Защита от связок эксплоитов.

[Malriser]

Всем привет, с вами malriser.

Я удивился, когда узнал, что многие не знают про такую вещь как связки эксплоитов.

Связка эксплоитов ( далее просто связка ) - определенный набор эксплоитов под браузеры/Flash Player/Java и т.д, которые используется для скрытой загрузки вредоносного ПО на компьютер и последующего запуска. Чаще всего с помощью iframe льют трафик со взломанных сайтов на сервер злоумышленника, где расположена связка.

Эксплойт - программный код, который использует уязвимости в программном обеспечении для тех или иных действий.



Как защититься?

1) Обновить браузер до последней версии.

Чаще всего, если связка не мега-приват, то разработчики узнают о таких эксплойтах и делают под них патчи ( заплатки ), поэтому рекомендуется обновлять браузеры до последней версии.

То же самое касается и Flash Player, так как множество эксплоитов используют уязвимости с переполнением буфера, чтобы исполнить код от имени приложения на удаленной системе.


2) Подмена User-Agent.

В Firefox ( для других браузеров не знаю ) есть хороший плагин User-Agent-Switcher ( https://addons.mozilla.org/ru/firefo...gent-switcher/ )

Смысл данной программы заключается в том, что она подменивает User-Agent. Сейчас многие современные связки используют идентификацию браузеров, чтобы в пустую не запускать все имеющиеся эксплоиты. С помощью User-Agent-Switcher можно, например, подменить оригинальные User-Agent Firefox`а на User-Agent Google Chrome`а

3) Запрет JavaScript

Чтобы защититься от эксплоитов написанных на JavaScript ( а таких много ) рекомендуется отключить JavaScript. Но вы скажите "Как так то?!". И правда, ведь без JavaScript функционал многих сайтов сойдет на нет.

Есть решение! Плагин под FireFox под названием NoScript

https://addons.mozilla.org/ru/firefox/addon/noscript/

Позволяет делать WhiteList сайтов, для которых разрешен JavaScript. Социальные сети, банки, форумы ( форумы могут быть взломаны, так что осторожнее ), магазины ( магазины тоже опасное место. Лакомый кусочек для черношляпников, ведь там такой трафф, что большой куш с его продажи можно сорвать ) и т.д




Надеюсь теперь вы будете в безопасности!


И не забывайте, что еще есть такая вещь как Joiner ( программы, которые скреплют два файла и при запуске билда извлекают эти два файла и запускают. ), а так же существуют крипторы ( программы, которые шифруют тело файла, а при его запуске расшифровывают. Сделаны для обхода АВ. Приват крипторы могут обходить эвристику и проактивку ).



Всем спасибо за внимание, будьте в безопасности!

[Arigato]

Первым пунктом должно быть - не посещать сомнительные интернет-ресурсы.
Вторым - нормальный антивирус со свежими базами.

[Malriser]

Цитата:

Сообщение от Arigato

Первым пунктом должно быть - не посещать сомнительные интернет-ресурсы.
Вторым - нормальный антивирус со свежими базами.

Второй пункт защитит только от паблик связок. В приват используется обфускация кода и т.д ( даже встречал однажды полиморфизм (!) ). Да и мало кто грузит на машину, то что палится по сигнатуре. Максимум - проактивная защита.

Да и первый тоже не кошерный, как я уже сказал взламываются и доверенные сайты: интернет магазины там и т.д.

Это я вам как бывший черношляпник говорю

[Arigato]

Любая защита нужна в комплексе, та же подмена user-agent может оказаться совершенно бессмысленной.

Ну а антивирус может вредонос отловить и уже после заражения. Так что исключать антивирус нельзя.

[challengerr]

Антивирус от руткита не поможет.

[Utkin]

Цитата:

Антивирус от руткита не поможет.

Вы отстали от жизни.

[Malriser]

Цитата:

Сообщение от Utkin

Вы отстали от жизни.

Он видимо под руткитом имел ввиду 0-ring руткит+буткит.

Тогда и вправду не поможет, если грузить руткит нулевого кольца еще до старта системы

[Utkin]

Цитата:

Он видимо под руткитом имел ввиду 0-ring руткит+буткит.

Как он попадает в нулевой уровень при включенном антивирусе?

Цитата:

Тогда и вправду не поможет, если грузить руткит нулевого кольца еще до старта системы

Если размышлять так абстрактно, то до старта системы можно вообще грузить другую систему. Не, давайте без потенциальных возможностей, а в рамках текущих условий. Итак есть инет, браузер в режиме инкогнито (порнушку же смотрим, иначе как мы там экспйлотов/руткитов нацепляем?) и антивирус. Даже некоторые из бесплатных при загрузке страницы сначала ее сканируют на предмет гадостей. Я уже молчу о всех Ваших *.tmp и прочих временных файлов. Куки тоже смотрятся, если включить какой-нибудь параноидальный режим. Ну и каков маневр?

[Malriser]

Цитата:

Сообщение от Utkin

Как он попадает в нулевой уровень при включенном антивирусе?
Если размышлять так абстрактно, то до старта системы можно вообще грузить другую систему. Не, давайте без потенциальных возможностей, а в рамках текущих условий. Итак есть инет, браузер в режиме инкогнито (порнушку же смотрим, иначе как мы там экспйлотов/руткитов нацепляем?) и антивирус. Даже некоторые из бесплатных при загрузке страницы сначала ее сканируют на предмет гадостей. Я уже молчу о всех Ваших *.tmp и прочих временных файлов. Куки тоже смотрятся, если включить какой-нибудь параноидальный режим. Ну и каков маневр?

Вы знаете, что есть сигнатурная защита, эвристическая и проактивная? Так вот каждую из них можно обойти.... Особенно сигнатурную

[Utkin]

Цитата:

Так вот каждую из них можно обойти.... Особенно сигнатурную

Все возможно, но как-то несерьезно опять рассуждаете. Вы знаете, что теоретически выходя на улицу Вы подвергаетесь опасности попадания метеорита в голову? Поэтому сидите дома и никуда не выходите. Я так и не понял как в 7-8 винде Вы обойдете защиту браузера, антивируса и винды? И Вы наверно тоже в курсе, что пакованные/шифрованные исполняемые файлы, автоматически считаются бякой в наше время? Даже если предназначены для показа открытки ко дню святого Валентина? То есть в результате я должен получить окошко с надписью - разрешить неизвестной гадости с мутным именем agshdfd65478.tmp внести изменения на данном компьютере? Что же выбрать, разрешить или не разрешить?
Ну и еще вопрос по контрольным суммам системных файлов остался открыт... Антивирусы тоже ведь балуются скрытыми каталогами с информацией о контрольных суммах важных файлов... То есть даже после заражения все равно будет Хозяин, ахтунг!