Mały test od Andy`ego na MKS_Vir
#1
Na MT poprosiłem by Andy przetestował pakiet MKS przeciw atakom skryptowym.

[Aby zobaczyć linki, zarejestruj się tutaj]


Oto jego wnioski po przetestowaniu:

the MKSV on default settings blocked all samples, except those which used Bitsadmin. Yet, most PowerShell samples were blocked only via the Firewall rule (blocked outbound connections). The VBScript samples which used WMI were also blocked by the Firewall rule for wscript.exe (blocked outbound connections).

Most VBScript samples were blocked by heuristics (static detection) and it can be compared to BitDefender static detection.

MKSV has a very good protection against script trojan-downloaders. Yet, it is not perfect (can be bypassed, for example, by CHM scriptlets).
It is hard to compare MKSV to KIS, because KIS on default settings is not as good as MKSV, but KIS tweaked can also block all testing samples and additionally can detect/block other types of malicious scripts by AMSI or by blocking script interpreters


Tylko się cieszyć, że rodzimy produkt wypada dobrze( do tej pory najlepiej) Smile
Odpowiedz
#2
Haha...właśnie jestem na MT i też to czytam Smile Bardzo dobrze, że taki test został wykonany i bardzo dobrze, że jego wyniki wskazują, że MKSV na domyślnych ustawieniach daje lepszą ochronę, niż pakiet Kasperskiego Smile Może Andy nam coś jeszcze skomentuje, to da nam lepszy obraz tego testu.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Haha ta duma że MKS bije Kaspra  Tongue


Warto wspomnieć że nasz rodzimy producent cały czas pracuje nad MKS`em i uzbraja go w coraz to nowe metody obrony więc tylko się cieszyć Smile

Ichito masz może jakieś znajomości u testerów malware hub z MT by wpłynąć na kogoś kto podjął by się regularnych testów? Grin

Fajnie byłoby mieć takie odniesienie na samplach które tam trafiają Smile
Odpowiedz
#4
Cześć.
Swojego czasu przygotowałem sporo niewinnych skryptów, które na wiele sposobów sciągają plik EXE ze strony internetowej i próbują go uruchomić. Były mi one prtrzebne do testowania Windows Defendera i reguł ASR aktywowanych przez ConfigureDefendera.
Ponieważ byłem ciekaw jak inne Antywirusy dają sobie radę ze skryptami, zrobiłem kilka testów, także dla programu mks_Vir (Konrad, dzięki za pomysł). Pomyślałem sobie, że wart jest on małej reklamy. Mój test był dosyć krótki, ale wskazuje na to, że mks_Vir walczy ze skryptami typu trojan-downloader na 2 znane sposoby:
1. Blokuje połączenia wychodzące dla niektórych interpreterów skryptów (w teście sprawdziłem tylko wscript.exe i powershell.exe).
2. Dokonuje skanowania skryptów po otworzeniu folderu (skanowanie podczas dostępu do pliku).

Skanowanie wygląda na dosyć skuteczne jeśli chodzi o pliki VBScript (testowane) i jest prawdopodobnie równie skuteczne także dla plików JScript. Było ono porównywalne z detekcją BitDefendera.
KIS ma ustawienia domyślne, w których podejrzane skrypty PowerShell nie są blokowane (są uruchamiane z pewnymi ograniczeniami) co pozwala na ściągnięcie z internetu i uruchomienie pliku wykonywalnego. Ustawienia domyślne programu mks_Vir są bezpieczniejsze dla użytkowników domowych. W KIS można poprawić znacznie ochronę za pomocą odpowiednich ustawień w module Kontrola Aplikacji (niestety nie wszyscy wiedzą jak to zrobić).
Ogólnie rzecz biorąc mks_Vir podobał mi się. Szkoda, że nie wiadomo jaka jest jego skuteczność jeśli chodzi o pliki wykonywalne (EXE, MSI, DLL, etc.).
Odpowiedz
#5
Jestem użytkownikiem nowego MKS`a i bardzo sobie go chwalę.
Raz jeszcze dzięki Andy za przeprowadzenie testu Smile

Z tego co się dowiedziałem to właśnie ekipa MKS/Arcabit pracuje nad CHM`ami o których wspomniałeś na MT  Wink

Fajnie jakby ktoś z MT podjąłby się regularnych testów w malwarehubie to by nam trochę rzuciło więcej światła na ten temat.
Wrzuciłem co prawda  taką prośbę, ale puki co cisza.
Odpowiedz
#6
Wynika to pewnie z braku angielskojęzycznej wersji.
Odpowiedz
#7
No cóż...mamy na forum kogoś od nich, więc możliwe, że się odezwie...może już z jakąś propozycją? Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Czy były brane pod uwagę tutaj skrypty, które są poddane obfuskacji ? Mam na myśli skrypty typu Powershell.
Odpowiedz
#9
(08.11.2018, 19:51)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czy były brane pod uwagę tutaj skrypty, które są poddane obfuskacji ? Mam na myśli skrypty typu Powershell.

Nie, a i tak większość znanych antywirusów nie zablokowała nawet 50% skryptów (głównie VBScript). 
Detekcja mks_Vir za pomocą heurystyki i sygnatur była bardzo zbliżona do BitDefendera, reszta skryptów została zablokowana przez domyślne ustawienia firewalla. 
Detekcja skryptów PowerShell była ogólnie znacznie niższa (Kaspersky Free 0/9, BitDefender 3/9, F-Secure Safe 1/9, Avira 0/9, MalwareBytes Premium 0/9).  
Chyba tylko KIS miał wsparcie AMSI, więc miał możliwość wykrycia wszystkich skryptów. Niestety, w domyślnych ustawieniach pozwalał na ściągnięcie i uruchomienie programu (z niewielkimi ograniczeniami = Low Restricted).

Poprawiłem omyłowo wpisany mianownik 23 (ogólna ilość skryptów) na 9 (ilość skryptów z użyciem PowerShell).
Odpowiedz
#10
Wy się tam z Kaspra śmiejecie... Ja pamiętam jak w 2008 roku KAV/KIS7 blokował zapisanie pliku w wordzie albo notatniku jak się wpisało "format c:\" Smile
Teraz tego nie robi... hehe. Wogóle po tym jak Ewgenij zaczął zwiedzać świat a robią za niego to już nie ta jakość. Komercyjny domowy produkt KAV/KIS to zamulacz, w porównaniu do KES.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości