Перейти к содержанию
BDV

Троян/руткит против DLP - кто победит?

Recommended Posts

BDV

1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

2. DLP ставится совместно с антивирусом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent

Насколько я понимаю у руткита и у ДЛП, в общем случае, будут разные цели в системе. Так что победят оба =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV

хорошо. никто не знает ответ. опустимся до уровня системного программирования: руткит допустим хочет украсть данные из папки Confidential (то есть он еще и троян) и вызывает функцию ZwCreateFile(L"c:\confidential\mydata.doc", ...) чтобы открыть файл, а DLP хочет это предотвратить и ставит перехватчик на вызов ZwCreateFile. Кто победит? остаться должен только один. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

2. DLP ставится совместно с антивирусом?

Конечно, антивирусную защиту никто не отменял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

какой бред

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent

BDV. Ок, спустимся до уровня системного программирования. У тебя установлен инфовотч? Возми Rootkit Unhooker или подобный антируткит и посмотри ставит ли он хуки на эти функции. ИМХО - НЕТ. Ибо это уже другой уровень, скорее всего система ДЛП контролирует сетевой обмен, путем либо перехвата сетевых функций или еще как-то. В конце концов сотруднику на своем рабочем месте не запрещено создавать или открывать файлы из папки Confidential. Смысл перехватывать ZwCreateFile??? И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется

А вот это не факт. Если руткит целевой и более-менее серьезный, он будет работать напрямую с драйвером NDIS на низком уровне. Не думаю, что программный ДЛП спасёт в этом случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent

ADD:

Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные. Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile). Но все опять же зависит от механизма реализации этих перехватов. Существуют руткиты, которые не детектятся антивирусами, а значит и ДЛП тут будет бессилен. Остается вопрос: кому это надо? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

Все очень сильно зависит от реализации механизма передачи конфиденциальных данных. Например, умомянутый Infowatch (Traffic Monitor) контролирует исходящий HTTP/SMTP трафик на уровне шлюза и производит его разбор и анализ с использвоанием различных технологий.

Понятно, что если троян будет шифровать передаваемые данные или использовать для их передачи другие протоколы обмена, то информация уйдет.

Я хочу отметить, что борьба с вредоносным кодом - это не задача DLP-продукта вообще. Он должен зафиксировать и предотвратить утечку данных их компании от сотрудников. Т.е. субъектами для работы DLP являются не программы, а сотрудники компании.

2. DLP ставится совместно с антивирусом?

Да, без антивируса никак. Никакой DLP-продукт не защищает от вредоносного кода, это не его задача. В перспективе на рынке будут продаваться единый корпоративный продукт для защиты от всех внешних и внутренних угроз. Это вопрос обозримого будущего, пионаром в этом процессе будет Symantec, который фактически уже ведет интеграцию Symantec Vontu DLP и Symantec Endpoint Protection.

оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Есть такие продукты. В них предусмотрены функции мониторинга и предотвращения утечки на уровне конечных точек сети (EndPoints). Естественно, раз есть мониторинг, то должны быть программы-агенты. Возможности использования агентов достаточно широки, это может быть сбор данных о хранимой конфиденциальной информации (определяет общими политиками безопасности), мониторинг действий с этой информацией, оповещения о нарушениях, предотвращения неправомерных действий с информацией (копирование, запись на внешние носители, пересылка и т.п.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Ага, и те из них, направленные против кражи данных зловредными приложениями, называются системами HIPS. DLP- это защита от намеренной либо случайной кражи данных людьми.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile).

;) Реально улыбнуло про перехват. А перехват наверное еще и сплайсингом делать? ;) Или "крутой" софт будет прямо SDT хучить?

Вообще для справки - файловые операции в нормальных продуктах перехватываются на уровне файловых систем (для файлов) и дисковых подсистем (для прямого доступа к диску). Т.е. через фильтры. Никакие хуки юзермодных ф-ций типа ZwSomething не используются ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent

Новое поколение технологий проактивных защит... %)

Реально улыбнуло про перехват

Да возможно, че я сопрю чтоли. Я в глаза не видел не одной системы ДЛП, поэтому и посоветовал посмотреть установленные в системе хуки. И вообще. Пока своими глазами не увижу че и как, все равно не поверю =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV

Чувствуется, что тема вам интересна. :) функции ZwXXX нельзя звать из UserMode, о чем можно прочитать MSDN: http://msdn.microsoft.com/en-us/library/ms804352.aspx. Эти функции зовет драйвер из kernel mode исключительно.

Если посмотреть в исходник руткита Mailbot, то видно, что ему наплевать на все фильтры: он обращается к самому последнему Device Object и шлет ему напрямую IRP. Хуки NDIS он также обходит, беря указатели прямо из образа ndis.sys. Так что руткиту плевать на все системы DLP - открыть нужный файлик и послать в нужном направлении ему не проблема. Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Выход в общем простой: предотвращать установку такой гадости в ядро. Я вижу здесь способ ставить сетевые и хостовые системы предотвращения атак одновременно, плюс снабдить прокси сервер вебфильтром, отрезав категорию вредоносных сайтов. Есть вебфильтры, которые обновляют эти категории постоянно несколько раз в течение дня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Вот, например, человек описывает как он мучался...

А не устарели ли описываемые события и инструментарий, там используемый: RootkitRevealer v1.71, Infr@CD...?

Да и у антивирусных компаний за полгода немало уже чего вышло поновее. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
функции ZwXXX нельзя звать из UserMode

ага, а то придет дядька из MS и даст по рукам (в момент линковки, не иначе, а то при компиляции трудно узнать где код зваться будет) ;)) весело тут обсуждать такие темы ;)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Никакие хуки юзермодных ф-ций типа ZwSomething не используются ;)

Может быть хватит уже нести чушь с умным видом?

весело тут обсуждать такие темы ;)))

Весело то оно конечно, но интереснее говорить с теми, кто понимает о чем он говорит.

Ну и про rootkit vs DLP, чтобы по теие. Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Может быть хватит уже нести чушь с умным видом?

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

Да причем тут это, не переваливайте с больной головы на здоровую.

Вот это ZwCreateFile из ntdll.dll

.7C90D682| B825000000 mov eax,000000025

.7C90D687: BA0003FE7F mov edx,07FFE0300

.7C90D68C: FF12 call d,[edx]

.7C90D68E: C22C00 retn 0002C ;' ,'

А это ZwCreateFile из ntoskrnl.exe

.00405FA8| B825000000 mov eax,000000025

.00405FAD: 8D542404 lea edx,[esp][4]

.00405FB1: 9C pushfd

.00405FB2: 6A08 push 8

.00405FB4: E8ED1E0000 call .000807EA6 --↓1

.00405FB9: C22C00 retn 0002C ;' ,'

Расскажите мне про юзермодные/ядерные Zw-функции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Да причем тут это

вот именно причем тут это, когда обсуждался перехват файловых операций для коммерческого DLP-продукта? В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE (quote from DDK: "For example, when a driver calls ZwCreateFile, the operating system sends an IRP_MJ_CREATE request to perform the actual open operation.")?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iCent
В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE

А кто тебя в этом убеждает? Я ориентировался на первые посты топикстартера, полагая, что он знает о чем говорит. А по его постам понятно, что он просто не знал. Че ты прицепился к этим ZwXхх.

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций

Но опять же смотря для чего. Для ДЛП, пожалуй, это и бессмысленно.

Я бы акцентировал внимание на непреднамеренной утечки информации.

Об этом я и спрашивал ранее:

И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

Ashot насколько я понял пишешь драйвера сам, поэтому сможешь ответить на вопрос про DLP vs руткит тоже. (По поводу вызова ZwXXX не с Dispatch level ответил в личку.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Вот результаты теста, где такие возможности и проверялись у антивирусных продуктов на руткитах и не только:

http://www.anti-malware.ru/malware_treatment_test_2008

Выход в общем простой: предотвращать установку такой гадости в ядро.

Такой тест также будет проведен в ближайшее время на этом портале, причем будет проведен на реальных malware.

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

так Вам же вроде бы как ответили - DLP-системы защищают от непреднамеренной кражи данных людьми, а не вредоносным ПО.

Более того, если вредоносная программ попадает в нулевое кольцо, то она обойдет любую защиту, если конечно автор руткита ставил себе такую задачу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

sww, правильно говорит, что блокировка действия вредоносных программ и руткитов - это не задача DLP в принципе. Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

А если говорить еще конткретнее, то DLP вообще защищает только случайных, непреднамеренных утечек, но как показывает статистика таких большинство (96%). Если и попадается кто-то на преднамеренной утечке, то это, как бы помягче сказать, от небольшего ума и отсутствия фантазии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

все-так, но вопрос-то изнчально топикстартер правильный поднял (какая по сути разница руткит или юзер, когда охраням данные от утечки). ответить могу так - именно из-за этой проблемы и происходит сращивание антивирусов и DLP.

я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

Есть сложные не коммерческие системы (скажем в NSA давно работает похожая штука), основанные на выявлении аномальных активностей в сетевом трафике пользователя, которые поймают такого трояна или руткита в момент передачи, но это экзотика...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах.. DLP решение будет бесполезным

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах

вот именно. поэтому я и считаю, что особой разницы между человеком и трояном нет, с точки зрения утечки данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×