Kilka pytań o bezpieczeństwie i testach

[Szuri21]

Witam, mam kilka pytań w szczególności do SE7ENa ale komentarze i odpowiedzi innych również są mile widziane.

Pierwsze nurtujące mnie pytanie dotyczy piaskownic, a w szczególności Sandboxie. Nie do końca pojmuję jego działanie. Owszem, wiem, że tworzy izolowane środowisko itp. I tutaj mam na myśli test wykonany przez SE7ENa na YT. Nie rozumiem jednej rzeczy. Przeglądarka została uruchomiona w piaskownicy, ale przecież programy (wirusy) owsze były uruchamiane spod przeglądarki, ale tak naprawdę to z nim zostały uruchomione to zostały ściągnięte do folderu tymczasowego, który przecież nie został dodany do piaskownicy. Nie pojmuję tego. Przecież pliki są zapisywane i uruchamiane poza piaskownicą. Uświadomcie mi to jak to dokładnie jest.

Drugie pytanie dotyczy samego testowania. Bardzo podobają mi się testy SE7ENa, ale mam jedno zastrzeżenie. Wirus wirusowy nie równy, nie tyle pod względem szkodliwości co pod względem wykrywalności. Dlatego chciałem sobie sprawdzić u siebie 2-3 antywirusy na tej same paczce wirusów. Z tego co dobrze zauważyłem SE7EN korzysta z VMware Workstation. Niestety ja nie posiadam licencji na ten program dlatego sięgnąłem po darmowego i sprawdzonego już przezemnie dawniej w innych celach VirtualBoxa.

Utworzyłem maszynę wirtualną dość porządną z 4 GB RAM i całym dla niego dyskiem SSD i po chwili miałem już maszynę z W7 x64. Zainstalowałem MS SE i zacząłem testowanie paczki. Niestety gdy na swojej maszynie wirtualnej spod przeglądarki uruchomiłem szkodliwy plik od razu odezwał się z alertem Nod32 zainstalowany na NORMALNYM komputerze. JAkież było moje zdziwienie jak zobaczyłem ten alert. Ponowiłem próbę z innym plikiem strona się nie otworzyła bo zablokował ją ESET Nod32 zainstalowany na normalnym komputerze, pomimo tego, że działałem na wirtualnej maszynie. Owszem MS SE coś tam działał, ale zanim cokolwiek zrobił to Nod32 zrobił to pierwszy. Również tego nie rozumiem. Przecież działam w wirtualnym systemie. Dlaczego ingeruje w niego Nod32, który jest na normalnym komputerze?

Uświadomcie mnie troszeczkę w tych sprawach.

Z góry wielkie dziękuję.

 

[SE7EN]

Sandboxie uruchamia kolejne aplikacje w wirtualnym środowisku ponieważ przeglądarka przez którą były one pobierane również działała pod kontrolą piaskownicy i wszystkie ściągane pliki szły do izolowanego folderu, skąd uruchamiały się również jako izolowane, takie trochę dziedziczenie po aplikacji wywołującej (w tym przypadku iexplorer.exe). Jeśli chodzi o maszynę wirtualną i ESET to pewnie rozpoznał on szkodliwy kod np. podczas wykonywania operacji na dysku z maszyną wirtualną (niestety nie znam za dobrze VirtualBox, ale możesz spróbować szyfrowania bądź innego formatu wirtualnego dysku), albo były to komunikaty blokowania szkodliwych hostów wywołanych przez uruchomiony malware. Możesz spróbować wybrać zaszyfrowany dysk wirtualny (jeśli VirtualBox ma taką opcje), dodać wykluczenia do ESET, bądź wyłączyć jego ochronę na czas testu. Co do moich testów to staram się zawsze wybrać podobny kaliber szkodliwych aplikacji podczas testu, widomą rzeczą jest że nie mam fizycznych możliwości testowania wszystkich programów zabezpieczających na tych samych linkach w tym samym czasie i daję po prostu nową dawkę świeżych linków co kolejny test.

 

[Szuri21]

Wielkie dzięki za odpowiedź.

Dziedziczenie w Sandboxie wiele mi już wyjaśnia. Nadal jednak nie rozumiem działania praktycznego tego programu. Co się dzieje jeśli uruchomimy przeglądarkę w sandboxie i pobierzemy zainfekowany instalator i zainstalujemy ten złośliwy program. Mam rozumieć, że on się zainstaluje i będzie działać, ale złośliwy kod niewydostanie się poza piaskownicę? Czy może program w ogóle nie będzie działał? No i co się stanie jeśli program instalator zainstaluje program będąc w piaskownicy a ja potem wyczyszczę piaskownicę? Czy wtedy program zniknie z mojego dysku?

Wracając do testów, to ja wiem, że nie jest się w stanie tego zrobić, ale ja mając na tyle dobry sprzęt mogę stworzyć 3 maszyny wirtualne bez większego obciążania swojego ogólnego systemu i przeprowadzić sobie 3 mini testy na identycznych powiedzmy 10 zagrożeniach w tym samym czasie.

NO ale nie ważne. Rozumiem, że ESET się odzywa bo widzi w pliku imitującym wirtualną partycję wirtualnego systemu złośliwy kod. Dla mnie nie problem jest wyłączyć ESETA lub wykluczyć tę partycję tylko co wtedy z ogólnym bezpieczeństwem prawdziwego systemu. JA myślałem, że skoro jest wirtualna maszyna z wirtualnym systemem to do jego środka tej partycji programy normalnego systemu nie mają dostępu. Natomiast przykład z Nod32 pokazuje, że jednak antywirus widzi co się dzieje w środku. Czy w takim razie wykluczenie wirtualnej partycji ze skanowania jest bezpieczne? Na pewno istnieją wirusy potrafiące się wydostać z takiego wirtualnego systemu, ale jak to się ma w praktyce. Czy taki mini test mogę wykonać wykluczając wirtualną partycję i zawirusowując ją?

Z góry dzięki za odpowiedź i poświęcony czas.

 

[Eru]

Wielkie dzięki za odpowiedź.

Dziedziczenie w Sandboxie wiele mi już wyjaśnia. Nadal jednak nie rozumiem działania praktycznego tego programu. Co się dzieje jeśli uruchomimy przeglądarkę w sandboxie i pobierzemy zainfekowany instalator i zainstalujemy ten złośliwy program. Mam rozumieć, że on się zainstaluje i będzie działać, ale złośliwy kod niewydostanie się poza piaskownicę? Czy może program w ogóle nie będzie działał? No i co się stanie jeśli program instalator zainstaluje program będąc w piaskownicy a ja potem wyczyszczę piaskownicę? Czy wtedy program zniknie z mojego dysku?

Wracając do testów, to ja wiem, że nie jest się w stanie tego zrobić, ale ja mając na tyle dobry sprzęt mogę stworzyć 3 maszyny wirtualne bez większego obciążania swojego ogólnego systemu i przeprowadzić sobie 3 mini testy na identycznych powiedzmy 10 zagrożeniach w tym samym czasie.

NO ale nie ważne. Rozumiem, że ESET się odzywa bo widzi w pliku imitującym wirtualną partycję wirtualnego systemu złośliwy kod. Dla mnie nie problem jest wyłączyć ESETA lub wykluczyć tę partycję tylko co wtedy z ogólnym bezpieczeństwem prawdziwego systemu. JA myślałem, że skoro jest wirtualna maszyna z wirtualnym systemem to do jego środka tej partycji programy normalnego systemu nie mają dostępu. Natomiast przykład z Nod32 pokazuje, że jednak antywirus widzi co się dzieje w środku. Czy w takim razie wykluczenie wirtualnej partycji ze skanowania jest bezpieczne? Na pewno istnieją wirusy potrafiące się wydostać z takiego wirtualnego systemu, ale jak to się ma w praktyce. Czy taki mini test mogę wykonać wykluczając wirtualną partycję i zawirusowując ją?

Z góry dzięki za odpowiedź i poświęcony czas.

Wszystko co zainstalujesz w sandboxie zostaje w nim - program nie wybiera co jest złośliwym kodem i izoluje tylko ten kod ale cały program - nawet podczas instalacji - instaluje się on na "wirtualnym dysku" - to trochę tak jakby uruchomić ten plik na wirtualnej maszynie - mam nadzieję że zrozumiesz taki skrót myślowy
Jeśli wyczyścisz piaskownicę to program który uruchomiłeś w piaskownicy i jego ustawienia przepadają.

Co do "przedostawania się" złośliwego kodu poza MW (VM) nigdy nie słyszałem - i jakby do tego doszło byłoby o tym głośno Najlepiej wyłączyć programy AV podczas testów malware na MW ponieważ AV będzie właśnie ingerował

 

[Szuri21]

OK sprawę z wirtualnymi maszynami mam z głowy. Bo wszystko jasne. Chyba

Natomiast co do piaskownicy to co się dzieje jeśli instalator jest w piaskownicy a program instalujemy. Wtedy instaluje się on w odizolowanym środowisku? Co się dzieje z konfiguracją tego programu i wpisami w rejestrze? One w piaskownicy też mogą istnieć? I na koniec jeśli usunę/wyczyszczę tę piaskownicę to program znika z dysku wraz z wpisami w rejestrze i konfiguracjami, które sobie rozsiał po systemie?

Jeśli tak to to wyczyszczenie piaskownicy brzmi troszkę jak przywracanie systemu do stanu sprzed instalacji programu.

Czy piaskownica ma jakieś szerokie zastosowanie do codziennego użytku? Bo mnie osobiście się wydaje, że to jest idealne narzędzie dla osób, które z sieci pobiorą keygen (który być może jest również wirusem) i odpalą go sobie w piaskownicy, następnie wygenerują sobie serial do piraconego programu i wyczyszczą piaskownicę. Wtedy będą podwójnie zadowoleni. Bo spiracili program i uniknęli infekcji.

Wiem, wiem fantazjuję, ale pomimo tego, że coraz bardziej zaczynam doceniać piaskownicę i pojmować jego ideę i potrzebę to nie wiem jak stosować go w praktyce w codziennym użytkowaniu i przed czym mnie na co dzień broni?

Kolejne dzięki z góry za odpowiedzi i stracony dla mnie czas.

Może pytania dla Was są banalne ale mnie one nurtują.

 

[SE7EN]

Jeśli coś instalujesz w piaskownicy to leci to do piaskownicy (przy podstawowej konfiguracji i bez przywracania czegokolwiek do realnego systemu) wszystkie pliki, foldery klucze rejestru itp., są izolowane i mogą zostać w prosty sposób usunięte. Wtedy te wszystkie programy zainstalowane w piaskownicy "znikają z komputera", a sam system jest zawsze czysty ponieważ nigdy one nie zostały "klasycznie zainstalowane". Ja tam używam Sandboxie jako programu który pozwala utrzymać porządek w zainstalowanych programach, jak czegoś potrzebuję na chwilę (najczęściej jakiś trial lub inny program potrzebny tylko na 5 min.) to instaluje to w osobnej piaskownicy i jak już nie jest potrzebne to po prostu usuwam przez wyczyszczenie piaskownicy, poza tym inne aplikacje które mam zainstalowane w realnym systemie, a które są narażone na ataki ze strony malware też uruchamiam w tym środowisku.

 

[Szuri21]

Jak wygląda ogólnie kwestia infekcji. Czy pobranie samego pliku szkodliwego już mnie naraża na niebezpieczeństwo, czy dopiero jego odpalenie? No i jak wygląda kwestia wirusów spakowanych do archiwum. Czy jeśli w paczce są wirusy to pobranie takiej paczki jest groźne czy też trzeba odpalić i wypakować archiwum?

 

[SE7EN]

Wyłącz wszystkie foldery wymiany itp. między hostem i wirtualnym systemem, to powinno zwiększyć bezpieczeństwo hosta. Samo pobranie paczki i wypakowanie (bez podglądu zawartości) nie powinno nieść większych zagrożeń, oczywiście zawsze jest jakieś ryzyko że trafimy na malware które jest stworzone do infekcji poprzez maszynę wirtualną na której zostanie uruchomiony, ale szanse na to są bardzo bardzo małe. Bez ryzyka nie ma zabawy