Перейти к содержанию
vaber

Тест антикейлоггеров

Recommended Posts

vaber

Хотелось бы вынести на обсуждение возможность проведение теста антикейлоггеров и его методологию. Детектирование различных кейлоггеров должно быть проактивным - на основе поведенческого анализа и/или мониторингом системных событий и выдачи алерта в случае подозрительных действий.

В частности интересует методология и выбор программ для тестирования. Какие есть предложения по защитным продуктам?? Не знаю как тут быть с кейлоггерами - чтобы потом не говорили, что не нужно публиковать имена используемых в тесте шпионов.

Если смысл в проведении данного тестирования? Защитных продуктов не так и много...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

1. Любой хороший HIPS должен иметь защиту от кейлоггеров на борту.

2. Можно взять тест AKLT, тест кейлоггеров от SSM, DFK Threat Simulator и выбрать десяток зловредов, использующих кейлоггинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
выдачи алерта в случае подозрительных действий

ИМХО не обязательно. Если логгер не работает, то уже можно засчитывать плюс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
1. Любой хороший HIPS должен иметь защиту от кейлоггеров на борту.

2. Можно взять тест AKLT, тест кейлоггеров от SSM, DFK Threat Simulator и выбрать десяток зловредов, использующих кейлоггинг.

Спасибо. Но все же мне бы хотелось провести тест именно специализированных продуктов. Хотя, в некоторых HIPS-системах есть как часть функционала антикейлоггер.

ИМХО не обязательно. Если логгер не работает, то уже можно засчитывать плюс.

Угу, само собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ИМХО не обязательно. Если логгер не работает, то уже можно засчитывать плюс.

А как тогда юзер узнает, что ему добрый дядя поставил "жучка" на комп? :-) ИМХО чистый плюс нельзя давать тут.

1. Любой хороший HIPS должен иметь защиту от кейлоггеров на борту.

2. Можно взять тест AKLT, тест кейлоггеров от SSM, DFK Threat Simulator и выбрать десяток зловредов, использующих кейлоггинг.

Согласен. Тогда нужно выбрать реальные кейлогеры и добавить к ним набор тестовых утилит. Оценку производить по сумме баллов за эти два пункта.

Вопрос по составу тестируемых продуктов.

По хорошему можно взять ряд антивирусов с HIPS + специальные утилиты. Поэтому я бы предложил разбить сразу тест на 2 подраздела.

1. Тест антивирусов на детектирование кейлоггеров

2. Тест антикейлоггеров

Вот стоит ли брать в первом пункте для теста все антивирусы?

Для полноты картины - стоит, но во многих случаях результат будет ясен изначально.

Потом как быть с сигнатурным детектом кейлоггеров? Какие-то из них должны детектироваться как spyware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А сигнатурный детект нельзя обойти доверенной зоной?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Что касается сигнатурного детекта и участия антивирусов - по мне так не стоит. В большинстве случаев при наличии сигнатуры кейлоггер будет с легкостью удален, поскольку не имеют при себе как-либо средств защиты от обнаружения/удаления (кроме кейлоггеров с руткитами). Поэтому кейлоггер будет просто напросто удален без трудностей. Да и как правило при установки кейлоггера заботятся о том, чтобы не было сигнатурного детекта со стороны антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А как тогда юзер узнает, что ему добрый дядя поставил "жучка" на комп?

Ага, и сразу звонок админу - "ААА! У меня тут вирусы везде. Все заражено!!!". :)

Нет уж, Вам шашечки или ехать? :)

ЗЫ Есть ряд продуктов, которые чтобы ругнуться должны быть настроены на ругать, на дефолт. настройках они молчат. Пример - DefenseWall HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

1. Сигнатурный поиск легко обходится простой множественной перепаковкий с морфированием. Так что если сигнатурный модуль будет ругаться (и отключить его не получается)- перепаковывать семпл до состояния недетектирования и проверять.

2. По списку продуктов- полагаю, бессмысленно делать отдельно антивирусы и HIPS'ы, поскольку проверяется одна и та же функция. Мы же смотрим именно проактивную часть, а не качество детекта по сигнатурам :)

Добавлено спустя 3 минуты 52 секунды:

Спасибо. Но все же мне бы хотелось провести тест именно специализированных продуктов. Хотя, в некоторых HIPS-системах есть как часть функционала антикейлоггер.

А смысл? Зачем пользователю отдельный специализированный кейлоггер, если HIPS предлагает на порядки больше функционала за те же (а может, и меньшие, поскольку рынок HIPS намного больше рынка специализированных продуктов по определению) деньги? Да и что мешает тестированию как специализированных, так и более общих средств защиты, если их функционалы пересекаются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

При перепаковке нужно будет каждый раз удостоверяться в работоспособности семпла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Так один раз перепаковать семплы так, чтобы все сканнеры отвалились, заморозить базы, проверить работоспособность- и вперёд!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А смысл? Зачем пользователю отдельный специализированный кейлоггер, если HIPS предлагает на порядки больше функционала за те же (а может, и меньшие, поскольку рынок HIPS намного больше рынка специализированных продуктов по определению) деньги? Да и что мешает тестированию как специализированных, так и более общих средств защиты, если их функционалы пересекаются?

Всего этого пользователь может и не знать. Просто сам тест подразумевает именно детект со стороны средств защиты перехвата ввода, снимков экрана и т.д., что свойственно кейлоггеру, или блокировку перехвата не нарушая работы самого кейлоггера без алертов (то есть хук стоит, а в лог ничего не попадет - алертов при этом нету). Если применять HIPS, то во многих случаях они просто не дадут установить кейлоггер. Что не входит в идею теста. Но с другой стороны, я и создал тему эту, чтобы обсудить методику. Поэтому, если решим, то протестируем и HIPS. Можно так же тестироватьв двух вариантах - установка кейлоггера, затем защитный софт, и наоборот. Все сигнатурное лично по мне - применять не стоит. Да и описание в методологии того, что все криптовалось, паковалось - не смотрится :).

Илья, если брать HIPS, то кого Вы можите предложить? Демо-кейлоггеры, что Вы перечислили я скачал. Плюс скачал 6 коммерческих кейлоггеров, некоторые с руткитом. Как вариант можно и несколько малвар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, из тех утилит, что есть в наличии и обладают анти-кейлоггерами- AVZ, SnoopFree, Advanced Anti-Keylogger, два продукта от bezpeka.com. Это из того, что я знаю. Если же брать HIPS- самый полный список защит можно брать тут: http://wiki.castlecops.com/Different_class...curity_software

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Илья, Вы можите предложить методологию приблизительную теста HIPS с кейлоггерами? Учитывая различные виды HIPS. Лично мне кажется, что если брать уж HIPS-ы, то нужно уже проводить полноценный тест с ними, а не конкретно с кейлоггерами - уже даже решалась методология теста - но так и не пришли к ее выработке.

У меня вот идея такая - провести отдельно тест некоторых видов HIPS таким способом:

Установить HIPS

Фаерволл один - виндовый.

Windows не пропатченная (для удобства)

Открываем браузером за ифреймленную страницу, где ифрейм видет на страницу с пакетом эксплоитов.

Естественно, предварительно изучается загрузка с начиная с мавары, загружаемой сплоитом, и заканчивая последней малварой. У меня есть на примете хороший вариант - сплоит заливает даунлодера, тот еще 7 малвар, из которых 2 - тоже загрузчика. Те еще 4 заливают. Тем еще ... точно не помню. В итоге получаем целый набор - анхукер, спам бот, шпион, прокси... Так и проверится эффективность HIPS :) Но это пока предварительный вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот еще ряд продуктов которые хотелось бы посмотреть:

1. Safe'n'Sec

2. Panda TruPrevent

3. Kaspersky Anti-virus

+ к этому можно еще Sophos Anti-virus (они много говорят о своем HIPS).

Еще сюда можно добавить грандов, у McAfee еще что-то такое было.

И всетаки я думаю, интересно было протестировать две группы продуктов:

1. Антивирусы (проактивный детект, сигнатурный детект)

2. Специальные средства (DefenseWall HIPS, AVZ, SnoopFree, Advanced Anti-Keylogger).

Мне не ясно другое. Мы сначала ставим антивирус/HIPS, а потом запускаем кейлоггер? Потому как действовать тут как в случае активного заражения смысла большего нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А еще можно наляпать программку кустарную, которая бы тоже следила за нажатиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Если брать антивирусы - то тогда нужно ставить кейлоггера а затем антивирус - но это некое подобие на активное выйдет. Наоборот не выйдет - антивирус будут детектировать сигнатурно и не дадут установить шпиона. Добиваться всевозможными способами отсутствия детекта яне хочу, да и в методику от не вписывается :)). Что касается проактивки - то тут можно, но она есть далеко не у всех :). Вот в Касперском в состав PDM входит антикейлоггер - правда он должен работать в комплексе со всем функционалом PDM.

Все же идея провести тест с кейлоггерами не совсем хороша, т.к. известных специализированных продуктов для борьбы сними - небольше 5. Тогда плавно перейдем на обсуждение методики теста HIPS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Наоборот не выйдет - антивирус будут детектировать сигнатурно

Даже если отключить постоянную защиту (АВ монитор)? :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Даже если отключить постоянную защиту (АВ монитор)? Wink

Тогда оглашу результаты по антивирусам сразу:

Все антивирусы кроме касперского позволят установить кейлоггера и никак не обнаружат его работу. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Тогда оглашу результаты по антивирусам сразу:

Тогда нафиг их тестить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Тогда нафиг их тестить?

Так я и не хочу брать в тест антивири :)) Без поведенческого анализатора всмысле :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Все антивирусы кроме касперского позволят установить кейлоггера и никак не обнаружат его работу.

И касперский с настройками по умолчанию не обнаружит.

Так я и не хочу брать в тест антивири

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И касперский с настройками по умолчанию не обнаружит.

Угу :), но всеже обнаружит (например, тех кто устанавливает ловушки setwindowshookex с вердиктом Invader (loader)), но не все :)

Какие еще идеи? Как идея тестирования хипс на эксплоите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Давайте все таки по порядку, тест HIPS мы обсуждаем в другой теме

http://www.anti-malware.ru/phpbb/viewtopic.php?t=2882

Я бы предложил тест провести в 2 этапа:

1. Тест антивирусов на определение кейлоггеров (при выключенном сигнатурном детекте). В идеале было бы хорошо написать какие-то скрипты, моделирующие перехват системных событий, как это делают кейлоггеры. Надо брать антивирусы с HIPS + лидеров, так как у них вполне могут быть какие-то отдельные поведенческие технологии для такого детекта.

2. Проверить сигнатурный детект на отобранные келоггеры: дистрибутивы, установленные файлы. Так мы проверим, исправит ли кто-то свои просчеты в пункте 1 за счет сигнатур или нет. Также проверим, если келоггер уже встал в системе, будет ли он детектироваться? Опыт подсказывает мне, что тут будет много интересного и неожиданного :-)

3. В качестве дополнения смотрим специальные продукты для защиты от кейлоггеров. Результат сравниваем с тем, что было получено для антивирусов.

Выводов будет много.

Какие возражения против такой методологии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy

Гоняться с сигнатурой для запрета,скажем,прописи в RUN есть дело малоэффективное.Её сила в другом.Лучше потратить время на проработку несигнатурных для данного задания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×