Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

Kopeicev

Доброго времени суток, коллеги!

Возникла идея обновить тест на контроль проникновения в ring0

http://www.anti-malware.ru/hips_test_ring0

Предлагаю обсудить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Можно повторить этот тест в самое ближайшее время, как раз есть окно.

По прошлой методологии будет какие-то замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Думаю, стоит решить 2 вопроса:

1. Список продуктов.

2. ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Было бы интересно сравнить результаты на х86 и х64. Но это наверно трудоемко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
По прошлой методологии будет какие-то замечания?

не включать у Оутпоста режим автообучения :)

будет ли отключено автосоздание правил? или это не играет особой роли?

Снимок_2010_08_31_23_12_31.png

post-4500-1283282103_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
не включать у Оутпоста режим автообучения smile.gif

А по умолчанию этот режим включен до сих пор? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А по умолчанию этот режим включен до сих пор?

В мастере установки будет выбор типа установки: обычная или расширенная. Если выберите расширенную, то не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
не включать у Оутпоста режим автообучения smile.gif

Насколько я помню, это режим перед тестом отключался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А по умолчанию этот режим включен до сих пор? ;)

Там НЕТ УМОЛЧАНИЯ, есть выбор - простой режим или продвинутый. И этот выбор ОБЯЗАТЕЛЕН.

Не помню про автолерн, вроде отключали в дефолтном конфиге для простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возникла идея обновить тест на контроль проникновения в ring0
Можно повторить этот тест в самое ближайшее время, как раз есть окно.

Было бы очень интересно, да и рейтинг бы порталу в целом подняло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

вроде отключали в дефолтном конфиге для простого
нет, в простом режиме автолерн (на неделю) включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Так это ... сигнатуры же спалят их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ме-то-ды. Тесты Матусека же не палят, пока не провалят. :) Да и файловые АВ можно выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

http://www.anti-malware.ru/hips_test_ring0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это экспертов спрашивать надо. Кстати, где они?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Было бы интересно сравнить результаты на х86 и х64.

Это нужно сделать обязательно (если не хотим, чтобы у портала борода выросла :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что-то нужно туда добавить из нового?

Патчинг и загрузка из mbr. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Патчинг и загрузка из mbr. :)

Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

Дофига нового. И всегда были. Нереально без использования реальной малвары или без написания собственных тестов (аля Матусек) выдергивая способы из малвары. Ну, а про нахождение __своих__ способов я уж и не говорю :)

Поэтому тест будет уныл и неактуален, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

"Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах."

Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

SWW подскажи, а руткиты написанные под x86 работают на x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
SWW подскажи, а руткиты написанные под x86 работают на x64?

Вроде как нет, но вот TDSS под x64 уже появился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww

Дык, сделай красиво - подкинь тестовые тулзени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Патчинг и загрузка из mbr. smile.gif

Патчинг чего? MBR? Так было в сравнении:

CreateFileA \\.\PhysicalDriveX - посекторное чтение/запись диска (модификация файлов или главной загрузочной записи диска).
Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

опять же - было. Чтобы заюзоть IOCTL_SCSI_PASS_THROUGH_DIRECT нужно открыть диск с правами на запись. Разница лишь в том, что в прошлом сравнении использовался мебрут с kernel32:CreateFileA, а в этом TDL ntdll:ZwOpenFile.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×