Comments 82
Ранобэ в жанре ЛитРПГ.
Хотя вредоносная программа использует имя надежного двоичного файла Windows, она запускается из другого расположения. Командная строка выглядит не так, как для исходного двоичного файла. Кроме того, подозрения вызывает сетевой трафик от этого двоичного файла.А пробовали по-человечески переводить? Не автопереводчиком. Кто в русской речи использует словосочетание «двоичный файл» для обозначения экзешника?
Хотя, судя по всему, оригинал тоже написан машиной.
Если бы вы привели сценарий заражения, это было бы в 100 раз полезнее ненужных подробностей о поведении вируса.
"Антивирусная программа Windows Defenders использует многоуровневый подход"… Ошибиться в названии собственной программы — это надо суметь.
Не проще ли просто не давать прав на запуск в Temp? Зачем у вас на свежеустановленной ОС разрешен запуск программ в куче разных мест? Есть же Program files, куда обычным пользователям запись запрещена.
Ну кто, в винде, сидит под обычным пользователем!? Только под локальным админом! ))))
UFO just landed and posted this here
Запрет запуска путем GPU из всяких %appdata% %temp% etc… решает гораздо больше проблем нежели в принципе могут решить автообновлялки
эмм… вообще-то 99% инсталяшек сначала распаковываются в темп, а потом стартуют основной процесс оттуда…
UFO just landed and posted this here
Да, офис и кучу родных прог, не поставить, но лучше пусть админ сам подойдет и сделает, что надо чем потом этот же админ выгребает тонны маил.спутников, и поднимает криптованные файлы того же юсера из бекапов. Жаль, что в винде нет атрибута исполняемый — это уже знатно сократило бы количество выстрелов в ногу
ну с юзерами я бы еще злее поступал, белый список подписей того, что можно запускать, все остальное просто мочить.
Жаль, что в винде нет атрибута исполняемый
Я где-то читал, что перед внедрением нового дизайна 2007 офиса Микрософт проводил опрос среди пользователей о недостающем функционале в офисном пакете, и в результате опроса выяснилось, что 90% затребованного пользователями функционала давно реализовано. Так вот, сообщаю вам, что в виндовых ACL начиная с Windows NT3.5 имеется отдельное право на запуск файла)
Которое включено по-умолчанию? Ну, и толку от того, что оно есть?
UFO just landed and posted this here
Я так делал. Правда я настроил просто:
- нельзя выполнять оттуда, куда можно писать
- нельзя писать туда, откуда можно выполнить
НО
- есть OneDrive который хотел отбновляться в профиле
- при апгрейде с 8.1 на 10 я в редакторе политик не увидел SRP, а они работали. В реестре пришлось убивать.
- есть программа Атсрал (для связи с налоговой ИП) которая стоит у одного и пользователей и требует вообще админских прав. (она же, кстати, с собой тащит SQL Server 2005)
Похоже есть какой-то баланс между безопасностью и легкостью обновления и совместимостью. Если включить по умолчанию уровень безопасности чтобы нельзя было скачать и выполнить код, то часть ПО отвалится (помните, сколько было воплей, когда вышла виста? Часть из них была именно из-за этого).
Плюс, вряд ли разработчики уитывают возможность такой настройки, так что можно столкнуться с сюрпризами.
Вообще мне было бы интересно почитать статью настоящего админа, про то, как это настроить и админить, и много ли геморроя требуется для поддержки
есть программа Атсрал (для связи с налоговой ИП) которая стоит у одного и пользователей и требует вообще админских прав. (она же, кстати, с собой тащит SQL Server 2005)
А для этого случая существуют утилиты от Sysinternals Procmon/Filemon/Regmon, чтобы посмотреть куда лезет «нетленка» и где она обламывается о запреты. Проанализировав поведение, можно сделать послабление прав для пользователей (группы пользователей), которые работают с этим «поделием».
И еще про «Астрал». У него в ini'шнике можно подправить путь к базе и способ соединения: таким образом базу можно перенести на другой сервер (на тот же SQL2008/SQL2012) и обеспечить нормальную многопользовательскую работу. Делал так у одного клиента, когда он «Астралом» пользовался. Правда давно это было, лет 6-7 назад, поэтому пишу по памяти.
UFO just landed and posted this here
Спасибо! Ну, конечно! Это же элементарно! Так и передам маме — отключи, мол, в ацл выполнение по умолчанию и настрой срп на белые списки (нет, мама, эти ацл и срп — это не ругательства и, даже, не заклинания для призыва нечистой силы). Потом закончи курсы системных администраторов виндовс, чтобы хотя бы понять отчего после этого почти всё сломалось.
Я говорил про атрибут файла, а не Acl, оно конечно есть и полезно, но зачастую секс с ним то ещё удовольствие. А на счёт функционала — согласен на 146%, ни разу не видел, что бы рядовой или даже адвенсет бух или манагер, юзал бы функции которых небыло в office 97:)
Ну и как атрибут файла поможет вам запретить запуск из директории?
Отсутствие по дефолту способности к запуску, вообще не позволит ничему запускаться без дополнительного действия — поставить галочку. Можно конечно заюзать ALC с наследованием, но это все сильно усложнит, и в случае «надо» не позволит просто по телефону сказать юсеру поставить галочку. Наличие такого атрибута — был бы приятно.
Плюс, вряд ли разработчики учитывают возможность такой настройки,Разработчики, в частности отечественные зачастую вообще не подразумевают, что усер может быть без прав, банк-клиенты не учитывают что у кого-то домен, да еще со своими политиками, консультант не знает что такое сервер терминалов, сбис вообще ставиться в юсерпрофиль итд, итп. Но думаю к этому придут, это следствие того, что виндовс очень долго по дефолту давал рута, и разрабы просто ленятся\не умеют это учитывать.
Ничего нигде не отвалится.
См. например полезное видео MVP Губаревича
www.youtube.com/watch?v=I0bFeL_hvow
Безусловно, что п.0 в компании до таких настроек должен идти подписанный CEO список софта для рабочих станций.
См. например полезное видео MVP Губаревича
www.youtube.com/watch?v=I0bFeL_hvow
Безусловно, что п.0 в компании до таких настроек должен идти подписанный CEO список софта для рабочих станций.
Нет, не проще, часть инсталляторов откажется работать.
UFO just landed and posted this here
Почему не выпускаете апдейты от Spectre И metldown для windows — 8?
Выпускаем. Все собрано тут: support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown
Теперь понятно, почему моя машина внезапно сама перезагрузилась 6-го числа. Может кого это и спасло, ну у меня была закрыта работа 2-х недельного цикла исследований облачного приложения, в котором миллионы линеек кода.
cntrl+S!
Да собственно все что угодно может быть запущено на ночь, например, рендеринг сложного видео проекта. Это дурацкая практика — перезагружать машину произвольно без подтверждения пользователя.
Ночь — это не 2 недели.
В любом случае, ценность результатов должна прямо коррелировать с частотой их сохранения. Если эта корреляция отсутствует, то надо что-то в консерватории править, а не жаловаться постфактум.
P.S. Разве у проф версии 10-ки нельзя отключить автоматическую перезагрузку?
В любом случае, ценность результатов должна прямо коррелировать с частотой их сохранения. Если эта корреляция отсутствует, то надо что-то в консерватории править, а не жаловаться постфактум.
P.S. Разве у проф версии 10-ки нельзя отключить автоматическую перезагрузку?
Попробуйте «сохранить» такую ценность. Чтобы после перезагрузки восстановить ее.
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин. Все это запущено неделю в попытках разобраться с хитрым багом.
Это вы просто ничего сложнее текста в ворде не делали. Потому у вас и «ценность результатов должна прямо коррелировать с частотой их сохранения».
P.S. Оправдания такому идиотскому поведению винды нет никакого.
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин. Все это запущено неделю в попытках разобраться с хитрым багом.
Это вы просто ничего сложнее текста в ворде не делали. Потому у вас и «ценность результатов должна прямо коррелировать с частотой их сохранения».
P.S. Оправдания такому идиотскому поведению винды нет никакого.
Все это запущено неделю в попытках разобраться с хитрым багом.
Т.е. вы запускаете недельные процессы на системе, которая по определению не гарантирует недельную бесперебойную работу (либо не настроена правильным образом)? Ну, ок.
Это вы просто ничего сложнее текста в ворде не делали.
Вы несколько самонадеянны.
Оправдания такому идиотскому поведению винды нет никакого.
А вы лицензионное соглашение win10 читали? ЕМНИП, там это «оправдание» прописано в явном виде. И вы с ним, вероятно, согласились.
Надеюсь вы официальный представитель микрософт?
Очень уж хочется цитировать, что windows не гарантирует бесперебойную работу в течении недели…
Очень уж хочется цитировать, что windows не гарантирует бесперебойную работу в течении недели…
Фу-фу, как вы только могли такое подумать!
Я имею ввиду, что я официальный представитель.
А про то, что «обычная» win10 ничего не гарантирует, можете смело цитировать — ничего нового в этом утверждении нет, интернет полон стонов пострадавших.
За проф версию ничего не могу сказать, её я снёс меньше чем через неделю использования.
Я имею ввиду, что я официальный представитель.
А про то, что «обычная» win10 ничего не гарантирует, можете смело цитировать — ничего нового в этом утверждении нет, интернет полон стонов пострадавших.
За проф версию ничего не могу сказать, её я снёс меньше чем через неделю использования.
Попробуйте «сохранить» такую ценность. Чтобы после перезагрузки восстановить ее.
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин.
******
У меня нет проблем рассказать о деталях, я веду дебаггинг служебных приложений hadoop с целью их перевода на java-9. Начал я ч хива ( hive ) а сейчас внедрился в сам Hadoop. Этот служебный код весьма кривой, к тому же моя java весьма «проржавела», в последний раз писал продакшн код в 2000-м году.
Мои «вспомогательные софтин это в основном несколько окошек notepad ( колеблется от 2-х до 6-ти ) хранящих контекстную информацию с метаданными из различных файлов и два — три окошка браузера ( IE ).
Я вообще не жаловаться хотел, а напомнить, что у „спасения“ есть стороны, о которых Microsoft привычно забывает. А в случае с этим „спасительным“ рестартом системы видимо из — за рисков связанных с информацией в кэши все само — восстановительные указатели сессий были очищены, и когда машина вышла из рестарта, вместо уже привычной попытки восстановить то, что было на экране перед выключением, на меня смотрел голый экран.
Я вообще человек к этим вещам привычный, так что где-то даже иронизировал. Честно говоря столь горячая реакция комментирующей публики настораживает. Поскольку сам большой патриот Microsoft, но позвольте, когда свои ошибаются, друзья обязаны одернуть. Это „подельники“ „прикрывают“. Подобные глупые невосстановимые потери во время рестарта это просто непозволительно для зрелой операционной системы. И честно говоря, вообще, пора бы что — то сделать с этими всеми рестартами. В конце концов даже выстраивание дубликата ядра и перенос указателей на новый процесс не должны быть запредельно невозможными ( если уж придется грызть броню ), при условии успешной идентификации корневого сертификата UEFI.
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин.
******
У меня нет проблем рассказать о деталях, я веду дебаггинг служебных приложений hadoop с целью их перевода на java-9. Начал я ч хива ( hive ) а сейчас внедрился в сам Hadoop. Этот служебный код весьма кривой, к тому же моя java весьма «проржавела», в последний раз писал продакшн код в 2000-м году.
Мои «вспомогательные софтин это в основном несколько окошек notepad ( колеблется от 2-х до 6-ти ) хранящих контекстную информацию с метаданными из различных файлов и два — три окошка браузера ( IE ).
Я вообще не жаловаться хотел, а напомнить, что у „спасения“ есть стороны, о которых Microsoft привычно забывает. А в случае с этим „спасительным“ рестартом системы видимо из — за рисков связанных с информацией в кэши все само — восстановительные указатели сессий были очищены, и когда машина вышла из рестарта, вместо уже привычной попытки восстановить то, что было на экране перед выключением, на меня смотрел голый экран.
Я вообще человек к этим вещам привычный, так что где-то даже иронизировал. Честно говоря столь горячая реакция комментирующей публики настораживает. Поскольку сам большой патриот Microsoft, но позвольте, когда свои ошибаются, друзья обязаны одернуть. Это „подельники“ „прикрывают“. Подобные глупые невосстановимые потери во время рестарта это просто непозволительно для зрелой операционной системы. И честно говоря, вообще, пора бы что — то сделать с этими всеми рестартами. В конце концов даже выстраивание дубликата ядра и перенос указателей на новый процесс не должны быть запредельно невозможными ( если уж придется грызть броню ), при условии успешной идентификации корневого сертификата UEFI.
UFO just landed and posted this here
Вот вы же разработчик, знаете риски, а автообновление из системы не выпилили. И кто теперь ССЗБ?
+100500
оно туда само возвращается. Недавно на моей Windows 10 с выключенной службой Windows Update сам собой запустился «Помощник по обновлению», предупредил что версия системы не последняя, и начал обновлять. При отключении и удалении его ситуация повторилась.
UFO just landed and posted this here
Не поможет. Его включают через критические службы, из — за которых вся система рухнет. Единственный способ это выкорчевать ПО, которое конкретно запускает обновления. Но мне просто лень ( и я очень надеюсь Вам тоже ). Лучше раз в 2 — 3 года, когда планета в очередной раз сойдет с рельсов и спец службам запустят перца в штаны столько, что они что ни-будь «эдакое» слепят, потерпеть очередной неудачный на скорую руку состряпанный третьим любовником 15-й жены падишаха пакет по ремонту ПО и написать в ответ что ни — будь такое, чтобы падишах упал с осла и долго мучился в конвульсиях :)
Подобные глупые невосстановимые потери во время рестарта это просто непозволительно для зрелой операционной системы.Проблема в том, что сразу после появления способа «не терять нужную работу» найдётся возможность у вредоносных программ избегать обнаружения/уничтожения, используя этот способ.
пришлось выключить обновления
Как вы это сделали? Бьюсь головой об стену уже не с первой машиной. При попытке накатить обновление винда повисает на несколько часов, потом юзер ее ребутит. Потом ситуация повторятся. Изменения откатываются. И так раз в три-четыре дня. В течении месяца. Я бы рад вырубить все это. Так вин10 сама все включает обратно.
Вам дико повезло, что это был всего лишь Майнер, а не шифровальщик… Тогда вы бы сейчас не ругали Майкрософт в какой то там перезагрузке...
Странно что Майкрософт закрыла в своё время успешный продукт tmg (isa server) заявив что будет сосредоточено только на ОС. А средства защиты это удел других производителей.
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.
Около 3 лет приходилось администрировать isa/tmg используемые в организации как программный маршрутизатор и прокси. До сих пор считаю это худшим ПО из всего стэка серверных продуктов майкрософт. Поделитесь секретом в что же такого вы нашли в tmg и для каких целей использовали, если считаете это успешным продуктом.
Интеграция в AD, глубокий парсинг трафика как собственными фильтрами, так и сторонними, ips, натирование и создание туннелей, гибкие правила доступа в инет, как для группы, так для отдельных учеток ad, кластеризации, полное логгирование всех изменений конфигурации админами.
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
UFO just landed and posted this here
Я могу ошибаться, но ценник решения от майкрософта был более гуманным, чем ценник от того же чекпойнта. Главный недостаток решения от Microsoft – Windows only solution.
Вы были бы правы, если бы эльф не придумали, чтобы «не быть Microsoft». И все равно расчерчивают запальник диска FAT. Apple меня «отворожил» ещё в далеком 1993-м, когда он встал барьером между моей невестой, которой поручили написать какую — то записку на университетском компьютере. После 5-х часов разлуки я возненавидел белый коробок, потому что после написания одной страницы он старательно зависал, и его приходилось выключать и включать заново. Кончилось тем, что ещё один наш друг, который был проездом в Ленинграде, и был человеком крайне решительным, после 3-х бутылок пива и 2-х пачек Беломора пошел охотиться со шваброй за мухой в коридор, и выбил пробки. Apple отдал концы, а моя невеста, имея каллиграфический почерк, написала записку от руки за 15 минут. С тех пор я не прикасался к продукту Apple и судить о них не могу, поскольку категорически и пожизненно не объективен, и с моей ( глубоко личной точки зрения ) не достоин упоминания.
Это американские хакеры пытались вмешаться в выборы Президента России.
Но пока им не удалось зарегистрироваться на портале Госуслуг
Но пока им не удалось зарегистрироваться на портале Госуслуг
Стоит на машине W7 максимальная 32, отключено всё что связано с «защитой» от Microsoft! НЕТ антивирусника совсем и вот уже три года все работает и летает. Интересно где вы эти вирусы то ловите ???
Боря сидит на стуле и щелкает пальцами с умным видом:
-Боря, что ты делаешь?
-Белых тигров отгоняю.
-Так нет же никаких тигров!
-Так потому и нет, что отгоняю.
Как мило, создать проблему, потом героически и с рекламной помпой (и без возможности проверить объем вранья) ее преодолевать. А по существу, у меня слегка подкрученный неапдейтящийся RHEL сервер 3 года круглосуточно торчал в Интернете. Правда вел лог «странностей».
Но:
без всяких антивирусов,
без всяких «многочисленных облачных моделей машинного обучения на основе метаданных»,
без всяких «моделей машинного обучения на основе анализа образцов и детонации»,
без всяких «моделей на основе детонации»,
без всяких «служб обнаружения аномалий».
Что я делал не так, чтобы вся эта лабуда мне была нужна?
-Боря, что ты делаешь?
-Белых тигров отгоняю.
-Так нет же никаких тигров!
-Так потому и нет, что отгоняю.
Как мило, создать проблему, потом героически и с рекламной помпой (и без возможности проверить объем вранья) ее преодолевать. А по существу, у меня слегка подкрученный неапдейтящийся RHEL сервер 3 года круглосуточно торчал в Интернете. Правда вел лог «странностей».
Но:
без всяких антивирусов,
без всяких «многочисленных облачных моделей машинного обучения на основе метаданных»,
без всяких «моделей машинного обучения на основе анализа образцов и детонации»,
без всяких «моделей на основе детонации»,
без всяких «служб обнаружения аномалий».
Что я делал не так, чтобы вся эта лабуда мне была нужна?
UFO just landed and posted this here
Что я делал не так, чтобы вся эта лабуда мне была нужна?Вы ведь не запускали на нём старый браузер, не открывали в нём сомнительные сайты, не искали очень редкие торрент-раздачи и т.п.
Не надо сравнивать сервер (который по своей сути не должен работать с юзерами) и десктоп.
Я до сих пор использую иногда Оперу 9.64. так как там более 9000 закладок и работает порой шустрее всех этих новых монстров, кушающих 300 — 500 Mb в сравнении с Оперой которая требует всего 16 — 25 Mb. Люблю полазить по Японским сайтам и не в поисках «клубни», архитектура и промышленно-прикладное. Антивирус не стоит и не будет его на моей машине никогда.
Интересно, впервые можно узнать что под капотом у Defender-а. Звучит красиво и на деле так примерно и есть в целом, судя по результатам авторитетных тестов. До ТОП-продуктов есть куда расти, однако уже чуть хуже ESET, т.е. ESET можно не покупать, если права ограничены, SmartScreen работает.
Windows defeater пропустил локер. И это при обычном серфинге. Заменил на платный антивирус.
В самом начале атаки с помощью поведенческого мониторинга антивирус Windows Defender выявил необычный механизм стойкости и устойчивости атаки.
Вот тут если можно поподробнее. Поведенческий анализатор это грубо говоря набор правил, контролирующий обращения к определенным ресурсам/модели поведения. Как можно с помощью поведенческого анализатора выявить устойчивость атаки? И чем отличается стойкость и устойчивость?
Еще через пару секунд наши модели машинного обучения на основе анализа образцов и детонации подтвердили, что программа обоснованно отнесена к вредоносным. Через несколько минут подключились модели на основе детонации...
Два раза подрывали вредоносную программу? Или все же один?
в самом начале компании пользователи получали предупреждение о блокировке этой угрозы, в котором она фигурировала под названиями, присвоенными системами машинного обучения (например, Fuery, Fuerboos, Cloxer или Azden).
Тоесть единой системы анализа (частью которой является автонаименование) у вас нет?
Sign up to leave a comment.
Срыв масштабной хакерской атаки на пользователей Windows в России