-
4 Ransomware-vs-4 Sandbox (и PolicyBased HiPS)
Источник: _ttp://malwaretestlab.com/more.aspx?entry=22
Может кого-то заинтересуют довольно свежие труды зарубежных коллег:
В красном углу (нападающие)
1. Trojan.Win32.Filecoder.c
2. Trojan.Win32.MayArchive.a
3. Trojan-Ransom.Win32.Gpcode.e
4. Trojan-Ransom.Win32.Krotten.ey
В синем углу (защита)
1. BufferZone 3.10.88 (_ttp://www.trustware.com/)
2. DefenseWall 2.49 (_ttp://www.softsphere.com/)
3. GesWall Free 2.8.3 (_ttp://www.gentlesecurity.com/desktop.html)
4. Sandboxie 3.34 (_ttp://www.sandboxie.com/)
. . .
Процесс тестирования «мальварь-вымогателей»
1. Устанавливается чистая система на виртуалке
2. Система обновляется
3. Устанавливается указанное защитное ПО
4. Защитное ПО тоже обновляется
5. Выполняется тест совместимости защитного ПО
6. Мальваря запускается с USB
7. Оценивается реакция защитного ПО
Шаги 5,6 и 7 – это запись с камеры
. . .
Вывод (страница 9 - беглый перевод)
Все представленные песочницы и "политические" HıPS'ы успешно блокировали данные мальвары, с чем мы и поздравляем их создателей.
Однако, как Вы можете это видеть на видео, всё ещё есть несколько важных моментов из-за характеристик ПО.
На видео их чётко видно, что в общем и стало основной причиной создания отчёта как видеопрезентации.
1. Некоторые всплывающие окна (pop ups) закрывались слишком быстро как это видно в видео с DefenseWall, что может не дать пользователям возможность принять правильное решение.
2. Некоторые технологии песочниц не дают мальварям нанести ущерб реальной системе, но и не мешают им запускаться.
В такой ситуации мальвары могут "влиять" на песочницы. Например; при запуске в песочнице “Spycar IE SetHomePage Test” можно видеть, что домашняя страница реальной системы не меняется, но страница браузера в песочнице всё же может быть изменена.
Подробнее смотрите предоставленное видео.
Все настройки по-умолчание - что не есть хорошо, зато наглядно для среднестатистического пользователя, который вряд ли будет разбираться с нюансами.
В общем, прикольный "ютуб".
Последний раз редактировалось NRA; 21.04.2009 в 16:01.
Нас объединяет то, что разъединяет
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
но страница браузера в песочнице всё же может быть изменена.
а как должно быть? Песочница ведь эмулирует работу незащищаемой системы.
А антивирус туда ставить вряд ли целесообразно.
-
специально выделенная изолированная среда
Damien, здесь имеется в виду что рядовой пользователь может ошибочно посчитать что песочница не сработала т.к. мальваря выполнила своё действие (хотя и с копией в песочнице)
Нас объединяет то, что разъединяет