emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ 14:38 15-01-2015
Цитата:| Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть. |
Дык я о чем:
emhanik 19:15 12-01-2015
Цитата:| Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит. |
Даже если запретить запуск файлов, имеющих имена интерпретаторов, но иные пути, «бомба» сможет запустить отдельный свой компонент виртуально, и тот в сеть выйдет (виртуальная подмена интерпретатора по его правильному пути делается беспрепятственно).
Но намеренный запуск в виртуальной среде Comodo еще можно запретить.
А вот интересно, как будет, если вредоносная программа создает собственную виртуальную среду? Я немного поэкспериментировал с портативными сборками, созданными VMware и Cameyo. Оказалось, что для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает, поэтому не прокатывают и его уязвимости. А при распаковке и запуске программы в Cameyo контролируется-таки ее реальное расположение, а не виртуальное. Т.е. обойти приведенную блокировку сторонней виртуализацией пока не удалось, но я и пробовал всего ничего.
Добавлено:
Цитата:| для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает |
Перепроверил — все же работает, хотя с какими-то странностями. Но, как и в случае Cameyo, при попытке запустить программу, виртуально расположенную на месте интерпретатора, Comodo блокировал запуск и в журнале появилась запись с реальным местоположением этой программы.
Внезапно обнаружил забавную вещь: если в виртуальной среде VMware выполнить копирование исполняемого файла, то становятся видны альтернативные потоки данных, которые создает Comodo. Т.е. рядом с файлом «java.exe» появляется файл «java.exe:$CmdTcID», который можно просмотреть. |
Всего записей: 968 | Зарегистр. 18-12-2011 | Отправлено: 15:10 15-01-2015 | Исправлено: emhanik, 20:35 15-01-2015 |
|
