Троян/руткит против DLP - кто победит?

[BDV 10]

1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

2. DLP ставится совместно с антивирусом?

[iCent 0]

Насколько я понимаю у руткита и у ДЛП, в общем случае, будут разные цели в системе. Так что победят оба =)

[BDV 10]

хорошо. никто не знает ответ. опустимся до уровня системного программирования: руткит допустим хочет украсть данные из папки Confidential (то есть он еще и троян) и вызывает функцию ZwCreateFile(L"c:\confidential\mydata.doc", ...) чтобы открыть файл, а DLP хочет это предотвратить и ставит перехватчик на вызов ZwCreateFile. Кто победит? остаться должен только один.

[Кирилл Керценбаум 671]

1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

2. DLP ставится совместно с антивирусом?

Конечно, антивирусную защиту никто не отменял

[chk 5]

За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

какой бред

[iCent 0]

BDV. Ок, спустимся до уровня системного программирования. У тебя установлен инфовотч? Возми Rootkit Unhooker или подобный антируткит и посмотри ставит ли он хуки на эти функции. ИМХО - НЕТ. Ибо это уже другой уровень, скорее всего система ДЛП контролирует сетевой обмен, путем либо перехвата сетевых функций или еще как-то. В конце концов сотруднику на своем рабочем месте не запрещено создавать или открывать файлы из папки Confidential. Смысл перехватывать ZwCreateFile??? И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется

А вот это не факт. Если руткит целевой и более-менее серьезный, он будет работать напрямую с драйвером NDIS на низком уровне. Не думаю, что программный ДЛП спасёт в этом случае.

[iCent 0]

ADD:

Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные. Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile). Но все опять же зависит от механизма реализации этих перехватов. Существуют руткиты, которые не детектятся антивирусами, а значит и ДЛП тут будет бессилен. Остается вопрос: кому это надо? =)

[Сергей Ильин 1538]

1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

Все очень сильно зависит от реализации механизма передачи конфиденциальных данных. Например, умомянутый Infowatch (Traffic Monitor) контролирует исходящий HTTP/SMTP трафик на уровне шлюза и производит его разбор и анализ с использвоанием различных технологий.

Понятно, что если троян будет шифровать передаваемые данные или использовать для их передачи другие протоколы обмена, то информация уйдет.

Я хочу отметить, что борьба с вредоносным кодом - это не задача DLP-продукта вообще. Он должен зафиксировать и предотвратить утечку данных их компании от сотрудников. Т.е. субъектами для работы DLP являются не программы, а сотрудники компании.

2. DLP ставится совместно с антивирусом?

Да, без антивируса никак. Никакой DLP-продукт не защищает от вредоносного кода, это не его задача. В перспективе на рынке будут продаваться единый корпоративный продукт для защиты от всех внешних и внутренних угроз. Это вопрос обозримого будущего, пионаром в этом процессе будет Symantec, который фактически уже ведет интеграцию Symantec Vontu DLP и Symantec Endpoint Protection.

оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Есть такие продукты. В них предусмотрены функции мониторинга и предотвращения утечки на уровне конечных точек сети (EndPoints). Естественно, раз есть мониторинг, то должны быть программы-агенты. Возможности использования агентов достаточно широки, это может быть сбор данных о хранимой конфиденциальной информации (определяет общими политиками безопасности), мониторинг действий с этой информацией, оповещения о нарушениях, предотвращения неправомерных действий с информацией (копирование, запись на внешние носители, пересылка и т.п.).

[Илья Рабинович 521]

Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Ага, и те из них, направленные против кражи данных зловредными приложениями, называются системами HIPS. DLP- это защита от намеренной либо случайной кражи данных людьми.

[Ashot 110]

Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile).

Реально улыбнуло про перехват. А перехват наверное еще и сплайсингом делать? Или "крутой" софт будет прямо SDT хучить?

Вообще для справки - файловые операции в нормальных продуктах перехватываются на уровне файловых систем (для файлов) и дисковых подсистем (для прямого доступа к диску). Т.е. через фильтры. Никакие хуки юзермодных ф-ций типа ZwSomething не используются

[iCent 0]

Новое поколение технологий проактивных защит... %)

Реально улыбнуло про перехват

Да возможно, че я сопрю чтоли. Я в глаза не видел не одной системы ДЛП, поэтому и посоветовал посмотреть установленные в системе хуки. И вообще. Пока своими глазами не увижу че и как, все равно не поверю =)

[BDV 10]

Чувствуется, что тема вам интересна. функции ZwXXX нельзя звать из UserMode, о чем можно прочитать MSDN: http://msdn.microsoft.com/en-us/library/ms804352.aspx. Эти функции зовет драйвер из kernel mode исключительно.

Если посмотреть в исходник руткита Mailbot, то видно, что ему наплевать на все фильтры: он обращается к самому последнему Device Object и шлет ему напрямую IRP. Хуки NDIS он также обходит, беря указатели прямо из образа ndis.sys. Так что руткиту плевать на все системы DLP - открыть нужный файлик и послать в нужном направлении ему не проблема. Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Выход в общем простой: предотвращать установку такой гадости в ядро. Я вижу здесь способ ставить сетевые и хостовые системы предотвращения атак одновременно, плюс снабдить прокси сервер вебфильтром, отрезав категорию вредоносных сайтов. Есть вебфильтры, которые обновляют эти категории постоянно несколько раз в течение дня.

[Андрей-001 1099]

Вот, например, человек описывает как он мучался...

А не устарели ли описываемые события и инструментарий, там используемый: RootkitRevealer v1.71, Infr@CD...?

Да и у антивирусных компаний за полгода немало уже чего вышло поновее.

[Ashot 110]

функции ZwXXX нельзя звать из UserMode

ага, а то придет дядька из MS и даст по рукам (в момент линковки, не иначе, а то при компиляции трудно узнать где код зваться будет) ) весело тут обсуждать такие темы ))

[sww 486]

Никакие хуки юзермодных ф-ций типа ZwSomething не используются

Может быть хватит уже нести чушь с умным видом?

весело тут обсуждать такие темы ))

Весело то оно конечно, но интереснее говорить с теми, кто понимает о чем он говорит.

Ну и про rootkit vs DLP, чтобы по теие. Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

[Ashot 110]

Может быть хватит уже нести чушь с умным видом?

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

[sww 486]

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

Да причем тут это, не переваливайте с больной головы на здоровую.

Вот это ZwCreateFile из ntdll.dll

.7C90D682| B825000000 mov eax,000000025

.7C90D687: BA0003FE7F mov edx,07FFE0300

.7C90D68C: FF12 call d,[edx]

.7C90D68E: C22C00 retn 0002C ;' ,'

А это ZwCreateFile из ntoskrnl.exe

.00405FA8| B825000000 mov eax,000000025

.00405FAD: 8D542404 lea edx,[esp][4]

.00405FB1: 9C pushfd

.00405FB2: 6A08 push 8

.00405FB4: E8ED1E0000 call .000807EA6 --↓1

.00405FB9: C22C00 retn 0002C ;' ,'

Расскажите мне про юзермодные/ядерные Zw-функции?

[Ashot 110]

Да причем тут это

вот именно причем тут это, когда обсуждался перехват файловых операций для коммерческого DLP-продукта? В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE (quote from DDK: "For example, when a driver calls ZwCreateFile, the operating system sends an IRP_MJ_CREATE request to perform the actual open operation.")?

[iCent 0]

В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE

А кто тебя в этом убеждает? Я ориентировался на первые посты топикстартера, полагая, что он знает о чем говорит. А по его постам понятно, что он просто не знал. Че ты прицепился к этим ZwXхх.

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций

Но опять же смотря для чего. Для ДЛП, пожалуй, это и бессмысленно.

Я бы акцентировал внимание на непреднамеренной утечки информации.

Об этом я и спрашивал ранее:

И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

[BDV 10]

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

Ashot насколько я понял пишешь драйвера сам, поэтому сможешь ответить на вопрос про DLP vs руткит тоже. (По поводу вызова ZwXXX не с Dispatch level ответил в личку.)

[vaber 350]

Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Вот результаты теста, где такие возможности и проверялись у антивирусных продуктов на руткитах и не только:

http://www.anti-malware.ru/malware_treatment_test_2008

Выход в общем простой: предотвращать установку такой гадости в ядро.

Такой тест также будет проведен в ближайшее время на этом портале, причем будет проведен на реальных malware.

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

так Вам же вроде бы как ответили - DLP-системы защищают от непреднамеренной кражи данных людьми, а не вредоносным ПО.

Более того, если вредоносная программ попадает в нулевое кольцо, то она обойдет любую защиту, если конечно автор руткита ставил себе такую задачу.

[Сергей Ильин 1538]

Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

sww, правильно говорит, что блокировка действия вредоносных программ и руткитов - это не задача DLP в принципе. Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

А если говорить еще конткретнее, то DLP вообще защищает только случайных, непреднамеренных утечек, но как показывает статистика таких большинство (96%). Если и попадается кто-то на преднамеренной утечке, то это, как бы помягче сказать, от небольшего ума и отсутствия фантазии.

[Ashot 110]

Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

все-так, но вопрос-то изнчально топикстартер правильный поднял (какая по сути разница руткит или юзер, когда охраням данные от утечки). ответить могу так - именно из-за этой проблемы и происходит сращивание антивирусов и DLP.

я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

Есть сложные не коммерческие системы (скажем в NSA давно работает похожая штука), основанные на выявлении аномальных активностей в сетевом трафике пользователя, которые поймают такого трояна или руткита в момент передачи, но это экзотика...

[broker 30]

я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах.. DLP решение будет бесполезным

[Ashot 110]

стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах

вот именно. поэтому я и считаю, что особой разницы между человеком и трояном нет, с точки зрения утечки данных.