Тестируем HIPS

RSS
привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

Ответы

на 6.2 при отключенной постоянной защите
и при отключенном расширенном модуле сканирования в памяти
сработала очистка в оперативной памяти Крякла, т.е. до шифрования файлов не дошло.

Цитата
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация
31.07.2015 11:40:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\Documents and Settings\safety\Local Settings\Temp\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;
31.07.2015 11:40:01;Модуль сканирования файлов, исполняемых при запуске системы;файл;C:\Program Files\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;

а вот VAULT (js) запустился, и благополучно обошел проверку в памяти, и зашифровал документы, за исключением тех папок, которые были защищены правилом в HIPS.
(c:\doc)
(надо проверить еще vault в режиме включения расширенного модуля сканирования памяти -обойдет или нет)


Цитата
Время;Приложение;Операция;Объект;Действие;Правило;Дополнительная информация
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\акт.pdf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\акт.pdf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
+
включение в HIPS расширенного модуля сканирования памяти не помогло. ВАУЛТ все равно обошел проверку.
Изменено: santy - 31.07.2015 08:35:31
по VAULT:
1. блокирование в HIPS записи и удаления pubring.gpg в %TEMP% юзера вырубает процесс шифрования.
2. можно разрешить эти действия для определенных приложений.
3. блокирование записи и удаления для определенной папки (..dir\*.*) защищает все файлы в данной папке от изменения и удаления.
4. ъх, хорошо бы можно было задавать маску для файлов (dir\pub*.*) и относительный путь %TEMP% для файлов, тогда бы не было цены HIPS
поскольку правила без относительных путей %dir% невозможно раскатить на много машин через сервер ERA


но в принципе, это стоит проверить в HIPS: будет работать защита каталога, если указан относительный путь или нет.
Изменено: santy - 14.08.2015 12:26:16
Shanty, о какой версии продукта речь? Было дело по пятой корпоратив отписывал в поддержку, а вот шестерку особо не тестил, хотя заметил, что правила изменились.
Цитата
NickM написал:
Shanty, о какой версии продукта речь? Было дело по пятой корпоратив отписывал в поддержку, а вот шестерку особо не тестил, хотя заметил, что правила изменились.
NickM, речь о шестерке. 6.2.
в предыдущей версии 6.1 была недоработка в редакторе HIPS, когда нельзя было задать в правилах защиту от удаления, и модификации для каталога. Надо было указать имя файла, причем, обязательно существующего файла, через выбор его пути из диалога. (крайне неудобная процедура.)

сейчас можно выбрать имя каталога, и добавить в поле редактирования имя файла.

так же сейчас можно в поле редактирования ввести и полный путь файла, и путь на папку (и тем защитить их в том числе и от шифраторов).

чего не хватает сейчас, так это возможности задать относительный путь %TEMP%, чтобы хипс это понимал. При наличии сотни и более машин в домене, каждому юзеру не пропишешь его учетку, тем более часто бывает, что садится новый человек уже под новой учеткой работает.

а так же не хватает для гибкости правил возможность задавать имя по маске: pub*.* или \*.exe, \*.js
-----------
раз система это понимает (в правилах ограниченного запуска программ можно так прописывать файлы и каталоги), то и антивирус научить этому думаю не сложно.
Все эти шифраторы попадают в систему только посредством эл. почты, то есть, социальной инженерии, когда жертву удаётся убедить, что тут неопасно?

Уже давно читаю здесь, что люди пострадали от этих шифраторов, и тем не менее продолжают открывать письма и запускать приложенные файлы, не будучи уверенными в их происхождении.

Или у этих зловредов есть ещё какой-то путь проникновения?
люди в данном случае разные,
одним достаточно одного раза зашифровать документы, чтобы они перестали открывать в почте все подряд, другим 10 раз надо зашифровать, тогда начнут что-то понимать.
VAULT, Crjakl, CTBlocker  распространяются через вложения исполняемых файлов в архивах, just - через внедреннные объекты в документы (в рассылках почты), xtbl - возможно через браузеры.
почта в данном случае удобна тем, что позволяет гарантированно выполнить целевые рассылки.
а большой объем ежедневной почты например для менеджеров  + грамотно составленный соц_инженерами тест значительно снижает у них барьер осторожности.
странные вещи выяснились сегодня.
на v6 HIPS не блокирует сетевые папки если они указаны в правилах по защите от удаления или модификации файлов таким образом: U:\*.*, N:\*.*
здесь U, N  - это смонтированные как диски сетевые папки.
возможно надо указывать полный сетевой путь на защищаемую папку с документами.
Цитата
\\server\полный путь на папку\*.*
защищены подобными правилами только локальные папки физических дисков.

проверю еще раз завтра, а так же проверю, работают ли эти правила для v 5 Endpoint.
если не работают, то очень плохо, для домашних версий может быть и достаточно защиты локальных папок, а вот для корпоративных версий здесь что-то не так.
можно конечно переложить защиту папок на серверный антивирус, но часто файловые сервера могут быть и не на win платформе.
Изменено: santy - 19.08.2015 18:14:25
на пятерке Endpoint правила работают и для сетевых дисков:
20.08.2015 8:29:25 C:\Program Files\Far\Far.exe Получить доступ к файлу \\server\f\users\user\Documents\DATA\MTB.txt определенный доступ заблокирован block access to folder doc Удалить файл
при этот антивир  правильно транслирует букву смонтированного диска в полный сетевой путь (и имя файла)

20.08.2015 8:41:24 C:\Program Files\GNU\GnuPG\gpg.exe Получить доступ к файлу E:\Data\test\август.xlsx.gpg определенный доступ заблокирован block access to folder doc Выполнить запись в файл
и все таки для сетевых дисков видимо правильнее записывать в правило блокирования не имя смонтированного диска, а  полный сетевой путь к документам
Цитата
20.08.2015 8:46:29 C:\Program Files\GNU\GnuPG\gpg.exe Получить доступ к файлу \\server\f\users\user\Documents\DATA\block_list\Н****\block_addr_social.txt.gpg определенный доступ заблокирован block access to folder doc Выполнить запись в файл
20.08.2015 9:00:27 C:\Program Files\GNU\GnuPG\gpg.exe Получить доступ к файлу \\server1\public\folder1\12.txt.gpg определенный доступ заблокирован block access to folder doc Выполнить запись в файл

шифрованный файл не был создан, и соответственно данное правило не разрешит удаление исходного файла.
------------------------

хм, а вот шестерка Endpoint (6.2) не умеет так работать.
не понимает сетевые пути (и тем более буквы сетевых дисков).
возможно блокировать только локальные папки. И это не есть хорошо. Все таки это корпоративный продукт, а не для домашнего пользования. Должен уметь работать с сетевыми ресурсами.
Изменено: santy - 20.08.2015 06:45:04
>>>хм, а вот шестерка Endpoint (6.2) не умеет так работать.
NickM,
здесь по идее не должно быть разницы какой ресурс соответствует сетевому пути: или эта шара или это смонтированный диск.
Если Endpoint 5 умеет определить по букве смонтированного сетевого диска его сетевой путь, то что мешает endpoint 6.2 сделать это.
---------
видео -примеры,записаны в увскамере:
Endpoint 6.2
и
Endpoint 5.0
Изменено: santy - 21.08.2015 16:13:51
кстати,  в 6.2 еще и импорт кривой из файлов в блок-листы URL
вместо адреса *янке.рф/*     добавляетcя строка *./*
Читают тему (гостей: 3)