Тестируем HIPS

привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

Привет, Santy,

Почти год назад я писал похожее предложение: http://forum.esetnod32.ru/messages/forum9/topic11235/message79795/#message79795

Изначально задумка была такая:

1)      Создать запрещающие правила (без привязки к конкретной папке) на изменение файлов конкретного типа, которые обычно подвергаются шифрованию – *.doc, *.jpeg,  *.sql и т.д.
2)      Создать разрешающее правило для explorer.exe на изменение любых файлов (нужно для переименования, перемещения, удаления документов и т.д).
3)      Создать разрешающие правила для программ, которыми стандартно обрабатываются типы файлов из пункта 1 – например, разрешающее правило для редактирования файлов типа *.doc с помощью приложения Word. По аналогии - для остальных типов файлов из пункта 1.

В итоге получаем:

- пользователь может спокойно работать без всяких дополнительных запросов и уведомлений со стороны антивируса.
- при заражении шифратором – шифратор не имеет прав на изменение заданных типов файлов и шифрация не происходит.

НО есть две проблемы.

1)      Антивирус не понимает типы файлов. То есть метка *.* работает, а вот метка *.doc, к примеру, уже не воспринимается.

2)      Антивирус не позволяет задать в качестве «конечных файлов» файлы определённого типа без указания конкретного пути. Это не удобно, так как прописывать все пути, по которым теоретически пользователи могут сохранять документы совсем неудобно. Это также косвенно связано с первым пунктом, плюс с неумением антивируса воспринимать переменные в указании пути.

Касательно первой проблемы год назад разработчики писали (на примере блокировки файлов с расширениеем *.png):

>>A blocking rule that forbids writing to a file D:. successfully forbids editing of a .png file
This is per design.
>>However, a blocking rule that forbids writing to a file D:*.png does not forbid editing of such .png file
This is not possible at the moment (but it is marked as subject of future change)

Касательно использования переменных:

One of thing that will come to HIPS sooner that above is support for few user environment variables (e.g %AppData% etc), but we are not able to tell you when exactly it will happen.

Надо протестировать, изменилось ли что - то за прошедший год. Если нет, то единственный вариант использовать схему, описанную тобой, или мной по ссылке выше. Касательно урезания функций HIPS в 6-й версии сами негодуем

Валя,

идея была и есть правильная
(я вот, честно говоря, только сегодня до нее дошел, не думал что так просто можно было надежно защитить документы)

изначально можно юзеру предложить работать с документами исключительно в защищенной папке Документы.
т.е. в HIPS включена защита к примеру c:\users\Документы

c:\users\Документы\*.*


я сегодня протестировал ее на Ендпойнт 5 и EAV 8ке с помощью шифратора Kryakl CL 1.0.0.0.
что сделал: создал эти два правила, отключил постоянную защиту и защиту интернет для чистоты эксперимента.  включен только HIPS.
запустил шифратор и контролировал его работу.
на 8ке (новой 8.0.319) сработала дополнительная защита - шифратор был очищен в памяти, т.е. здесь видимо до вмешательства правил ХИПСА не дошло.
какой механизм защиты сработал - не знаю, возможно добавлена более тщательная проверка в памяти, и не факт, что это был сигнатурный детект. вообщем не знаю.

Я предположил, что этого механизма нет в Ендпойте 5, и действительно.
там тот же шифратор (при таких же условиях: отключена постоянная защита) полностью отработал, и вывесил объявление о зашифровке и выкупе, и зашифровал незащищенные папки.
а вот защищенную папку не смог зашифровать. сработала защита HIPS


вообщем, поскольку у меня у менеджеров работает в основном 5-ка, то сделаю защиту сетевых дисков, где они работают с документами.
и буду ждать такой же фишки в 6 ке кропоративной.

(пока что настроил политику ограничения запуска исполняемых файлов из архивов).
----------
потестирую еще на других шифраторах и на бетке 9.

в 9ке бетке домашней (в отличие от 6ки корпоративной) тоже есть возможность добавить в ХИПС правило защиты папки.
и тоже работает очистка в памяти при отключенной постоянной защите.

по 9ке бета.
VAULT был пропущен (при отключенной постоянной защите), т.е. очистка в памяти ничего не смогла обнаружить вредоносного, дак по сути в памяти cmd.exe висел. легальный процесс.
и по gpg.exe который был переименован в svchost.exe так же наверняка нет сигнатуры.

а ХИПС защитил папку с документами, в других папках документы были зашифрованы.

santy, спасибо!

свежий крякл установщик стали ложить в папку , а затем уже папку архивируют, чтобы обойти правила ограничения запуска из архивов.
+
еще один хитрый ход используют: тело вируса после запуска копируется в темп, но копируется не сразу полностью, а фрагментами добавляется в созданный файл, с целью избежать сигнатурного детекта при копировании, и только когда полностью файл шифратора собран в целевой папке, затем уже ему передается управление процессом шифрования.

Про возможность выбора папки в HIPS 6-й версии BE разработчики пообещали исправить этот баг в следующих версиях.

Валентин,
там действительно, скорее всего баг, потому что в поле выбора объект с тремя точками соответствует выбору каталога. и это работает при задании исключений.
по идее, неплохо было бы не только в диалоге выбирать файл или каталоги в этом поле, но и просто вносить через копи_паст (или ручной ввод) пути на каталог или отдельный файл.
--------
вот в секции "задать исключения из проверки" через три точки можно выбрать или файл или каталог,
+ можно сделать копи_паст имени файла или каталога. (или вручную его набрать с клавиатуры)
--------
судя по настройкам - расширенный модуль сканирования оперативной памяти является частью HIPS.

Changelog for Version 6.2.2021.x:
•    Added: Compatibility with Microsoft Windows 10 (RTM build 10240)
•    Added: Extended period is granted to the user, after license expiration, during which we still provide protection
•    Added: Ability to add custom text to Threat found notifications
•    Added: Disable the automatic hiding of Threat found notifications (using the Do not close malware notifications automatically setting)
•    Added: Specify a HIPS rule for a folder
•    Added: Export all log entries from the log context menu
•    Added: Exclude functionalities (such as Firewall, for example) during a command-line installation using the ADDEXCLUDE parameter instead of the ADDLOCAL parameter
•    Changed: Labels and tooltips for improved user experience
•    Changed: A link to the ESET License Administrator converter has been added to the activation dialog to ease the migration of users with licenses in older formats
•    Changed: A newly defined password can be viewed only until the dialog is closed or saved. Afterwards, only a placeholder is displayed.
•    Fixed: The ability to change settings defined by an ESET Remote Administrator policy by reverting to default settings from within an ESET Endpoint product
•    Fixed: The disabling of NAP during installation
•    Fixed: Default firewall rules present in ESET Endpoint product even after an ESET Remote Administrator policy is applied
•    Fixed: Incorrect display of multiple licenses in the activation window when activating using a security admin account that manages multiple licenses
•    Fixed: If Web Access Protection is not installed during a custom installation, Web control is non-functional
•    Fixed: Real-time protection stability, various performance issues, and conflicts with some third-party applications
•    Improved: Internal product security

Changelog for Version 5.0.2248.x:
•    Added: Compatibility with Microsoft Windows 10 (RTM build 10240)
•    Added: Extended period is granted to the user, after license expiration, during which we still provide protection
•    Improved: Backport of several real-time protection stability and performance fixes from Endpoint 6
•    Fixed: Compatibility issue with third-party software that blocked creation of Windows Scheduler tasks

о, отличная новость, сразу два корпоративных продукта обновились, завтра протестирую HIPS в новой редакции на шифраторах.
---------------
хотелось бы визуально видеть в списке правил как фаерволла там и HIPS
для входящих и исходящих соединений;
разрешающие и блокирующие правила;

в Endpoint 5 есть визуальное отличие между исходящими и входящими соединениями (иконки - стрелки)
и между действиями: разрешающими, блокирующими (красные крестики, зеленые галки)

имхо, зря это убрали разработчики в 6 версии.