Проактивная защита KIS (K_IS_FAKE_AV.pdf)

[Dexyan]

Прочитал документацию "K_IS_FAKE_AV.pdf" из этой темы

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

, и саму тему. Хотел бы узнать ответы на следующие вопросы:

Допустим, на компьютере запускается вредоносная программа, которая использует уязвимость в KIS.
- Будут ли какие-либо оповещения от "Мониторинга Активности", или вредоносная программа сделает то, что должна сделать, а "Мониторинг Активности" никаких сообщений на выдаст и ничего не запишет в Отчёт?
- Сможет ли вредоносная программа, например, загрузить драйвер, незаметно для "Мониторинга Активности" ? Если сможет, то не будет сообщения от Мониторинга Активности "PDM Suspicious.Driver.installation" ? Или сообщение будет (запишет в отчёт, или запросит действие у пользователя в интерактивном режиме), но драйвер всё равно будет загружен?
- Уязвим ли "Мониторинг активности" в KIS 2018 для подобных атак ?
- Возможно ли проверить информацию из "K_IS_FAKE_AV.pdf" на достоверность и убедиться, что там написана только правда ? Если возможно, то каким образом ?

Спасибо за ответы.

 

[virt]

Прочитал документацию "K_IS_FAKE_AV.pdf" из этой темы KIS - фейковый авер. - Беседка - Форум фан-клуба Лаборатории Касперского , и саму тему. Хотел бы узнать ответы на следующие вопросы:

Допустим, на компьютере запускается вредоносная программа, которая использует уязвимость в KIS.
- Будут ли какие-либо оповещения от "Мониторинга Активности", или вредоносная программа сделает то, что должна сделать, а "Мониторинг Активности" никаких сообщений на выдаст и ничего не запишет в Отчёт?
- Сможет ли вредоносная программа, например, загрузить драйвер, незаметно для "Мониторинга Активности" ? Если сможет, то не будет сообщения от Мониторинга Активности "PDM Suspicious.Driver.installation" ? Или сообщение будет (запишет в отчёт, или запросит действие у пользователя в интерактивном режиме), но драйвер всё равно будет загружен?
- Уязвим ли "Мониторинг активности" в KIS 2018 для подобных атак ?
- Возможно ли проверить информацию из "K_IS_FAKE_AV.pdf" на достоверность и убедиться, что там написана только правда ? Если возможно, то каким образом ?

@Dexyan, уязвимости для того и нужны, что-бы модули никак не реагировали на действия вредоносов. :)

По вашим вопросам, как проверить ?

Во первых в указанном документе идёт речь о старой версии продукта, если не ошибаюсь 2010 версия, возможно в новых версиях что-то поправили уже.

Что-бы проверить нужно писать свои так-называемые LeakTest - Это если вкратце профессиональные тесты защитного софта.

Есть уже написанные, в частности от Comodo есть не плохие. Но то-что есть в паблике, достаточно старые, к тому-же детектятся сигнатурными сканерами, т.е. что-бы запустить их, нужно отключать сканеры, что плохо, т.к. это уже не даст реальную картину тестов.

Поэтому нужно писать самим. В принципе если интересно, можно заняться этим, но задача не простая. :)

 

[virt]

Ещё добавлю, что-бы обойти "Монитор активности", не всегда нужно писать сложные программы использующе сплоиты, достаточно либо использовать уже легальный софт (например архиватор, что-там ещё, софт для администрирования и т.д.).

Дело в том-что данный софт уже в белом списке и мониторинги на них не реагируют.

Пример, если хотите сделать шифровальщик, то логично использовать для шифрования какой-нить консольный архиватор, который в белом списке у каспера.

Ну либо шифровать не все файлы, достаточно "Моих документов" и т.д. :)

 

[Indy]

Dexyan

Вы немного опоздали на много лет с данной темой. Во первых в то время всё было невероятно дырявым. Конкретно по данной публикации - был викс ресурс и была мотивация/время. Аверские драйвера реверсились быстро, учитывая скилл. Пролистав дизасм можно было найти уязвимость. Так публикация изначально была на fulldisclosure, это важная лента и её читают аверы. Где то спустя неделю ну или в общем весьма короткое время разрабов этого дерьма отымели или заменили и были глобальные фиксы, что значит внесение существенных изменений в ядро. А это нельзя сделать быстро, фиксы были не корректны и были есчо публикации по этим фиксам.
Сейчас же оно не уязвимо скорее всего к рк, ну или эти ошибки как и прочие листая листинг не найти - так используется генерация мусора и виртуализация, код не читаем. Его нужно сворачивать, использовать сложные инструменты.
Учитывая что безопасность нт развивается невероятным темпом, авер защиты давно уже не актуальны, их не изучают и вообще большинство забыло даже что это такое.