Új hozzászólás Aktív témák

• #39913 dqdb nagyúr Hunmugli #39907

  Új Válasz 2016-03-20 15:16:26 #39913

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  dqdb

  nagyúr

  válasz Hunmugli #39907 üzenetére

  Zsarolóprogramok: nem lehet olyan egyszerűen védekezni ellenük, hogy a vírusírtó monitorozza a lemeztevékenységet, és ha az gyanúsan magas/titkosítás történik, akkor közbelép és a folytatáshoz a felhasználó közbeavatkozását kéri?
  Gyanúsan magas: ha valaki csak ezt nézi, akkor könnyű lyukra futni és false positive észlelést bedobni. A felismerésnél a sok közül egy indikátornak jó, de nem tévedhetetlen, ezért fenntartásokkal kezelhető.

  Titkosítás történik: az, hogy most titkosítás történik, nem lehet megállapítani, hacsak a vírus nem valami közös API-t, mint például CryptoAPI-t használ erre a célra (és ha igen, akkor ismét a false positive képbe kerül, mert rengeteg legitim alkalmazás is így működik). Azt ellenben meg lehetne fogni, amikor a vírus a titkosított adatot írja vissza fájlként, a kiírt adatok formátum-ellenőrzésével, azonban ez nem kicsit erőforrás-igényes folyamat (mind a gyártóknak lefejleszteni X dokumentumformátumhoz a validátort, mind neked, hogy fusson ez a háttérben).

  Az a baj és azért tűnnek a vírusirtók tehetetlenek ezzel a fertőzéstípussal szemben, mert hiába fogalmazható meg bárki által tömören az a cél, hogy szóljon a vírusirtó, ha gyanús fájlműveleteket észlel, ezt a mondatot viselkedéselemzési szabályrendszerre átültetni már messze nem ilyen könnyű és triviális, főleg úgy nem, hogy ne kiáltson folyamatosan farkast a heurisztika/logika. Nem véletlenül azok a vírusirtók hatékonyabbak a zsarolóvírusokkal szemben, ahol a fejlesztők már régebben ráfeküdtek a viselkedéselemzésre, és még őket is ki lehet játszani. A tapasztalatok hatására lassan javulni fog az időben történő felismerés hatékonysága, és előbb-utóbb vissza fogják majd szorítani ezt a támadástípust (és szokás szerint valami más lép a helyébe), de ez sok millió felhasználót már nem fog boldogítani.

  bencze94: Mi értelme az egész felhasználói fiókos történetnek, ha csak így "megadja magának a háttérben" egy folyamat bármelyik user jogait?
  Az a csúnya, hogy egy cryptolocker vírusnak, ha a gépedre jutott, még rendszergazdai jog sem kell a pusztításhoz. A dokumentumaid az általad is írásra-olvasásra elért mappában vannak (hiszen azok a te dokumentumaid), így azokat tudja titkosítani alapszintű jogosultsággal. A vezérlőszerverrel történő kommunikációt is végre tudja hajtani így (direktben vagy egy másik futó folyamatra akaszkodva).

  Ha egy mezei user, admin jogok nélkül indítja el, és sehol nem is adja meg az admin jelszót, akkor is a cryptolocker folyamata már admin jogokat szerezhet magának?
  Ha te adminisztrátor vagy a gépeden, akkor az UAC hatékony és jól végzi a dolgát, de mint minden szoftveres komponens, ez sem tökéletes. Előfordulhatnak hibák, amelyekkel kijátszható, ezeket természetesen javítják, azonban ha a vírus 0. napi sebezhetőséggel támad, akkor megszívtad.

  Ha mezei felhasználó vagy, akkor sem lehetetlen, olyan sebezhetőség kell, amivel egy rendszergazdai szinten futó folyamatra rá lehet akaszkodni. Időnként előfordul ilyen, javítják is azonnal, ha ismertté válik, azonban egy 0. napi sebezhetőség itt is lehetőséget biztosíthat egy ilyen típusú támadásra.

  Szóval szerencsére nem triviális elérni ezt, de sajnos nem is lehetetlen.

  tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Új hozzászólás Aktív témák