Каждый раз, открывая Internet Explorer браузер, кто-то из вас панически боится подхватить очередной вирус… Но так ли это на самом деле? Неужели все мы беззащитны от таких вещей?
Все, о чем говорится в статье, относится к Windows-based системам
Вместо вступления
Так уж исторически сложилось, что за компьютером кроме меня сидят и другие члены моей семьи. Однажды включив его утром, ко мне в монитор постучался привет от WinLocker'a… ну что за censored, подумал я, ведь у меня стоял антивирус с самыми последними базами который эту гадость пропустил… а кто-то сидящий быть может еще и запустил. И да, браузер был IE9.
С Winlocker'ом я справился, и даже поинтересовался сколько антивирусов его ловило в тот момент (только 1 ).
Нет blue pill, которая бы так взяла и защитила вас от экслоита. Если он есть, то, в 70% случаев его очень тщательно продумали (привет, metasploit и иже с ним) и, увы, операционная система и антивирус ( если он вообще есть ) беззащитны…
Но что же делать с оставшимися 30% написанными на коленке? Неужели можно защитить себя от таких новшеств, как обфусцированные WinLocker'ы и другая мразь малварь?
Ближе к делу
До этого момента, я знал несколько путей для предотвращения заражения:
- используем HIDS
- используем более надежный браузер (Chrome? )
- sandbox (или это уже устарело? )
- корпоративные клиенты конечно могут использовать еще что-то вроде Honey-pot'ов для вылавливания новой неизвестной малвари в процессе анализа трафика
- конечно, может быть еще привязка IPS системы
Я отказался использовать методы, описанные выше (в частности, HIDS ).
Групповые политики
Ведь есть еще один (конечно, не панацея) интересный трюк… который доступен в Windows
Путем анализа WinLocker'а было четко видно что он закачался автоматом в папку %appdata%..LocalTemp, откуда и запускался, используя autorun запись в реестре.
Ответ лежал на поверхности. — так запретим же запуск файлов из папки TEMP!
Делаем простые 4 шага:
- Открываем Групповые политики системы (gpedit.msc)
- Конфигурация компьютера — Параметры безопасности — Политики ограниченного использования программ
- Создаем дополнительное правило для пути
- Вводим нужный нам путь, выбираем уровень безопасности Запрещено — и вуаля! Теперь программа никогда не запустится с этого пути
Read, write access будет, но не будет доступа на выполнение — даже несмотря на то что вы сидите с правами администратора — лично было проверено мной при проверке автозагрузки этого же Winlocker'a с папки Temp.
Если вам нужно что-то запустить, вы всегда можете поменять уровень безопасности для этой политики.
Надеюсь, этот дополнительный метод кому-нибудь поможет… К тому же, просматривая лог приложений журнала Windows по источнику SoftwareRestrictionPolicies ( код события 866 ) я уже наглядно вижу что для моего ПК это не прошло зря, ведь за ним сидят неопытные пользователи, использующие IE9 IE10.
Автор: val3ntin
