Ultimativna antivirus tema - P&O izdvojena tema

poruka: 48.161
|
čitano: 5.973.968
|
moderatori: pirat, Lazarus Long, XXX-Man, vincimus
+/- sve poruke
ravni prikaz
starije poruke gore
11 godina
offline
Re: Ultimativna antivirus tema - P&O
Marko :D kaže...

Nećeš vjerovati kad ti ovo kažem, ali situacija više nije kao što je nekad bila. Defender se pretvorio u odličan sigurnosni paket koji čak i na zadanim postavkama obavlja posao odlično. Kada nekome instaliram Windowse i namještam zaštitu, sve što trebam napraviti je uključiti blokiranje PUP/PUA i to je više manje to.

 

Kad se koristi samo s virusnim definicijama, slabašan je baš ka2o i svaki drugi antivirusni program. Virusne definicije ne mogu pratiti nove varijante koliko se one brzo mogu pojavljivati. Zato se koristi oblak i još neke sitnice. Dakle, ako virus ne detektira skeniranjem, detektirat će ga prilikom pokretanja nakon provjere u oblaku. Ovo čisto skeniranje sa isključenom zaštitom više nema smisla jer se tu oslanja samo na virusne definicije, ništa više. Tako se zaštita testirala nekada kada su se antivirusni programi oslanjali isključivo na definicije i nisu imali nikakve dodatne module zaštite. Danas to naprosto više nema smisla.

 

Jedini ispravan način za testiranje antivirusnog programa jest da je isti uključen, te onda pokušaj inficiranja sustava. Ovo kako se testira na YouTube-u (da se ugasi AV, skine hrpa programa i onda skeniraje mape) je doslovno krivi način jer ti antivirusni program nikada (ili jako, jako rijetko) ćeš imat potrebu gasiti, pa je samim time takva situacija nerealna i nemoguća. 

 

Da se vratim na temu; za Defender ne koristim nikakve konfiguratore ili programe trećih strana, namjestim ga samo kroz njegove vlastite postavke i možda GPE nešto (rijetko kada). Uz to, dodam uBlock Origin i to je više manje to. Još mi se nitko nije javio da ima nekakvih problema ili da misli da mu je računalo zaraženo. Ako netko baš hoće dodatnu zaštitu, za svaki slučaj, namjestim mu Quad9 DNS ili 1.1.1.1 Family.

 

Možda si me krivo razumio. Htio sam upravo to reći, da statički scan na vreću danas nije neki pokazatelj dali je AV dobar ili ne, pa činjenica da MS Defender ima dobre rezultate na njima ne znači da je sveukupno dobar. (Znam da nisi rekao da je dobar samo zbog toga, ali ističem tu činjenicu generalno)

 

Kao što sam u prošlom postu napisao: "Svaki imalo ozbiljni malware rutinski zaobilazi MS Defender, inače nebi ni bio pušten u opticaj."

 

Dakle novi ransomware za kojeg nema još definicija... pogledaš testove na YouTubeu ili drugim forumima, MS Defender nije baš sjajan. Ali to je i za očekivati. Malware autor nebi pustio ransomware u opticaj ako ne može zaobići ni MS Defendera. Dakle to im je nakakav minimum kojeg njihov malware mora moći da bi ga uopće distribuirali.

Daleko od toga da je MS Defender loš, dosta su ga unaprijedili i to je dobro. Podiže ljestvicu ispod koje ostali ne smiju pasti. Ako je neki AV ispod toga -> nema ga smisla koristiti, imaš MS Defender besplatno kao opciju.

 

Ali pogledaš testove na izvršavanje nepoznatog malwarea, pogledaš testove performansi (tj. utjecaj na performanse kompjutera) i vidiš da postoje alternative koji su bolji u oba pogleda. Za mene se onda postavi pitanje zašto onda koristiti MS Defender.

 

Kaspersky free je trenutno najbolji u tom pogledu.

Bitdefender je bio odlična alternativa za obitelj. Nažalost više nije opcija.

Naravno da im možeš staviti MS Defender, ali objektivno dobivaju lošiju zaštitu, ne lošu, nego lošiju nego bi sa recimo sa Bitdefenderom. Zato je stvarno šteta što ga miču, barem iz mog gledišta, ali razumijem ih sa financijske strane. Tako je kako je.

Veliki AV test labovi daju jednu sliku, ali kada ih ljudi počnu sami testirati na razne stvari, ispadne druga slika.

Opet, ne pljujem po Microsoftu, dobru su stvar napravili i rade dalje na tome, palac gore. Ali imaju još dugačak put prije nego sustignu neke druge. Tako ja barem vidim stvari.

 

 

Btw i Sophos Home besplatna verzija isto ide u povijest.

Btw 2 testovi na malwaretips forumu su pokazali da Quad9 DNS i slični su obično dosta loši protiv malware linkova. Neki su dobri protiv phishinga, ali za to postoje i browser addoni ako se želi nadopuniti zaštita od AV-a protiv phishinga. (uglavno korisno za neiskusne korisnike, za nas phishing ne predstavlja ozbiljnu opasnost)

 

 

Nadopuna: andi je napisao da mnogi korisnici nisu rizična skupina pa im ne treba bolje ... pa, ne znam baš. Može se proći sa MS Defenderom i nikad ne pokupiti malware. Ali vjerojatnost je veća nego kod nekih drugih AV-ova. MS Defender je osobito loš protiv skripti koji se recimo izvrše u PowerShellu, Windows Script Host, dll injection, process hollowing, fileless malwarea i tako. MS Defender nije loš per se. Ali ako uzmemo u obzir da neki drugi štite bolje od toga uz čak bolje performanse na kompjuteru ... za mene su druge opcije jednostavno bolje.

 

Poruka je uređivana zadnji put čet 23.12.2021 23:14 (njonji).
11 godina
offline
Re: Ultimativna antivirus tema - P&O

Kolega, ni jedan antivirusni program samo definicijama te neće zaštititi od ransomwarea, ni Kaspersky, ni Windows Defender. Zato su tu drugi moduli zaštite koji, uz virusne definicije, pomažu u zaštiti sustava. Windows Defender ima modul zaštite koji štiti upravo od ransomwarea i samo potvrđeno sigurnim aplikacijama daje pristup mapama koje ti sam odabereš. Dakle, bez obzira na to što nema ransomware u bazi, isti ne može šifrirati datoteke ako je ta opcija uključena jer nepoznatim programima pristup je automatski blokiran.

 

Nadalje, ni drugi antivirusni programi nisu imuni na kojekakve maliciozne PowerShell skripte, DLL injection i slične napade. Ako misliš da će te jedan Kaspersky ili bilo koji drugi antivirusni program zaštititi od istih neće. Također, valja napomenuti da u stvarnom svijetu istima se gotovo nemoguće zaraziti osim ako to ne želiš. Zašto? Nitko normalan neće ić na internet i pokretati nepouzdane PowerShell skripte, najmanje tipični korisnici koji ni ne znaju što je PowerShell. Onaj koji to radi ni ne zalužuje drugo nego da se zarazi. WSH se isključi vrlo lako; ja kao napredni korisnik računala ne vidim apsolutno nikakvu primjenu istog i, kao što rekoh, isti se isključi u par klikova. Time si eliminirao i te napade bez instalacije Kasperskog ili nekog drugog antivirusnog programa. Sanše da ćeš biti žrtva DLL injectiona i ostalih manje običnih načina zaraze su ravne nuli. I to iskreno mislim jer, ponavljam, time se ne možeš zaraziti normalnim korištenjem računala i interneta. Jedino ako baš tražiš način da zaraziš računalo, u tom slučaju zarazit ćeš računalo imao ti instaliran najbolji antivirusni program ili ne.

 

Windows Defender ima jednu prednost koju svi drugi antivirusni programi nemaju, a to je kompatibilnost. Isti je 100% kompatibilan s Windowsima i gotovo nikada ne izaziva nikakve probleme. Nije rijetkost da antivirusni programi trećih strana izazivaju BSOD ili da korisnici ne mogu nadograditi sustav jer eto, antivirusna kompanija nije prilagodila svoj program.

 

No da ne bi bilo kako samo hvalim Defender; ne sviđa mi se UI, bugovit je svugdje gdje se okreneš, a ni po performansama nije prvak. ALI ni jedno od toga se ne osjeti u svakodnevnom radu na računalu, doslovno. I nije baš da ćeš svaki dan otvarati Defender; nećeš svaki dan naletit na neki virus, a nije ni baš da ćeš non stop seliti datoteke veličine nekoliko stotina GB. To su činjenice. Upravo zbog svega spomenutog Defender se tipičnim, a i naprednim korisnicima nameće kao najbolji izbor; stvara uvjerljivo najmanje probleme i najbolje poznaje Windowse od bilo kojeg drugog antivirusnog programa.

Poruka je uređivana zadnji put pet 24.12.2021 0:04 (Marko :D).
11 godina
offline
Re: Ultimativna antivirus tema - P&O
Marko :D kaže...

Nitko normalan neće ić na internet i pokretati nepouzdane PowerShell skripte, najmanje tipični korisnici koji ni ne znaju što je PowerShell.

...

Sanše da ćeš biti žrtva DLL injectiona i ostalih manje običnih načina zaraze su ravne nuli. I to iskreno mislim jer, ponavljam, time se ne možeš zaraziti normalnim korištenjem računala i interneta.

 

Maliciozni code je taj koji koristi te tehnike tipa izvršavanje naredbi u PowerShellu, ne ideš ti ručno skidati skripte i pokretati ih. To se odvija automatski kada maliciozni code (tj njegov dropper dio) pozove PowerShell ili slično kako bi skinuo i pokrenuo sami malware kojeg autor te malware kampanje postavi i po potrebi mijenja... trojan, keylogger, ransomware ili šta već za šifriranje, špijunažu ili slično.

Ako malware koristi process hollowing, dll injection ili drugu tehniku da umetne svoj code u windowsov process, onda sumnjam da će te Defenderov modul zaštititi jer praktički explorer / notepad / svchost/ kojigod windowsov process je taj koji vrši šifriranje.

Upravo zaštita od tih tehnika je gdje MS Defender kaska. Kao što rekoh, da malware nemože to postići pokraj default AV-a MS Defendera, nebi ni bio pušten u opticaj.

 

Korisnici su se itekako zarazili običnim korištenjem interneta.

 

Drive-by download je jedna od metoda gdje nemoraš ništa kliknuti.

Adblocker će spriječiti većinu takvih jer se mnogi šire kroz malvertising. Ali može biti i maliciozni code (recimo javascript koji onda skida / radi druge stvari) na inače legitimnoj stranici, recimo ako stranica koristi Wordpress sa ranjivim Pluginom.

Danas su mnoge rupe zakrpane pa je to teže, ali nije nemoguće.

Evo baš aktualan primjer sa log4j ranjivosti, nemoraš ništa napraviti, malware autori iskoriste rupu. Naravno, vrlo rijetki ovdje se trebaju brinuti baš o log4j, koristim to samo kao primjer.

 

Mnogi primaju email sa raznim Word/Excel datotekama sa malicioznom skriptom u njima. Za neiskusne to je isto normalno korištenje interneta kroz koje se mogu zaraziti.

 

Kako AV zaštita napreduje, programi bivaju zakrpani i slično, šanse padaju i to je dobro. Kao što rekoh, možeš imati MS Defender i nikad ne pokupiti malware. Ali šansa je veća nego kod nekih drugih.

Ja samo znam da čim se otkrije nova ranjivost, malware autori prvo budu sigurni da mogu zaobići MS Defender i onda ga šalju u opticaj. Zato osobno želim više od osnovne zaštite.

 

To u vezi stabilnosti priznajem je validan kriterij. Jedan od kriterija.

Ali isto tako se ni BSOD niti update na novu major verziju Windowsa ne događa svaki dan.

Na kraju svatko će sam procijeniti na koje stvari više polaže vrijednost ili im daje prioritet.

 

Što više MS Defender napreduje, to više podiže ljestvicu minimum zaštite i vrši pritisak na druge AV kompanije i to je dobro za sve korisnike.

Osim možda kada nam ukinu free rješenja (Sophos i Bitdefender) :P

 

Poruka je uređivana zadnji put pet 24.12.2021 2:39 (njonji).
11 godina
offline
Re: Ultimativna antivirus tema - P&O
njonji kaže...

Maliciozni code je taj koji koristi te tehnike tipa izvršavanje naredbi u PowerShellu, ne ideš ti ručno skidati skripte i pokretati ih. To se odvija automatski kada maliciozni code (tj njegov dropper dio) pozove PowerShell ili slično kako bi skinuo i pokrenuo sami malware kojeg autor te malware kampanje postavi i po potrebi mijenja... trojan, keylogger, ransomware ili šta već za šifriranje, špijunažu ili slično.

Ako malware koristi process hollowing, dll injection ili drugu tehniku da umetne svoj code u windowsov process, onda sumnjam da će te Defenderov modul zaštititi jer praktički explorer / notepad / svchost/ kojigod windowsov process je taj koji vrši šifriranje.

Upravo zaštita od tih tehnika je gdje MS Defender kaska. Kao što rekoh, da malware nemože to postići pokraj default AV-a MS Defendera, nebi ni bio pušten u opticaj.

Takav malware je iznimno rijedak i šanse da naletiš na njega su kao da se zaraziš na Linuxu, vjerojatno i manje. 

 

I dalje tvrdim—Defender ima puno dublji pristup sustavu od bilo kojeg antivirusnog programa treće strane. Pa ako Defender ne može zaštititi od takvih napada, kako će tek Kaspersky, Sophos i Bitdefender?

njonji kaže...

Drive-by download je jedna od metoda gdje nemoraš ništa kliknuti.

Adblocker će spriječiti većinu takvih jer se mnogi šire kroz malvertising. Ali može biti i maliciozni code (recimo javascript koji onda skida / radi druge stvari) na inače legitimnoj stranici, recimo ako stranica koristi Wordpress sa ranjivim Pluginom.

Danas su mnoge rupe zakrpane pa je to teže, ali nije nemoguće.

Evo baš aktualan primjer sa log4j ranjivosti, nemoraš ništa napraviti, malware autori iskoriste rupu. Naravno, vrlo rijetki ovdje se trebaju brinuti baš o log4j, koristim to samo kao primjer.

 

Mnogi primaju email sa raznim Word/Excel datotekama sa malicioznom skriptom u njima. Za neiskusne to je isto normalno korištenje interneta kroz koje se mogu zaraziti.

Pogledaj malo novija pravila u popularnim ad blocker filterima. Dakle, po novom se blokiraju skripte koje dolaze s nepoznatih i nesigurnih stranica. Dodatno, blokira se većina toga s nastavka kao što su .xyz i sadrže random znakove u imenu skripti i putanji do skripte. Time je rizik od drive-by zaraze znatno umanjen, kao i malvertising. Dodatno se za zaštitu može koristiti i DNS koji će također blokirati najnovije prijetnje u realnom vremenu.

 

I tu se opet vraćamo na ransomware. Jer dvije najčešće vrste zlonamjernog sadržaja koje se dijele u mailovima su phishing stranice i ransomware.

njonji kaže...

Kako AV zaštita napreduje, programi bivaju zakrpani i slično, šanse padaju i to je dobro. Kao što rekoh, možeš imati MS Defender i nikad ne pokupiti malware. Ali šansa je veća nego kod nekih drugih.

Ja samo znam da čim se otkrije nova ranjivost, malware autori prvo budu sigurni da mogu zaobići MS Defender i onda ga šalju u opticaj. Zato osobno želim više od osnovne zaštite.

Volio bih vidjet tu neku realnu statistiku koja mi to govori. Bez ikakve statistike i nekakvih dokaza, teško je povjerovati u ove tvrdnje. Činjenica je da je danas manje zaraženih računala nego ikad prije zahvaljujući Microsoftovoj zaštiti. 

 

Ovaj forum je doslovno utihnuo otkad je Microsoft uveo Defender i namjestio ga da pruža odličnu zaštitu.

Poruka je uređivana zadnji put pet 24.12.2021 9:47 (Marko :D).
11 godina
offline
Re: Ultimativna antivirus tema - P&O
Marko :D kaže...

Takav malware je iznimno rijedak i šanse da naletiš na njega su kao da se zaraziš na Linuxu, vjerojatno i manje.

I dalje tvrdim—Defender ima puno dublji pristup sustavu od bilo kojeg antivirusnog programa treće strane. Pa ako Defender ne može zaštititi od takvih napada, kako će tek Kaspersky, Sophos i Bitdefender?

 

Fileless malware je u usponu, po nekim statistikama ove godine za 900% u odnosu na prošlu  https://www.google.hr/search?q=fileless+malware+prevalence

A takvi koriste tehnike poput navedenih. Mnogi testovi pokazuju da Kaspersky, Bitdefender itd imaju bolju zaštitu protiv njih. Naravno klasični malware je vjerojatno još uvijek zastupljeniji jer ga je lakše za napraviti.

To zašto Microsoft ne štiti jednako dobro ili ima gore performanse nego neki drugi unatoč tomu što ima navodno dublji / bolji pristup sustavu - moraš pitati njih.

 

Marko :D kaže...
Pogledaj malo novija pravila u popularnim ad blocker filterima. Dakle, po novom se blokiraju skripte koje dolaze s nepoznatih i nesigurnih stranica. Dodatno, blokira se većina toga s nastavka kao što su .xyz i sadrže random znakove u imenu skripti i putanji do skripte. Time je rizik od drive-by zaraze znatno umanjen, kao i malvertising. Dodatno se za zaštitu može koristiti i DNS koji će također blokirati najnovije prijetnje u realnom vremenu.

 

U mom primjeru zaražene Wordpress stranice, radi se o legitimnoj i do tada sigurnoj stranici.

Naravno da adblockeri danas pomažu protiv mnogo toga, to sam već napisao i oduvijek i tvrdio da je danas adblocker manje-više obavezan

Prema nekima na malwaretips forumu, te DNS usluge / filteri nisu tako dobri protiv malwarea, niti baš realtime jer im za propagaciju kroz globalnu mrežu treba vremena kada / ako uopće otkriju malware. Tako da su tu AV kompanije bolje (njihov cloud lookup je realtime sa daleko boljom detekcijom).

 

Marko :D kaže...
Volio bih vidjet tu neku realnu statistiku koja mi to govori. Bez ikakve statistike i nekakvih dokaza, teško je povjerovati u ove tvrdnje. Činjenica je da je danas manje zaraženih računala nego ikad prije zahvaljujući Microsoftovoj zaštiti.

Ovaj forum je doslovno utihnuo otkad je Microsoft uveo Defender i namjestio ga da pruža odličnu zaštitu.

 

Istina, danas je manje zaraženih sa Defenderom nego prije jer se poboljšao. Kao što rekoh u prošlom postu, to je dobra stvar.

Kakvu statistiku tražiš? Da se računala sa MS Defenderom zaraze? Googlaj. Zar misliš da će netko uložiti trud i novac za razvijanje / unajmljivanje malwarea i njegove distribucije samo da bi odmah zakazao na default Defenderu jer ga nije testirao hoće li ga detektirati?

Koliko sam čitao, neki malware autori čak imaju neku svoju verziju dark-virustotala, gdje se rezultati naravno ne dijele sa AV kompanijama, nego se prvo testira koliko ih se može zaobići prije nego malware kampanja krene. Naravno ne svaki, nego oni koji si to mogu priuštiti.

Opet, Defender je dobar - bolji nego prije, ali postoje bolji. Ali ok, svakomu svoje.

 

Da, ova tema je utihnula, kako zbog životnih obaveza, tako i zasićenosti testiranjem na vreće koje više nisu mjerodavne, a napredni testovi traže više vremena i truda kojeg nakon ovoliko godina više nismo spremni uložiti.

Tako da samo postamo nove zanimljivosti kada se pojave. Ništa loše u tome. Cilj teme izvorno i nije bio nužno najnoviji test na malware.

 

Nemoj me krivo razumiti kao da te napadam. Tu smo jer se zanimamo za ovu tematiku i lijepo je razmijeniti različita mišljenja.

Poruka je uređivana zadnji put pet 24.12.2021 18:52 (njonji).
6 tjedana
protjeran
offline
Re: Ultimativna antivirus tema - P&O
njonji kaže...
Marko :D kaže...

Takav malware je iznimno rijedak i šanse da naletiš na njega su kao da se zaraziš na Linuxu, vjerojatno i manje.

I dalje tvrdim—Defender ima puno dublji pristup sustavu od bilo kojeg antivirusnog programa treće strane. Pa ako Defender ne može zaštititi od takvih napada, kako će tek Kaspersky, Sophos i Bitdefender?

 

Fileless malware je u usponu, po nekim statistikama ove godine za 900% u odnosu na prošlu  https://www.google.hr/search?q=fileless+malware+prevalence

A takvi koriste tehnike poput navedenih. Mnogi testovi pokazuju da Kaspersky, Bitdefender itd imaju bolju zaštitu protiv njih. Naravno klasični malware je vjerojatno još uvijek zastupljeniji jer ga je lakše za napraviti.

To zašto Microsoft ne štiti jednako dobro ili ima gore performanse nego neki drugi unatoč tomu što ima navodno dublji / bolji pristup sustavu - moraš pitati njih.

 

Marko :D kaže...
Pogledaj malo novija pravila u popularnim ad blocker filterima. Dakle, po novom se blokiraju skripte koje dolaze s nepoznatih i nesigurnih stranica. Dodatno, blokira se većina toga s nastavka kao što su .xyz i sadrže random znakove u imenu skripti i putanji do skripte. Time je rizik od drive-by zaraze znatno umanjen, kao i malvertising. Dodatno se za zaštitu može koristiti i DNS koji će također blokirati najnovije prijetnje u realnom vremenu.

 

U mom primjeru zaražene Wordpress stranice, radi se o legitimnoj i do tada sigurnoj stranici.

Naravno da adblockeri danas pomažu protiv mnogo toga, to sam već napisao i oduvijek i tvrdio da je danas adblocker manje-više obavezan

Prema nekima na malwaretips forumu, te DNS usluge / filteri nisu tako dobri protiv malwarea, niti baš realtime jer im za propagaciju kroz globalnu mrežu treba vremena kada / ako uopće otkriju malware. Tako da su tu AV kompanije bolje (njihov cloud lookup je realtime sa daleko boljom detekcijom).

 

Marko :D kaže...
Volio bih vidjet tu neku realnu statistiku koja mi to govori. Bez ikakve statistike i nekakvih dokaza, teško je povjerovati u ove tvrdnje. Činjenica je da je danas manje zaraženih računala nego ikad prije zahvaljujući Microsoftovoj zaštiti.

Ovaj forum je doslovno utihnuo otkad je Microsoft uveo Defender i namjestio ga da pruža odličnu zaštitu.

 

Istina, danas je manje zaraženih sa Defenderom nego prije jer se poboljšao. Kao što rekoh u prošlom postu, to je dobra stvar.

Kakvu statistiku tražiš? Da se računala sa MS Defenderom zaraze? Googlaj. Zar misliš da će netko uložiti trud i novac za razvijanje / unajmljivanje malwarea i njegove distribucije samo da bi odmah zakazao na default Defenderu jer ga nije testirao hoće li ga detektirati?

Koliko sam čitao, neki malware autori čak imaju neku svoju verziju dark-virustotala, gdje se rezultati naravno ne dijele sa AV kompanijama, nego se prvo testira koliko ih se može zaobići prije nego malware kampanja krene. Naravno ne svaki, nego oni koji si to mogu priuštiti.

Opet, Defender je dobar - bolji nego prije, ali postoje bolji. Ali ok, svakomu svoje.

 

Da, ova tema je utihnula, kako zbog životnih obaveza, tako i zasićenosti testiranjem na vreće koje više nisu mjerodavne, a napredni testovi traže više vremena i truda kojeg nakon ovoliko godina više nismo spremni uložiti.

Tako da samo postamo nove zanimljivosti kada se pojave. Ništa loše u tome. Cilj teme izvorno i nije bio nužno najnoviji test na malware.

 

Nemoj me krivo razumiti kao da te napadam. Tu smo jer se zanimamo za ovu tematiku i lijepo je razmijeniti različita mišljenja.

 Možeš malo bolje pojasniti što je fileless malware, nisam u trendu.

 

Ovako na prvi pogled lijek protiv istoga je običan restart.

 

Sretan božić.

6 tjedana
protjeran
offline
Ultimativna antivirus tema - P&O

Što se tiče Kaspersky a, njega se može zaobići trivijalno, u pol sata složio sam prije par godina kod koji mu gasi sve procese.

 

Sretan božić.

11 godina
offline
Re: Ultimativna antivirus tema - P&O
File32 kaže...
Možeš malo bolje pojasniti što je fileless malware, nisam u trendu.

Ovako na prvi pogled lijek protiv istoga je običan restart.

Sretan božić.

 

Fileless malware ne stavlja svoju .exe datoteku ilitiga file na disk da bi se pokrenuo, nego se izvršava isključivo u memoriji.

Može doći recimo kroz exploit u browseru ili pluginu ili word/excel sa macro skriptom ili slično.

Evo analiza jednog primjer: https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/

Postoje naravno i napredniji načini samog ulaska na računalo kroz exploite / rupe u sustavu, bez da moraš sam otvarati neki dokument. To je samo prvi primjer kojeg sam našao, ali daljni tijek fileless malwarea bi trebao biti isti.

 

Pogotovo kada taj code pokrene recimo neki windowsov process pauziran, umetne svoj code u njega i onda ga nastavi, tako da taj windowsov process više ne radi ono što je originalno trebao, nego je sada praktički malware.

Ili izvrši PowerShell skriptu. Dakle jedini exe procesi koji su aktivni su legitimni windowsovi. Ali to nije nužno uvjet. Može i pokrenuti svoj proces u memoriji, korištenje windowsovih je samo naprednija tehnika zaobilaženja detekcije i mehanizma zaštite.

Time se izbjegavaju exe file whitelisting ili uspoređivanje signature (digitalnog potpisa) nekog fajla i sličnih zaštita. Usto, kasnija forenzika, tj. traženje odakle je malware došao je puno teže, upravo zato jer nije zapisivao nikakav novi file na disk.

 

Cilj mu može biti recimo špijunaža ili kriptiranje podataka, kada je gotov samo ostavi ransom note na desktop i otvori ga npr. u notepadu. Nakon što su podaci kriptirani, džabe restart kompjutera.

 

Ali postoje i oni koji ostaju i nakon restarta. Za to koriste recimo windowsov registry. Stave key u registry da se pri startupu pokrene code u recimo PowerShellu koji onda opet radi isto u memoriji (npr za špijunažu ili pretvaranje kompjutera u dio botneta itd).

 

 

Btw. jedan od zanimljivih tehnika kako neki (rijetki) malware pokušava zaobići detekciju (ne radi se o fileless ali eto isto jedna zanimljivost) je da instaliraju recimo VirtualBox i stave konfiguracijsku datoteku da su svi fizički diskovi dijeljeni sa virtualnom mašinom, tj. da im on ima read/write pristup. Ništa od toga nije maliciozno, a sam malware je unutar virtualne mašine koji onda kriptira datoteke na host sustavu. Host sustav vidi samo proces od virtualne mašine, ne malware unutra.

 

 

Postoji dosta štiva na internetu, ovo je samo kratki pregled.

https://en.wikipedia.org/wiki/Fileless_malware

https://blog.malwarebytes.com/explained/2021/10/what-is-fileless-malware/

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

 

 

Sretan Božić svima

11 godina
offline
Re: Ultimativna antivirus tema - P&O
File32 kaže...

Što se tiče Kaspersky a, njega se može zaobići trivijalno, u pol sata složio sam prije par godina kod koji mu gasi sve procese.

 

Sretan božić.

 

Ne znam kako je bilo prije, ali danas su AV puno otporniji.

Prije par godina se moglo i Comodo Internet Security sa njegovim jakim HIPS-om jednostavno deinstalirati ako se izvrši neki code, mislim da se predaju određeni parametri windows installeru ili tako nešto.

MS Defendera određeni malware i dan danas gasi.

6 tjedana
protjeran
offline
Re: Ultimativna antivirus tema - P&O
njonji kaže...
File32 kaže...

Što se tiče Kaspersky a, njega se može zaobići trivijalno, u pol sata složio sam prije par godina kod koji mu gasi sve procese.

 

Sretan božić.

 

Ne znam kako je bilo prije, ali danas su AV puno otporniji.

Prije par godina se moglo i Comodo Internet Security sa njegovim jakim HIPS-om jednostavno deinstalirati ako se izvrši neki code, mislim da se predaju određeni parametri windows installeru ili tako nešto.

MS Defendera određeni malware i dan danas gasi.

 

 

Sumnjam da je eugen Kaspersky to popravio, ja njega iz drivera gasim. Plus nisam objavio metodu. ( zato jer smatram da to svatko može, ništa  posebno.

 

 

Sretan božić.

 

 

Poruka je uređivana zadnji put sub 25.12.2021 19:25 (File32).
6 tjedana
protjeran
offline
Ultimativna antivirus tema - P&O

Što se tiče fileless malwera, mislim da se to prije zvalo stealth malwer, točnije tip 2, po predloženoj taxonomiji rutkowska 2006.

 

Malwer mijenja samo ono što se ionako mijenja, i nije  moguće automatski provjeriti integritet sustava, sa nekakvim hashevima i sl.

 

Poslije tipa 2 dolazi tip 3, on ne mijenja sustav uopće.

 

 

Sretan božić.

Nova poruka
E-mail:
Lozinka:
 
vrh stranice