سلام جناب آداک.
من سرم شلوغه و دیگه مثل سابق نمیتونم خودمو آپدیت نگه دارم در باره مسائل امنیتی جدید!! مخربهای جدید و محصولات سایر شرکتها و حتی در مورد کومودو هم تنبل شدم. یعنی وقت نیست.
بعد اینکه در مورد مباحتی که دوستم کرکس 20 ؛ همون امیر خودمون؛ مطرح کردند؛ فکر کنم هفته قبل بود تو گروه تلگرامی که داریم و امیر هم اونجا هست، روی یک مبحثی گفتگو کردیم که بحث یه جورهایی مرتبط با همین تست هم شد و من توضیحاتی دادم و الان پست ایشون را که شما قرار دادید یک نگاهی با هم میندازیم:
اشتباه، در کومودو اینگونه نیست و این نمونه ها از دست کومودو به دور نیستند و در محیط کاملا امن ران نمیشن. بلکه وارد سندباکس میشن و در صورت غیر فعال بودن سندباکس HIPS هشدار میده. بنابراین اینکه این نمونه ها از نطر آنتی امن تلقی میشن حداقل برای کومودو نادرست است.یادمون باشه که فایل های مخرب js و vbs از دست انتی ویروس ها بدور هستند و در سیستمی کاملا امن خودشون را ران میکنند و رفتار تخریبی به جا میگذارند.
امیر خودش داره میگه که کومودو هشدار میده و این یعنی امن نمیدونه.دیروز هم کومودو را تست کردم که وقتی فایل js ران شد کومودو هی هشدار میداد که این فایل میخواد به ریجستری که محافظت شده گذاشتی دسترسی پیدا کنه و چیزی را تغییر بده یا اضافه کنه در ریجستری
این نکته کلی هست و بستگی به محصول شما داره. اینجا چون بحث کومودو هست باید بگم که اینگونه نیست و اگر فایلی از طریق ابزار wscript.exe بخواهد به نت وصل بشه کومودو دقیقا هشدار برای همون فایل(مخرب) را میده، بنابراین مخرب نمیتونه از طریق wscript.exe نامحسوس به نت وصل بشه. و کاربر پیغام دیافت میکنه که فلان فایل (مخرب) قصد ارتباط داره و نه wscript.exejs ها زیر گذری هستند از طرفwscript.exeوقتی بهwscript.exeاجازه وصل شدن به اینترنت را میدهید یعنی به فایل زیرگذریwscript.exeاجازه دستری به فایل را دادید به قول معروف از ترفند MIB استفاده کردن هست .
بنابراین اون قسمتی که خط کشیدم، در رابطه با کومودو اشتباه است.
اول اینکه هر فایل ناامنی که بخواهد از طریق یک پروسه امن سیستمی اجرا بشه ، این دلیل نمیشه که کومودو اون فایل را امن بدونه ، امیر هم گفته که هشدار اجرا برای فایل x داده شده....و وقتی میخواست اون فایل مخرب را ران کنه کومودو هشدار داد که از پروسه winword یک فایل اجرایی به اسم x میخواد اجرا بشه اجازه بدهم یا خیر، منم اجازه دادم تا نتیجه HIPS و ویروسکوپ را در نظر بگیرم
چیزی که من در تست میبینم این هست که امیر ظاهرا داره ویروسکوپ و HIPS را تست میکنه و HIPS که طبق گفته امیر در حال هشدار دادن بود چه برای اجرا و چه برای تغییرات مثلا در رجیستری . منتهی ویرسکوپ یک ماژول تشخیص مبتنی بر رفتار هست که البته در این ماهها خیلی خیلی پیشرفت داشته ولی اینکه انتظار بره تمام مخربها را از روی رفتار بشتاسه منطقی نیست و یا تشخیص بالایی داشته باشه فعلا براش زوده.
تستی که امیر کرده من میتونم بگم ویروسکوپ تشخیص نداشته فقط همین.
===============
اما بطور کلی هر فایل و پروسه ناامن و ناشناخته ای که بخواهد اجرا بشه چه خودش مستقلا اجرا بشه ویا چه از پروسه امن دیگری استفاده (سواستفاده) بکنه مثل wscript , cmd , java , regedit , perl , mshta , powershell و غیره، کومودو از سیستم محافظت میکنه چون دیگه اون پروسه مادر را در نظر نمیگره که امن هست و مستقلا فایل و کد اجرا شده را رصد میکنه.
اتفاقا تنظیماتش هم در همون بخش حفاظت جانبی قرار گرفته.
در تصویر زیر میبنید که فایل با پسوند js اچرا میشه (طبیعتا از طریق ابزار wscript.exe اجرا میشه)به اسم run که:
1- کومودو فایل را امن نمیدونه و واد سندباکس میکنه ( پروسه wscript.exe وارد سندباکس میشه)
2- فایل قصد اتصال به نت را داره که پیغام برای run.js داده میشه و نه wscript.exe (فایل عمرا نمیتونه یواشکی به نت وصل بشه)
تمام اینها برای زمانی هست که کومودو مخرب را تشخیص نده و اگر با دیتابیس یا ویرسکوپ یا اسکن آنلاین تشخیص بده که خب هیچی.