ESET的FD不防UNC访问

B100D1E55

囧，如果一个文件夹是共享的，那么除了本地路径可以访问之外（例如C:\Users\folder），也可以通过通用命名惯例（UNC）来访问（例如\\Machine\folder）

在ESET HIPS规则里创建一个监控文件夹写入的规则，当explorer.exe通过本地路径创建文件，HIPS会弹窗，但是通过UNC访问的时候就没反应了……把UNC路径加入规则也没用……不知道其他手动系的产品能不能这样绕过



Comodo的Protected Data Folders可以防住，意料之内
TM，BD和猫熊的保护要另外写个测试程序……不折腾了。其实我觉得坛里有心人完全可以写个脚本或者程序测测看这些安软防勒索的阈值，说不定有的触发条件很简单

更新：官方确认现阶段不支持UNC访问的防护，未来会提供支持，但是没给出具体时间。请有共享文件的童鞋留意一下

ccboxes

BD的不用测了。。。。。。。在现在的版本中，就是白名单制。

fireherman

试验一下……希望不是真的……

fireherman

不知道是不是我设置问题，我这里可以防住啊。

1，图片地址（本地文件）：






2，添加规则：




3，开启虚拟机，并通过映射共享：








4，编辑图片（恶意篡改），触发HIPS的FD规则[防删除]/[写入]，编辑（篡改行为）无法完成。





5，HIPS日志：

[mw_shl_code=css,true]2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件
2017/6/18 21:52:32        C:\Program Files\Oracle\VirtualBox\VirtualBox.exe        获取文件访问权        D:\GP_Menu\HD\Randy Blue\Solo\Derek Atlas\Derek_Atlas_solo_0009.jpg        阻止一些访问        [999][X]ESET-NOD32 HIPS Test[FD]        写入到文件[/mw_shl_code]

B100D1E55

ccboxes 发表于 2017-6-18 21:25
BD的不用测了。。。。。。。在现在的版本中，就是白名单制。

我看到BD的ransom protection里面有一个whitelist和blacklist，其中blacklist是软件自动加的？我把一些常用程序改一下md5然后访问/修改受保护文件夹是放行的，是我理解有误么。如果是大批量篡改触发的话原本是打算写一个脚本通过UNC篡改

B100D1E55

fireherman 发表于 2017-6-18 21:58
不知道是不是我设置问题，我这里可以防住啊。

1，图片地址（本地文件）：

interesting。。我是在win10 x64下测试的，而且用的是本地explorer访问UNC而不是虚拟机。我回去试试看win7的情况。多谢测试

试了一下notepad.exe也没有防住，之后测一下win7

图片很亮

fireherman

B100D1E55 发表于 2017-6-18 22:13
interesting。。我是在win10 x64下测试的，而且用的是本地explorer访问UNC而不是虚拟机。我回去试试看win ...

我确信……你一定比图片里那个家伙更“漂亮”……啊……是更……

B100D1E55

fireherman 发表于 2017-6-18 22:14
我确信……你一定比图片里那个家伙更“漂亮”……啊……是更……

我用win7试了一下，发现也是可以绕过的。后来仔细看了一下你的log，发现抓的是virtualbox的进程。估计常规走UNC是其他途径，但是虚拟机内通过UNC访问的话virtualbox会变成宿主就被监控到了
如果我测的方法没错的话，ESET这简直是囧到家了。本来自定义HIPS规则一般就是推荐中小企业部署的，而LAN内文件共享也很常见。因为这个漏洞就算规则部署下去还是跟没穿裤子一样，囧

fireherman

B100D1E55 发表于 2017-6-19 02:43
我用win7试了一下，发现也是可以绕过的。后来仔细看了一下你的log，发现抓的是virtualbox的进程。估计常 ...

因为我没有两台电脑，所以只能用虚拟机来测试，因此我不知道是不是这个原因；不过UNC一般都是（内联）/（外联）比较常用。

我……母鸡啊……

把基友们召唤过来……

@驭龙    @qftest    @ELOHIM   

令外……你快去勾引ESET技术部那帮宫城狮……

fireherman

B100D1E55 发表于 2017-6-19 02:43
我用win7试了一下，发现也是可以绕过的。后来仔细看了一下你的log，发现抓的是virtualbox的进程。估计常 ...

或者试试用【磁盘底层访问】来防护，但是……设备名该怎么写？

这样？

[mw_shl_code=css,true]\\.\Harddisk1\DR1\.\Dosdevice\D:\Backup\xxx.jpg[/mw_shl_code]