Статья Почему твои файлы летят в детект: разбор cloud telemetry.

Admin

Admin

Администратор

Почему твои файлы летят в детект: разбор cloud telemetry.​

Всем привет

  1. сразу важный момент - эта статья чисто теоретическая и тут мы не обсуждаем никакие методы обхода защиты или практические техники , цель материала простая - разобраться как работает cloud telemetry изнутри, понять архитектуру и механизмы сбора данных антивирусами.
  2. это knowledge base для тех кто только начинает погружаться в тему информационной безопасности и хочет понимать как устроены современные защитные системы - или для тех кто уже в теме но хочет узнать что-то новое, подкрепить существующие знания или посмотреть на вопрос с другой стороны.
  3. материал в статье это результат многолетних исследований в попытках понять как на самом деле работает ав и сс , информация собрана из множества источников - слитые доки майков что периодически появляются публично, independent security research от специалистов + презентации на Black Hat и DEF CON, академические статьи, плюс собственные практические тесты методом проб и ошибок.
  4. цель была понять exactly how и exactly why система работает - не абстрактно "проверяет репутацию" а конкретно какие факторы с какими весами, не "отправляет в облако" а какие именно данные в каком формате на какие endpoints, это глубинное понимание что нельзя получить из официальной документации потому что Microsoft не публикует такие детали, результат перед вами
  5. это первая статья серии что дает общую картину всей системы cloud telemetry - в следующих материалах углубимся конкретно в различия между статическим и runtime детектом, разберем техники каждого подхода детально, но сначала нужно понять как все компоненты связаны и работают вместе.
  6. главное что я жду от этой статьи - это активное обсуждение в комментах где каждый может поделиться своим опытом, задать вопросы, скорректировать инфу если где-то ошибка или добавить что-то от себя , коллективное знание всегда сильнее чем индивидуальное, так что велком в дискуссию.





поехали разбираться.


первая линия защиты - SmartScreen reputation check



  1. важно понимать что SmartScreen это отдельный слой защиты который работает по принципу совершенно отличному от классического антивируса - тут нет статического анализа файла на вирусные сигнатуры и нет поведенческого мониторинга во время выполнения, это третий путь который называется reputation-based protection или защита на основе репутации.
  2. статический анализ работает просто - антивирус открывает файл, смотрит внутрь код, ищет известные паттерны вредоносов, сравнивает с базой сигнатур и выносит вердикт заражен или нет, это происходит до запуска файла но фокус на содержимом файла, если вирусная сигнатура найдена то блок, если нет то пропуск, проблема в том что новый вредонос без известной сигнатуры пройдет мимо такой защиты легко.
  3. поведенческий анализ это противоположность - файл разрешается запустить и дальше система мониторит что он делает в runtime, какие API вызывает, куда лезет в реестр, какие процессы порождает, если поведение suspicious то процесс убивается и файл в карантин, это эффективно против новых угроз но есть задержка - вред может быть уже нанесен пока система поняла что это вредонос, плюс ресурсоемко мониторить каждый процесс постоянно.
  4. SmartScreen работает иначе - он вообще не смотрит внутрь файла и не запускает его для проверки, вместо этого берется хеш файла SHA256 уникальный отпечаток и идет запрос в облачную базу репутации, там миллиарды записей о файлах которые уже видели другие пользователи Windows по всему миру, система знает сколько раз этот конкретный хеш запускался, на скольких машинах, были ли проблемы, кто издатель, какая история у сертификата если есть.
  5. репутация строится из коллективного опыта - если миллион пользователей запустили файл с этим хешем и ни у кого проблем не было то репутация высокая и файл пропускается мгновенно без всяких проверок, если хеш вообще неизвестен облаку то репутация нулевая и показывается предупреждение не потому что файл точно вредоносный а потому что система его не знает и не может гарантировать безопасность, это cautious approach основанный на незнании а не на детекте.
  6. ключевое отличие в том что вердикт выносится не на основе того что внутри файла и не на основе того что файл делает а на основе того что о нем знают другие - это crowd-sourced intelligence где каждый пользователь Windows невольно вносит вклад в общую базу знаний, твой запуск файла становится data point для всех остальных юзеров планеты.
  7. именно поэтому SmartScreen может блокировать совершенно чистый файл без единого байта вредоносного кода внутри - просто потому что файл новый и неизвестный системе, это не ошибка а фича, принцип "не доверяй неизвестному" работает лучше чем "доверяй пока не докажешь обратное".
  8. еще до того как файл запустится на твоей машине SmartScreen делает первую проверку и это происходит буквально в момент когда файл только скачался или ты пытаешься его открыть - система мгновенно вычисляет SHA256 hash файла и отправляет запрос в Microsoft cloud reputation service, весь процесс занимает пару миллисекунд обычно, ты даже не замечаешь эту задержку но проверка уже произошла.
  9. SmartScreen работает на уровне Windows и браузеров одновременно - когда скачиваешь через Edge, Chrome или Firefox файл получает mark of the web attribute в alternate data stream, это специальный флаг MOTW что означает файл пришел из интернета и нужна дополнительная проверка , без этого флага файлы с локальной сети или USB не триггерят SmartScreen вообще, только internet zone файлы проходят через reputation check.
  10. важный момент что неподписанные приложения всегда вызывают SmartScreen независимо от других факторов - это самый очевидный триггер, если нет valid code signing certificate то файл гарантированно идет через full reputation check даже если это твой первый запуск, system не доверяет unsigned executables по умолчанию.
  11. архивы работают интересно - .zip .rar .7z сами по себе не триггерят SmartScreen при открытии, но если внутри архива executable файл и ты его запускаешь то MOTW передается на этот файл внутри архива и он уже проверяется, это chain of trust где mark распространяется на extracted content.
  12. reputation database содержит миллиарды записей и тут три категории - known good files с высокой prevalence от trusted publishers, known bad files что уже идентифицированы как malware, unknown files без достаточной репутации.
  13. когда файл unknown и prevalence низкая SmartScreen показывает желтый или красный экран предупреждения - "Windows protected your PC" это знакомый всем экран, тут важно понимать что это не значит файл точно malicious, просто система не знает файл и юзает cautious approach.
  14. publisher reputation тут критична - файл с valid EV code signing certificate от known publisher типа Microsoft, Adobe, Google проходит автоматически без проверок, даже если это совершенно новый executable. но если certificate self-signed или от неизвестного издателя то идет deep reputation check в облаке, SmartScreen проверяет не только сам файл но и всю историю certificate - сколько файлов было подписано этим cert ранее, были ли среди них malicious samples, как давно certificate существует.
  15. timing тут интересный - SmartScreen cache работает локально на машине и хранит результаты последних проверок, если ты запускаешь тот же файл второй раз в течение часа то cloud lookup не происходит, используется cached verdict. но cache живет только 1-4 часа зависит от типа файла, после этого идет fresh cloud check потому что reputation могла измениться за это время.
  16. geographic distribution тоже учитывается в reputation scoring - если файл запускается только из одного региона типа только Russia или только China то это suspicious signal, legitimate software обычно имеет global distribution. SmartScreen видит откуда в мире файл активен и это влияет на verdict, concentrated geographic pattern это red flag для системы.
  17. интеграция с Windows Defender делает SmartScreen первой линией обороны - если SmartScreen пропустил файл как unknown но не blocked, Defender уже ждет с включенным behavioral monitoring на максимум , файлы без reputation автоматически получают enhanced security от Defender даже если SmartScreen не заблокировал, это layered defense approach где каждый слой компенсирует пропуски предыдущего
  18. файлы из network shares работают по другому - если файл не из internet zone а из local network или mapped drive то MOTW не ставится и SmartScreen не срабатывает вообще, только internet zone files получают mark, это почему internal corporate software distribution не вызывает warnings но те же файлы скачанные через браузер триггерят проверку.


второй эшелон - cloud protection и real-time мониторинг


  1. важно понимать что SmartScreen это только первый фильтр и даже если файл прошел репутационную проверку это не конец истории - дальше включаются два параллельных механизма защиты которые работают одновременно, первый это cloud protection также известный как MAPS service что означает Microsoft Advanced Protection Service, второй это real-time protection или защита в реальном времени что мониторит поведение файла непосредственно во время выполнения.
  2. если SmartScreen пропустил файл как известный с хорошей репутацией то cloud protection делает быструю фоновую проверку - отправляется тот же SHA256 хеш но уже в другую базу данных где хранятся актуальные сигнатуры вредоносов обновляемые каждые 15-60 минут, это проверка занимает буквально 10-50 миллисекунд и проходит незаметно для пользователя, если хеш найден в базе известных угроз то файл блокируется мгновенно даже если репутация была хорошей, такое бывает когда легитимный файл был скомпрометирован или сертификат украден.
  3. если SmartScreen показал предупреждение но пользователь нажал run anyway то тут защита переходит в режим повышенной готовности - файл помечается как suspicious и запускается под усиленным мониторингом, каждый API call каждое обращение к реестру каждая попытка создать процесс логируется и анализируется machine learning моделями в реальном времени, это называется behavior-based detection где система не ищет известные паттерны кода а смотрит что файл реально делает.
  4. на практике это выглядит так - запускаешь файл и видишь задержку 2-5 секунд перед стартом, это именно cloud lookup работает в фоне - деф скармливает твой файл в свои machine learning модели.
  5. cloud protection работает в два этапа и тут интересная архитектура - первый этап это metadata check где отправляется только хеш файла размер и базовые атрибуты весом 2-5KB, если облако говорит need more info то начинается второй этап full file submission где весь executable загружается в cloud sandbox для глубокого анализа, этот upload происходит в фоне и не блокирует выполнение файла если пользователь уже разрешил запуск, но результаты анализа влияют на все последующие запуски этого хеша.
  6. real-time protection это отдельный компонент что работает независимо от облака - это локальный движок мониторинга который перехватывает file system operations, registry modifications, process creation, network connections на уровне kernel через minifilter driver, задержка minimal обычно 1-3 миллисекунды на операцию потому что это критичный path где нельзя тормозить систему, но именно этот компонент ловит fileless malware что работает только в памяти без касания диска.
  7. поведенческий анализ использует огромный набор heuristics и тут конкретные примеры триггеров - если процесс пытается inject code в другой процесс это suspicious, если executable создает много файлов в системных директориях это suspicious, если идут массовые попытки чтения файлов для encryption это ransomware behavior, если процесс пытается disable антивирус или modify security settings это instant red flag, каждый из этих паттернов имеет score и если суммарный score превышает threshold то процесс убивается и файл в карантин.
  8. важный момент про timing и последовательность - SmartScreen работает ДО запуска файла и решает запускать или нет, cloud protection работает ПАРАЛЛЕЛЬНО запуску и может остановить в первые секунды, real-time protection работает ВО ВРЕМЯ выполнения и может прервать в любой момент если поведение suspicious, это три независимых слоя что не дублируют друг друга а дополняют, каждый ловит то что пропустил предыдущий.
  9. это и есть именно та причина по которой первый запуск файла происходит успешно а дальнейшие уже твои файл в детекте ибо Microsoft Defender отправляет metadata и behavior patterns в облако во время первого execution, cloud service делает analysis в фоне обычно 5-15 минут, machine learning модели выносят verdict, signature генерируется автоматически и пушится обратно на все endpoints за 15-60 минут максимум. получается что первый юзер становится невольным тестером для всех остальных, его запуск проходит чисто но именно благодаря этому запуску система учится и блочит всех следующих.
  10. automatic sample submission тут критичен для эволюции защиты - когда real-time protection детектит suspicious behavior файл автоматически отправляется в Microsoft cloud для анализа человеческими аналитиками и добавления в базу угроз, это feedback loop благодаря которому новая угроза обнаруженная на одной машине становится известной всем остальным за 15-60 минут максимум через cloud signature update
  11. если облако недоступно из-за потери интернета или outage на стороне Microsoft то система переключается в автономный режим - используются только локальные сигнатуры последнего успешного обновления плюс heuristic engine работает на максимальной чувствительности что может давать больше фолзов - и даже ваши стабы которые идеальные чистые либо даже белый софт будет в детекте.



путь файла в БД


  1. критично понимать что детект у одного антивируса это быстрый путь к детекту у всех остальных - Microsoft Virus Initiative объединяет major вендоров типа ESET Kaspersky Bitdefender Trend Micro в программу обмена threat intelligence, VirusTotal Intelligence принадлежащая Google дает всем участникам доступ к семплам загруженным на платформу что означает один upload равно распространение среди 70+ антивирусных движков за сутки.
  2. практический timeline выглядит так - файл детектнут на одной машине в понедельник, автоматически отправлен в Microsoft cloud sandbox для analysis за 5-15 минут, signature сгенерирована и распространена на все Defender endpoints за 15-60 минут, через partnership channels информация ушла к другим вендорам, к среде 12+ антивирусов имеют детект, к пятнице 20+ вендоров ловят файл, весь процесс от первого детекта до global coverage занимает 3-5 дней максимум в 2025 году,

Финиш

  1. Если материал был полезен и узнали что-то новое про архитектуру cloud telemetry - оставьте отзыв что конкретно зашло а что можно улучшить или какие темы интересно разобрать дальше, ваш feedback напрямую влияет на направление следующих материалов в серии.
  2. есть вопросы по конкретным моментам или что-то осталось непонятным - пишите разберем детально, если нашли ошибки или неточности тоже велком критика помогает делать контент точнее, если есть дополнения из личной практики или research что не упомянуты в статье добавляйте в комментах это обогатит материал для всех читателей.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно «Ваш пароль истекает» (на самом деле нет). Microsoft объясняет, почему нельзя верить даже письмам от собственного HR. Новости в сети 0
Admin Статья Почему твой exe ловит синий экран : разбор SmartScreen + MOTW Вирусология 0
Admin Интересно 66 лет COBOL и «бессмертный» C. Какие технологии будут работать в 2100 году — и почему мы не сможем от них избавиться? Новости в сети 0
Admin Статья Почему ваш «Windows» прокси палится как Linux: Глубокий разбор TCP Window Size, о котором молчат. Анонимность и приватность 0
Admin Интересно Хотели лайкать посты за 170 долларов в день? Group-IB объясняет, почему вместо зарплаты вы получите дыру в кармане. Новости в сети 0
Support81 Миф об «одноразовом» телефоне: эксперимент на Reddit показал, почему приватности больше не существует Новости в сети 0
Support81 "Враг" не пришёл извне, он сидит в соседнем кабинете. Почему 24% руководителей МСП боятся своих IT-отделов Новости в сети 0
Support81 Почему форумы всё ещё побеждают в конкурсе популярности Полезные статьи 0
Support81 Почему биометрия — главный скам 21-го века Новости в сети 0
Support81 Биткоин выбирает смерть: почему BTC не подружится с квантовыми компьютерами Новости в сети 0
Support81 Из хакеров в экстремисты: почему группа подростков Com/764 стала приоритетом для ФБР Новости в сети 0
Support81 ИИ-атаки на подъёме: почему 2024 год стал переломным для кибербезопасности Новости в сети 0
Support81 Золотой век программистов закончился: почему в IT больше не будет космических зарплат Новости в сети 0
Support81 Квантовая угроза: почему Европол призывает внедрять защиту уже сейчас Новости в сети 0
Support81 Хакеры обходят защиту: почему антивирусы больше не гарант безопасности Новости в сети 0
Support81 Willow против биткоина: почему криптовалюте пока нечего бояться Новости в сети 0
Support81 Защитник-предатель: почему BitLocker стал союзником хакеров? Новости в сети 0
Support81 CVE-2024-38217: почему 0day в Windows не могли обнаружить целых 6 лет? Новости в сети 0
Support81 Маленькие коробочки или почему мы любим 7547/TCP Новости в сети 0
Support81 «TikTok, но с крыльями»: почему США запрещают DJI без доказательств шпионажа Новости в сети 0
Support81 Эпидемия малвертайзинга: почему блокировщики рекламы – не просто удобство, а необходимость Новости в сети 0
Support81 Был героем – стал злодеем: почему уставшие ИБ-специалисты встают на путь криминала Новости в сети 0
Emilio_Gaviriya Статья Почему двухфакторная аутентификация не всегда надежна? Уязвимости и взлом 0
Emilio_Gaviriya Статья Почему стоит избегать использования ботов для поиска персональных данных: Опасности и риски. Анонимность и приватность 0
Support81 Кто такие медиаполицейские и почему они нужны России? Новости в сети 1
Support81 Силовики vs приватность: что стоит за новыми законами о персональных данных и почему бизнес бьет тревогу? Новости в сети 0
Support81 Почему человек попадает в плен собственных планов и намерений Свободное общение 4
Eteriass Интересно Что такое koadic и почему не metasploit? Уязвимости и взлом 7
В Почему не перешли с zhacker ? Свободное общение 4
W Почему за виртуальными операторами, такими как Yota, Ростелеком и прочими, будущее? Полезные статьи 0
B Почему не стоит светить свой IP Анонимность и приватность 0
Admin Тонна всего. Как работает TON и почему это не просто блокчейн. Полезные статьи 0
A Почему Wi-Fi 5 скоро отправится в музей Новости в сети 0
M Почему люди бедны? | Авторская тема Свободное общение 5
R Почему вам не нужен "Анитивирус" а нужны "Мозги" Полезные статьи 1
G Почему VPN говно, а не анонимность Анонимность и приватность 7
G Почему анонимность – это важно? Полезные статьи 0
RefBanker Вернём money в твои карманы | Refund service by RefBank Ищу работу. Предлагаю свои услуги. 1
Protectron Узнать пересылаются ли твои сообщения ВК и кому? Свободное общение 5
onlydockyc Продажа | Файлы PDF шаблонов для подтверждения адреса проживания. Ищу работу. Предлагаю свои услуги. 0
Emilio_Gaviriya Статья Деанонимизация пользователей Tor через файлы-приманки. Анонимность и приватность 1
Zarik3232 Ищем чужие файлы в Google Drive Раздачи и сливы 4
P как извлечь из файлов .bin файлы с помощью UltraISO ? Свободное общение 1
Kalash Интересно Криптую APK файлы FUD Ищу работу. Предлагаю свои услуги. 0
Denik Интересно Операторы Maze начали публиковать файлы, украденные у компании Canon Новости в сети 0
Y Telegram. Храним файлы анонимно и безопасно Полезные статьи 4
D Троянское вредоносное ПО. Шифрует файлы с расширением .ncov Свободное общение 0
E Прячем файлы в картинках Вирусология 2
S Прятачем файлы в картинке (Windows) Полезные статьи 0
M Шифруем и скрываем папки и файлы Анонимность и приватность 0

Название темы