP, только вместо %LocalAppData% надо сделать %userprofile%\Local Settings:
%AppData%\*.exe
%AppData%\*\*.exe
%userprofile%\Local Settings\Temp\*.zip\
%userprofile%\Local Settings\Temp\7z*\
%userprofile%\Local Settings\Temp\8z*\
%userprofile%\Local Settings\Temp\Rar*\
%userprofile%\Local Settings\Temp\wz*\
и для системного TEMP вместо %SystemRoot%\Temp быстрее:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks\
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\*.zip\
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\7z*\
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\8z*\
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\Rar*\
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\wz*\

Сообщение было изменено IlyaS: 20 Январь 2016 - 11:25


#56 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 13:05

Спасибо.

 

И по необходимости такие пути:

Win7

%UserProfile%\Downloads\

%UserProfile%\Documents\

%UserProfile%\Pictures\

%UserProfile%\Music\

%UserProfile%\Videos\

WinXP свои

%UserProfile%\Мои документы\Загрузки\

%UserProfile%\Мои документы\

%UserProfile%\Мои рисунки\

%UserProfile%\Моя музыка\

WinXP общие

%AllUsersProfile%\Документы\

%AllUsersProfile%\Документы\Мои видеозаписи\

%AllUsersProfile%\Документы\Моя музыка\

%AllUsersProfile%\Документы\Мои рисунки\

 

В загрузки Бухгалтеры обычно скачивают то, что скачали с браузера.

Затем переходят в эту папку и запускают файлы с иконкой Word/Excel (с расширением *.exe, *.js, *.vbs и т.д.)

 

С рабочим столом будет сложность в *.lnk т.к. придется его удалить из списка "Назначенные типы файлов".

Что если добавить такой путь, оставив *.lnk в списке (не повлияет ли это на безопасность?):

Win7

%UserProfile%\Desktop\*.lnk

WinXP

%UserProfile%\Рабочий стол\*.lnk


Сообщение было изменено Vito: 20 Январь 2016 - 13:07


#57 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 13:15

Дополню для временных папок IE

Win7

%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\

WinXP

%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\



#58 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 20 Январь 2016 - 14:33

1) LNK необходимо убрать из списка назначенных, почему - см. ссылки выше.
2) создавать правила для самих LNK не надо, это всего лишь ярлык, правила применятся к самим объектам, на которые указывает ярлык.
С остальным можно поиграться. Я так понимаю, вы хотите совсем оградить пользователей от возможности запустить что-либо загруженное из сети.

#59 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 20 Январь 2016 - 15:02

Именно так, потому, что фраза "я ничего не запускала" как у физиков ядерщиков фраза "упс", и в почте письмо от якобы "Ростелекома" с архивом и вирусом внутри.

По ярлыкам, пришел к выводу, что нужно убирать LNK из списка - иначе программы не будут запускаться, даже если находятся в разрешенной папке.

Немного об этом здесь: http://habrahabr.ru/post/101971/


Сообщение было изменено Vito: 20 Январь 2016 - 15:04


#60 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 20 Январь 2016 - 15:05

Угу, про LNK тут https://www.sysadmins.lv/blog-ru/minimalno-neobhodimyj-nabor-pravil-dlya-software-restriction-policies.aspxвычитал.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых