OSArmor - blocker behavioralny od NoVirusThanks
#1
Dziś miało premierę nowe narzędzie od NoVirusThanks - nosi nazwę NVT OSArmor i jak wynika z opisu oraz analizy funkcjonalności mamy do czynienia właściwie z blokerem behawioralnym Grin To tyle interesujące, że poza Kataną od DrWeb nie było właściwie nic nowego od lat w tej kategorii oprogramowania zabezpieczającego i przynosi nadzieję, że ten gatunek aplikacji jednak nie umiera Smile
Wg opisu autora i listy monitorowanych akcji  OSArmor dzięki zastosowaniu 30 specjalnych restrykcji potraf m.in.:
- blokować uruchamianie podejrzanych procesów potomnych, co pozwala na blokowanie uruchamiania exploitów
- blokować podejrzane procesy przez aplikacje wrażliwe, jak np. MS Word, Excel czy czytniki PDF
- blokować procesy uruchamiane poprzez autostart z napędów USB
- blokowanie pewnych typowych szkodliwych procesów uruchamianych z linii komend
- blokuje działanie ransomware polegające na kasowaniu plików powstałych dzięki usłudze kopiowania woluminów shadow copies - (vssadmin.exe)
- blokuje pobieranie plików zalnych (tzw. remote downlaod)
- kontroluje zachowanie pewnych procesów systemowych)
- blokuje uruchamiane plików z podwójnym rozszerzeniem
- blokuje działanie podejrzanych skryptów.

Lista akcji na screenach poniżej...obrazki własne
   


Program jest darmowy, działa od Windows XP wzwyż...i chwała autorom za to Idea 
Może być doskonałą dodatkową i wszechstronną warstwą ochrony i możemy mieć tylko nadzieję, że to dopiero początek jego świetlanej przyszłości. Program po instalacji uruchamia na stałe w systemie 2 procesy i jak widać poniżej na screenie zużycie zasobów jest na bardzo przyzwoitym poziomie
   

Strona programu
http://www.novirusthanks.org/products/osarmor/
Wątek na Wildersach
https://www.wilderssecurity.com/threads/...se.398859/


Załączone pliki Miniatury
   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.
Odpowiedz
#3
Hmm czyli co?! mamy Mamutu w wydaniu NVT

nice Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
(17.12.2017, 20:38)zord napisał(a): Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.
Patrząc na program i podobieństwo do Mamutu na przykład, to
- mamy na pewno podobieństwo w wykazie monitorowanych akcji, choć OSA nie daje możliwości konfiguracji odpowiedzi na nią - jest blokuj albo nie blokuj
- nie mamy na pewno możliwości podpowiedzi z bazy danych na serwerach dostawcy, co od razu wprowadza wskazówki dla użytkownika czy akcja jest zaufana czy podejrzana...nie ma też podpowiedzi społeczności, co było opcją w ThreatFire...nie ma też lokalnej listy zaufanych dostawców, jak było w DSA i wciąż jest w Privatefirewall
- mamy na pewno wykaz zdefiniowanych i wbudowanych zachowań, które są automatycznie blokowane, co nasuwa podobieństwo do zasad SRP...ale SRP ze względu na różne właściwości ochronne systemów Windows w zależności od jego wersji, nie działają wszędzie tak samo, co widać na przykład w aplikacji Hard_Configurator naszego kolego Andy'ego.

Andreas z NVT potwierdził, że można aplikację uznać za bloker behawioralny
Cytat:Yes it can be considered like a behavioral blocker with pre-built rules (install and forget).
Cytat:OSArmor uses internal rules to analyze processes behaviors and block suspicious processes.
 
Ponadto jest nowsza już wersja z kilkoma poprawkami...żeby ją zainstalować, należy odinstalować poprzednią
Cytat:I updated OSArmor with these changes:

- Fixed FP with chrome.exe
- Block flag TESTSIGNING on Bcdedit.exe
- Allow PortableApps (.paf.exe) by Rare Ideas, LLC
- Minor improvements

Please just uninstall it from Control Panel and then download and install it again from:
http://www.novirusthanks.org/products/osarmor/

Let me know if the chrome.exe FP is gone for you.

We'll add a enable\disable option soon.
Dodano także 2 nowe filmy z OSA w akcji.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Autor mocno pracuje nad programem wprowadzając poprawki i sugerowane przez użytkowników zmiany...mamy więc nową wersję 1.1
Cytat:This is the changelog:

[18-Dec-2017] v1.1.0.0

+ Block any process executed from java.exe and javaw.exe (unchecked by default)
+ Block any process executed from mmc.exe (unchecked by default)
+ Block any process executed from wmiprvse.exe (unchecked by default)
+ Block any process executed from mstsc.exe (Remote Desktop) (unchecked by default)
+ Block unknown processes executed from TeamViewer (unchecked by default)
+ Block execution of any process related to TeamViewer (unchecked by default)
+ Block execution of .wsf scripts
+ Improved detection of suspicious processes
+ Improved detection of suspicious svchost.exe behaviors
+ Fixed hiding of the GUI window on PC reboot
+ Fixed some false positives

To update just uninstall the old version and install the new one.

No reboot needed.
https://www.wilderssecurity.com/threads/...st-2725796
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Nowa wersja i nowe funkcje/możliwości

Cytat:New version v1.2 is available:
http://www.novirusthanks.org/products/osarmor/

[19-Dec-2017] v1.2.0.0

+ Block processes named like *keygen* or *crack* (unchecked by default)
+ Block execution of schtasks.exe is now unchecked by default
+ Prevent Regsvr32.exe from using /i: powershell
+ Fixed some false positives
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Spokojnie, za miesiąc czy dwa soft przestanie być rozwijany.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#8
(20.12.2017, 15:36)Tajny Współpracownik napisał(a): Spokojnie, za miesiąc czy dwa soft przestanie być rozwijany.

Grin
Poczułem gorzką nutę sarkazmu i ciężki bagaż doświadczeń weterana. Odrobina prawdy w tym jest, a obawiam się że z czasem może okazać się duuużo więcej niż odrobina...
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#9
NVT to jakiś atencjusz chyba.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#10
Ależ macie krytyczne podejście...krytykanckie wręcz!. Tongue
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha Grin
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
(20.12.2017, 19:18)ichito napisał(a): Ależ macie krytyczne podejście...krytykanckie wręcz!. Tongue
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha Grin

Dobra, dobra.... Lepiej powiedz @ichito (jako utajniony zamknięty betatester Smile  ), kiedy się doczekam obiecanej publicznej bety NoVirusThanks EXE Radar Pro. Czekam już.. bodajże od lipca... A miał być...
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#12
No faktycznie gościu ma ża dużo na głowie, a robi kolejne projekty bez dodatkowych ludzi przywali go nadmiar roboty jak u mnie i może sie skończyć zawaleniem kilku projektów przynajmniej.....
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#13
Nie wiem Zeno...nie dostałem nowej bety do testów.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
Pierwszą wersję testowałem, coś tam chroni ale nie całkiem. Zawsze może być dodatkowe zabezpieczenie do już istniejącego av
Odpowiedz
#15
Przetestujesz nowe wydanie?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#16
Przy najbliższej okazji, może w piątek bo mam wolne Smile
Odpowiedz
#17
OK...fajnie, że znajdziesz chwilę...czekamy więc Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#18
NVT jest świetnym przykładem działania zasady Pareto
- na 80% wyniku pracy przypada 20% wysiłku,
a na końcowe 20% - 80% wysiłku.
Odpowiedz
#19
Nowa wersja

Cytat:Released a new version v1.3:
Prevent Malware and Ransomware with OSArmor | NoVirusThanks

[22-Dec-2017] v1.3.0.0

+ Block processes with known fake extensions (i.e .pdf.exe)
+ Prevent WMIC from using "process call create" via cmdline
+ Block command-lines that match *\Start Menu\Programs\Startup\*
+ Block command-lines that match shellcode-like patterns
+ Block execution of any process related to UltraVNC (unchecked by default)
+ Block execution of any process related to RealVNC (unchecked by default)
+ Block execution of any process related to Nir Sofer (unchecked by default)
+ Block execution of any process related to LogMeIn (unchecked by default)
+ Block known Bitcoin miners command-lines
+ Prevent wbadmin.exe from deleting backup catalog
+ Block unsigned processes located on root folder (i.e C:\) (unchecked by default)
+ Block SOAP WSDL requests via command-line
+ Block execution of syskey.exe
+ Block execution of cipher.exe
+ Number of pre-defined rules increased to 60
+ Do not delete the settings when the program is uninstalled
+ Improved showing of main window from tray icon
+ Fixed many false positives
+ Improved internal rules

All reported FPs should be fixed.

On the next version we will add support for exclusions.

https://malwaretips.com/threads/novirust...195/page-5
Odpowiedz
#20
Nagrałem test na ustawieniach standardowych.



Jak widać na końcu ransom zaszyfrował pliki, incydent się zdarzył też przy innych wykonywanych PE
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości