Перейти к содержанию
Сергей Ильин

Тест HIPS на предотвращение проникновения в ядро Microsoft Windows

Recommended Posts

Сергей Ильин

dr_dizel, код в посте про проблемы Агнитума поправил из соображений безопасности, вдруг кто-то воспользуется в нехороших целях ... ИМХО проблемы критичны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
И никаких изменений не наблюдается. Продукт продаётся.

Вот именно поэтому у меня стоят только самописные средства безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
"StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра. Встречаемость ITW: высокая"

- да, подмена драйвера произойдет, только загрузить его никто не сможет (т.к. мы ФИЛЬТРУЕМ ZwLoadDriver) - загрузить не дадим.

по-моему тут имеется в виду остановка ненужного драйвера (допустим Beep) через скменеджер - прекрасно останавливается. Затем снятие защиты файлов МС (вспоминаем про sfc_os.dll и ординал 5) и его перемещение и кидание на его место своего. Можно его даже через скменеджер сразу и не пытаться загрузить (т.е не делать сразу же восстановление системного), а дождаться перезагрузки системы - сам запустится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Тест вполе понравился.Давно ожидал.Кстати,а где же ESET Smart Security 4.0?Там ведь тоже ХИПС есть! :D

И опять,как мне кажется,что там,по "кол-во запросов",чем больше - тем безопаснее.Исключением может быть Jetico.

Но это сугубо моё ИМХО.

Вот именно поэтому у меня стоят только самописные средства безопасности.

Вы это ~97% пользователей скажите.:)А может и все 99%,думаю,каждый бы надеялся на свои силы,если б умели.И бесплатно,и уже знаешь кого материть,если что не так.;)

P.S.А где это Агент? :D Сейчас бы было кстати. :D

Т.к.

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel, код в посте про проблемы Агнитума поправил из соображений безопасности, вдруг кто-то воспользуется в нехороших целях ... ИМХО проблемы критичны.

Без проблем. Правда, когда я в прошлом году начал обсуждать тему в закрытом разделе - особого интереса не заметил. А тут беготня началась... :D

http://www.anti-malware.ru/forum/index.php?showtopic=6140

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

Спасибо составителям теста, наконец-то хоть кто-то додумался провести данное тестирование.

Теперь немного критики:

1. Эти методы паблик, и все знают о них уже давным давно, из этого вытекает второй пункт

2. Было бы хорошо включить в это исследование тестирование публичных эксплоитов на повышение привилегий, так как на самом деле много малвари грузят драйвера недокументированными способами - как раз посредством экспоитов.

Да, кстати, что самоё весёлое, в самих HIPS есть уязвимости повышения привилегий :D :

http://esagelab.ru/advisory/2009/dw_222094...l_overflow.html

http://milw0rm.com/exploits/8322

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да, кстати, что самоё весёлое, в самих HIPS есть уязвимости повышения привилегий :D :

http://esagelab.ru/advisory/2009/dw_222094...l_overflow.html

Это против DefenseWall 2.46 и работает только в очень определённых условиях, которые там не указаны. Вероятность, что это на практике применяется ну очень минимальная. Потом, сейчас уже идёт 2.53. :)

P.S.: Естественно такое возможно в любой программе так как это работа людей. Не надо сидеть как админ и всё. (Конец офф-топа).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester
Это против DefenseWall 2.46 и работает только в очень определённых условиях, которые там не указаны. Вероятность, что это на практике применяется ну очень минимальная. Потом, сейчас уже идёт 2.53. :)

P.S.: Естественно такое возможно в любой программе так как это работа людей. Не надо сидеть как админ и всё. (Конец офф-топа).

Paul

И что же это за определённые условия?

Причём тут админ, не админ???

хэндл на //./dwall можно только из под админа получить?

все равно это повышение привилегий, так как попадаем в ring 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Спасибо составителям теста, наконец-то хоть кто-то додумался провести данное тестирование.

Теперь немного критики:

1. Эти методы паблик, и все знают о них уже давным давно, из этого вытекает второй пункт

2. Было бы хорошо включить в это исследование тестирование публичных эксплоитов на повышение привилегий, так как на самом деле много малвари грузят драйвера недокументированными способами - как раз посредством экспоитов.

Ну вот хоть какая-то благодарность :)

Касаемо критики:

1. Согласен, паблик, но в задачу сравнения и входило использование тех малвар, которые реально распространяются/распространялись.

2. Я думал об этом, да, сейчас таких малвар много (которые используют эксплоит для попадания в нулевое кольцо), но: систему на который проводили сравнение было решено проапдейтить по самое не хочу - поэтому все эксплоиты, что используются сейчас в малварах отвалились. Ну и самое интересное: хипсы не обязаны защищать от эксплоитов, нацеленных на уязвимость в системе. Защищать от них должен себя пользователь, обновляя помимо антивируса и ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Не надо сидеть как админ и всё.

Этот тип эксплоитов, о которых говорит TrueTester, и предназначены для получения всех необходимых привилегий.

Пример: руткит Tigger/Syzor. Он использует эксплоит на MS08-066. И это позволяет ему получить привилегии System и грузить драйвер, даже если бинарник был запущен под учеткой "Пользователь"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И что же это за определённые условия?

- Тип ОС,

- язык этой ОС (где-то есть обсуждение о том, что на определённых версиях XP не запускается вообще (китайский, испанский, не помню)

- включён ли или запрещён ли RunAs (у меня например запрещён политиками). Говорят, что это даёт дополинтельные препятствия для эксплойтов такого типа. Не произойдёт никакого повышения привилегий, ни желаемого, ни нежелательного.

Попробую найти и копи-пейстить сюда. Естественно за уровень 'тестеров' не вручаюсь.

Причём тут админ, не админ???

хэндл на //./dwall можно только из под админа получить?

все равно это повышение привилегий, так как попадаем в ring 0

Про админ - это было общее замечание. Не каждый день же находишь эксплойты против программ защиты, которые можно запускать из учётки юзера, которые при этом ещё и работают. Из админа это уже не такая редкость. Поэтому я это замечание под P.S. написал.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ребята из Comodo рады нашему тесту и победе своего продукта :)

По поводу алертом пишут следующее:

They are working on reducing popups all the time.. Melih promises version 4 will do great stuff on the usability.. Version 3.9 is less noisy than version 3.8 as well.. at least IMO.. =)

As for unknown baddies, the HIPS will always be poppy, as it was in this test.. Thats the expected behavior, and how CIS threats unknown files (at least for now).. I like it that way.. Deny and ask.. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
хэндл на //./dwall можно только из под админа получить?

1. Проблема давно исправлена.

2. При любом раскладе, отправить сообщение в драйвер можно только из доверенной зоны.

3. В Windows строчка открытия объекта из-под юзера выглядит иначе: \\.\dwall :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
2. При любом раскладе, отправить сообщение в драйвер можно только из доверенной зоны.

Про это я даже забыл. Старею, что ли? ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

Да, PsGetProcessById используете, молодцы!

да, \\.\dwall :)

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Да, PsGetProcessById используете, молодцы!

Это неправильный способ. Я применяю более точный, через pIrp->Tail.Overlay.Thread. Ведь операция может быть и асинхронной...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Жаль, не потестили Malware Defender и RealTimeDefender Pro. Это лучшие хипсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

лучший HIPS - DefenseWall HIPS :) , imho.

Вообще, самый правильный способ, это создавать устройство с помощью IoCreateDeviceSecure

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вообще, самый правильный способ, это создавать устройство с помощью IoCreateDeviceSecure

Что гарантирует проблемы с обратной совместимостью (win2k). Да и надеяться на безопасность от МС- спасибо, как-нибудь сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Часть сообщений переехала в другую тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Жаль, не потестили Malware Defender и RealTimeDefender Pro. Это лучшие хипсы.

Да, Malware Defender очень хорош, если его настроить. Причём у него есть очень полезная штука - лог активности. Нигде такой не видел. Очень помогает в настройке.

А разве не давно ProSecurity HIPS Owner/Developer Joins Comodo?

...мы займемся проблемой ASAP, а до момента выпуска следующей версии с серьезным багфиксом...

Я так понял, что вы устраните оглашенные критически баги в следующей релизной версии? Какова ориентировочная дата её выхода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

И тут ещё возникла мысль. Ведь критические багофичи аутпоста были наверно с момента его сознания. После чего было проведено куча тестов, и он всегда болтался где-то в начале. Что теперь можно сказать обо всех этих тестах? О методологии? О будущих тестах? О смысле жизни? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Я так полагаю, пока проблема не будет эксплуатироваться, ее, проблемы, формально не будет. Ведь вывести из строя можно вообще любое защитное ПО и займет это времени от менее минуты, до не знаю скольки. А если контролировать все-все-все, то получится ОС для защитника, а не наоборот.

Хотя пределы разумного, конечно, должны быть. Это всякие sc config, net stop, taskkill и т.п.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ведь критические багофичи аутпоста были наверно с момента его сознания.

На самом деле там ещё проблемы есть с интерфейсом и с окнами - убить не пробовал (неинтересно), но обходить можно. Если он был бы такой же популярен как, например, IE, Flash Player, Adobe Reader, и т.д., то тогда и появились бы эксплойты - это точно. Но то же самое можно сказать о других программах защиты. В этом смысле процессу Penetrate and Patch конца нет, конечно. И главный недостаток: они стотят на той платформе, которую они пытаются защищать...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А если контролировать все-все-все, то получится ОС для защитника, а не наоборот.

Хотя пределы разумного, конечно, должны быть. Это всякие sc config, net stop, taskkill и т.п.

Всё это получается из-за того, что система безопасности венды бесполезна с нулевого кольца, в которое легко попасть на x32, и защитное ПО пытается дублировать эту защиту своими средствами. Поэтому сейчас многие смотрят в сторону x64, и рост потребности в памяти только подстёгивает.

А вырубание банальными "батниками" мы имеем на сегодня минимум у двух продуктов. Да там даже не в батниках дело. Дело в порочности всей системы. Надо "качать" систему, а не защитное ПО, а это большая головная боль.

На самом деле там ещё проблемы есть...

Да там много чего есть. :rolleyes:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×