emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору XenoZ 14:38 15-01-2015 Цитата: Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть. | Дык я о чем: emhanik 19:15 12-01-2015 Цитата: Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит. | Даже если запретить запуск файлов, имеющих имена интерпретаторов, но иные пути, «бомба» сможет запустить отдельный свой компонент виртуально, и тот в сеть выйдет (виртуальная подмена интерпретатора по его правильному пути делается беспрепятственно). Но намеренный запуск в виртуальной среде Comodo еще можно запретить. А вот интересно, как будет, если вредоносная программа создает собственную виртуальную среду? Я немного поэкспериментировал с портативными сборками, созданными VMware и Cameyo. Оказалось, что для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает, поэтому не прокатывают и его уязвимости. А при распаковке и запуске программы в Cameyo контролируется-таки ее реальное расположение, а не виртуальное. Т.е. обойти приведенную блокировку сторонней виртуализацией пока не удалось, но я и пробовал всего ничего. Добавлено: Цитата: для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает | Перепроверил — все же работает, хотя с какими-то странностями. Но, как и в случае Cameyo, при попытке запустить программу, виртуально расположенную на месте интерпретатора, Comodo блокировал запуск и в журнале появилась запись с реальным местоположением этой программы. Внезапно обнаружил забавную вещь: если в виртуальной среде VMware выполнить копирование исполняемого файла, то становятся видны альтернативные потоки данных, которые создает Comodo. Т.е. рядом с файлом «java.exe» появляется файл «java.exe:$CmdTcID», который можно просмотреть. | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 15:10 15-01-2015 | Исправлено: emhanik, 20:35 15-01-2015 |
|