BDV

Троян/руткит против DLP - кто победит?

В этой теме 37 сообщений

1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

2. DLP ставится совместно с антивирусом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я понимаю у руткита и у ДЛП, в общем случае, будут разные цели в системе. Так что победят оба =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хорошо. никто не знает ответ. опустимся до уровня системного программирования: руткит допустим хочет украсть данные из папки Confidential (то есть он еще и троян) и вызывает функцию ZwCreateFile(L"c:\confidential\mydata.doc", ...) чтобы открыть файл, а DLP хочет это предотвратить и ставит перехватчик на вызов ZwCreateFile. Кто победит? остаться должен только один. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

2. DLP ставится совместно с антивирусом?

Конечно, антивирусную защиту никто не отменял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
За Инфовотч не скажу, однако: если какое-либо вредоносное ПО будет пытаться как результат своей работы передать собранную информацию, то DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется: то есть попытка записи файла, попытка передачи информации на внешние носители, попытка передачи информации по http/ftp/smtp

какой бред

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

BDV. Ок, спустимся до уровня системного программирования. У тебя установлен инфовотч? Возми Rootkit Unhooker или подобный антируткит и посмотри ставит ли он хуки на эти функции. ИМХО - НЕТ. Ибо это уже другой уровень, скорее всего система ДЛП контролирует сетевой обмен, путем либо перехвата сетевых функций или еще как-то. В конце концов сотруднику на своем рабочем месте не запрещено создавать или открывать файлы из папки Confidential. Смысл перехватывать ZwCreateFile??? И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

DLP победит в том случае, если передача будет осуществляться по тем протоколам, которые контролируется

А вот это не факт. Если руткит целевой и более-менее серьезный, он будет работать напрямую с драйвером NDIS на низком уровне. Не думаю, что программный ДЛП спасёт в этом случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ADD:

Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные. Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile). Но все опять же зависит от механизма реализации этих перехватов. Существуют руткиты, которые не детектятся антивирусами, а значит и ДЛП тут будет бессилен. Остается вопрос: кому это надо? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Что будет делать продукт DLP, например Infowatch, если на компьютере завелось spyware или троян или руткит или все сразу. И вот это malware ворует информацию. Справится ли DLP с защитой от утечек?

Все очень сильно зависит от реализации механизма передачи конфиденциальных данных. Например, умомянутый Infowatch (Traffic Monitor) контролирует исходящий HTTP/SMTP трафик на уровне шлюза и производит его разбор и анализ с использвоанием различных технологий.

Понятно, что если троян будет шифровать передаваемые данные или использовать для их передачи другие протоколы обмена, то информация уйдет.

Я хочу отметить, что борьба с вредоносным кодом - это не задача DLP-продукта вообще. Он должен зафиксировать и предотвратить утечку данных их компании от сотрудников. Т.е. субъектами для работы DLP являются не программы, а сотрудники компании.

2. DLP ставится совместно с антивирусом?

Да, без антивируса никак. Никакой DLP-продукт не защищает от вредоносного кода, это не его задача. В перспективе на рынке будут продаваться единый корпоративный продукт для защиты от всех внешних и внутренних угроз. Это вопрос обозримого будущего, пионаром в этом процессе будет Symantec, который фактически уже ведет интеграцию Symantec Vontu DLP и Symantec Endpoint Protection.

оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Есть такие продукты. В них предусмотрены функции мониторинга и предотвращения утечки на уровне конечных точек сети (EndPoints). Естественно, раз есть мониторинг, то должны быть программы-агенты. Возможности использования агентов достаточно широки, это может быть сбор данных о хранимой конфиденциальной информации (определяет общими политиками безопасности), мониторинг действий с этой информацией, оповещения о нарушениях, предотвращения неправомерных действий с информацией (копирование, запись на внешние носители, пересылка и т.п.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почитал тут статью, оказывается существуют еще решения ДЛП, которые предпологают использование некоторых локальных агентов, призванных контролировать действия направленные на определнные данные.

Ага, и те из них, направленные против кражи данных зловредными приложениями, называются системами HIPS. DLP- это защита от намеренной либо случайной кражи данных людьми.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тут, наверное, уже будет перехват некоторых соответсвующих функций (ZwCreateFile,ZwReadFile,ZwWriteFile).

;) Реально улыбнуло про перехват. А перехват наверное еще и сплайсингом делать? ;) Или "крутой" софт будет прямо SDT хучить?

Вообще для справки - файловые операции в нормальных продуктах перехватываются на уровне файловых систем (для файлов) и дисковых подсистем (для прямого доступа к диску). Т.е. через фильтры. Никакие хуки юзермодных ф-ций типа ZwSomething не используются ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новое поколение технологий проактивных защит... %)

Реально улыбнуло про перехват

Да возможно, че я сопрю чтоли. Я в глаза не видел не одной системы ДЛП, поэтому и посоветовал посмотреть установленные в системе хуки. И вообще. Пока своими глазами не увижу че и как, все равно не поверю =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чувствуется, что тема вам интересна. :) функции ZwXXX нельзя звать из UserMode, о чем можно прочитать MSDN: http://msdn.microsoft.com/en-us/library/ms804352.aspx. Эти функции зовет драйвер из kernel mode исключительно.

Если посмотреть в исходник руткита Mailbot, то видно, что ему наплевать на все фильтры: он обращается к самому последнему Device Object и шлет ему напрямую IRP. Хуки NDIS он также обходит, беря указатели прямо из образа ndis.sys. Так что руткиту плевать на все системы DLP - открыть нужный файлик и послать в нужном направлении ему не проблема. Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Выход в общем простой: предотвращать установку такой гадости в ядро. Я вижу здесь способ ставить сетевые и хостовые системы предотвращения атак одновременно, плюс снабдить прокси сервер вебфильтром, отрезав категорию вредоносных сайтов. Есть вебфильтры, которые обновляют эти категории постоянно несколько раз в течение дня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот, например, человек описывает как он мучался...

А не устарели ли описываемые события и инструментарий, там используемый: RootkitRevealer v1.71, [email protected]?

Да и у антивирусных компаний за полгода немало уже чего вышло поновее. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
функции ZwXXX нельзя звать из UserMode

ага, а то придет дядька из MS и даст по рукам (в момент линковки, не иначе, а то при компиляции трудно узнать где код зваться будет) ;)) весело тут обсуждать такие темы ;)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Никакие хуки юзермодных ф-ций типа ZwSomething не используются ;)

Может быть хватит уже нести чушь с умным видом?

весело тут обсуждать такие темы ;)))

Весело то оно конечно, но интереснее говорить с теми, кто понимает о чем он говорит.

Ну и про rootkit vs DLP, чтобы по теие. Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может быть хватит уже нести чушь с умным видом?

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций. Это сильно. Я не спорю, что так сделать можно, но это какраз полная чушь и зато это точно по рукам надо бить. Даже скучно обсуждать почему надо фильтры использовать...

Да причем тут это, не переваливайте с больной головы на здоровую.

Вот это ZwCreateFile из ntdll.dll

.7C90D682| B825000000 mov eax,000000025

.7C90D687: BA0003FE7F mov edx,07FFE0300

.7C90D68C: FF12 call d,[edx]

.7C90D68E: C22C00 retn 0002C ;' ,'

А это ZwCreateFile из ntoskrnl.exe

.00405FA8| B825000000 mov eax,000000025

.00405FAD: 8D542404 lea edx,[esp][4]

.00405FB1: 9C pushfd

.00405FB2: 6A08 push 8

.00405FB4: E8ED1E0000 call .000807EA6 --↓1

.00405FB9: C22C00 retn 0002C ;' ,'

Расскажите мне про юзермодные/ядерные Zw-функции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да причем тут это

вот именно причем тут это, когда обсуждался перехват файловых операций для коммерческого DLP-продукта? В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE (quote from DDK: "For example, when a driver calls ZwCreateFile, the operating system sends an IRP_MJ_CREATE request to perform the actual open operation.")?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В чем смысл корявого перехвата ZwCreateFile вместо того, чтобы штатно работать IRP_MJ_CREATE

А кто тебя в этом убеждает? Я ориентировался на первые посты топикстартера, полагая, что он знает о чем говорит. А по его постам понятно, что он просто не знал. Че ты прицепился к этим ZwXхх.

ну-да не чушь конечно это фильтровать файловые запросы через хук Zw-функций

Но опять же смотря для чего. Для ДЛП, пожалуй, это и бессмысленно.

Я бы акцентировал внимание на непреднамеренной утечки информации.

Об этом я и спрашивал ранее:

И потом, уточняй: ты имеешь ввиду руткит специально заточенный под сокрытие кражи _определенной_ информации служебного пользования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

Ashot насколько я понял пишешь драйвера сам, поэтому сможешь ответить на вопрос про DLP vs руткит тоже. (По поводу вызова ZwXXX не с Dispatch level ответил в личку.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Антивирус с большой вероятностью гадость такого типа не ловит, а если и ловит, то вылечить не может. Вот, например, человек описывает как он мучался

Вот результаты теста, где такие возможности и проверялись у антивирусных продуктов на руткитах и не только:

http://www.anti-malware.ru/malware_treatment_test_2008

Выход в общем простой: предотвращать установку такой гадости в ядро.

Такой тест также будет проведен в ближайшее время на этом портале, причем будет проведен на реальных malware.

я как автор вопроса хочу предложить обсуждать _только тему_ топика не сваливаясь на обсуждение посторонних тем.

так Вам же вроде бы как ответили - DLP-системы защищают от непреднамеренной кражи данных людьми, а не вредоносным ПО.

Более того, если вредоносная программ попадает в нулевое кольцо, то она обойдет любую защиту, если конечно автор руткита ставил себе такую задачу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело все в том, что DLP служит несколько иным целям. Я бы акцентировал внимание на непреднамеренной утечки информации. Это не антивирус и не анти-руткит. При должном подходе обойти можно любую систему, любые контентные фильтры и прочее, и прочее.

sww, правильно говорит, что блокировка действия вредоносных программ и руткитов - это не задача DLP в принципе. Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

А если говорить еще конткретнее, то DLP вообще защищает только случайных, непреднамеренных утечек, но как показывает статистика таких большинство (96%). Если и попадается кто-то на преднамеренной утечке, то это, как бы помягче сказать, от небольшего ума и отсутствия фантазии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я об этом уже писал выше. DLP предназанчена для предотвращения несанкционированной передачи данных сотрудниками компании.

все-так, но вопрос-то изнчально топикстартер правильный поднял (какая по сути разница руткит или юзер, когда охраням данные от утечки). ответить могу так - именно из-за этой проблемы и происходит сращивание антивирусов и DLP.

я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

Есть сложные не коммерческие системы (скажем в NSA давно работает похожая штука), основанные на выявлении аномальных активностей в сетевом трафике пользователя, которые поймают такого трояна или руткита в момент передачи, но это экзотика...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я считаю, что ни одно DLP-решение, доступное на рынке не может само по себе противостоять руткитам или даже простым троянам, скрывающим так или иначе трафик (стеганография или шифрование).

стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах.. DLP решение будет бесполезным

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
стеганографию как шифрование можно применять и без руткитов и троянов в контролируемых каналах

вот именно. поэтому я и считаю, что особой разницы между человеком и трояном нет, с точки зрения утечки данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.
    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.