CCleaner mesec dni stregel malware

A si sploh pogledal link?
Seveda je isti hash.

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Niti ni za izključiti, da ni ClamAV v bistvu zagnal false alarm, vendar pa se je pri raziskovanju pokazalo, da nekaj pa vendarle ni čisto košer.

Nismo bili poleg, da bi vedeli. Vsekakor ClamAV ne slovi ravno kot nek high-end AV. Poleg tega na Windows deluje zgolj 'on demand', ne pa da ti bo v ozadju sproti preverjal vsako datoteko, ki se je dotakneš. Jaz ga imam kot secondary add-on, da kakšno sumljivo datoteko preverim še z njim in v praksi se mi še ni zgodilo, da bi našel kaj takega, kar mi ni že MS pojamral, da bi znalo biti problematično - prej obratno, da je trdil, da zadeva ni problematična, kjer drug AV trdi, da je.

SeMiNeSanja je 22. sep 2017 ob 17:04 izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

No, drugim ta AI, hevristika, sandbox, behavior analysis itd... niso preveč pomagali, kaj?

SeMiNeSanja je 22. sep 2017 ob 17:04 izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Nic ni reagiral, samo prvi so dodali hashe. "Hevristike", ki ti jo prodajajo AVji, pa se nikoli nisem videl delovat v praksi. :P

Truga je 23. sep 2017 ob 01:52 izjavil:

SeMiNeSanja je 22. sep 2017 ob 17:04 izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Nic ni reagiral, samo prvi so dodali hashe. "Hevristike", ki ti jo prodajajo AVji, pa se nikoli nisem videl delovat v praksi. :P

Priv so ga dali na seznam, ker je ClamAV v lasti Ciscota, Ciscotov team je pa odkril da nekaj ni OK s CCleanerjem.

Pa nehajte težit kako ClamAV nima AI in ostalih buzzwordov, ker tako kot Truga, tudi sam nisem opazil neke strašne dodane vredbnosti drugih AVjev. ClamAV uporabljajte na mailsrv, nek povsem drug AV pa na končnih mašinah. Precej majhna verjetnost je, da dva povsem različna AVja ne bosta našla nesnage, razen seveda če se, tako kot v primeru CCleanerja, ne znajdete na posebnem seznamu. V tem pimeru vam noben AV ne pomaga =)

Hashi so uporabni v primeru mitm, ja. Ima kdo kak avtomatiziran način za preverjanje teh. Namreč downloadanje, generiranje md5, primerjanje kode z kodo na spletni strani se mi zdi zelo zamudno opravilo če izvajaš to ročno.
Če pa je izdelovaled sposoben zaznati vdor... to pa mislim da ni mogoče napovedati/preveriti dokler se ne najde nekaj takega kot v tej temi. Žal.

AgiZ je 23. sep 2017 ob 11:57 izjavil:

Hashi so uporabni v primeru mitm, ja. Ima kdo kak avtomatiziran način za preverjanje teh. Namreč downloadanje, generiranje md5, primerjanje kode z kodo na spletni strani se mi zdi zelo zamudno opravilo če izvajaš to ročno.
Če pa je izdelovaled sposoben zaznati vdor... to pa mislim da ni mogoče napovedati/preveriti dokler se ne najde nekaj takega kot v tej temi. Žal.

Sandbox analitika od Lastline deluje po tem principu. Ko določena vrsta datoteka pride, generira hash, preveri status v cloud bazi in na osnovi rezultata presodi, če lahko zadevo spusti, jo takoj zavrne ali pa posreduje v analizo.
Doslej se je to pri WatchGuardu delalo zgolj na požarni pregradi, ravnokar pa so dali ven novo verzijo TDR endpoint zaščite, ki tudi uporablja Lastline analitiko za preverjanje sumljivih datotek na računalnikih.
Različni proizvajalci sicer uporabljajo različne pristope, vendar se mi zdi, da se vse bolj uveljavlja zgoraj opisani pristop.

Kar se tiče skepticizma okoli AI in heuristike, pa lahko rečem, da zadeva očitno kar deluje, ker mi maili gredo po vrsti čez 3 filtre, od katerih je prvi spam filter, ki ima nekakšen 'virus outbreak detection', kateri mi odstrani 95% nesnage, ki pride po mailih. V karanteni to potem pristane kategorizirano kot 'suspected malware'. Zgolj tisto, kar 'preživi' to detekcijo gre potem na klasično AV skerniranje, kar še to prestane, pa potem gre še skozi Sandbox analitiko.

Proizvajalci dobro vedo, da nobena metoda ni stoodstotno zanesljiva, zato se že dolgo zagovarja večplastni pristop. Del tega pristopa pa je tudi to, da si na računalnik namestiš AV od drugega proizvajalca, kot ga imaš na 'internetnem filtru'. Takointako pa ne smeš pozabiti, da je najpomembnejša plast zaščite ustrezna ozaveščenost uporabnikov - ki pa v primeru CCleaner ne more pomagat.

Ampak realno gledano, če je bil ClamAV kao prvi, ki je 18.9. dodal signaturo, potem tudi Lastline ni kaj dosti zaostajal, saj imam v mojih logih zapise od 18.9. ob cca. 18h, ko mi je Lastline blokiral CCleaner prenos. Okno nekaj ur je čisto sprejemljivo - problemtično pa je pri tistih zadevah, kjer se še tedne kasneje ne zazna grožnje - kar v industriji sploh ni nobena redkost.

Kdo tišči glavo kam?

Si morda spregledal, da mi je Lastline sandbox analitika blokirala prenos CCleanerja? In to že drugič, ko je potem dan kasneje bilo vsepovsod brati o tem grozljivem spodrsljaju, če temu tako rečemo.

Ko mi je zadevo blokiralo, pač nisem bil pozoren in sem si mislil 'že ima kakšne muhe...false positive morda...'. Žal se ne spomnim več, kdaj je bila ta prva blokada.

Dejstvo pa je, da CCleaner prenašam 'kdaj pa kdaj', ne pa vsakodnevno, tako da ne morem reči, kako je zadeva bila zanesljiva ali nezanesljiva. Seveda je tudi možno, da so zgolj hitro dodali hash v svojo bazo in naknadno optimizirali svoje algoritme, threshold,... (ker mi je 21.9. blokiralo tudi ccupdate535.exe, za katerega se ni govorilo, da bi bil problematičen).

Analize, katere si kopiral, so razmeroma enostavne, če imaš na voljo originalno in popravljeno/zlorabljeno malware varianto. Narediš diff in že vidiš, kje se je nekaj spreminjalo. Malo težje pa je kategorizirati takšne klice, če nimaš nobene primerjave, saj so lahko tudi povsem legitimni, odvisno od tega, kaj naj bi nek software počel. Samo navaden sandbox nenavadnega obnašanja sploh ne more zaznati, saj se to aktivira le v določenih domenah. Torej 'okvaro' lahko ugotoviš zgolj z poglobljeno analizo strojne kode, kar pa večina sandbox-ov sploh ne počne (se omejujejo na 'opazovanje' kaj hoče koda početi, ko se zažene).
Lastline dejansko dela tudi analizo strojne kode, vendar se mora nabrati določeno število indicev, da se prevesi tehtnica z 'good' na 'suspicious' ali celo 'dangerous', sicer bi imel opravka z goro false positive zaznav in posledično pričel ignorirati analitiko, morda celo odinštaliral zadevo.

Je že tako, da je borba proti malware-u igra mačke z mišjo. Raziskovalci se trudijo, ne moreš pa pričakovati, da so vsemogočni in bodo vedno uspeli prestreči prav vse grdobije. Govoriti, da je vse skupaj brezveze, je čista ignoranca. Ali pa iskanje opravičila za škrtarjenje pri tovrstnih rešitvah?

Največja težava pri tem avtomatiziranem odkrivanju je ravno tisto ravnotežje, threshold, do kam je še premalo indicev, da neki datoteki ni za zaupati. Da nebi prevečkrat zagnali alarm za prazen nič, se threshold pomakne nekam, kjer so lahko zadeve pod določenimi pogoji tudi lahko že malo 'vprašljive'. Če barabe potem zelo previdno sestavijo svojo kodo, seveda lahko na nek način najdejo tudi takšno kombinacijo kode, ki sama po sebi še ne bo nudila dovolj indicev, da bi prebilo threshold in datoteko označilo za malware. Koneckoncev niso to programirali amaterji ampak profesionalci, ki so skoraj zagotovo svojo kodo predhodno testirali na različnih sistemih za odkrivanje zlonamerne kode in jo šele takrat uporabili, ko so se prepričali, da se bo uspešno izognila odkritju.

Sprijazni se z realnostjo, da noben varnostni sistem ni sto odstoten. Tudi v avtomobilih se ljudje še vedno ubijajo, pa zato vseeno ne rečeš, da ne rabiš airbagov, ABS, ESP in vseh ostalih varnostnih sistemov. Se jih pa definitivno manj ubije, kot leta nazaj, ko vseh teh sistemov še ni bilo.
Enako pa je tudi s software-om. Vsega ne bo nikoli mogel zaznati in preprečiti. Bo pa vse težje sprogramirati malware, ki se bo uspešno prebil skozi preverjanje, če boš imel vse mogoče varnostne rešitve.

Problem takih, kot si ti, pa je v tem, da mislijo, da mora en sam sistem rešiti vse težave. Že dolgo se pridiga, da optimalno varnost dosežeš izključno ob uporabni večplastne zaščite. Različne rešitve v tandemu imajo bistveno večjo možnost nekaj preprečiti. Zgolj z eno, pa nisi naredil veselja ne sebi, ne tistemu prodajalcu, od katerega si jo kupil. Ta ti namreč raje nebi prodal svoje rešitve, če bi vedel, da boš potem njega krivil, ker stvari ne delujejo tako, kot bi ti to rad videl.

Mene sam zanima. Če na računalniku uporabnik izbriše program verjetno tista nesnaga ostane, ali se motim? Na enem hišnem računalniku sem sistem potem pregledal s Pando in Malwarebytesom. Našla nista nič. Je treba še kaj ročno pobrisat?

Unknown_001 je 28. sep 2017 ob 06:27 izjavil:

Mene sam zanima. Če na računalniku uporabnik izbriše program verjetno tista nesnaga ostane, ali se motim? Na enem hišnem računalniku sem sistem potem pregledal s Pando in Malwarebytesom. Našla nista nič. Je treba še kaj ročno pobrisat?

Ce imas okuzen PC je edina smiselna resitev flatten & reinstall. Trenutno noben ne ve, ce se v tem skriva se kaj drugega, ko bojo vedli bo minilo se nekaj tednov, verjetno.