Технология, использованная в эксплоите, получила название Process Doppelganging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:
На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.
Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.
Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.
Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.
Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с
Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360
Комментарии (129)
vilgeforce
11.12.2017 10:49+1Закрывать уязвимости — задача производителей ПО, но никак не антивирусов…
mrlika
11.12.2017 11:53Я могу ошибаться (не вникав в детали), но в данном случае — это больше похоже не на уязвимость ОС, а на способ обхода механизмов антивируса.
teecat
11.12.2017 19:23Как я понимаю — обходится один компонент — файловый монитор. Но
1. До всего прочего троян должен проникнуть на машину. Через уязвимость или скачивание с сайта. Предположим проверку трафика можно обойти через передачу объекта в закрытой сессии. Ладно. Но любой новый объект в системе должен проверяться — кто-то же запущенный создает транзакции файловой системы. В этот момент троян может быть пойман — прецеденты есть
2. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции. В каком режиме работал файловый монитор?
3. Ладно, запустился троян. Периодически работает антируткит, он все процессы должен проверять для нахождения в том числе безфайловых троянов. Почему он не сработал?
ainoneko
12.12.2017 07:242. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции.
Так давно уже известно, что более-менее защищённым можно считать только выключенный компьютер в сейфе.
А что делать, если его всё-таки надо использовать?Dioxin
12.12.2017 08:421. обойтись без интернета
2. работать в ОС в режиме readonly
Jef239
12.12.2017 09:36По примеру концентраторов системы «Экспресс-2» — выключать дисководы после загрузки.
carebellum
12.12.2017 17:18>>работать в ОС в режиме readonly
не подскажете как это сделать в Windows?JC_IIB
12.12.2017 22:54LiveCD (для WinXP точно был) + Ram-disc? Любое заражение, любой троян, любой вася-петя лечится тупо перезагрузкой :)
carebellum
12.12.2017 22:59Acronis и регулярный бэкап — это да
Но как это связано с «ОС в режиме readonly»?
mm7
12.12.2017 09:14-1Там же написано — эксплойт переписывает легитимный фаил зараженным содержанием, но не завершает транзакцию, поэтому антивирус не может проверить файл на этом этапе. потом процесс загружает зараженный образ из этого файла в память. а потом откатывает транзакцию.
В итоге в памяти находится зараженный образ, а на диске «хороший», старый. Причем зараженный образ в памяти асоциирован с хорошим на диске. Это и обдуривает антивирусы, когда задача зараженного образа начинает делать чего-то в системе. Они-то, антивирусы, проверяют файл. А он хороший.teecat
12.12.2017 10:15Это не весь антивирус. А один его компонент — файловый монитор. Его обойти можно и более простыми способами.
Ситуация же с уязвимостью такова — на охраняемом объекте отключили охрану периметра, убрали собак с территории — и взломали замок на двери в некий цех. Да, уязвимость замка найдена, но вопрос сможет ли добраться до него злоумышленник, если система охраны действует штатно?mm7
12.12.2017 15:301. Я ничего не писал про то, что нужно отключить «охрану периметра» и «собак». Тогда, по-Вашему, если есть колючка и собаки, то можно замки не вешать?
2. Файловая система и менеджер памяти всегда были штатной частью ОС. Антивирус — до последнего времени (до Windows Defender) был дополнительным. Я не против антивирусов, не нужно меня минусовать. Но я считаю, что одно дополняет, а не заменяет другое. И эти части, ФС, МП, Сеть и антивирус, должны работать совместно, дополнять друг друга.
ФС, МП должны обеспечивать авторизацию доступа к ресурсам и правильную транзакционную работу.
Антивирус должен проверять содержимое, отслеживать паттерны активности, доступа к ресурсам и тп.
teecat
12.12.2017 16:151. Когда как, смотря какие риски и какие потоки данных. Но мой ответ не об этом. Я написал, что новость в общем — желтая. Да есть уязвимость, но одного только компонента. Если же стоит нормальный и настроенный набор компонентов защиты (скажем включая контроль целостности системы), то уязвимость одного компонента не сыграет
2. Я не минусовал. Ответ был к уже заминусованной записи
ildarz
11.12.2017 11:03А это вообще уязвимость? Вместо одного процесса, который можно запустить, запускается другой процесс, который опять-таки можно запустить. Обход антивирусной защиты — да, но уязвимость в чем?
об обнаружении уязвимости в загрузчике Windows
Не в загрузчике.
Alozar
11.12.2017 11:26В этой ситуации происходит создание процесса из копии файла, данные которого не были подтверждены.
По логике надо либо отчищать созданную копию файла при откате транзакции, либо делать копию файла в памяти только на основании реальных данных на диске, транзакции по которым были завершены.ildarz
11.12.2017 11:41Это в принципе понятно. Вопрос в том, можно ли таким способом запустить код с повышенными привилегиями, или же это де-факто не более страшная атака, чем подмена ярлыка на рабочем столе, только менее заметная. :) Из текста даже неясно, можно ли хотя бы UAC так обойти.
vesper-bot Автор
11.12.2017 11:53Ну, «чем подмена ярлыка» уже страшнее, так как позволяет запустить зловред, который известен антивирусу, установленному в системе. Соответственно, должна позволять запустить код, использующий уязвимость типа EOP, или ботнет, или кейлоггер, или шифровальщик, или ещё что-нибудь не менее противное. Запущенный авторами оригинальной публикации mimikatz был антивирусу известен и при тестах «в лоб» ловился, однако после запуска через доппеля вполне себе работает. По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.
ildarz
11.12.2017 12:10+1Еще раз — обход антивирусной защиты как таковой не является уязвимостью ОС. Это принципиально разные вещи, и говорить об "уязвимости во всех версиях Windows" — передергивание в чистом виде.
По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.
Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса). Да и этот тоже не из воздуха на ПК компилится, и если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема. Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)
vesper-bot Автор
11.12.2017 17:43Хорошо, но уязвимостью является создание процесса, который выглядит легитимно, а на деле зловред. По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw. Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.
Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса)
Согласен, впрочем, их без проблем можно зашифровать. Главное — создать корректный исполняемый файл в текущем окружении, который скормить потом в createprocess. Вспоминается Win32.Duqu, который, кстати, тоже был бесфайловым.
если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема
Непохоже, что только в этом. Механизм сам по себе довольно необычный, может статься, что будет очень неудобно для его перехвата ставить хуки. Антивирусы обычно мониторят активность на файловой системе, потому что доступ к данным на диске — довольно длительная операция, и состояние процесса "ожидание ввода-вывода" вполне нормальное. Мониторить активность в памяти на порядок проблематичнее.
Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)
Уже… спасибо за заботу :)
tyomitch
11.12.2017 19:12По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw.
В чём уязвимость-то? Что этот механизм позволяет сделать такого, что нельзя сделать без него?
Если ответ «скрыться от антивируса», то проблема в антивирусе, а не в ОС.
Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.
В такой трактовке, запись на диск исполнимого файла тоже «позволяет обойти DEP».MikhailZhukov
12.12.2017 09:16Как я понимаю, проблема может проявиться в таком сценарии:
1) пользователь качает и запускает некий лоадер, который содержит зашифрованный зловред
2) лоадер при запуске создает какой-либо файл с «приличным» содержимым. этот файл проходит проверку антивирусами и срабатываний не вызывает
3) лоадер выполняет те самые манипуляции с транзакциями, вписывая расшифрованное из себя содержимое зловреда в копию файла в памяти. При нормальном ходе вещей эта операция бы отловилась антивирусом, но из-за бага или особенности виндовс — не отловится
4) лоадер выполняет малварь и, хотя антивирус ее знает, продетектить он ничего уже не может
Так что, на мой взгляд, ситуация все же достаточно неприятная. Для пользователей виндовс.tyomitch
12.12.2017 12:14«Неприятная ситуация для пользователей Windows» — это всё равно не «уязвимость в Windows».
mayorovp
11.12.2017 21:05DEP — это средство предотвращения случайного исполнения данных, а не намеренного. Так-то обойти его очень просто: создаем в адресном пространстве новый регион указав флагами разрешения на запись и исполнение. Один вызов VirtualAlloc. Все, больше ничего не требуется.
wdforge
12.12.2017 09:16Хук можно поставить на операцию начала, или отката транзакции, наверно это не такие частые процедуры.
Странно что удалось обойти антивирус при создании процесса,. у него итак есть хуки на все функции, наверное тут чуть поменяют алгоритм и всё заработает.mayorovp
12.12.2017 09:31Тут важен не момент простановки хука, а выбор объекта для проверки. Антивирусу нужно проверять файл именно в том виде в котором его видит запущенный процесс.
paulsv77
13.12.2017 09:061. Будет ли это работать из под пользователя? (Прав на запись в служебные каталоги нет, сможет ли создаться транзакция на изменение легитимного файла)
2. Будет ли это работать с включенной SRP?
mickvav
11.12.2017 18:04Ну, если учесть, что микрософт сама поддерживает один из антивирусов и всячески рекомендует антивирусы использовать — то это, скажем так, уязвимость в экосистеме M$.
Ralari
11.12.2017 14:18Пока просто показана методика запуска переименованного Блокнота.
Если на исходный ехе-шник установлены права доступа с запретом на исполнение, эта методика не сработает.
mayorovp
11.12.2017 13:13Я бы сказал, что подмена ярлыков на рабочем столе — куда более страшная атака чем эта. Потому что подмена ярлыков постоянная, а эта атака — на один раз.
Нет, UAC так обойти нельзя. Запуск программы с правами администратора происходит совершенно не так же как обычное порождение дочернего процесса.Kobalt_x
11.12.2017 17:44С другой стороны таким финтом можно обойти т.н политики default deny/golden image/srp т.к подпись то валидная будет. Или я что-то не понимаю
Stroy71
11.12.2017 11:15Существует ли патч закрывающий данную уязвимость? Если нет, то ведется ли над ним работа?
sumanai
11.12.2017 15:47Конечно. UAC или работа из под ограниченного пользователя. Всё это не позволит вредоносному коду модифицировать загрузчик. Ну или упомянутые ниже SRP/AppLocker, которые ему просто не дадут запустится.
tyomitch
11.12.2017 16:54Что вы понимаете под «модифицировать загрузчик»?
Для вызова ZwCreateProcess никаких особых прав не нужно.sumanai
11.12.2017 17:21+1Чёрт, я подумал, что имеется в виду загрузка Windows. То то я недоумевал, причём тут антивирус.
В общем облом будет на этапе «создается транзакция NTFS на изменение какого-либо легитимного файла Windows», я так думаю. А при SRP вредоносный код просто не запустится.vesper-bot Автор
11.12.2017 17:48А при SRP вредоносный код просто не запустится.
Смотря как именно выполнен запуск процесса, выполняющего подмену файла. Если через другую уязвимость, позволяющую хоть какой-нибудь RCE, даже из-под пользователя, подменить можно будет (попытаться) какую-либо из программ, которая разрешена для запуска в SRP/Applocker. Тогда полезная нагрузка запустится, и будет непросто её отследить.
Да и никто не говорит, что SRP не_нужен, просто он всё-таки не панацея. Хотя от очень многих проблем действительно избавляет.
sumanai
11.12.2017 18:08Всё верно. Я к тому, что при правильных настройках эта уязвимость ничего не сможет сделать сама по себе. А в комплексе да, может усложнить детектирование антивирусом и/или отслеживание по логам.
Kobalt_x
11.12.2017 18:00Транзакция NTFS может быть создана и из-за уязвимости в леитимном софте, и поведенческий анализ не спасет
mayorovp
11.12.2017 21:09Бинарник хрома обычно находится в доступной на запись папке. И является вполне себе легитимным файлом Windows.
sumanai
11.12.2017 22:09Такие люди и под админом с отключённым UAC работают, их уже ничего не спасёт.
VolCh
11.12.2017 23:09Если не ошибаюсь, то это стандартный способ установки Хрома. Нет?
sumanai
12.12.2017 17:37Конечно. Стандартный ужасно кривой и не безопасный способ, не совместимый с безопасными приёмами работы в ОС, который сделали для ламеров, чтобы запрос UAC не портил статистику установок и для лёгкого обновления на новую версию зонда сами знаете для какого места.
rub_ak
12.12.2017 17:41Парни ну вы что?
www.google.com/intl/v/chrome/business/browser/admin
Ставиться куда надо, ещё можно шаблонов для политик накачать, и через политики его настроить как вам нужно.sumanai
12.12.2017 17:43Мы то с вами знает про эти ссылки и способы, а вот обыватель качает хром с более простой ссылки со стандартными настройками.
rub_ak
12.12.2017 17:49Так обсуждение хрома пошло с вашего коментария про SRP.
А если настроен SRP никакой хром не будет работать в appdata
Я думаю тот кто справился с SRP уж точно сможет найти правильный хром.sumanai
12.12.2017 20:07Скорее всего да, исключая случаи настройки по мануалу без понимания принципов. Хотя даже я всё время забываю про эту ссылку, наверное, потому что не пользуюсь хромом, и вряд ли её быстро нагуглю.
midda2
12.12.2017 09:17-1Да, такой патч существует, причем уже очень давно. Нужно использовать учетную запись с правами Пользователь, а Администратора использовать только для критичных перенастроек и установки ПО. Да, согласен, это может быть непривычно и в чем то неудобно. Но это вполне возможно, для любых практических ситуаций, даже для разработки ПО. Постоянная работа в учетке с повышенными привилегиями напоминает мне вождение без ремня безопасности и прочие лихачества.
mayorovp
12.12.2017 09:32Пользовательские файлы вирус может повредить и без привилегий администратора.
midda2
13.12.2017 14:13Но вирус из статьи даже не запустится, это главное. Мы ведь говорим про него?
И еще про пользовательские файлы… вообще-то единственное 100% надежное решение — регулярный автоматический бэкап. А ограничение прав поспособствует тому, что потенциальный вирус не сможет вмешатся в работу ПО резервного копирования или вообще уничтожить весь архив. Обычно архив недоступен на мофицикацию для бэкапируемой учетки.
rub_ak
11.12.2017 11:22+1Я правильно понимаю, опять нужно левые экзешники запускать?
тогда можно немного расслабиться.Sergey6661313
11.12.2017 12:06-1А разве это правильно что екзешники в принципе могут писать что захотят и куда захотят ??
Вот вздумается производителю браузера похерить все ваши данные — взял и похерил. Красота.
( я не имею в виду системные фаилы, мне как пользователю мой фаил «Дипломная.docx» (с последними изменениями) с over 9000 раз важнее любого системного фаила который я могу переустановить скачав с инета...)
А екзешники я запускать хочу. Как же мне поиграть в «супер-новая-игра-запусти-меня.exe»
Я как хомечёк должен иметь право запускать любой экзешник, а экзешник как любая потенциально-нежелательная программа не должна иметь по умолчанию никаких прав. Как на андройде — это сложно сделать что-ли?tyomitch
11.12.2017 12:23Нравится вам андройд — поставьте его себе на комп, в чём проблема-то?
А мне нравится возможность сохранять из браузера файлы, и моя ОС мне такую возможность даёт.Sergey6661313
11.12.2017 13:41tyomitch
-поставьте его себе на комп:
Я высказываюсь не о том что какая-то система прямо лучше. Даже наоборот — Меня
просто тошнит от всяких AndroidManifest.xml и необходимости создания целой
структуры непонятно зачем нужных папок…
Я говорю о безопасности в ОС и привожу пример той ОС где это реализовано хоть
как-то. В самом андройде это тоже реализовано не правильно… Я сталкивался с
вредоносным ПО которое целенаправлено предлагает нажать на экран 5 раз подрят в то место где появится запрос на предоставление программе повышенных прав… Юзер тыкает пять раз в экран и «по инерции» при появлении нового окошка случайно
нажимает шестой раз — и оп майнер в системе.
-нравится возможность сохранять:
А я не против чтобы браузер мог их писать. Я против того что он может их писать куда угодно. Программа должна иметь возможность писать только в ту папку в которой она
была запущена. Точнее сама программа должна быть папкой-контейнером. Запустил — она в себя записала. Если захотел — открыл и вытащил. САМ. И сохранил уже куда
надо. есть папка например «запусти-меня-я-игра.exe» внутри исполняемый бинарный
фаил и система будет разрешать по умолчанию писать такому бинарнику ТОЛЬКО в
эту самую папку. И проблема безопасности тогда даже не возникнет. Не возникнет
проблем появления неизвестно откуда новых программ/(майнеров) от mail.ru (это
например). Не возникнет проблем с появлением кучи временных фаилов в temp
весящих по пол гига. не будет проблем с подменой ярлыков к браузерам (и подменой домашней страници в принципе).
Например я учитель по информатике:
Я хочу получая фаил от школьника по скайпу — иметь возможность его запустить. Если фаил потребует какие-то дополнительные привилегии — то посылать собеседника на 3-и и более буквы. А если нет — успешно увидеть что же именно на клепал мой ученик. Сейчас такая защита УЖЕ есть, но к сожалению по умолчанию — дополнительные привилегии — это те которые подразумевают изменение параметров системы, а не в принципе запись фаилов в любую папку кроме той откуда запушен этот фаил.
Да сработает УАК: «программа что-то пытается сделать». А что именно?? хрен с ней —
запретить. И оп — майнер прописался в аппдату. Всё равно прописался! Да не в
систему, но в юзера.
@ ClearAirTurbulence
— синхронизация с облаком:
Данные мои и только мои и я не хочу их отдавать Васе Пупкину. Даже в зашифрованном виде.
— Песочницы:
не все песочници одинаково полезны/бесплатны/эффективны/«сами защищены»
например sandboxie (по сути антиреклама):
1) при запуске psiphon3 он успешно подменяет мне настройки прокси. Прямо в моей
учётке — ему не важно что запущено было из песочници.
2) не помогает при запуске игр в несколько окон — они не только ЗНАЮТ и ВИДЯТ
процессы друг друга, но и свободно меняют память друг в друге.
3) запуск игр, защитой от читов, в принцпе — игра просто не запуститься — античиты
на раз два раскуривают тему, что они находятся в песочнице.
Значит sandboxie — нам не подходит. А узнать подходит или нет можно УЖЕ после того как заплатил за неё деньги…
Другие песочници дороже и вообще не имеют пробных периудов.
другой пример virtualbox:
1) при запуске вируса он прописывается в нутри виртуальной машины и это ничем не лутше установки его вне виртуальной машины. Потому что на «перестановку ОС»/«перезаливку образа диска» в нутри виртуальной машины всё равно придётся тратить время. И если там были сохранены какие то данные то они успешно похерятся.
2) производительность… тут без комментариев.
Сейчас мне приходится держать для этого отдельную ограниченную учётку (которой я
запретил доступ на запись во все диски и папки кроме одной — «загрузки».) и все
программы запускать от её имени — но это ОЧЕНЬ не удобно. Было бы правильно если
бы такая возможность была на уровне операционной системы. По сути Microsoft не нужно даже переписывать свою систему — всё необходимое для изоляции программ уже есть. Осталось только задуматься о безопасности данных, а не безопасности системы.
Хотя вспоминая времена дисков с драйвером star-foce (который обычный
пользователь, без прав админа, конечно, не сможет установить) всё это бесполезно…
Когда для запуска игры требуется не просто запустить левый екзешник но и левые
дрова в систему прописать — это шик… Но как минимум если права будут урезаны по
умолчанию — распространители игр, в целях увеличения аудитории, будут стараться
исключать в своих программах необходимость иметь доступ который будет мешать
запуску этих самых игр. У пользователей хотябы появится возможность выбирать — доверять ПО или нет. (при текущем раскладе никакому ПО доверять нельзя).mayorovp
11.12.2017 13:52Учителю информатики я бы порекомендовал завести пользователя с пониженными привилегиями если на виртуалку ресурсов не хватает.
firegurafiku
13.12.2017 01:46Учитель информатики, между прочим, дело говорит, пусть и несколько сумбурно. Вас никогда не посещало чувство «Не буду ставить Skype/Steam/иной проприетарный блоб — кто его знает, что за файлы с моего компа оно отошлёт домой, и каких скриншотов надёргает»?
tyomitch
11.12.2017 14:17Если захотел — открыл и вытащил.
Чем «открыл и вытащил»? Уникальной программой, наделённой способностью писать вне себя?Sergey6661313
11.12.2017 14:47А для чего ещё системный проводник нужен? Всё равно ведь захочешь писать на флешку. Всё равно понадобятся исключительные права. Ну так почему бы не иметь их стандартному проводнику windows? Тут как раз UAC должен работать. Т.е. проводник должен иметь возможность писать куда угодно кроме системных фаилов по умолчанию. А так как он системный — это даёт гарантию что он не будет устанавливать майнеры от сторонних производителей вам в appdaту…
tyomitch
11.12.2017 16:59А потом: «Коварный M$ встроил в свою винду корявую прогу для вытаскивания скачанных файлов, и запретил сторонним вендорам реализовывать такую же функциональность самим?!? Ату, ФАС!»
Sergey6661313
12.12.2017 16:14+1А что? Именно такой продукт мне и нужен. Можно долго рассуждать на тему имеет ли право монополист делать в своей системе то что он захочет, но лично я не против отдать ту цену которую сейчас стоит винда, если бы она была именно с таким функционалом. (Желательно конечно без слежки и других лишних сервисов, но тут уже конфликт интересов будет с ихней стороны.)
tyomitch
12.12.2017 16:50+1Вряд ли Microsoft (или кто бы то ни было) станет реализовывать фичу, которая позволит им получить $119 лично от вас, но при этом подвергнет риску штрафа на полмиллиарда рублей.
Sergey6661313
13.12.2017 14:52-1Ну так это могло бы быть опцией… Например при установке. Или при создании пользователя. А риск — дело благородное.
nox1725
11.12.2017 16:38Поздравляю, Вы сейчас открыли для себя MacOS X (не реклама)
Я, конечно, понимаю, что учитель в силу многих обстоятельств не сможет использовать что-то отличное от Windows, но в какой-то абстрактной работе это очень помогает (где нет зависимости от платформы).
Я про то что MacOS X без всяких дополнительных телодвижений:
- Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
- Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)
- При попытке внести изменения за пределы своего окружения, система спросит пользователя об этом (обычно даже поясняя, что именно хочет сделать приложение)
Ну и там много еще чего интересного, но всё это можно найти в интернете
kahi4
11.12.2017 18:54Какая-то у вас неправильная MacOS X или вы спутали ее с iOS?
Как и любая другая полноценная десктопная ОС, макос позволяет любому приложению шататься по любым файлам пользователя и писать куда ей вздумается без каких-либо на то ограничений (разумеется, речь не идет про разграничение прав пользователей на папки). Например, при запуске Path Finder никаких прав не спрашивает до тех пор пока вы не сунетесь куда нельзя.
Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)
До тех пор пока речь идет про стандартное оборудование. В винде, впрочем, винда так же раздает права самостоятельно на штатное оборудование.
nox1725
11.12.2017 21:23Нет, не путаю, хоть пользуюсь обеими. И да, обе спрашивают про привилегии, в момент доступа, а не заранее
Плюсом ко всему, приложение должно быть подписано валидным разработчиком в AppStorekahi4
12.12.2017 00:12Я хочу посмотреть как школьник будет подписывать своё приложение и публиковать его в аппстор. В конкретно данном примере Макос ничем не лучше винды, и скриптик на питоне так же может прописаться в окружении пользователя в автозагрузке и майнить что хочет, только потом ещё найти его будет сложнее. И так же может пошифровать все файлы.
После последних фейлов безопасности Apple я бы постеснялся приводить Макос как пример безопасности
nox1725
12.12.2017 00:24Именно то, что любой школьник не может опубликовать (и подписать) своё приложение в AppStore и говорит о том, что это немного более безопасно, чем super_puper_app.exe
Да, фейлы безопасности есть у всех (лично я использую все 4 семейства ОС, везде хватает), однако вопрос не в фейлах, а легкости выстрела себе в ногу.
В Windows по моему мнению это сделать легче всего, дальше уже идут MacOS, Linux, Unix(*BSD) и всякая экзотика, где люди себе в ногу стреляют осознанно или эксперимента ради
Я про то, что дефолтные настройки Windows, позволяют делать много всякого, можно устанавливать любые приложения (да, они попросят «внести изменения на Вашем компьютере», без деталей), в том числе и без подписи
В той же MacOS нужно специально под админским паролем в настройках разрешить установку программ из неизвестных источников и еще при попытке установки чего-то не из AppStore тебе каждый раз напомнят, что это очень очень небезопасно
В Linux все сложнее, но если брать официальные репозитории, то там тоже есть GPG подпись
P.S. Не пытаюсь спорить, так как выбор ОС — дело сугубо религиозное, как и отношение к ИБ в конкретной ОСkahi4
12.12.2017 00:37Windows s тоже не позволит стрельнуть в ногу. Вообще это странная проблема пользователей с желанием заводить админские аккаунты и кликать «окей» на каждую хотелку системы. В случае с маком разница только в том, что обычно пользователи не скачивают супер-дупер полезные программы с черт пойми каких сайтов и что exe и rar.exe на маке не запускаются вообще, в остальном все тоже самое. Будет представлять Макос такой же интерес как и винда для вирусописателей — найдётся и в нем достаточное количество способов стреляная во все подряд. Желание пользователя посмотреть на халяву фильм и готовность ради этого скачивать сомнительный рар с сомнительного сайта и кликать «делай че хочешь, только фильм мне покажу» никуда не пропадут.
Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались (uwp с просьбой ввода пароля помогает).
IOS безопаснее по дизайну, покуда в нем приложения ни к чему доступа не имеют и проходят ревью, с этим сложно спорить. Но опять же — ставьте windows s и будет все тоже самое.
Да и снова. Была атака в каком-то отеле несколько лет назад, когда роутер перехватывал запрос на обновление флеш плеера и подсовывал заражённый. В маке он ровно с таким же успехом проникнет в систему с повышенными привилегиями и все (к слову, зачем они флеш плееру?)
nox1725
12.12.2017 14:02Не знаю съест ли (ведь зараженный FP должен быть подписан сертификатом, которому Apple доверяет), но даже если съест и установит, у него должны быть привилегии:
Тоже самое с камерой, сетью и т.д.
То есть ну поставит малварь через флеш (хотя и в этом сомневаюсь, так как скажет, скорее всего, что приложение из недоверенного источника), но доступа к сети, камере и диску эта малварь не получит
Но в общем-то Вы правы, так как безопасность, это в большей степени ответственность пользователя, а любая современная ОС предоставляет средства защиты, плюс есть сторонние продукты, вроде антивирусов
Например в моей компании стоит сразу несколько рубежей защиты — и GlobalProtect, и Cisco AMP и банальный антивирус от Symantec, ну и плюс еще централизованный сбор логов о потенциально опасных действиях пользователя (установка ПО, например). То есть если я скачаю и установлю себе просто взломанное ПО, то это прямой путь к увольнению, так как отдел ИБ это заметит и даст по башке.
С таким подходом уже не важно, какая ОС (у нас примерно 60% винды, 30% маков и 10% линукс)
sumanai
12.12.2017 17:40Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались
Странно. Вирусу для работы в общем случае админская учётка не нужна, те же шифровальщики могут спокойно захавать все фотки ваших родителей и требовать свои бесчестно заработанные деньги.
ad1Dima
12.12.2017 08:28Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
XCode, Visual Studio, Android Studio. Сколько они папок засирают при установке многочисленных сдк… Еще и другие программы умудряются запускатьSergey6661313
12.12.2017 09:58-1Я из вашего предложения не понял — вы за меня или против?
Если за: ну так не только среды разработки засирают, но и любые приложения в принципе. Просто потому что могут. Об этом и разговор. Но зачем тогда цитировать отрывок про ограничения?
Если против: Интегрированные среды разработки просто обязаны быть в едином пакете "всё в одном". т.е. включать в себя все элементы которые необходимы для разработки. Просто по определению. И никакой доступ к данным пользователя ему не нужен для работы. Или я не прав?ad1Dima
12.12.2017 10:30Я привел пример, когда программы на MacOS(в том числе из AppStore) не ограниченны папкой и запускают друг друга.
Frankenstine
12.12.2017 13:26+1Программа должна иметь возможность писать только в ту папку в которой она была запущена.
Возьмём, к примеру, файловый менеджер… Ой :)
ClearAirTurbulence
11.12.2017 12:48Глядишь, поколений через 100 хомячки научатся бэкапы делать, и держать рабочие файлы синхронизируемыми с облаком (если облако правильное, это дает бонусом восстановление при удалении + версионирование), а левый софт проверять антивирусом и запускать в песочнице\вм.
AllexIn
11.12.2017 14:07С каких пор облако — синоним безопасности?
senya_z
12.12.2017 04:40может, конечно, не синоним безопасности, но безопаснее или нет — это смотря с чем сравнивать. если с персональным ПК условного среднего пользователя, работающего из-под админа с отключенным UAC, антивирусом и кликающего «согласен», не читая, на любой вопрос, то я бы поставил на безопасность облака.
JC_IIB
12.12.2017 23:04Глядишь, поколений через 100 люди научатся не обзывать других людей «хомячками». Хотя… чувство превосходства, оно такое сильное. Может и 200 поколений не хватит.
Anatolt
11.12.2017 17:49Дипломная.docx в гугл диск и можно не бояться
Frankenstine
12.12.2017 13:29А потом окажется, что её пошифровал очередной криптолокер, и гугл диск просинхронизировал шифровку в облако.
Anatolt
12.12.2017 14:08если говорить конкретно о гугле — там можно откатить на предыдущую нешифрованную версию
Olsan
12.12.2017 09:21Приложения андроид работают уровнем выше от програм Windows и запускаются в среде с сравнительно ограниченым количетсвом возможных доступов. Если взять виндовс и при установке расписать глубже какие позволения нужны програме, врятли рядовым юзерам будет ясно «Прогама просит доступы: изменять системный реєстр в розделе HKEY_LOCAL_MACHINE\SOFTWARE\...., читать параметр x102as сетевых дисков, работать на Nvidia CUDA core… и тд.»
Да екзешники могут делать что от них хотят те кто их создал.
НО готовые продукты идут с Лицензией в котой все доступы, возможности и последствия, а также ответственность за них очень подробно расписаны. Именно Она (та которой мы так мало посвящаем любви и внимания при установке) в андроиде и заменена на диалоговое окно разрешений.
Если Вам повезет и браузер похерит ваши даные то судебный процес с компанией которая не указала в License Agreement что может ваши данные похерить возместит потерю многократно)
Надо как на андроиде? Пользуйтесь лицензироваными копиями с магазина windows.
Надо анроид «секюрити» — Windows 10 S к вашым услугам. За счет приложений получите то что хотите.
Rohan66
11.12.2017 11:36А DrWeb ловит? Или его не проверяли?
vilgeforce
11.12.2017 12:02Что ловит? Как писалось выше, уязвимости — не дело антивируса. Антивирус «ловит» вредоносные объекты, как правило, файлы и процессы.
dimugric
11.12.2017 11:53Полагаю, пока никто не ловит.
Но инфа на 7 декабря, может за 4 дня чему-то антивирусы научили, хз
Кстати, написал в eset со ссылкой оригинальной статьи (у меня куплен eset). Отпишусь, что пришлют
dimugric
11.12.2017 12:49+1Ответ от Eset:
Наши эксперты в курсе проблемы и работают над ее решением. На данный момент главное — установить обновление для вашей ОС Windows через Центр обновления.
Правда MS ничего на этот счёт вроде не писал, ставить всё подряд лишь бы установить всё, что есть к установке особого смысла не вижу.
yul
11.12.2017 15:47В последней был баг, из-за которого применение Process Doppelganging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.
Ну, молодцы же. Интересно, кто его зарепортил.
Sayonji
11.12.2017 17:05Поясните, пожалуйста. Цитата из первого абзаца статьи:
… уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код...
Это правда? Или только следы заметать научились?vesper-bot Автор
11.12.2017 17:29Научились скорее их не оставлять. А так — уязвимость в процедуре создания процесса из файла, если в файле выполняются транзакционные изменения, которые потом отменяются. Код подсовываешь какой угодно, да.
Sayonji
11.12.2017 17:36Хм, я снова уточню на всякий случай.
Код подсовываешь какой угодно, да.
В той же мере, что и сейчас, только истории не останется, верно? Так скажем, эта фича никак не поможет вирусу, цель которого, например, украсть какой-нибудь файл единоразово, т. к. с ним важно только поймал или нет, а если он запустился, то уже поздно. Так?vesper-bot Автор
11.12.2017 17:51В той же мере, что и сейчас, только истории не останется, верно?
Ну да, в принципе. Вот только есть такой подкласс вирусов — APT, им как раз эта техника очень поможет.
arthur_veber
11.12.2017 18:27уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelganging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.
То есть теперь вредоносный код запускается не роняя систему в «синий экран смерти»?vesper-bot Автор
12.12.2017 09:22Ну… да, вместе с тем легитимным кодом, который из-за этого бага ронял винду в синий экран.
lostmsu
11.12.2017 19:40-1Катимся сами знаете куда? Статья про уязвимость без наличия какой-либо уязвимости имеет положительный рейтинг?
YetAnotherSlava
11.12.2017 23:40А что, транзакции в NTFS еще живы, что-ли? Их ввели в Висте, а в Win7 уже пометили, как deprecated — потому что разработчики фичу не оценили.
Frankenstine
12.12.2017 13:34Действительно, транзакционная NTFS есть только в Виста+, каким образом уязвимости подвержена и ХР? либо где-то закралась ошибка, либо ХР приписали по привычке.
UPD: внизу таки говорят что это ошибка переводчика, проблема на Виста+.sumanai
12.12.2017 17:46В XP транзакции есть только у самой файловой системы, поэтому да, эта прекрасная ОС не подвержена данной уязвимости.
alexoron
12.12.2017 01:25Что-то мне кажется, скоро на пару с этой уязвимостью появятся вирусы-шифраторы и криптомайнеры.
А ведь в будущем появятся вирусы считывающие свои исходники даже из чистоустановленного реестра. Во тогда админу уйдут ребут.
New_man
12.12.2017 09:22-2Из статьи ни чего не понял… А вот по коментам только то что M$ + AntiVirus это норма. M$ — AntiVirus это дырявое корыто
teecat
12.12.2017 12:47Найдена уязвимость во всех версиях Windows
Открываем ссылку в первом абзаце
attack works on all modern versions of Microsoft Windows operating system, starting from Windows Vista to the latest version of Windows 10
gurkov_oleg
13.12.2017 09:09Можете попрще объяснить, для тормозов. Какова опасность?
Да… По сути в системе может запускаться заражённый файл и пока работает — рушить систему.
А что будет при перезагрузке компа?
Вирус по идее исчезнет как прошлогодний снег… Да даже если в Диспетчере задач в ручную закрыть запущенное непонятное приложение, ведь тоже получится что «вирус» испарится, а при новом запуске «зараженного-незараженного» файла откроется уже чистый файл… Или нет?
CaptainFlint
13.12.2017 12:07Если вирус пропишется в автозагрузку, то он сможет проделывать этот трюк при каждом включении компа.
Основная опасность с точки зрения статьи в том, что антивирусы не обнаруживают такой запуск вредоносного кода, так что даже давно известные вирусы/трояны, внесённые во все сигнатуры всех антивирусов, будут запущены без малейших препятствий. Само тело вируса может быть зашифровано, чтобы не обнаруживаться при проверке файлов. В обычном случае «запускателю» всё равно пришлось бы расшифровать/распаковать его, записать на диск и стартануть — вот тут-то антивирус и поймал бы запуск вредоносного файла. А если использовать описанный трюк, то запуск не будет отловлен (вернее, будет, но антивирус проверит не реально запущенный код, а какой-нибудь безобидный файл, не имеющий отношения к вирусу).
hackzard
Но необходимо понимать, что для реализации Process Doppelganging злоумышленник должен знать немало недокументированных и технически сложных нюансов о работе и создании процессов в системе. Может быть, она будет полезна спецслужбам, у которых и без этого есть
терморектальный криптоанализаторнеобходимые возможности.Jef239
Найдется кто такое напишет. А потом — будет продавать.
QDeathNick
Найдётся тот, кто заплатит денег (даже вперёд) тому, кто такое напишет, а потом будет продавать.
lexore
Как будто раньше для написания вирусов этого знать не надо было.