Announcement

Collapse
No announcement yet.

Problem mit falsch positiven Erkennungen bei eigenen Applikationen

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Problem mit falsch positiven Erkennungen bei eigenen Applikationen

    Hallo zusammen,
    Wir haben bei uns eine Anwendung welche öfter neu kompiliert wird und die logischerweise jedesmal einen neuen Hash Code erhält. In der Regel landet diese bei den ersten Aufrufen in der Quarantäne und muss manuell herausgelöst werden.

    Ein Teil wird per "clickonce" beinahe täglich deployed, diese werden eigentlich immer in die Quarantäne geschoben. Die anderen werden auf die Rechner kopiert, diese schlagen eigentlich kaum an.

    Ich habe versucht, sie mittels "add file to exception police" sowie mit "allow application" blanko zu genehmigen, leider vergeblich (eigentlich logisch s.o.). Was für eine Möglichkeit haben wir sonst?

    Zusatzfrage: Wenn die Anwendung bei einen oder mehreren Usern aus der Quarantäne gelöst wird, hat dies dann Auswirkungen auf die anderen Installationen, wird dies unserem Server rückgemeldet?

    Bei Bedarf könnten wir von den Dateien ein Beispiel als ausführbare Datei liefern

    Client Affected
    Computer: HSGXXX-D
    IP address: 10.0.61.81
    User: XXXX
    Domain: Default
    Client group: My Company\Clients\MP5
    Parent server: ms-aludra

    Risk Information
    Risk name: WS.Reputation.1
    Privacy impact: Medium
    Performance impact: Medium
    Overall rating: Medium
    Download site: N/A
    Downloaded or created by: c:\windows\microsoft.net\framework64\v4.0.30319\df svc.exe
    File or path: c:\users\XXXX\appdata\local\apps\2.0\rhot24vw.9x6\ brq044nl.m5q\unis..tion_b914e16a4767a4fc_0004.0329 _c1d39b041f1cfb51\unisg.unit.main.exe
    Application: Un.IT
    Version: 4.00809.1.63403
    File size: 139264
    Category set: Malware
    Category type: Insight-Netzwerkbedrohung
    SHA-256 Hash: 45830BF821CAB1BB557B27087873B72A34EED3630B02B88565 720E9241ABB648
    SHA-1 Hash: N/A
    MD5 Hash: N/A
    Company: University of St.Gallen
    811

    Risk Detection
    Date found: 08/09/2017 16:54:35
    Description:
    Actual action: Restored
    Specified primary action: Quarantine
    Specified secondary action: Delete or remove
    Detection source: Auto-Protect
    Risk detection method: Heuristic Detection
    URL tracking: On
    Source computer:
    Event type: Security risk found
    Database insert date: 08/09/2017 16:55:16
    Event end date: 08/09/2017 16:54:54
    Event client date: 08/09/2017 16:54:35
    11Permitted application reason: Not on the permitted application list

    Risk Reputation
    First seen: Symantec has known about this file approximately 2 days.
    Reputation: There is not enough information about this file to recommend it.
    Prevalence: This file has been seen by fewer than 5 Symantec users.
    Performance impact: Medium
    Overall rating: Medium
    Detection reason: The file is not allowed because it is used by too few users.
    Minimum sensitivity level: Fewer than 5 Symantec users



  • #2
    Hallo GResch,


    bei einer File Exception geht SEP meines Wissens nur nach Dateinamen und überprüft nicht den File Hash. Sollte also eigentlich funktionieren, sofern die Datei den gleichen Namen behält. Wurden alle Haken bei den Schutztechnologien gesetzt, für die diese Ausnahme gelten soll?

    Womöglich funkt hier jedoch auch Download Insight dazwischen. Aus dem Bericht ist zu entnehmen, dass die Datei geblockt wurde, weil zu wenige Symantec User diese nutzen. Am besten Sie schauen mal in der AV-Policy unter Download Protection, ganz unten gibt es den Punkt "Automatically trust any file downloaded from a trusted Internet or intranet site". Ist der Haken gesetzt?


    Viele Grüße
    sb_b

    Comment


    • #3
      Der Haken bei "automatically trust any file downloaded from a trusted internet or intranet site" ist gesetzt.

      Leider nützt es nichts.

      Sicher das SEP bei file exception nur nach dem Dateinamen geht? Das wäre in meinen Augen eher unlogisch denn dann würde ja der Schutz bei infizierten Dateien stark aufgeweicht werden.

      Comment


      • #4
        Das bei File Exception nur nach Name gegangen wird, da bin ich mir ziemlich sicher. Problematisch an der Stelle ist, dass die Exceptions frei lesbar in die Registry geschrieben werden. Ein Angreifer bräuchte also nur in die Registry zu schauen, welche Ordner oder Files als Ausnahme deklariert sind und hätte dann großen Handlungsspielraum. Deshalb bieten wir in unserem Download-Bereich eine ADC-Richtline an, welche den Zugriff auf die Ausnahmen in der Registry für alle außer die SEP-Dienste unterbindet. Zu finden hier.

        Sicherer ist es natürlich, Ausnahmen nur nach Datei-Hash zu deklarieren. Da Ihre Programme jedoch häufig neu kompiliert werden, sehe ich nur die Möglichkeit einer File Exception. Voraussetzung ist wie gesagt, dass der Name sowie die Lokation der Datei gleich bleiben. In dem Falle sollte es funktionieren.

        Letzte Möglichkeit bliebe das Whitelisten bei Symantec selbst. Mit jeder neuen Version müsste die Datei allerdings erneut an Symantec übermittelt werden - somit etwas zeit und aufwandsintensiver, aber durchaus machbar.

        Comment


        • #5
          Danke für das Feedback.

          Wie bereits geschrieben wirkt die File Exception nicht.

          Der Shared Insight Cache ist auf unserem Server aktiviert, dies erklärt wohl dass die Meldung nicht dauerhaft erscheint.

          Die Whitelisten von Symantec sind hier leider keine Lösung da jede einzelne Version übermittelt werden müsste und bei der Aufnahme bereits veraltet wäre.

          Gibt es andere Ideen?

          Danke

          Gerd

          Comment


          • #6
            Hallo GResch,

            können Sie bitte einen Screenshot von der file exception Policy posten bzw. können Sie bitte prüfen, dass bei der Angabe des Dateinamens ein kompletter Pfad mit angegeben wurde.
            Eine systemweite Freigabe des Dateinamens kann Symantec nicht.

            Wenn sich die Dateien bzw. deren Hash-Werte so häufig ändern wie beschrieben, haben Sie folgende möglichkeiten:
            - File exception policy unter Angabe des kompletten Pfades, hierbei müssten die neu erstellen Dateien immer so heißen und den gleichen Pfad haben wie in der Policy
            - Folder exception policy, hier ist der Vorteil, dass sämtliche Dateien in dem Ordner von den Scans ausgenommen werden


            Wie sb_b schon schrieb, werden die exceptions frei lesbar in der registry hinterlegt. Daher ist es sehr ratsam, diese vor unbefugtem lesen zu schützen.
            Weitere Informationen finden Sie hier.

            VG,
            Saprophyt

            Comment


            • #7
              Hallo Saprophyt,
              ich glaube das könnte die Lösung sein. Ich habe versucht die Datei OHNE Pfad als Ausnahme aufzunehmen. Bei einem unserer Nutzer erscheint sie in einem kryptischen Verzeichnis, welches oftmals umgenannt wird.

              Die Option "allow Applikation" bringt hier ja leider auch nichts.

              Habe ich denn keine Möglichkeit eine Datei unabhängig vom Pfad oder von der Version zu erlauben?

              Downloaded or created by: c:\windows\microsoft.net\framework64\v4.0.30319\df svc.exe
              File or path: c:\users\XXXX\appdata\local\apps\2.0\rhot24vw.9x6\ brq044nl.m5q\unis..tion_b914e16a4767a4fc_0004.032e _3dd2245a7f4a0351\unisg.unit.main.exe
              Click image for larger version

Name:	file exception.jpg
Views:	3
Size:	56.0 KB
ID:	35761

              Danke
              Attached Files

              Comment


              • #8
                Hallo GResch,

                Welche Option mit "allow Application" meinen Sie?

                Leider gibt es eine solche Möglichkeit nicht. Sie können lediglich bei einer Folder Exception einen Haken bei "Include subfolders" setzen.

                VG,
                Saprophyt

                Comment


                • #9
                  Ich meine diese gelb markierteOption

                  Click image for larger version

Name:	allow Applikation.jpg
Views:	1
Size:	66.5 KB
ID:	35764

                  Comment


                  • #10
                    Originally Posted by GResch View Post
                    Habe ich denn keine Möglichkeit eine Datei unabhängig vom Pfad oder von der Version zu erlauben?
                    Leider nicht. Haben Sie die Möglichkeit, den Pfad zu bestimmen, in den die Datei verschoben werden soll? Dann wären File und Folder Exceptions wieder anwendbar.

                    Comment

                    Working...
                    X