LINUX.ORG.RU
ФорумTalks

Microsoft Defender теперь и для Linux

 ,


0

1

https://www.opennet.ru/opennews/art.shtml?num=53219

Первый выпуск включает в себя средства превентивной защиты и инструментарий командной строки для управления агентом, запуска сканирования (поиск вредоносного ПО), управления реагированием на возможные угрозы и настройки EDR (Endpoint Detection and Response, выявление возможных атак через мониторинг поведения и анализ активности с использованием методов машинного обучения). Заявлена поддержка дистрибутивов RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS и новее, SLES 12+, Debian 9+ и Oracle Linux 7.2.

Теперь лоровцы могут спать спокойно!

★★★★★
Ответ на: комментарий от Im_not_a_robot

маргинальщину поддерживать невыгодно, на этом денег не заработаешь, там и так всё просто и понятно, открываешь вики и настраиваешь систему под любые задачи. гугл, стэковерфлоу, баш-портянки, всё легко для понимания.

по этой же причине не будет поддержки Slackware, Gentoo, CRUX, LFS... в этих дистрибутивах всё настолько просто, что расплодилось Поповых более компетентных в вопросах экосистемы линукса, чем сидят специалисты на зарплате из M$.

а вот Red Hat, в этих дистрибутивах поди разберись. нет, нельзя было сделать пакетный менеджер на основе tar, cpio, нужно обязательно городить огород сущностей, которые в любой момент могут отвалиться, да отвалиться так, что потом система не загрузится. ну и затем уже оказывать платную поддержку по восстановлению системы.

какой к чёрту SELinux, блин, сейчас берётся любой дистрибутив и ставится в свою виртуалку, и не надо ни от кого ничего ограничивать. шаред хостинги в прошлом.

впрочем, линуксятникам кушать тоже хочется, поэтому продолжаем плодить сложные решения и гребём деньги.

Spoofing ★★★★★
()
Ответ на: комментарий от xDShot

Правильно, только у состоятельных линуксоидов будет защита, у нищеты будет решето

fsb4000 ★★★★★
() автор топика

исходники где посмотреть?

Anoxemian ★★★★★
()
Ответ на: комментарий от xDShot

Оно для ынтерпрайз господ чтобы секьюрити департмент нанимать

Поправил.
«секьюрити департмент» будет говорить вот у нас есть «Microsoft Defender» и значит всё хорошо.

anc ★★★★★
()
Ответ на: комментарий от anc

Суть - сэкономить, чтобы еще тела не нанимать.

xDShot ★★★★★
()
Ответ на: комментарий от paramon

У меня наш стоит Dr Web for linux, зачем мне поделие от мелкомягких?

petyanamlt ★★★★
()

Всё правильно сделали. Так как линукс теперь встроен в винду в виде WSL, вирусов под линукс должно появиться навалом.

Reset ★★★★★
()
Ответ на: комментарий от anc

Только благодаря рукам одминов, которым «мама на НГ подарила компьютер»

Ну как бэ нет. Иногда бывает, что просто рук не хватает

fornlr ★★★★★
()
Ответ на: комментарий от paramon

И как сабж поможет? Взламывают же не через флешку с автозагрузкой. А через уязвимости. Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

te111011010
()
Ответ на: комментарий от fornlr

Только благодаря рукам одминов, которым «мама на НГ подарила компьютер»

Ну как бэ нет. Иногда бывает, что просто рук не хватает

И? Нанимаем уборщиц админинить сервера? И только божественный «Microsoft Defender» «спасет отца русской демократии». Ну право слово, не смешно.

anc ★★★★★
()
Ответ на: комментарий от anc

Да нет. Просто висят такие уязвимые сервера в интернетах, а потом от этих ботнетов все страдают.

Ну а админы локалхостов, у которых на рабочем локалхосте всё отлично с их гентой или арчем на общую ситуацию не влияют.

fornlr ★★★★★
()
Ответ на: комментарий от te111011010

через уязвимости. Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

Да хотя бы пост фактум отправит письмо, что тут попа. А не так, чтобы хозяин ещё недели две не замечал.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от paramon

Вы понимаете что такое «антивирусник» как таковой? Даже с учетом эвристики можно на коленке слабать вирь по шинду. Если его не пускать в «прод», ни каких сигнатур не будет. А с учетом того, что под онтопик в разы больше кода, простите, как можно решить оно вредоносное или нет? Это скорее на вэб макак ориентировано, они нифига не умеют и тупо копипастят код. Им возможно пригодиться.

anc ★★★★★
()
Ответ на: комментарий от anc

Вы понимаете что такое «антивирусник» как таковой?

Понимаю.

Даже с учетом эвристики можно на коленке слабать вирь по шинду. Если его не пускать в «прод», ни каких сигнатур не будет.

Но и подобных программ антивирусник знать не будет, значит будет определять вредоносность по поведению.

paramon
()
Ответ на: комментарий от paramon

Как? Пароли хранятся в виде хэша. Не будет же он устраивать перебор. А если будет, то это дополнительная дыра.

te111011010
()
Ответ на: комментарий от paramon

Но и подобных программ антивирусник знать не будет, значит будет определять вредоносность по поведению.

Я написал про эвристику. Не робит.
Вы путаете, варианты, когда Вася купил «конструктор» и разослал свой вирь всем, с - я сам написал.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

А с учетом того, что под онтопик в разы больше кода, простите, как можно решить оно вредоносное или нет?

не надо ничего выдумывать, подобное уже есть и давно

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Мой ответ выше вашего поста. Я не раз препарировал вири ради интереса. И так же ради интереса писал код. Неее не ловиться. Причина проста, даже при анализе невозможно сказать, делает оно плохое или хорошее?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от paramon

Так постоянно взламывают сервера.

Сабж типа от этого защитит?)

goingUp ★★★★★
()
Ответ на: комментарий от te111011010

Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

Даже если так, то нормальный host-security даст тебе:

  • Контроль целостности нужных файлов

  • контроль запуска софта

  • интеграцию с песочницами

  • и даже если его отрубит злобный хацкер - управлялка скажет, когда и где он отрубился, что тоже является полезной информацией

CaveRat ★★
()
Ответ на: комментарий от anc

Причина проста, даже при анализе невозможно сказать, делает оно плохое или хорошее?

Плохое и хорошее - это оценочные показатели, тут АВЗ и правда поможет так себе.

А вот понять, что пытается сделать софтваре, и на сколько это похоже на то, как ведет себя известное малваре - вполне возможно.

Мой ответ выше вашего поста. Я не раз препарировал вири ради интереса. И так же ради интереса писал код. Неее не ловиться.

Кем не ловится-то?

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Кем не ловится-то

Никем. Эвристика не считает это зловредом. Хотя он мог быть таковым и был. Вы видимо программингом не занимались. Оценить «полезно» или «плохо» очень тяжело только на основании используемых функций API. А вот «конструкторы» там проще, они не сильно отличаются друг от друга. Тут эвристика может сработать.
Это я к тому, что когда ты пишешь чистый код, никакой антивирь тебя не запалит. Но сейчас ситуация другая, вирусопейсатили они как вэб макаки, берут кусок, что-то добавляют и в прод. Пропало поколение... Вы застали OneHalf ? Я да. Добротно сделано было, а не то что сейчас «из веточек и желудей».

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от Zhbert

А зачем он вообще в линуксе не объяснили?

Владелец сервера добровольно устанавливает себе троян, который отсылает в hq информацию о том какие там есть уязвимые библиотеки, потом, когда у компании-разработчика трояна начинают падать доходы, к нему внезапно начинают ломиться гости, троян с ними "борется", и все в профите :)

d_a ★★★★★
()
Ответ на: комментарий от anc

Никем. Эвристика не считает это зловредом. Хотя он мог быть таковым и был. Вы видимо программингом не занимались. Оценить «полезно» или «плохо» очень тяжело только на основании используемых функций API. А вот «конструкторы» там проще, они не сильно отличаются друг от друга. Тут эвристика может сработать.

Правила эвристик отличаются у разных вендоров, ну да ладно.

Я, скорее, к тому, что современные решения (да и старые, ЕМНИП), не столько пытаются анализировать код малваре, сколько отслеживают изменения в системе, и стараются блокировать потенциально опасные действия. Да, хостовые решения это умеют не сказать, что бы вот прямо отлично, а вот песочницы с этим научились справляться (что не мешает малвареписателям изобретать методы обхода песочниц).

Это я к тому, что когда ты пишешь чистый код, никакой антивирь тебя не запалит. Но сейчас ситуация другая, вирусопейсатили они как вэб макаки, берут кусок, что-то добавляют и в прод. Пропало поколение… Вы застали OneHalf ? Я да. Добротно сделано было, а не то что сейчас «из веточек и желудей».

Херня все это. «Пропало поколение» - это какое? Поколение писателей малваре для MS-DOS и Win95, которые не имели ни разделения памяти, ни даже возможности назначить права доступа к ресурсам ОСи? Ну, офигеть, да. Какие сложные задачи приходилось решать.

Да, согласен, упаковывать малваре приходилось в ограниченное пространство, но это касалось вообще всего.

Ну, а что-то вот прямо инженерно дико сложное и сейчас пишут, просто это уходит не на массовый рынок, а используется для атак на конкретные цели.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Ну, а что-то вот прямо инженерно дико сложное и сейчас пишут, просто это уходит не на массовый рынок, а используется для атак на конкретные цели.

Я не совсем об этом, или даже об этом (тавтология). Грамотно написанный вирь (не вариант «купил конструктор») вполне себе жизнеспособен. 1. Эвристика не сработает. 2. Гадость, как Вы правильно написали - целевая атака (или на немного хостов), будет годами жить, и никто о ней не будет знать.
Но в *nix даже самого жуткого зловреда можно найти более легким путем. В отличии от шинды. Вот и разница.

anc ★★★★★
()
Ответ на: комментарий от paramon

Возможно Вы используете характерное смешение функций API. Это всегда можно замаскировать.

anc ★★★★★
()
Ответ на: комментарий от fornlr

Бредишь на ЛОР-е? Подтверждаю слова anc, спецом тестировал вредоноса которого заведомо нет в базах десятком антивирей, ни один ничего не заметил. Но да, писать надо грамотно, без копипасты и эксплуатации уязвимостей которым сто лет в обед. Зеродей вообще никак не детектится пока про него не напишешь сам или другие люди не найдут и не напишут.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

Спасибо, КЭП. Я это отлично знаю, что и написал.

Как там принцип теоремы невозможности 100% достоверной классификации зловредного или нет ПО (из головы вылетела фамилия)?

Бредишь, как всегда ты. Как трудно не понимать элементарные вещи?

Ну вот появился на сервере обфусцированный код, или даже вообще не скрываясь дорвей с «лучшие кобылы этого города». Конечно возможно, что это как-то через официальные способы деплоя автор сам добавил — новая фишка сайта 🤣 но как-то в 99.99% случаях понятно, что нет.

fornlr ★★★★★
()
Ответ на: комментарий от paramon

будет определять вредоносность по поведению.

Ни разу не слышал, что бы какой-нибудь антивирус отловил шифровальшик по поведению. Уж казалось бы чего проще – какая-то программа начала перехерачивать все подряд файлы. Ну уж приостанови и спроси у юзера — «правда, это так и задумано?» Ну 80% жамкнут «ОК» не задумываясь. Но 20% должны среагировать-то.

greenman ★★★★★
()
Ответ на: комментарий от anc

Ладно, по поводу неработающей эвристики - беспредметный разговор, на самом деле. Что бы перевести его в какую-то практическую плоскость, надо собирать стенд, документировать политики АВЗ и ОС, брать конкретное малваре и тестить. Без этого - КМК, словоблудие.

Гадость, как Вы правильно написали - целевая атака (или на немного хостов), будет годами жить, и никто о ней не будет знать.

Ну, не все так плохо. 0day и целевые атаки да, живут долго, но не годами. ЕМНИП, текущая статистика по выявлению целенаправленной атаки на компанию - около полугода, после чего злодеев таки находят. К сожалению, иногда после того, как слитые данные оказываются на черном рынке.

Но и, на самом деле, секурити-вендора сами тоже не сидят сложа руки, раскидывают большие honey-network и мониторят активность на черном рынке, где продают эксплойт-паки и данные об уязвимостях. Да и сами их ищут и добавляют методы детектирования в свои решения.

Так что, да, все плохо, но не на столько =)

Но в *nix даже самого жуткого зловреда можно найти более легким путем. В отличии от шинды. Вот и разница.

Не буду спорить о том, где проще поймать малваре. И то, и другое - мегасложная система, контролировать ВСЕ параметры которой - нетривиальная задача. Да и сравнивать уровень защищенности ОС в вакууме - безблагодатная тема для срача. Где-то слышал умную фразу о том, что «плохо настроенный Linux не будет более безопасным, чем хорошо настроенный Windows», и полностью с этим согласен.

CaveRat ★★
()
Ответ на: комментарий от greenman

Примерно так они и палятся. Вроде, у CheckPoint-а или Symantec-а была фича специально для борьбы с шифровальщиками.

Ну и большая часть таких громких бабахов с криптолокерами - это те организации, где на ИТ и ИБ немного забивают. Тот же Maersk, как показало расследование, поимел такие проблемы из-за того, что, во-первых, банально не обновлял ОСи (хотя патчи уже были), не ограничивал права пользователей (все сидели под админами) и даже не везде АВЗ имел. С больничками американскими та же история.

Пока не совсем ясно, что было с заводами Honda, но там малваре как-то попало в промышленную сеть, куда безопасников с их антивирусами почти никогда не пускают.

CaveRat ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.