Skocz do zawartości
picasso

Zabezpieczenia przed infekcjami z USB

Rekomendowane odpowiedzi

Zabezpieczanie przed infekcjami aktywowanymi metodą autorun.inf:

 

Zabezpieczenia dla starych Windows. Materiał referencyjny: Infekcje z pendrive / mediów przenośnych

 

 

Zabezpieczanie przed infekcjami aktywowanymi metodą skrótów LNK:

 

Spoiler

Windows Shortcut Exploit Protection Tool - Narzędzie usunięte ze strony domowej.

G Data LNK-Checker - Narzędzie usunięte ze strony domowej.

Greatis Shortcut Antivirus - Przestarzałe narzędzie tracące zasadność na zaktualizowanych Windows.

 

Obecnie rozwiązania łatające lukę LNK zbędne. Zastępuje je instalacja aktualizacji KB2286198 (Windows 7: składnik pakietu SP1).

 

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

 

Autorun Protector

 

Strona domowa

 

Platforma: Windows 2000/XP/Vista

Licencja: freeware

 

 

Autorun Protector - Prosta nakładka graficzna dla operacji ochronnych, umożliwiająca niewprawionym użytkownikom zabezpieczenie swoich urządzeń. Realizuje podział funkcyjny w stylu Panda USB Vaccine tzn:

 

PC Protection - Definitywne wyłączenie funkcji Autorun w Windows poprzez metodę klucza IniFileMapping (wyłączenie odczytu plików autorun.inf przez system). Dokładnie to samo prowadzi narzędzie Pandy. Dodatkowo jest tu funkcja "Clear MountPoints2 Registry" - czyli czyszczenie zawartości cache, o którym szczegółowo pisałam w opisie infekcji z przenośnych.

 

Device Protection - Umożliwia detekcję już obecnych plików autorun.inf, ich analizę, skasowanie oraz wprowadzenie zastępczych blokujących autorun.inf mających za zadanie zapobiegać powstawianiu takich plików od infekcji. Narzędzie obsługuje zarówno dyski w FAT jak i NTFS, a umożliwia generowanie falsyfikatów autorun.inf na dyskach twardych i przenośnych. Na NTFS: blokada jest wykonana przez połączenie dwóch metod, tzn. narzędzie wykorzystuje system zabezpieczeń NTFS wprowadzając dla grupy Wszyscy ograniczenia Odmów, a dodatkowo w tak zablokowanym folderze są utworzone dwa podobiekty wykorzystujące metodę nazwy zastrzeżonej. Na FAT: jest tworzony folder z obiektami o nazwach zastrzeżonych. W obu przypadkach tradycyjna próba kasacji takiego folderu autorun.inf się nie uda metodą bezpośrednią. Narzędzie jednak pozwala zdjąć ochronę nałożoną przez siebie.

 

Wymaganiem do działania narzędzia jest .NET Framework 2.0 lub nowsze. Samo narzędzie jako takie jest bezinstalacyjne. Określone funkcje wymagają trybu administracyjnego.

 

autorunprotector.png

 

 

 

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

usbvaccine1.png

 

Panda USB Vaccine

 

Pobieranie z BleepingComputer

 

Platforma: Windows 2000/XP/Vista

Licencja: freeware

 

 

Panda USB Vaccine - Narzędzie chroniące przed automatycznym uruchamianiem infekcji z mediów przenośnych USB. Podczas instalacji narzędzia ujawnia się ekran wyboru opcji umożliwiający instalację strażnika rezydentnego, określenie czy szczepienie urządzeń ma być wykonywane automatycznie oraz wybór eksperymentalnej obsługi szczepienia systemu plików NTFS. Narzędzie realizuje dwie sekcje zadaniowe:

 

Computer Vaccination - Zabezpieczenie systemu polegające na całkowitym wyłączeniu funkcji Autorun w Windows, a w konsekwencji zablokowanie autowykonania programów z dysku USB/CD/DVD (niezależnie od tego czy dyski te były wcześniej poddane procesowi zabezpieczającemu). Jest to ekwiwalent na ręczną edycję rejestru w kluczu IniFileMapping opisaną przeze mnie w punkcie 2 KLIK. Narzędzie prowadzi dokładnie to samo zadanie tylko w sposób automatyczny.

 

USB Vaccination - Zabezpieczanie urządzeń USB na bazie stworzenia na nich nieusuwalnego obiektu o nazwie autorun.inf, blokującego powstawianie autorun.inf infekcji. W ten sposób jest zlikwidowana możliwość samowykonywania plików z dysku via INF (natomiast sam dysk i przeglądanie / przenoszenie plików oczywiście działają jak należy). Są obsługiwane zarówno USB preformatowane w FAT jak i w NTFS (o ile podczas instalacji zaznaczono tę opcję), ale technika blokowania autorun.inf jest odmienna dla tych systemów plików. Na FAT jest tworzony widoczny plik o nazwie autorun.inf, który jest całkowicie zablokowany przed modyfikacją i usuwaniem. Na NTFS obiekt autorun.inf jest zupełnie niewidzialny, ale znakiem działania ochrony jest niemożność utworzenia obiektu o takiej nazwie, oznajmiana komunikatem "taka nazwa już istnieje". Panda nigdy nie podała publicznych informacji na temat detali techniczych tych sztuczek, a są to niezłe sztuczki, zapewne bazujące na "błędach" w tablicach plików. Proces ten jest nieodwracalny. Po wykonaniu tego zabezpieczenia na urządzeniu nie może być to zdjęte z poziomu narzędzia, a jedyną oficjalną poradą na usunięcie tych specjalnych blokad jest sformatowanie urządzenia.

 

usbvaccine2.png

 

usbvaccine3.png

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

USB-set

 

Strona pobierania

 

Platforma: Windows XP/Vista/7 32-bit i 64-bit

Licencja: freeware do użytku domowego

 

 

usbset1.gif usbset2.gif usbset3.gif usbset4.gif

 

USB-set - Program pochodzenia francuskiego, który umożliwia przeprowadzenie różnych kroków zabezpieczających ograniczających podatność na wykonanie infekcji z mediów przenośnych, typowo USB. Oferuje łatwy interfejs rekonfiguracji funkcji Windows Autorun i AutoPlay, czyszczenie śladów po podpinanych urządzeniach, (de)aktywację rozpoznawania urządzeń, szczepienie urządzeń oraz rezydenta, który automatycznie podda takiemu szczepieniu podpinane w przyszłości urządzenia. Wszystkie zadania są podzielone na tematyczne karty:

 

Global state - Podsumowanie całości zabezpieczeń i aktualnych ustawień Windows, które mogą być kontrolowane przez USB-set. Narzędzie wykorzystuje kod kolorystyczny dla oznaczenia poziomu zabezpieczeń: zielone (prawidłowa / zalecana konfiguracja), pomarańczowe (ochrona tymczasowa - dotyczy strażnika), czerwone (ustawienia wykazujące podatność na infekcję).

 

Autorun settings - Sterowanie ustawieniami Autorun (zdolność uruchomienia aplikacji z autorun.inf) i Autoplay (zdolność wywołania określonej aplikacji w oparciu o typ zawartości nośnika). Do wglądu artykuł Wiki omawiający zagadnienie oraz korespondujący artykuł MS KB967715. Są dwie sekcje, odpowiednio NoDriveTypeAutorun i NoDriveAutorun, a każde z ustawień może być prowadzone względem wszystkich użytkowników komputera lub tylko dla bieżącego. HonorAutoRunSetting - Ustawienie to aplikuje się tylko dla systemu XP. Dla Vista jest wykonywana tylko detekcja, czy w systemie jest zainstalowana łatka KB950582, aczkolwiek narzędzie może mieć problem z jej wykryciem np. jeśli instalowano ją ręcznie (wtedy należy zignorować ten odczyt). Ta sekcja w ogóle nie dotyczy Windows 7. Autoplay Windows Vista/7 - Ustawienia ekskluzywne dla tych platform, które mają większą separację Autoplay od Autorun, pozwalające ustawiać status tej funkcji. Inhibit Autorun - Opcja, która odpowiada za niemożność wznowienia funkcji Autorun w Windows, mająca na celu zapobieganie ponownemu włączaniu autorun przez malware.

Stopień zabezpieczeń jest sygnalizowany poprzez kolory. Wszystkie przekonfigurowane ustawienia zostaną zapisane dopiero po zatwierdzeniu zmian przez buttonik "Save Changes". W celu wprowadzenia zmian w życie zostanie przeładowana powłoka Windows Explorer. Pełny restart komputera nie jest konieczny.

 

Cleaning traces - Moduł czyszczenia śladów po podpinanych urządzeniach. Adresuje dwa zagadnienia: sławne klucze Mountpoints2 trzymające całą historię mapowania akcji uruchomieniowych oraz usuwanie śladów natury sprzętowej po podpinanych urządzeniach USB. Tu też można ustalić kompletne zablokowanie rozpoznawania dysków USB.

 

Vaccination - Szczepienie dysków twardych i przenośnych (z wyjątkiem CD/DVD) polegające na zablokowaniu wykonania autorun.inf infekcji. Metoda, jaką narzędzie się posługuje, jest już "klasyczna" i spotykana w innych narzędziach parających się szczepieniem (Flash Disinfector | USBFix | Autorun Protector). Tzn. narzędzie generuje zablokowany folder o nazwie autorun.inf, a blokada jest wykonana na bazie wstawienia w tym folderze obiektu o nazwie zastrzeżonej. Ten typ zabezpieczenia może zostać wykonany w sposób automatyczny (Automatic vaccination) lub ręczny (Manual vaccination). Tryb automatyczny opiera się na aktywowaniu małego strażnika, który będzie czuwał w tle i automatycznie szczepił wszystkie nowo podpinane dyski, z podoopcją trybu silent (bez komunikatów). Dodatkowo jest funkcja kontrolowania urządzenia przy udziale zainstalowanego w systemie antywirusa. Strażnik rezydentny w stanie spoczynku konsumuje bardzo mało zasobów systemowych, w związku z tym nie ma żadnych przeciwskazań dla stosowania go na starszych niewydajnych komputerach. W trybie ręcznym można wskazać konkretny dysk do nałożenia ochrony lub wykorzystać opcję zbiorczą dla wszystkich dysków, a także usunąć tę ochronę. Dodatkowo fuguruje tu funkcja wyłączenia ze szczepienia określonych dysków. Dyski poddane ochronie będą figurować w zbiorczym wykazie.

 

Narzędzie ma szczegółowo opisane wszystkie sekcje w karcie Help.

 

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

shortcut-exploit-splat.jpg

 

Windows Shortcut Exploit Protection Tool

 

Strona domowa

Zastępcza strona pobierania

 

Platforma: Windows XP/Vista/7 32-bit i 64-bit

Licencja: freeware

 

Aktualizacja: Narzędzie usunięte ze strony Sophos, należy po prostu zaktualizować Windows.

 

 

Windows Shortcut Exploit Protection Tool - Narzędzie od firmy Sophos adresujące zupełnie inny typ drogi infekcji niż omawiane wyżej narzędzia czyli skróty LNK. Wspomina o nim Bonifacy w naszym temacie forum omawiającym ten typ ataku: KLIK. Narzędzie Sophos miało obchodzić problem tymczasowych rozwiązań proponowanych uprzednio przez MS w KB2286198, skutkujących w niewyświetlaniu ikon systemowych, i stanowić rozwiązanie do czasu oficjalnego stanowiska MS. Sophos nie powoduje defektów w wyświetlaniu normalnych ikon systemowych skrótów, gdyż instaluje własny handler ikon. Narzędzie jest aktywowane za każdym razem, gdy Windows próbuje wyświetlić ikonę korespondującą do skrótu LNK. Jest przeprowadzana walidacja skrótu. W przypadku wykrycia potencjalnego zagrożenia ekstraktowanie ikony zostaje zablokowane i zgłasza się komunikat ostrzeżeniowy, który skrót zablokowano i co próbował on uruchomić. Aktualnie narzędzie chroni tylko skróty typu LNK lecz nie PIF.

 

Microsoft już wydał aktualizację zabezpieczającą chroniącą przed tym typem ataku (KB2286198). Należy czym prędzej skorzystać z Windows Update. Dodatkowo należy zwrócić uwagę, że MS już nie wspiera wersji niższych niż Windows XP SP3, toteż ta krytyczna łatka nie jest dostępna dla Windows XP SP2 i niżej. Na systemach, dla których się aplikuje, przed jej instalacją należy usunąć narzędzie Windows Shortcut Exploit Protection Tool. Na nieaktualizowanych XP po prostu zainstalować SP3 odblokowujące updaty, a jeśli to jest z jakiś względów niemożliwe, to pomocą służy narzędzie Sophos.

 

tool-1.jpg

 

 

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...