брандмауэр доктор веб блокирует интернет что делать
Обход брандмауэра (firewall) в Dr.Web Security Space 12
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Приложение test_application.exe предназначено для демонстрации исправной работы брандмауэра (firewall). Простая утилита на С++, которая отправляет по сети сообщение “test”. Ещё она может принимать сетевые ответы и затем исполнять их. В случае нормальной работы брандмауэра (firewall) моё приложение test_application.exe не сможет отправить сообщение “test”.
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
После сообщения о новой версии с иcправлением я решил посмотреть, как был исправлен обход. Начал с тех же действий, что и при разведке: что запустил frwl_svc.exe и посмотрел журнал Process Monitor, чтобы узнать какие Dll пытаются загрузиться.
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Как выключить брандмауэр Dr.Web на ПК
Антивирус Dr.Web считается мощным и надежным инструментом для защиты устройства от различных угроз. Он быстро обнаруживает новый вирус или вредоносное ПО и в секунды устраняет его. Антивирусная программа от компании Доктор Веб имеет в своем арсенале и ряд других не менее полезных функций, одной из которых является встроенный брандмауэр. Данный компонент занимается контролем обмена данными между сетью и компьютером в целях защиты, но иногда, блокируя подозрительные действия, сильно ограничивает пользователя в работе. Поэтому ничего не остается, как только отключить на время брандмауэр.
Для чего нужно отключение брандмауэра
Кроме встроенного брандмауэра операционной системы Windows, данный инструмент содержится и в антивирусной программе, другими словами он называется сетевым брандмауэром Dr.Веб. Такой защитный компонент серьезно относится к любым файлам и процессам, загружаемых через интернет. Если подробнее, то на брандмауэр в свою очередь возложена функция контроля сетевых атак и веб-безопасности. Таким образом, при выявлении любых подозрительных действий срабатывает защита – блокировка или предупреждение при переходе по ссылкам, сайтам или и скачивании файлов. Подобное иногда происходит, даже если никакого вреда активность пользователя в интернете не представляет. Поэтому если вы хотите работать в интернете с сайтами и файлами без ограничений, то вам нужно изменить настройки антивируса Доктор Web, а именно, отключить защитный компонент, отвечающий за брандмауэр.
Порядок отключения
Брандмауэром называется компонент, который отвечает за сетевое подключение и его защиту. Он работает наравне со всеми другими функциями антивируса, запускается вместе с загрузкой операционной системы, но при этом может быть отключен пользователем, а также статистика его фильтрации и отдельные настройки. Теперь переходим к действиям. Если вы хотите перенастроить работу брандмауэра, чтобы получить больше возможностей при работе в интернете и при подключении к сетям, то воспользуйтесь следующей инструкцией:
Подобная опция позволяет произвести сброс ранее произведенных пользовательских настроек Доктор Web и заново их настроить.
То есть теперь, когда вы снова войдете в интернет или у вас высветится подключение к новой сети, вы сможете заново произвести настройку доступа. На экране у вас высветится запрос от брандмауэра «Разрешить, «Разрешить однократно», «Запретить» или «Создать правило», на основе чего вы сможете самостоятельно перенастроить работу сетевого компонента в антивирусе.
Настройки программы
Вы можете не только перенастроить работу Dr.Веба, но и полностью отключать брандмауэр, если он вам мешает. Отключаем брандмауэр через настройки антивируса:
Вот так просто можно отключить сетевой компонент в антивирусе Доктор Web. После отключения брандмауэра в главном окне программы снова нажмите на замочек и закройте его. В зависимости от настроек антивируса, при отключении отдельных функций, утилита может запрашивать код подтверждения или пароль. Подобное срабатывает, если при установке программы вы установили флажок «Защищать паролем настройки».
Как восстановить работу брандмауэра
После того как настройка антивируса будет произведена, вы всегда сможете вернуть к работе отключенные компоненты Dr.Веба. Здесь нет ничего сложного, просто нужно выполнить все описанные действия в обратном порядке. То есть, если вы полностью отключили брандмауэр, то необходимо снова войти в Доктор Web, «Центр безопасности», «Файлы и сеть», после чего передвинуть ползунок вправо и сохранить настройки. Перезагрузите компьютер и можете работать в защищенном режиме.
Антивирус Dr.Web
Вирусные базы постоянно обновляются. Ресурсы устройства расходуются экономно при работе антивируса как в фоновом, так и в активном режиме. В результате оптимизации модуля сканирования проверка файлов на наличие угроз происходит быстрее. Качество проверки при этом не страдает.
Модульность программы позволяет включать и отключать различные компоненты защиты, не отключая антивирус при этом полностью. Например, если компьютером пользуется только взрослый, функцию родительского контроля можно выключить, она не нужна. Отключение отдельных компонентов, а не всего антивируса, оставляет ваше устройство под надёжной защитой.
В настройках безопасности есть раздел «Устройства и личные данные». С его помощью можно блокировать веб-камеру и микрофон. Это защитит от несанкционированного подключения к данным устройствам.
Dr.Web блокирует сайты: что делать
Но часто, защищая компьютер от внешнего воздействия, Dr.Web блокирует сайты и программы. Это осуществляется благодаря брандмауэру – встроенному модулю программы. Данный модуль контролирует взаимодействие между сетью и компьютером. Его основная задача – проверка активности сети и предотвращение попыток отправлять информацию с вашего устройства и принимать её из внешних ресурсов. Обычно он ограничивает подозрительные соединения. Но бывает так, что Dr.Web блокирует и безвредный сайт. Решить эту проблему можно, добавив нужный сайт в «Исключения» в настройках антивируса.
Кроме того, Dr.Web иногда блокирует доступ в интернет. Причиной может быть сбой в настройках или особенности ПО. Доступ к интернету блокируется при включенной функции брандмауэра. Если его отключить, выход в сеть будет открыт. Проблема заключается в том, что брандмауэр Dr.Web блокирует интернет при каждой загрузке системы и отключать его потребуется снова. Избежать этого можно, попробовав отключить брандмауэр полностью. Зайдите в меню антивируса, нажмите на кнопку «Компоненты защиты» и передвиньте ползунок брандмауэра в положение «Отключено».
Чтобы брандмауэр не мешал работе, и при этом защита сохранялась на должном уровне, нужно настроить антивирус правильно. А именно, разрешить доступ программам, которым вы доверяете. Для этого необходимо также открыть меню антивируса, в списке «Компоненты защиты» выбрать «Брандмауэр». Далее найти опцию «Правила для приложений» и нажать кнопку «Изменить». В открывшемся списке вы можете найти и изменить необходимые настройки.
Антивирус Dr.Web
Вирусные базы постоянно обновляются. Ресурсы устройства расходуются экономно при работе антивируса как в фоновом, так и в активном режиме. В результате оптимизации модуля сканирования проверка файлов на наличие угроз происходит быстрее. Качество проверки при этом не страдает.
Модульность программы позволяет включать и отключать различные компоненты защиты, не отключая антивирус при этом полностью. Например, если компьютером пользуется только взрослый, функцию родительского контроля можно выключить, она не нужна. Отключение отдельных компонентов, а не всего антивируса, оставляет ваше устройство под надёжной защитой.
В настройках безопасности есть раздел «Устройства и личные данные». С его помощью можно блокировать веб-камеру и микрофон. Это защитит от несанкционированного подключения к данным устройствам.
Dr.Web блокирует сайты: что делать
Но часто, защищая компьютер от внешнего воздействия, Dr.Web блокирует сайты и программы. Это осуществляется благодаря брандмауэру – встроенному модулю программы. Данный модуль контролирует взаимодействие между сетью и компьютером. Его основная задача – проверка активности сети и предотвращение попыток отправлять информацию с вашего устройства и принимать её из внешних ресурсов. Обычно он ограничивает подозрительные соединения. Но бывает так, что Dr.Web блокирует и безвредный сайт. Решить эту проблему можно, добавив нужный сайт в «Исключения» в настройках антивируса.
Кроме того, Dr.Web иногда блокирует доступ в интернет. Причиной может быть сбой в настройках или особенности ПО. Доступ к интернету блокируется при включенной функции брандмауэра. Если его отключить, выход в сеть будет открыт. Проблема заключается в том, что брандмауэр Dr.Web блокирует интернет при каждой загрузке системы и отключать его потребуется снова. Избежать этого можно, попробовав отключить брандмауэр полностью. Зайдите в меню антивируса, нажмите на кнопку «Компоненты защиты» и передвиньте ползунок брандмауэра в положение «Отключено».
Чтобы брандмауэр не мешал работе, и при этом защита сохранялась на должном уровне, нужно настроить антивирус правильно. А именно, разрешить доступ программам, которым вы доверяете. Для этого необходимо также открыть меню антивируса, в списке «Компоненты защиты» выбрать «Брандмауэр». Далее найти опцию «Правила для приложений» и нажать кнопку «Изменить». В открывшемся списке вы можете найти и изменить необходимые настройки.
Брандмауэр блокирует интернет
Такая проблема: активировал dr.web демо-ключом на 3 месяца. Через несколько дней брандмауэр стал блокировать интернет. Когда я раньше активировал демо-ключ такого не было (т.к. это не бета ключ и по идеи не должен блокировать). Что делать?
Для начала объяснить понятно и точно свою проблему по пунктам
Я уже написал, что при включённом брандмауэре dr. web стал блокировать интернет (сайты не грузит, значок интернета в правом нижнем углу с восклицательным знаком). При отключенном брандмауэре интернет работает без проблем. Забыл ещё сказать что после активации демо-ключа на 3 месяца антивирус стал спрашивать разрешения у приложений заново (хотя правила для них в настройках остались)
Вангую всё ту же проблему с сертификатами.
Это проблема со стороны dr.web или решать её все же мне надо как-то?
Вангую всё ту же проблему с сертификатами.
Для начала объяснить понятно и точно свою проблему по пунктам
День добрый! Тоже перестали открываться сайты 13/09. Вначале решил что из-за обновок ОС, но откат до 12/09 ничего не дал. Отключил Брандмауэр и всё заработало.
Keep yourself alive
Gera2018_9, исчерпывающее объяснение.
День добрый! Тоже перестали открываться сайты 13/09. Вначале решил что из-за обновок ОС, но откат до 12/09 ничего не дал. Отключил Брандмауэр и всё заработало.
День добрый! Тоже перестали открываться сайты 13/09. Вначале решил что из-за обновок ОС, но откат до 12/09 ничего не дал. Отключил Брандмауэр и всё заработало.
Вангую всё ту же проблему с сертификатами.
Обновился, результат тот же, ничего не изменилось
Uranzi, ПК перезагружали после обновления веба?
Uranzi, ПК перезагружали после обновления веба?
Да, но обычно он сам пишет когда нужно перезагружать ПК после обновления, а когда нет. В этот раз не писал, но я всё равно перезагрузил на всякий
Uranzi, отчёт бы не помешал, но уверен, что сброс настроек антивируса решит Вашу проблему.
Eugen Engelhardt,
По не действительным сертификатам, никак не могла зайти на почту яндекса выскакивало такое окно:
Удалила к чертям Доктор Веб и установила другой Антивирус, та же беда. Что делать в данном случае? Ждать манны от мелкомягких?
C телефона то же проблема, например такая же ситуация с сайтом Dr.web
На телефоне установлен Dr.web.
Может дело в Гугл Хром?
И там и там он установлен, самая последняя версия.
Eugen Engelhardt,
По не действительным сертификатам, никак не могла зайти на почту яндекса выскакивало такое окно:
Удалила к чертям Доктор Веб и установила другой Антивирус, та же беда. Что делать в данном случае? Ждать манны от мелкомягких?
При отключенном брандмауэре DrWeb указанная Вами проблема существует?
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
При отключенном брандмауэре DrWeb указанная Вами проблема существует?
Я же написала что установила с горя другой антивирус и та же проблема на PC
На телефоне с отключённым брэндмауэром на сайте Dr.web строчка HTTPS перечёркнута
Ничего не изменилось
Вот например уже на другом антивирусе
VaFelka, если при отключенном брандмауэре DrWeb проблема существует, значит эта проблема не имеет никакого отношения к теме, в которую Вы пишете.
Так что Ваши сообщения являются офтопиком в этой теме, который я настоятельно рекомендую Вам прекратить.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Uranzi, отчёт бы не помешал, но уверен, что сброс настроек антивируса решит Вашу проблему.