Подготовка теста фаерволов

[vaber 350]

Вы же лишь пытаетесь установить что будет, если антивирус не опознал зловред? smile.gif

Нет, мы лишь проверим возможности продуктов. О антивирусе речи нету (тем более если заражение происходит, это и значит что антивирус не определил зловреда - это нормальное явление).

Большая. Он же доверен? Если он запущен, HIPSы могут не замечать разные вещи, обсуждение которых выходит далеко за рамки данного топика. Потом, это как можно ближе к реальной жизни - браузер обычно запущен. Никто так дома вручную не будет устанавливать зловреды с отключённым браузером... Некоторые ликтесты у Матушека только так работают - они сами проcят запускать IE... smile.gif

P2u, обратите внимание на тему теста - загрузка драйвера и снятие перехватов .

[p2u 824]

P2u, обратите внимание на тему теста - загрузка драйвера и снятие перехватов .

Если зловред при запуске (перед установкой своего драйвера) испольует сначала (ещё неизвестный) эксплойт для уже запущенного доверенного процесса (IE, допустим), это разве не влияет на его возможность установить этот драйвер и перехватить то, что надо? Или я что-то пропустил в условиях?

Paul

[vaber 350]

Если зловред при запуске (перед установкой своего драйвера) испольует сначала (ещё неизвестный) эксплойт для уже запущенного доверенного процесса (IE, допустим), это разве не влияет на его возможность установить этот драйвер и перехватить то, что надо? Или я что-то пропустил в условиях?

Эксплоиты-эксплоиты....да, сейчас есть и довольно много малвар, которые снимают перехваты и грузят затем драйвер, используя эксплоит. Например - MS08-025. Но против эксплоитов не попрешь как говорится. Да и тест будет проводится на пропатченной машине, так что эксплоиты отпадают. Хипс в большинстве продуктов ( в частности фаерволов) не может препятствовать эксплуатации уязвимости. В теории да, можно заблокировать процесс снятия перехватов через эксплоит (например запрещать всем приложениям, которые не доверенные читать файл ядра, но это сильно жестоко).

Ну а если говорить конкретно о Вашем замечании - то дайте мне малварь, которая юзает эксплоит для проникновения в ринг 0 той уязвимости, которая еще не пофикшена майкрософтом (не известный сплоит)? Да и если будет вариант использования доверенного процесса для загрузки драйвера, то это не будет IE - будет выбран процесс, который имеет привилегию на загрузку драйвера, например services.exe, msiexec .

Это в ликтестах нужно, чтобы он сработал запустить предварительно браузер - там задача продемонстрировать способ обхода. В малварах же задача конкретная - обойти защиту и стать в системе. Если говорить о IE - то его просто запустят если на то пошло.

З.Ы. Ну и самое главное - семплы, что будут отобраны для теста - они изучены. то есть тестер не будет запускать семпл не имея представления что это и что оно делает. Если нужно для его работы, чтобы что-то было запущено, например IE, то его запустят. Это я в общем. А то Вы так говорите, как будто все малвары в тесте есть черный ящик и тестер не будет знать, что зловред там сейчас делает в системе

[p2u 824]

Ну а если говорить конкретно о Вашем замечании - то дайте мне малварь, которая юзает эксплоит для проникновения в ринг 0 той уязвимости, которая еще не пофикшена майкрософтом?

user32.dll точно ещё болеет всякими болячками; если эту библиотеку вызвать в юзер моде от имени уже запущенного IE через нестандартные функции, результаты могут быть непредсказуемы. Но давайте оставим это на потом. Жду объявления набора зловредов.

Paul

[vaber 350]

Так же готов выслушать от участников форума предложения по вредоносным программа и способам загрузки драйвера/снятия перехватов. Возможно у кого-то есть семплы, которые подойдут для этого теста.

Хотя конечно я не ожидаю каких-либо предложений, но сказать думаю стоит ))

З.Ы. Так же предлагаю представителям вендоров, которые читают/участвуют форум подключиться к подбору семплов и/или возможных способов загрузки драйвера, используемых в малварах. Можно даже мне в личку присылать с пометкой - anti-Outpost, anti-Comodo, anti-KIS =)))).

[Mike 125]

Так же готов выслушать от участников форума предложения по вредоносным программа и способам загрузки драйвера/снятия перехватов. Возможно у кого-то есть семплы, которые подойдут для этого теста.

Хотя конечно я не ожидаю каких-либо предложений, но сказать думаю стоит ))

ты мой семпл видел?

если да, то может–быть отпишешся?

[vaber 350]

ты мой семпл видел?

если да, то может–быть отпишешся?

Rustock?

Да, его возьму, загрузка подменой драйвера.

[Mike 125]

Rustock?

Да, его возьму, загрузка подменой драйвера.

я имел ввиду этот: Trojan.Win32.Agent.anwn

http://www.anti-malware.ru/forum/index.php...ost&id=3252

он этих руткитов грузит: Rootkit.Win32.Agent.evf, Rootkit.Win32.Agent.evg, Rootkit.Win32.Agent.evh.

и еще пол–сотни всякой нечисти, кстати там еще и с beep.sys манипуляции.

[vaber 350]

я имел ввиду этот: Trojan.Win32.Agent.anwn

Не, в тест нужен непосредственно бинарник, который и производит все действия, которые мы хотим протестировать. То, что он грузил у меня есть - погляжу, подходящее естественно возьму в тест. Спасибо за участие.

[Mike 125]

Ну и самое главное - семплы, что будут отобраны для теста - они изучены. то есть тестер не будет запускать семпл не имея представления что это и что оно делает.

У меня к тебе такое предложение:

Описать здесь или в закрытом разделе методику тестирования семплов .

Чтобы не только тестеры, но и остальные форумчане имели четкое представление о тесте.

И еще:

Заранее обнародовать список тестируемых продуктов.

[vaber 350]

Описать здесь или в закрытом разделе методику тестирования семплов .

Семплов или фаерволов? )

Методики пока нету - эта тема и создавалась для обсуждения методики.

Заранее обнародовать список тестируемых продуктов.

Пока списка этого нет - предполагается, что это будут первый десяток лучших продуктов из тестов Матюшека.

[bse 115]

предполагается, что это будут первый десяток лучших продуктов из тестов Матюшека

Жаль, если так будет. Даже если выкинуть из двух Online Armor один, в тест попадет всего одно решение Internet Security - от Kaspersky. Или три, если Outpost Firewall заменить на OSS и Comodo Firewall на CIS. Хотелось бы и другие IS/SS видеть в тесте.

[vaber 350]

Жаль, если так будет. Даже если выкинуть из двух Online Armor один, в тест попадет всего одно решение Internet Security - от Kaspersky. Или три, если Outpost Firewall заменить на OSS и Comodo Firewall на CIS. Хотелось бы и другие IS/SS видеть в тесте.

Вот примерный список продуктов, которые я предлагаю взять:

1) Outpost Security Suite (или фаервол - в тест антиспаварный/антивирусный модули будут отключены, чтобы не мешали запуску вредоносных программ; тестируется HIPS-компонента, а не сигнатурный детект)

2) Online Armor

3) Comodo Firewall (или CIS)

4) ProSecurity

5) Privatefirewall

6) KIS

7) Netchina

8) PC Tools Firewall

9) Jetico

10) NIS

Брать другие продукты класса Internet Security думаю не стоит, т.к. очевидно, что они получат 0 баллов - HIPS там нету.

З.Ы. Семплы для теста данного уже отобраны - их будет от 6-8 (то есть столько, сколько различных методов записи в ring 0 используется в малварах).

[Ego1st 95]

Вот примерный список продуктов, которые я предлагаю взять:

.......................

Брать другие продукты класса Internet Security думаю не стоит, т.к. очевидно, что они получат 0 баллов - HIPS там нету.

З.Ы. Семплы для теста данного уже отобраны - их будет от 6-8 (то есть столько, сколько различных методов записи в ring 0 используется в малварах).

чего-то как-то неахти наборчик.. не вызывающей особого интереса..

[vaber 350]

чего-то как-то неахти наборчик.. не вызывающей особого интереса..

Твой вариант ?

[Ego1st 95]

да я уже выше писал, что без половины вендеров они не интересны отдельные fw мало у кого стоят количество клиентов очень маленькое и естественно если и точаться малвари на обход то только на популярные=))

а эти вообще в народе почти и неизвестны=))

2) Online Armor

4) ProSecurity

5) Privatefirewall

7) Netchina

я понимаю что большинство вендеров не могут ограничить загрузку драйвера и на этом все заканчиваеться, но думаеться их надо включить хотя бы для того что бы хоть малость подтолкнуть их к этому пути=))

[bse 115]

Брать другие продукты класса Internet Security думаю не стоит, т.к. очевидно, что они получат 0 баллов - HIPS там нету.

Думаю, их надо обязательно взять, поставить 0 и сразу в раздел непрошедших. Это много времени не займет. Или хоты бы упомянуть в тексте, почему они не взяты и на что они не способны. ИМХО простому человеку будет в ином случае непонятен набор тестируемых программ.

[vaber 350]

Ок, добавим тогда еще это:

Trend Micro Internet Security

McAfee Internet Security

F-Secure Internet Security

Panda Internet Security

ESET Smart Security

[Ego1st 95]

и Авиру

[Mike 125]

Семплов или фаерволов? )

Методики пока нету - эта тема и создавалась для обсуждения методики.

З.Ы. Семплы для теста данного уже отобраны - их будет от 6-8

(то есть столько, сколько различных методов записи в ring 0 используется в малварах).

вот и прекрасно, что отобраны.

хотелось-бы знать, какие отобраны семплы и какие методы записи в нулевой ринг они используют.

тест на способность современных фаерволов/хипс предотвращать проникновение вредоносного кода в ring0.

а где :

DefenseWall HIPS

McAfee Host Intrusion Prevention for Windows

[p2u 824]

а где :

DefenseWall HIPS

Прекрасная программа, но она на виртуалке не будет работать. Потом - не файрвол.

Paul

[Mike 125]

Прекрасная программа, но она на виртуалке не будет работать. Потом - не файрвол.

Подождем ответа Бердникова и Рабиновича

[bse 115]

Подождем. А пока посмею сказать: берем Acronis или Disk Write Copy, и без всяких виртуалок обходимся. Косвенно поддержим еще и этих отечественных производителей.

[p2u 824]

берем Acronis или Disk Write Copy, и без всяких виртуалок обходимся. Косвенно поддержим еще и этих отечественных производителей.

Я не уверен в том, что vaber каждый раз хочет выковыривать Рустока из системы/с диска таким образом...

Paul

[bse 115]

Если и не отечественные, то может присутствующие на форуме Симантеки за свои Систем Рекавери попросят. NIS в тест, а эти проги для поддержки и обеспечения теста. Не в одном, так в другом отличатся в лучшую сторону. А может, получится и в обоих направлениях хорошо выглядеть