Фаервол от разработчика uVS

1
RSS
http://dsrt.dyndns.org:8888/download.htm

Ф - это фаервол, поддерживается IPv4 и IPv6 одновременно. Ф. в отличии от устаревших фаеров способен сопоставлять доменные имена и IP адреса.
Вы можете фильтровать трафик используя доменные фильтры вместо IP адресов.
⚠ Майкрософт не желает видеть на рынке независимых производителей драйверов поэтому Ф работает исключительно с включенной опцией "Test signing", позволяющей загружать самоподписанные драйвера.
⚠ Игры с некоторыми античит движками не запускаются с этой опцией, если для вас это критично то НЕ устанавливайте Ф.
⚠ При включении "Test signing" для некоторых версий Windows на рабочем столе отображается надпись о том, что Windows работает в тестовом режиме.
⚠ Фаервол бесплатный для личного использования, но имеются региональные ограничения.
------
Читаем внимательно файл readme.txt перед началом использования Ф.
"Фаервол полностью закончен и протестирован, выложил бесплатную версию"
---------------------------------------------------------
Ф v1.12 [15.11.2022]
---------------------------------------------------------
Цитата
Ф - это фаервол, поддерживается IPv4 и IPv6 одновременно.
Вы можете фильтровать трафик используя доменные фильтры вместо IP адресов.
В отличии от давно устаревших "современных" фаерволов вы можете легко обеспечить узкий круг разрешенных доменных адресов для любого приложения, включая системные процессы и даже svchost,
что физически невозможно для любого другого фаера.
Благодаря доменным фильтрам вы сможете ограничить выделенный браузер например для работы с финансовыми инструментами и вам не нужно будет
ежечасно добавлять новые IP адреса в белый список. В итоге браузер не сможет отправлять данные и статистику о ваших действиях даже разработчику,
отправка данных на адреса за пределом четко описанного фильтрами круга доменных имен невозможна.
(!) Майкрософт не желает видеть на рынке независимых производителей драйверов поэтому Ф работает исключительно с включенной опцией "Test signing", позволяющей загружать самоподписанные драйвера.
---------------------------------------------------------
Ф(аервол) 1.40 от 24.05.2023
---------------------------------------------------------
Цитата
o Исправлена программа установки, в некоторых случаях не удавалось удалить драйвер.

o В окно приложений добавлена информация:
   о дате/времени последнего запроса в сеть, попавшего в лог.
   о текущем типе доступа приложения в сеть.

o В окно настройки фильтров приложения добавлены кнопки:
   o Путь - открывает каталог с файлом
   o Версия - открываeт свойства файла

o В контекстное меню списка запросов окна настройки фильтров приложения добавлен пункт "Открыть адрес в браузере".

o Для приложений не найденных на диске теперь отображается крест вместо иконки.

o Исправлена ошибка из-за которой приложения, имеющие записи в логе, но отсутствующие на диске не отображались в режиме
  отображения удаленных приложений.

o Обновления драйвера при переходе с версии 1.31 не требуется.
Пока в стадии бета
Цитата
---------------------------------------------------------
2.00
---------------------------------------------------------
o Добавлены дополнительные функции повышающие уровень защиты от повреждения и утечки данных:
  o История запуска процессов с момента старта системы.
  o Защита от внедрения потоков в процессы, в т.ч. и опциональная активная защита,
    прерывающая внедрение потока на этапе его создания с информированием о процессе.
    (!) Не рекомендуется использовать эту функцию в Windows 7.
  o Добавлены параметры процессов. Процессам можно запрещать запуск, разрешать внедрение потоков
    или включить информирование при запуске конкретного процесса.
    (например cmd.exe, что часто является признаком активности зловреда)
  o Установка прав доступа к каталогам (например для защиты файлов от шифровальщиков или утечки данных).
    В том числе можно разграничить права доступа на уровне приложений.
    Поддерживается настраиваемый лог операций для каждого каталога.
  o Защита каталогов приложений от модификации сторонними приложениями.
  o Защита файла драйвера, усилена защита файла фильтров.
  o Защита параметров запуска служб BFE, FltMgr.
  o Защита от запуска svchost зловредами.
  o Защита настроек паролем.
  (!) О влиянии новых функций на производительность см. readme, по умолчанию все доп. функции
  (!) влияющие на производительность отключены. Для их активации перейдите в окно настройки, после
  (!) чего потребуется перезагрузить компьютер.

o Драйвер Ф теперь загружается раньше, до старта BFE.

o Добавлена функция сохранения и восстановления настроек, в т.ч. можно переносить все настройки
  на другой компьютер. (кроме наименования и размера шрифта, которые хранятся в F.ini).

o Исправлена ошибка первоначальной регистрации фильтров в новой системе.
----------------
Для тестирования были использованы каталог с тестовыми файлами, каталог запуска фаервола и каталог запуска uVS. В предыдущем тесте Lockbit v3 шифровал все файлы в каталоге uVS за исключением исполняемых *.exe и это приводило к завершению контрольного процесса uVS.

Настройка защиты каталогов достаточно удобна. Можно запретить запись (или доступ) в данный каталог, и предоставить различные права доступа для определенных процессов, или полный доступ для приложения, которое запускается из данного каталога.

По результату нового запуска сэмпла Lockbit v3 были зашифрованы файлы во всех каталогах, за исключением защищенных. При этом после самоудаления сэмпла процессы uVS и Ф продолжали работать и зафиксировали в логах запуск процесса шифрования, все безрезультатные попытки добавить записку о выкупе,  и перезаписи оригинальных файлов зашифрованными копиями.

Проверил сегодня защиту каталогов  дополнительно  на сэмплах  crysis(*onion), FONIX(*RYUK), Crylock v2, Conti(*RUSSIA), LokiLocker, aesni_april

Никому не удалось прорваться в защищенные каталоги. (Lockbit делал 6 попыток записи файлов, Crylock - дважды)

А комбинация uVS+Fv очень удачная для наблюдения за поведением шифровальщика.

FV фиксирует сетевую активность всех процессов. Интересно было наблюдать за поведением AES_NI (*aes_ni_0day). После запуска сэмпл самоудалился, но при этом запустил системный svchost.exe из SysWOW64, внедрил в него несколько потоков, svchost.exe попытался выйти во внешнюю сеть.



Далее шифрование пошло из под процесса SysWOW64\svchost.exe,  После завершения шифрования процесс SysWOW64/svhost.exe  остается активным. Т.е. все добавленные новые файлы будут зашифрованы. Перед расшифровкой файлов (для AES_NI есть универсальный дешифратор) через uVS заморозил все потоки. Шифрование новых файлов прекратилось.

Update: В настройках фаервола добавилась блокировка запуска svchost.exe вредоносами,  "aes_ni_april" при этом изменил свое поведение: не смог запустить процесс SysWOW64\svchost.exe, чтобы добавить в него вредоносные потоки шифровальщика, процесс "aes_ni" сохранился, в него были добавлены потоки, шифрование продолжилось, но защищенные каталоги не были затронуты шифрованием.
1
Читают тему