Přejít k obsahu webu
22.8.2011 / kaldy123

False positive

Problém: uživatel používá aplikaci, ale příslušný .exe soubor vyhodnocuje nainstalovaný antivirus – SEP 11.0 – jako hrozbu. Důvodů může být několik a pro řešení nejsou podstatné. Jak ale zajistit, že daná aplikace bude spolehlivě fungovat, nebude nakažena malware a pravidelné skeny ji nebudou neustále vyhodnocovat jako hrozbu?

Řešení má několik kroků:

  1. použijeme vlastnost zvanou „Centralised Exceptions“
  2. .exe soubor necháme prověřit. Jiným antivirem nebo na securityresponse.
  3. spočítáme hash kód .exe souboru
  4. nastavíme pravidelné prověřování hash kódu.

K jednotlivým krokům podrobněji:

1.   použijeme vlastnost zvanou „Centralised Exceptions“
pro tento úkol Vás zatím odkáži na dokumentaci SEP 11.0

2.  .exe soubor necháme prověřit. Jiným antivirem nebo na securityresponse.
Neznáte? Kdysi to byl přímý odkaz http://www.securityresponse.com. Ten ale nepoužívejte! Nevím proč, ale Symantec tuto doménu opustil… Ale službu naleznete na odkazu:
http://www.symantec.com/business/security_response/
Tato stránka poskytuje mnoho užitečných informací (klepněte na miniaturu obrázku pro zvětšení):

Úvodní obrazovka Security Response

Nás ale zajímají „false positive“ hrozby:

Přejdeme k submisi podezřelých souborů.

…a pokračujeme submisí:

… anebo přejdeme k submisi vzorku napřímo (pakliže si odkaz https://submit.symantec.com/false_positive/ zapamatujeme):

Submise "false positive" souboru k prověření.

Soubor se odesílá přes SSL spojení – šifrovaně, tak aby submise spolehlivě prošla přes firewally a bezpečnostní opatření na perimetrech. Kontaktní e-mail zadáváte pro doručení zpráv o postupu prověřování, repektive o jeho výsledku.

3.  Spočítáme hash kód .exe souboru
K tomuto  účelu vyvinul a dal k dispozici Microsoft zajímavou utilitku fciv.exe. Získáte ji na odkazu:
http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/windows-kb841290-x86-enu.exe

Downloadem získáte 2 soubory:

fciv.exe
ReadMe.txt

Soubor ReadMe.txt obsahuje popis a příklady užití fciv. Následující screenshot zobrazuje vytvoření hash kódu (MD5) pro PodezrelyDokument.txt:

Vytvoření hash kódu souboru PodezrelyDokument.txt

Všimněte si prosím, že ve složce přibyl soubor db.xml. Pozorný čtenář si příkládek snadno zreprodukuje a obsah souboru db.xml si snadno prohlédne.

4.  nastavíme pravidelné prověřování hash kódu.
Celkem přímočaré bylo nastavování úloh časovačem ve Windows XP. Jak je to ale ve W7 (nebo, nedejbože, ve Windows Vista)?

Prověřování HASH kódu

Všimněte si prosím, že jednotlivé akce plánovače úloh lze exportovat – dodejme, že ve formě .xml souborů – a následně opět importovat (třeba na jiném počítači). Takže tolik o možnosti hromadného nasazení, abychom nemuseli na každý počítač zvlášť. Další možností je prověřování ze serveru přes sdílené složky (shares).

A ten spouštěný program? Zvolil jsem docela primitivní „baťák“:

.bat soubor pro kontrolu HASH kódů

Pozorný čtenář opět snadno nahlédne, že namísto příkazu echo lze požít něco pádnějšího (třeba vygenerování události). Kdo si to převede do VB skriptu – ten je za vodou, protože tam už dovede provést kde-co. Pro milovníky moderny je zde Power Shell…

Takže co dodat? Přeji kolegům-adminům, aby nebyli svědky hlášky:
Také se sluší dodat, že tento druh prověření zajistí integritu libovolného souboru, a naznačeným způsobem lze zjistit modifikaci jakéhokoliv souboru.t

Reklamy

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d bloggers like this: