CIS 8: Рейтинг файлов. Группы файлов

Понятие доверенных и неопознанных файлов, списки доверенных файлов и поставщиков, приложения-инсталляторы, облачное обнаружение доверенных и вредоносных программ, различные особенности определения рейтинга файлов, баги и уязвимости

Прежде чем переходить к рассмотрению непосредственно средств защиты, познакомимся с «Рейтингом файлов» — компонентом, на который опирается работа CIS, и с «Группами файлов» — удобным инструментом для настройки.

Рейтинг файлов

Статус доверенного файла

Компонент «Рейтинг файлов» делит все обнаруженные программы на «доверенные», «неопознанные» и «вредоносные». От рейтинга (репутации, в другом переводе) программы будут зависеть ограничения, накладываемые на нее антивирусом, фаерволом, HIPS и Auto-Sandbox. Например, в конфигурации «Proactive Security» активность неопознанной программы изолируется посредством Auto-Sandbox.

Файл получает статус «доверенного» разными путями:

  • автоматически:
    • если он входит в список безопасных файлов, который обновляется вместе с антивирусной базой;
    • если файл имеет цифровую подпись, причем ее поставщик входит в список доверенных;
    • если файл признан безопасным по результатам облачной проверки;
    • если он был создан приложением, имеющим привилегии установщика;
  • может быть занесен в доверенные вручную:
    • через окно настройки CIS:
      • непосредственным добавлением файла на вкладку «Рейтинг файлов» > «Список файлов» с указанием рейтинга «Доверенный»,
      • изменением рейтинга файла, находящегося в списке, на «Доверенный»,
      • добавлением поставщика этого файла в список доверенных поставщиков;
    • через список активных процессов, если этот файл выполняется;
    • через оповещение Auto-Sandbox о запуске неопознанного установщика.

Через окно настройки CIS можно добавлять в доверенные не только файлы, но и все содержимое каталогов. Разумеется, добавлять файлы и каталоги в доверенные можно только при полной уверенности в их безопасности.

Список файлов

Важный момент: в список вносится контрольная сумма файла, а путь отображается лишь для удобства пользователя. Т.е. после добавления файла в доверенные все идентичные ему будут доверенными, даже если исходный файл удалить. Соответственно, если внести изменения в файл, он перестанет быть доверенным (но останется им, если изменения будут вызваны его заменой на новую версию, имеющую подпись).

В версии CIS 8 замечен серьезный баг: если заменить доверенный файл другим, имеющим такое же имя, то некоторое время рейтинг нового файла не будет проверяться (Auto-Sandbox замечает подмену лишь спустя пару минут, HIPS — еще позже). Самый верный способ заставить Comodo обнаружить подмену — перезагрузить компьютер. Версия CIS 7 этой уязвимости не имеет.

Ведение списка файлов

В большинстве случаев определение рейтинга файла происходит при попытке его запуска, хотя может происходить и при создании (копировании, распаковке, загрузке).

Особая ситуация — режим «Чистый ПК». В этом режиме отслеживается создание новых исполняемых файлов. Если эти файлы не признаются доверенными и имеют размер меньше 40 МБ, то они заносятся в список неопознанных и ограничиваются в правах. Остальные файлы, меньшие 40 МБ, получают разрешения доверенных. Отмечу, что режим «Чистый ПК» весьма проблемный, использовать его не рекомендую.

Определение рейтинга файла (и назначение соответствующих прав) не всегда сопровождается автоматическим занесением его в список. Например, файл не занесется в список, если там уже присутствует его копия. Кроме того, есть скрытый перечень файлов, которые Comodo считает безопасными, несмотря на отсутствие подписи. Эти файлы получают при запуске права доверенных, но в список не заносятся.

Ведение списка неопознанных файлов в CIS 8.0-8.2 связано с работой Auto-Sandbox:

  • если Auto-Sandbox блокирует запуск файла, то он не занесется в список неопознанных;
  • если Auto-Sandbox разрешает запуск файла, но только изолированно, то файл занесется в список неопознанных (даже если его запуск будет заблокирован компонентом HIPS);
  • если Auto-Sandbox не работает (или данный файл наследует исключение из Auto-Sandbox от родительского процесса), то файл занесется в список неопознанных, только если его размер меньше указанного на вкладке «Антивирусный мониторинг» в поле «Максимальный размер файла» (по умолчанию 40 МБ).

Если файлы, попавшие в число неопознанных, гарантированно безопасны, то их можно вручную перевести в доверенные.

Список доверенных поставщиков

Как уже говорилось, файл получает статус доверенного, если он подписан, и поставщик подписи входит в список доверенных. Есть возможность пополнять список доверенных поставщиков вручную: путем импорта поставщика из подписанного файла.

Добавление поставщика в доверенные

Отмечу, что необходимость ручного добавления доверенных поставщиков практически не возникает, когда включена облачная проверка.

Более актуальной была бы возможность удаления нежелательных поставщиков из списка доверенных. Но, к сожалению, при облачной проверке рейтинга файлов удаленные поставщики возвращаются в этот список. Поэтому запретить доверие нежелательным поставщикам можно только отказом от облачной проверки.

Отключение облачной проверки рейтинга файлов

Но даже в этом случае контроль над рейтингом останется неполным, так как есть скрытая база безопасных файлов, изменить которую нельзя.

Отмечу следующую особенность. Если какой-либо файл был автоматически занесен в список доверенных на основании доверия к его поставщику, то при исключении поставщика из доверенных будет исключен и файл. Однако если файл был занесен в доверенные вручную или в результате работы установщика — он останется доверенным даже после исключения его поставщика.

Статус приложения-инсталлятора

Приложения с определенными признаками квалифицируются Comodo как «установщики» («инсталляторы»). Если инсталлятор является одновременно доверенным файлом, то он получает особые привилегии:

  • созданные им файлы автоматически заносятся в доверенные (exe- и dll-файлы, меньшие 40 МБ);
  • запускаемые им программы также выполняются с правами доверенных инсталляторов, независимо от своего рейтинга.

Если инсталлятор является неопознанным, то при его запуске появится оповещение Auto-Sandbox, предлагающее дать ему, временно или постоянно, права доверенного инсталлятора или же изолировать, как обычное неопознанное приложение.

Тот факт, что приложение считается инсталлятором, никак не отражается в окне настройки рейтинга файлов. Лишь после запуска приложения можно будет увидеть в списке активных процессов соответствующую отметку в столбце «Рейтинг». Для открытия этого списка следует нажать на индикатор «Изолировано в Sandbox», вызвать контекстное меню и отключить опцию «Показывать только приложения в Sandbox».

Отображение статуса доверенного инсталлятора в списке активных процессов

Список активных процессов можно увидеть также в менеджере задач KillSwitch, который устанавливается через интерфейс CIS и интегрируется с ним («Главное окно» > «Задачи» > «Расширенные задачи» > «Просмотреть активность»). KillSwitch удобен тем, что позволяет сортировать список процессов. Однако KillSwitch, во-первых, не отображает выполняющиеся скрипты, а во-вторых, не во всех случаях показывает метку о статусе инсталлятора. Чтобы видеть процессы в точности так, как их воспринимает CIS, следует открывать именно список активных процессов в главном окне CIS.

Опытным путем установлено, что CIS считает инсталляторами следующие приложения:

  • программы, которые при запуске запрашивают права администратора;
  • файлы с характерными именами: *.msi, *setup*.exe, *install*.exe, *update*.exe;
  • любые файлы размером больше 40 МБ;
  • некоторые другие программы, например, установщики и стартеры PortableApps.

Последние пункты говорят о серьезной опасности: иногда Comodo дает привилегии доверенного инсталлятора программам, не имеющим никакого отношения к установке. «Инсталлятором» может оказаться интернет-браузер, архиватор, файловый менеджер... Последствия использования таких программ очевидны. Кроме того, теоретически возможно внедрение доверенных инсталляторов в состав вредоносного ПО для обхода защиты Comodo.

В качестве решения данной проблемы предлагаю частичный отказ от привилегий доверенных инсталляторов. (Полный отказ, к сожалению, невозможен: доверенные инсталляторы и их дочерние процессы останутся неподконтрольными HIPS.)

Во-первых, можно полностью отключить автоматическое занесение в доверенные файлов, создаваемых программами с привилегиями установщика. За это отвечает опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» на вкладке «Настройка рейтинга файлов». Отключим ее.

Отключить доверие приложениям, установленным с помощью доверенных инсталляторов

Во-вторых, чтобы неопознанные программы изолировались в Auto-Sandbox, даже когда их запускают приложения с привилегиями установщика, следует отключить опцию «Обнаруживать программы, требующие повышенных привилегий» на вкладке «Защита+» > «Sandbox» > «Настройка Sandbox».

Отключить обнаружение инсталляторов

Отключение последней опции затруднит установку новых программ. Поэтому я предлагаю добавить специальные пункты в контекстное меню проводника для запуска установщиков. Все необходимые материалы с инструкцией — в архиве.

В-третьих, для автоматической изоляции любых неопознанных программ (а не только имеющих подозрительное происхождение или расположение) набор правил Auto-Sandbox должен соответствовать предустановленному в конфигурации «Proactive Security». Рекомендую начинать настройку CIS с включения этой конфигурации.

Правила Auto-Sandbox в конфигурации Proactive Security

Если же не отключать привилегии установщиков, то при использовании какой-либо новой программы следует проверить в списке активных процессов, не является ли она или ее родительский процесс доверенным инсталлятором. Если является — понадобится принять определенные меры или хотя бы проявить осторожность.

Определение рейтинга больших файлов

Если файл имеет подпись доверенного поставщика, то CIS обязательно проверяет целостность этого файла и, если проверка проходит успешно, дает ему права доверенного.

Если же файл занесен в доверенные, но подпись отсутствует, то проверка целостности производится не всегда. Такой файл получит разрешения доверенного, если его размер меньше указанного на вкладке «Антивирусный мониторинг» в поле «Максимальный размер файла». (Значение по умолчанию — 40 МБ, причем на определение рейтинга влияет только его увеличение, а не уменьшение.) Если же размер файла превосходит указанный, то он будет обработан как неопознанный.

Таким образом, возможна ситуация, когда программа не получает необходимых прав из-за своего большого размера. Однако я не рекомендую для решения этой проблемы увеличивать значение в поле «Максимальный размер файла». Если это сделать, то данная программа не просто станет доверенной, а получит привилегии установщика, так как один из признаков установщика — размер больше 40 МБ. Более безопасный путь: задать необходимые исключения для такой программы в правилах HIPS и Auto-Sandbox.

Впрочем, значение в поле «Максимальный размер файла» можно повысить, если привилегии инсталляторов частично отключены.

Занесение в доверенные большого числа файлов

Если CIS установлен на чистую от вредоносных программ систему, можно установить доверенным текущее содержимое системного диска. Есть разные способы это сделать.

Для компьютера, полностью чистого от вредоносных программ (на всех дисках), предназначен режим «Чистый ПК». Однако этот режим имеет свои уязвимости: в частности, новые неопознанные файлы получают права доверенных при переименовании содержащего их каталога. Поэтому не рекомендую включать этот режим.

Считается, что в решении поставленной задачи помогает так называемое «рейтинговое сканирование»: «Главное окно» > «Задачи» > «Общие задачи» > «Сканирование» > «Рейтинговое сканирование». Результатом этой процедуры будет список файлов, которые можно затем полностью или выборочно сделать доверенными.

Рейтинговое сканирование

Однако в действительности пользы от рейтингового сканирования не много. Недостаток его в том, что невозможно повлиять на выбор сканируемых объектов. Обычно сканируются файлы, которые запущены или прописаны в автозагрузке. Полного рейтингового сканирования системы не производится.

С другой стороны, при рейтинговом сканировании проверяется репутация библиотек, загруженных исполняемыми файлами. Таким образом, это сканирование теоретически способно выявить злонамеренно измененные библиотеки.

Радикальный способ — добавить в список доверенных файлов весь системный диск. Но в этом случае будут подсчитаны и записаны контрольные суммы абсолютно всех его файлов, а не только исполняемых. Такая процедура займет время, а величина списка, возможно, скажется на производительности.

Наконец, в качестве компромиссного варианта предлагаю следующий трюк:

  • скопировать с системного диска во временный каталог все исполняемые файлы,
  • добавить этот каталог в список доверенных файлов,
  • нажать Ok и выждать несколько минут до закрытия окна настройки CIS,
  • удалить временный каталог.

В результате все исполняемые файлы на системном диске получат права доверенных (за исключением файлов большого размера).

Недостаток данного метода: эти права исчезнут, если обновить список файлов для очистки от недействительных записей. Как вариант, можно не заниматься обновлением и очисткой данного списка файлов, но это может сказаться на производительности.

В версии CIS 8.2 появилось, казалось бы, решение проблемы: экспортировать список в XML-файл, заменить в нем пути к копиям файлов путями к оригиналам и обратно импортировать список в CIS. Однако в этой версии удалили функцию очистки списка файлов от недействительных записей. Остается ждать возвращения этой функции в следующих версиях...

Исправление путей в списке файлов

Чтобы скопировать исполняемые файлы во временный каталог, можно запустить от администратора какой-либо файловый менеджер наподобие «Total Commander» и выполнить копирование со следующим фильтром:

*.bat;*.cmd;*.com;*.ex?;*.msi;*.scr;*.dll;*.cpl;*.js;*.jse;*.vbs;*.vbe;*.ws?;*.hta;*.chm;*.jar

Копирование с фильтром

Вместо файлового менеджера можно воспользоваться обычным bat-файлом. Для этого понадобится создать в Блокноте файл «exeFilter.bat» со следующим содержимым:

@echo off
set ext=bat cmd com exe ex2 ex_ msi scr sys dll cpl js jse vbs vbe wsf wsc wsh hta chm jar pif
set exedir=~exe
cd /D "%~dp0"
mkdir %exedir%
for %%e in (%ext%) do copy "*.%%e" %exedir%>nul 2>&1
for /D %%d in (*) do (
	mkdir "%exedir%\%%~nxd"
	for %%e in (%ext%) do xcopy "%%~d\*.%%e" "%exedir%\%%~nxd" /s /i /q>nul 2>&1
	echo %exedir%\%%~nxd
)
pause

Если поместить этот bat-файл в корень системного диска и запустить от имени администратора, то появится каталог «~exe», содержащий копии всех исполняемых файлов. Этот bat-файл пригоден не только для фильтрования целого диска. Если поместить его в какой-либо каталог и запустить, то копии всех исполняемых файлов соберутся в подкаталоге «~exe». Следовательно, описанным способом можно заносить в доверенные любые каталоги с большим числом файлов. Разумеется сам файл «exeFilter.bat» понадобится добавить в доверенные, прежде чем запускать.

Занесение в доверенные активной программы

Добавление программы в список доверенных через окно настройки CIS имеет некоторые неудобства: например, при закрытии этого окна могут разрываться интернет-соединения. Но если программа запущена, то ее можно занести в доверенные, не открывая окно настройки.

Наиболее предпочтительный способ сделать это — открыть список активных процессов («Главное окно» > «Изолировано в Sandbox») и добавить выполняющийся файл в доверенные через контекстное меню. Может понадобиться отключить в контекстном меню опцию «Показывать только приложения в Sandbox».

Аналогичное можно проделать через менеджер задач KillSwitch; его удобство в том, что можно сразу выделить неопознанные программы, отсортировав список процессов по столбцу «Оценка». Однако KillSwitch, в отличие от окна CIS, не покажет в этом списке выполняющиеся скрипты.

Способ, который категорически не рекомендуется: нажатие кнопки «Больше не изолировать» в окне уведомления Auto-Sandbox. Этот способ был приемлем для прежних версий CIS. Но в CIS 8.x по нажатию этой кнопки создается правило, исключающее из Auto-Sandbox не только данную программу, но и ее дочерние процессы. А в версии CIS 8.2 вообще не происходит занесения в доверенные, лишь ислючение из Auto-Sandbox (опять же, вместе с дочерними процессами).

Уведомление об изоляции в Auto-Sandbox

Можно полностью отказаться от этих уведомлений, отключив информационные сообщения. Но можно и оставить их, чтобы получать информацию об изоляции приложений, если избегать нажатия указанной кнопки.

Облачная проверка рейтинга файлов

Если на вкладке «Настройка рейтинга файлов» отмечена опция «Использовать облачную проверку», то контрольные суммы файлов сверяются с облачной базой Comodo. В результате проверки новый файл может автоматически занестись в доверенные, а также его поставщик может добавиться в список доверенных поставщиков.

С другой стороны, облачная проверка занимается выявлением и вредоносных файлов. Обычно вредоносные файлы до проверки «облаком» блокируются антивирусом, поэтому рассмотрим здесь ситуацию, когда антивирус отключен или не установлен. Следует сказать, что выявление вредоносных файлов посредством рейтинга происходит только при включенной облачной проверке (тогда как доверенные файлы определяются и без нее).

При попытке запуска файла производится облачная проверка его рейтинга и, если выявится рейтинг «вредоносный», этот файл будет заблокирован и удален в карантин (в конфигурации «Proactive Security»). Поведение CIS при обнаружении файлов таким с рейтингом может быть изменено.

Однако отключение опции «Не показывать оповещения» на вкладке «Настройка рейтинга файлов» не предотвратит удаление файлов в карантин. Если ее отключить, то, действительно, будут появляться оповещения, предлагающие удалить, проигнорировать или занести в исключения запускаемый файл. Но в любом случае произойдет удаление.

В действительности, чтобы предотвратить удаление файлов в карантин, следует изменить (не отключить!) правило Auto-Sandbox для приложений с репутацией «вредоносные»: убрать в нем соответствующую опцию. Подробный разбор Auto-Sandbox будет в другой статье.

Отключение удаления файлов в Auto-Sandbox

Если правило Auto-Sandbox изменено, чтобы вредоносные программы не удалялись автоматически, то порядок обработки файлов с рейтингом «вредоносный» станет таким:

  • при включенной опции «Не показывать оповещения» на вкладке «Настройка рейтинга файлов» выполнение таких файлов, как правило, будет прерываться, но удаляться они не будут;
  • при отключенной — появится оповещение с выбором действий:
    • при выборе варианта «Обезвредить» выполнение файла прервется и он удалится в карантин;
    • при выборе варианта «Игнорировать в этот раз» файл будет выполняться, как обычный неопознанный;
    • при выборе варианта «Игнорировать и добавить в исключения» путь этого файла добавится в исключения антивируса; при последующих запусках рейтинг этого файла (вернее, файла, расположенного на этом же месте) будет считаться «неопознанным».

Оповещение облачной проверки

Опция «Выявлять потенциально нежелательные приложения» влияет и на облачное выявление вредоносных файлов, и на работу антивируса. Когда она включена, некоторые приложения, наподобие средств обхода лицензионной защиты, получают рейтинг «вредоносных». Также, независимо от использования облачной проверки, антивирус определяет такие приложения как вредоносные. Если эту опцию отключить, то подобные приложения получат рейтинг «неопознанных», а антивирус на них не будет реагировать.

Кроме облачной проверки рейтинга файлов, есть возможность автоматической отправки самих файлов на анализ в Comodo. Она включается опцией «Выполнять облачный анализ неизвестных файлов».

Изменения компонента «Рейтинг файлов» в версии CIS 8.2

В версии CIS 8.2 файлы с разным рейтингом объединены в один список вместо двух списков в предыдущих версиях. Рейтинг теперь отображается в отдельном столбце и может иметь значения «Доверенный», «Неопознанный» или «Вредоносный». В заголовке столбца присутствует кнопка, чтобы отфильтровать в списке файлы с определенным рейтингом. Также имеется столбец с временем обнаружения файлов, по этому столбцу тоже можно отфильтровать список.

Фильтр по рейтингу

Пользовательское изменение рейтинга файлов теперь осуществляется не переносом записей из одного списка в другой, а изменением значения рейтинга в общем списке. При добавлении же новых файлов и каталогов в этот список выдается запрос, какой рейтинг следует им присвоить. В обоих случаях файлы получают по два рейтинга: пользовательский рейтинг и рейтинг Comodo. Из них приоритет имеет пользовательский рейтинг: его значение отображается в списке файлов, и он определяет права данного файла и идентичных ему. Рейтинг Comodo можно увидеть в окне «Параметры файла», которое вызывается через контекстное меню.

Главная польза этих нововведений — возможность снимать привилегии установщика с прикладных программ. Инструкция будет дана в другой статье.

Еще одно изменение отмечено выше: файлы больше не заносятся в доверенные через уведомление Auto-Sandbox.

Также появилась возможность экспорта списка файлов в формат XML и, соответственно, импорт из него. В XML-файл записываются имена файлов, контрольные суммы, репутация и т.д. Если импортировать новый список, то прежний список объединится с новым; при наличии записей с идентичными контрольными суммами останется только запись из нового списка.

Группы файлов

В противоположность рейтингу, «Группы файлов» не имеют никакого отношения к контрольным суммам и идентичности файлов: это просто наборы путей и масок. Создав группу файлов, мы сможем впоследствии ограничивать активность этих файлов, защищать их от изменения, исключать из антивирусного сканирования и т.д. А само по себе создание группы еще не вносит никаких изменений в работу защиты.

В версии CIS 8 вкладка управления группами файлов помещена в раздел «Рейтинг файлов» и добавлено несколько новых предустановленных групп.

Для создания новой группы следует открыть вкладку «Рейтинг файлов» > «Группы файлов» и через контекстное меню добавить новую группу, а затем добавить в нее любой файл. После этого станет возможным раскрыть группу и вручную изменить путь к файлу, причем можно будет использовать шаблоны, переменные среды и не существующие на данный момент пути.

Использование масок в группах файлов для правил фаервола и HIPS

Знак ? — это шаблон любого символа (особенность Comodo — любого, кроме точки). Знак * — это шаблон любой строки, в т.ч. состоящей из одного символа или пустой.

Переменные среды удобно использовать для указания путей к различным стандартным каталогам. Вокруг имени переменной среды ставятся знаки %. Например, шаблон %windir%\* — это все, что находится в каталоге Windows и его подкаталогах.

Также в группах файлов можно встретить символ |. Он играет роль при использовании Auto-Sandbox в режиме ограничений без виртуализации (означает запрет создания файлов), а также в редко используемых режимах с автоматическим созданием правил HIPS. При создании пользовательских групп файлов этот символ, как правило, не нужен.

Комментарии и отзывы

Нашли ошибку?

Новое на сайте