Антивирусная сеть dr web не видит компьютер
Обновлено: 08.07.2024
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Глава 2: Создание антивирусной сети
Краткая инструкция по развертыванию антивирусной сети:
1. Составьте план структуры антивирусной сети, включите в него все защищаемые компьютеры и мобильные устройства.
Выберите компьютер, который будет выполнять функции Сервера Dr.Web. В состав антивирусной сети может входить несколько Серверов Dr.Web. Особенности такой конфигурации описаны в Руководстве администратора , п. Особенности сети с несколькими Серверами Dr.Web .
Сервер Dr.Web можно установить на любом компьютере, а не только на компьютере, выполняющем функции сервера ЛВС. Основные требованием к этому компьютеру приведены в п. Системные требования .
На все защищаемые станции, включая серверы ЛВС, устанавливается одна и та же версия Агента Dr.Web. Отличие составляет список устанавливаемых антивирусных компонентов, определяемый настройками на Сервере.
Для установки Сервера Dr.Web и Агента Dr.Web требуется однократный доступ (физический или с использованием средств удаленного управления и запуска программ) к соответствующим компьютерам. Все дальнейшие действия выполняются с рабочего места администратора антивирусной сети (в том числе, возможно, извне локальной сети) и не требуют доступа к Серверам Dr.Web или рабочим станциям.
2. Согласно составленному плану определите, какие продукты для каких операционных систем потребуется установить на соответствующие узлы сети. Подробная информация по предоставляемым продуктам приведена в разделе Комплект поставки .
Агенты Dr.Web для станции под ОС Android, ОС Linux, OS X также могут быть установлены из пакетов для автономных продуктов и в дальнейшем подключены к централизованному Серверу Dr.Web. Описание соответствующих настроек Агентов приведено в Руководстве по установке , п. Установка Агента Dr.Web при помощи персонального инсталляционного пакета .
3. Установите основной дистрибутив Сервера Dr.Web на выбранный компьютер или компьютеры. Описание установки приведено в Руководстве по установке , п. Установка Сервера Dr.Web .
Вместе с Сервером устанавливается Центр управления безопасностью Dr.Web.
По умолчанию Сервер Dr.Web запускается автоматически после установки и после каждой перезагрузки операционной системы.
4. Если антивирусная сеть будет включать защищаемые станции под ОС Android, ОС Linux, OS X, установите дополнительный дистрибутив Сервера Dr.Web на все компьютеры с установленным основным дистрибутивом Сервера.
5. При необходимости установите и настройте Прокси-сервер. Описание приведено в Руководстве по установке , п. Установка Прокси-сервера .
6. Для настройки Сервера и антивирусного ПО на станциях необходимо подключиться к Серверу при помощи Центра управления безопасностью Dr.Web.
Центр управления может быть открыт на любом компьютере, а не только на том, на котором установлен Сервер. Достаточно связи по сети с компьютером, на котором установлен Сервер.
Центр управления доступен по адресу:
где в качестве <Адрес_Сервера> укажите IP-адрес или доменное имя компьютера, на котором установлен Сервер Dr.Web.
В диалоговом окне запроса на авторизацию задайте регистрационное имя и пароль администратора.
Имя администратора по умолчанию – admin .
Для Сервера под ОС семейства UNIX измените пароль администратора по умолчанию при первом подключении к Серверу.
При успешном подключении к Серверу откроется главное окно Центра управления (подробное описание см. в Руководстве администратора , в п. Центр управления безопасностью Dr.Web ).
7. Произведите начальную настройку Сервера (подробное описание настроек Сервера приведено в Руководстве администратора , в Главе 8: Настройка Сервера Dr.Web ):
a. В разделе Менеджер лицензий добавьте один или несколько лицензионных ключей и распространите их на соответствующие группы, в частности на группу Everyone . Шаг обязателен, если при установке Сервера не был задан лицензионный ключ.
b. В разделе Общая конфигурация репозитория задайте, какие компоненты антивирусной сети будут обновляться с ВСО Dr.Web. В разделе Состояние репозитория произведите обновление продуктов в репозитории Сервера. Обновление может занять продолжительное время. Дождитесь окончания процесса обновления перед тем как продолжить дальнейшую настройку.
c. На странице Администрирование → Сервер Dr.Web приведена информация о версии Сервера. При наличии новой версии, обновите Сервер как описано в Руководстве администратора , п. Обновление Сервера Dr.Web и восстановление из резервной копии .
d. При необходимости настройте Сетевые соединения для изменения сетевых настроек по умолчанию, используемых для взаимодействия всех компонентов антивирусной сети.
e. При необходимости настройте список администраторов Сервера. Также доступна внешняя аутентификация администраторов. Подробнее см. в Руководстве администратора , в Главе 5: Администраторы антивирусной сети .
f. Перед началом эксплуатации антивирусного ПО рекомендуется изменить настройку каталога резервного копирования критичных данных Сервера (см. Руководство администратора , п. Настройка расписания Сервера Dr.Web ). Данный каталог желательно разместить на другом локальном диске, чтобы уменьшить вероятность одновременной потери файлов ПО Сервера и резервной копии.
8. Задайте настройки и конфигурацию антивирусного ПО для рабочих станций (подробное описание настройки групп и станций приведено в Руководстве администратора , в Главе 6 и Главе 7 ):
a. При необходимости создайте пользовательские группы станций.
b. Задайте настройки группы Everyone и созданных пользовательских групп. В частности настройте раздел устанавливаемых компонентов.
9. Установите ПО Агента Dr.Web на рабочие станции.
В разделе Инсталляционные файлы ознакомьтесь со списком предоставляемых файлов для установки Агента. Выберите подходящий для вас вариант установки, исходя из операционной системы станции, возможности удаленной установки, варианта задания настроек Сервера при установке Агента и т.п. Например:
10. Сразу после установки на компьютеры Агенты автоматически устанавливают соединение с Сервером. Авторизация антивирусных станций на Сервере происходит в соответствии с выбранной вами политикой (см. Руководство администратора , п. Политика подключения станций ):
a. При установке из инсталляционных пакетов, а также при настройке автоматического подтверждения на Сервере рабочие станции автоматически получают регистрацию при первом подключении к Серверу, и дополнительное подтверждение не требуется.
b. При установке из инсталляторов и настройке ручного подтверждения доступа администратору необходимо вручную подтвердить новые рабочие станции для их регистрации на Сервере. При этом новые рабочие станции не подключаются автоматически, а помещаются Сервером в группу новичков.
11. После подключения к Серверу и получения настроек, на станцию устанавливается соответствующий набор компонентов антивирусного пакета, заданный в настройках первичной группы станции.
Для завершения установки компонентов рабочей станции потребуется перезагрузка компьютера.
12. Настройка станций и антивирусного ПО возможна также после установки (подробное описание приведено в Руководстве администратора , в Главе 7 ).
Обновился с 6 версии (на которой сидел несколько лет и был доволен) на 8 версию. Вот теперь разгребаю. Подскажите плс, как решить следующие вопросы:
1. Один из компов в локалке включен постоянно, работает под Win7, имеет доступ в инет и на нем DrWeb обновляется с инета и создает зеркало для обновления остальных компов в сети. Проблема в том, что компы работающие под Win7 обновляются с этого зеркала без проблем. А вот комп работающий под WinXP отказывается с этого зеркала обновляться. В логах DrWeb ругается
[struct tag_ldr_error *] = boost::filesystem::status: Отказано в доступе: "\\Lil-serv\drweb_mirror"
Причем лог-пасс в настройках апдейтера прописан правильный. Папка-зеркало с этого компа из винды XP видна и полностью доступна. Ее невидит почему то только DrWeb! Пробовал я эту папку с зеркалом скопировать на локальный винт компа с WinXP - обновляет. Пробовал положить папку с зеркалом на флешку всунутую в роутер и доступную по сети - и оттуда обновляет. Похоже именно Win7 на компе с зеркалом непропускает DrWeb с компа под WinXP. Подозреваю что какие то протоколы безопасности несовпадают или еще что. Кто нить занет как это решить?
2. На всех компах (и с Win7 и с WinXP) DrWeb не видит сеть. В настройках апдейтера приходится прописывать сетевой путь руками. В Win7 в настройках "Обновление > Источник обновлений > Обзор > Сеть" не отображает компы которые в сети, буд-то их нет. В WinXP точно также не может выйти за пределы рабочей группы. Последнее что видит DrWeb это Workgroup, а компы в этой группе уже нет. Винда эти компы видит и все остальные приложения в винде тоже. Подозреваю дело в том, что все виндовые приложения используют для обзора стандартные виндовые функции. А DrWeb рисует какое то свое, нестандартное окно "Обзор папок" и оно непашет как надо.
Хотелось бы уточнить, как с обзором сетевых ресурсов из под DrWeb обстоят дела у других. Это моя сеть нестандартная, с точки зрения антивируса? Или у всех антиврус невидит компы в сети в окне "Открытие папок"?
3. Мою проблему с зеркалом (см 1 пункт) могло бы решить размещение зеркала на флешке всунутой в роутер и доступной по сети. Я экспериментировал (копировал на флешку зеркало), с этой флешки у меня обновляются все компы и с WinXP и с Win7. Однако в настройках DrWeb в окне в котором указывается путь по которому создавать зеркало почему то невозможно выбрать сетевой путь, только локальные жесткие диски. И что печальнее, вписать путь руками антивирус недает! Только выбрать папку на винте мышей можно. Это у всех так? Как то обойти можно?
Ну вот в принципе и все вопросы. Извините за "многа букав" Техподдержку по 1 и 2 вопросам мучал, когда они в 3 раз написали "укажите логин-пароль" в настройках, я понял что помочь они немогут и надо искать альтернативные пути.
4.2. Настройка сетевых соединений
К Enterprise Серверу подключаются следующие клиенты:
Соединение всегда устанавливается по инициативе клиента.
Возможны следующие схемы подключения клиентов к Серверу :
Данный подход имеет много преимуществ, но не всегда однозначно предпочтителен (также есть ситуации, когда такой подход не следует использовать).
По умолчанию (если явно не задано иное) клиенты используют именно эту Службу .
Данный подход следует использовать, если необходима перенастройка всей системы, в частности, если требуется перенести Enterprise Сервер на другой компьютер или поменять IP-адрес машины, на которой установлен Сервер .
При конфигурации антивирусной сети ESS на использование прямых соединений Служба обнаружения Сервера может быть отключена. Для этого в описании транспортов (Администрирование → Конфигурация Dr.Web Enterprise Server → вкладка Транспорт ) поле Адрес кластера следует оставить пустым.
Настройка Dr.Web Enterprise Server
В настройках Сервера должно быть указано, какой адрес (см. Приложение E. Спецификация сетевого адреса ) необходимо "прослушивать" для приема входящих TCP-соединений.
Данный параметр задается в настройках Сервера Администрирование → Конфигурация Dr.Web Enterprise Server → вкладка Транспорт → поле Адрес .
По умолчанию для "прослушивания" Сервером устанавливаются:
Обозначение 0.0.0.0 означает "все сетевые интерфейсы", для данной машины, на которой установлен Сервер .
Для корректной работы всей системы ESS достаточно, чтобы Сервер "слушал" хотя бы один TCP-порт, который должен быть известен всем клиентам.
Настройка Dr.Web Enterprise Agent
При установке Агента адрес Сервера (IP-адрес или сетевое имя машины, на которой запущен Enterprise Сервер ) может быть явно указан в параметрах установки:
По умолчанию команда drwinst , запущенная без параметров, будет сканировать сеть на наличие Enterprise Серверов и попытается установить Агент с первого найденного Сервера в сети (режим Multicasting с использованием Службы обнаружения Сервера ).
Таким образом, адрес Enterprise Сервера становится известен Агенту при установке.
В дальнейшем адрес Сервера может быть изменен вручную в настройках Агента . Просмотр и редактирование настроек соединения с Enterprise Сервером осуществляется при помощи пункта контекстного меню значка Агента Настройки → Соединение.
Служба обнаружения Dr.Web Enterprise Server
При данной схеме подключения клиенту заранее не известен адрес Сервера . Перед каждым установлением соединения осуществляется поиск Сервера в сети. Для этого клиент посылает в сеть широковещательный запрос и ожидает ответ от Сервера с указанием его адреса. После получения отзыва клиент устанавливает соединение с Сервером .
Для этого Сервер должен "прослушивать" сеть на подобные запросы.
Возможно несколько вариантов настройки подобной схемы. Главное, чтобы метод поиска Сервера , заданный для клиентов, был согласован с настройками ответной части Сервера .
В Dr.Web Enterprise Security Suite по умолчанию используется режим Multicast over UDP :
| 1. | Сервер регистрируется в мультикаст-группе с адресом 231.0.0.1 . |
| 2. | Агенты , при поиске Сервера , посылают в сеть мультикаст-запросы на групповой адрес 231.0.0.1 . |
По умолчанию для "прослушивания" Сервером устанавливаются (аналогично прямым соединениям):
Данный параметра задается в настройках Сервера Администрирование → Конфигурация Dr.Web Enterprise Server → вкладка Транспорт → поле Адрес кластера .
Настройка сетевого экрана
Для возможности взаимодействия компонентов антивирусной сети необходимо, чтобы все используемые ими порты и интерфейсы были открыты на всех компьютерах, входящих в антивирусную сеть.
При установке Сервера инсталлятор позволяет автоматически добавить исключения в настройки сетевого экрана операционной системы Windows (кроме ОС Windows 2000). Для этого достаточно установить флаг Добавить в исключения брандмауэра порты и интерфейсы сервера .
При использовании сетевого экрана, помимо встроенного сетевого экрана ОС Windows, администратор антивирусной сети должен произвести соответствующие настройки вручную.
20 апреля 2016 knaВ общем на каждый косяк DrWEB писать отдельный пост мне не хочется, поэтому соберу всё в кучу. Возможно кому-то это поможет решить проблему, а кто-то откажется от приобретения сего говна. Речь пойдёт о DrWEB Security Space v11, поехали.
И в догонку - ещё парочка:
| проблема и решение |
|---|
| Dr WEB не пропускает пинги |
| Доктор Веб заблокировал соединение |
| Внимание! Жёсткий косяк антивируса Dr.WEB! |
Комментариев к записи: 8
Я тоже работаю админом, в бюджетном медицинском учреждении,
где денег на ПО мало-мало, а на железо их нет вообще))
1/3 машин парка вообще старинные (1.8 Ггц 1 ядро, 1 Гб ОП)
Так, что аналогично - используем Dr.Web Enterprise Security, потому что антивирус нужОн, а на Касп или Eset денег нет)
Скажу вот что - 46 машин, сервер управления Dr.Web Enterprise Security Center я развернул на машине с Ubuntu Server (все обновления подкачиваются туда, стягиваются компььютерами пользователей оттуда же, ну и ключи/настройки/исключения - всё там), админится это дело через Web-морду, которую нельзя назвать шустрой, но вполне приемлемой для использования точно можно)
Пару косяков там есть - карантин иногда выбивает в 503ю, но. на форуме админы пишут, что фикс вот-вот выйдет) Сам центр регулярно обновляю. Скачиваю всё то, что он видит и предлагает. Вот уже более полугода, полёт нормальный.
На машинах пользователей расставлены Agent'ы, сгенерированные с помощью центра. Как мне кажется - Dr.Web Agent ES 11, он даже легче, чем полноценная версия Dr.Web SS 11. По крайней мере в работе, по функционалу чуть меньше, да.
Брандмауэр, который идёт в составе решения, по инфе с оф форума - не рассчитан на корп сегмент, потому что он не управляется с центра:/ Ребята работают на тем, чтобы приемлемым образом реализовать централизованный контроль брандмауэров, установленных вместе с антивирусом, из центра управления.
Поэтому, внутри сети брандмауэр ставить совсем не обязательно. Т.к. у меня пользователь при виде окна запроса, в большинстве случаев - жмёт на красный "крестик")))
И потом удивление с того, что "ничонерабоИт" и проблемы у меня xD
С VipNet'от отдельная песня. В требованиях к рабочему месту у VipNet'а - никаких других брандмауэров, кроме того, что идёт в составе VipNet клиента на машине быть не должно!
Раз написано - значит так и надо, ноу проблем)
Сам пока лично, только с одной проблемой бодаюсь -
т.к. денег нет, юзаю LiteManager Free (до 30 компов бесплатно, в один центр можно подцепить) - так вот Dr.Web его видит его, как угрозу Remote.Admin и верещит))))
Приходится вручную, где требуется(хотя заранее итак вношу)исключать сие приложение и его рабочую папку из проверок и т.п. Хотя, это конечно небезопасно, но. ничего другого нет))
перевожу сеть на Linux потихоньку))
Игорь, вы победили проблему с LiteManager? Добавила его в исключения и с ковычками и без-толку нет, все равно при каждом сканировании все файлы попадают в карантин.
Читайте также: