Перейти к содержанию
Сергей Ильин

Тест HIPS на предотвращение проникновения в ядро Microsoft Windows

Recommended Posts

Сергей Ильин

dr_dizel, код в посте про проблемы Агнитума поправил из соображений безопасности, вдруг кто-то воспользуется в нехороших целях ... ИМХО проблемы критичны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
И никаких изменений не наблюдается. Продукт продаётся.

Вот именно поэтому у меня стоят только самописные средства безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
"StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра. Встречаемость ITW: высокая"

- да, подмена драйвера произойдет, только загрузить его никто не сможет (т.к. мы ФИЛЬТРУЕМ ZwLoadDriver) - загрузить не дадим.

по-моему тут имеется в виду остановка ненужного драйвера (допустим Beep) через скменеджер - прекрасно останавливается. Затем снятие защиты файлов МС (вспоминаем про sfc_os.dll и ординал 5) и его перемещение и кидание на его место своего. Можно его даже через скменеджер сразу и не пытаться загрузить (т.е не делать сразу же восстановление системного), а дождаться перезагрузки системы - сам запустится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Тест вполе понравился.Давно ожидал.Кстати,а где же ESET Smart Security 4.0?Там ведь тоже ХИПС есть! :D

И опять,как мне кажется,что там,по "кол-во запросов",чем больше - тем безопаснее.Исключением может быть Jetico.

Но это сугубо моё ИМХО.

Вот именно поэтому у меня стоят только самописные средства безопасности.

Вы это ~97% пользователей скажите.:)А может и все 99%,думаю,каждый бы надеялся на свои силы,если б умели.И бесплатно,и уже знаешь кого материть,если что не так.;)

P.S.А где это Агент? :D Сейчас бы было кстати. :D

Т.к.

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel, код в посте про проблемы Агнитума поправил из соображений безопасности, вдруг кто-то воспользуется в нехороших целях ... ИМХО проблемы критичны.

Без проблем. Правда, когда я в прошлом году начал обсуждать тему в закрытом разделе - особого интереса не заметил. А тут беготня началась... :D

http://www.anti-malware.ru/forum/index.php?showtopic=6140

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

Спасибо составителям теста, наконец-то хоть кто-то додумался провести данное тестирование.

Теперь немного критики:

1. Эти методы паблик, и все знают о них уже давным давно, из этого вытекает второй пункт

2. Было бы хорошо включить в это исследование тестирование публичных эксплоитов на повышение привилегий, так как на самом деле много малвари грузят драйвера недокументированными способами - как раз посредством экспоитов.

Да, кстати, что самоё весёлое, в самих HIPS есть уязвимости повышения привилегий :D :

http://esagelab.ru/advisory/2009/dw_222094...l_overflow.html

http://milw0rm.com/exploits/8322

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да, кстати, что самоё весёлое, в самих HIPS есть уязвимости повышения привилегий :D :

http://esagelab.ru/advisory/2009/dw_222094...l_overflow.html

Это против DefenseWall 2.46 и работает только в очень определённых условиях, которые там не указаны. Вероятность, что это на практике применяется ну очень минимальная. Потом, сейчас уже идёт 2.53. :)

P.S.: Естественно такое возможно в любой программе так как это работа людей. Не надо сидеть как админ и всё. (Конец офф-топа).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester
Это против DefenseWall 2.46 и работает только в очень определённых условиях, которые там не указаны. Вероятность, что это на практике применяется ну очень минимальная. Потом, сейчас уже идёт 2.53. :)

P.S.: Естественно такое возможно в любой программе так как это работа людей. Не надо сидеть как админ и всё. (Конец офф-топа).

Paul

И что же это за определённые условия?

Причём тут админ, не админ???

хэндл на //./dwall можно только из под админа получить?

все равно это повышение привилегий, так как попадаем в ring 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Спасибо составителям теста, наконец-то хоть кто-то додумался провести данное тестирование.

Теперь немного критики:

1. Эти методы паблик, и все знают о них уже давным давно, из этого вытекает второй пункт

2. Было бы хорошо включить в это исследование тестирование публичных эксплоитов на повышение привилегий, так как на самом деле много малвари грузят драйвера недокументированными способами - как раз посредством экспоитов.

Ну вот хоть какая-то благодарность :)

Касаемо критики:

1. Согласен, паблик, но в задачу сравнения и входило использование тех малвар, которые реально распространяются/распространялись.

2. Я думал об этом, да, сейчас таких малвар много (которые используют эксплоит для попадания в нулевое кольцо), но: систему на который проводили сравнение было решено проапдейтить по самое не хочу - поэтому все эксплоиты, что используются сейчас в малварах отвалились. Ну и самое интересное: хипсы не обязаны защищать от эксплоитов, нацеленных на уязвимость в системе. Защищать от них должен себя пользователь, обновляя помимо антивируса и ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Не надо сидеть как админ и всё.

Этот тип эксплоитов, о которых говорит TrueTester, и предназначены для получения всех необходимых привилегий.

Пример: руткит Tigger/Syzor. Он использует эксплоит на MS08-066. И это позволяет ему получить привилегии System и грузить драйвер, даже если бинарник был запущен под учеткой "Пользователь"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И что же это за определённые условия?

- Тип ОС,

- язык этой ОС (где-то есть обсуждение о том, что на определённых версиях XP не запускается вообще (китайский, испанский, не помню)

- включён ли или запрещён ли RunAs (у меня например запрещён политиками). Говорят, что это даёт дополинтельные препятствия для эксплойтов такого типа. Не произойдёт никакого повышения привилегий, ни желаемого, ни нежелательного.

Попробую найти и копи-пейстить сюда. Естественно за уровень 'тестеров' не вручаюсь.

Причём тут админ, не админ???

хэндл на //./dwall можно только из под админа получить?

все равно это повышение привилегий, так как попадаем в ring 0

Про админ - это было общее замечание. Не каждый день же находишь эксплойты против программ защиты, которые можно запускать из учётки юзера, которые при этом ещё и работают. Из админа это уже не такая редкость. Поэтому я это замечание под P.S. написал.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ребята из Comodo рады нашему тесту и победе своего продукта :)

По поводу алертом пишут следующее:

They are working on reducing popups all the time.. Melih promises version 4 will do great stuff on the usability.. Version 3.9 is less noisy than version 3.8 as well.. at least IMO.. =)

As for unknown baddies, the HIPS will always be poppy, as it was in this test.. Thats the expected behavior, and how CIS threats unknown files (at least for now).. I like it that way.. Deny and ask.. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
хэндл на //./dwall можно только из под админа получить?

1. Проблема давно исправлена.

2. При любом раскладе, отправить сообщение в драйвер можно только из доверенной зоны.

3. В Windows строчка открытия объекта из-под юзера выглядит иначе: \\.\dwall :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
2. При любом раскладе, отправить сообщение в драйвер можно только из доверенной зоны.

Про это я даже забыл. Старею, что ли? ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

Да, PsGetProcessById используете, молодцы!

да, \\.\dwall :)

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Да, PsGetProcessById используете, молодцы!

Это неправильный способ. Я применяю более точный, через pIrp->Tail.Overlay.Thread. Ведь операция может быть и асинхронной...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Жаль, не потестили Malware Defender и RealTimeDefender Pro. Это лучшие хипсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TrueTester

лучший HIPS - DefenseWall HIPS :) , imho.

Вообще, самый правильный способ, это создавать устройство с помощью IoCreateDeviceSecure

Отредактировал TrueTester

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вообще, самый правильный способ, это создавать устройство с помощью IoCreateDeviceSecure

Что гарантирует проблемы с обратной совместимостью (win2k). Да и надеяться на безопасность от МС- спасибо, как-нибудь сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Часть сообщений переехала в другую тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Жаль, не потестили Malware Defender и RealTimeDefender Pro. Это лучшие хипсы.

Да, Malware Defender очень хорош, если его настроить. Причём у него есть очень полезная штука - лог активности. Нигде такой не видел. Очень помогает в настройке.

А разве не давно ProSecurity HIPS Owner/Developer Joins Comodo?

...мы займемся проблемой ASAP, а до момента выпуска следующей версии с серьезным багфиксом...

Я так понял, что вы устраните оглашенные критически баги в следующей релизной версии? Какова ориентировочная дата её выхода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

И тут ещё возникла мысль. Ведь критические багофичи аутпоста были наверно с момента его сознания. После чего было проведено куча тестов, и он всегда болтался где-то в начале. Что теперь можно сказать обо всех этих тестах? О методологии? О будущих тестах? О смысле жизни? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Я так полагаю, пока проблема не будет эксплуатироваться, ее, проблемы, формально не будет. Ведь вывести из строя можно вообще любое защитное ПО и займет это времени от менее минуты, до не знаю скольки. А если контролировать все-все-все, то получится ОС для защитника, а не наоборот.

Хотя пределы разумного, конечно, должны быть. Это всякие sc config, net stop, taskkill и т.п.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ведь критические багофичи аутпоста были наверно с момента его сознания.

На самом деле там ещё проблемы есть с интерфейсом и с окнами - убить не пробовал (неинтересно), но обходить можно. Если он был бы такой же популярен как, например, IE, Flash Player, Adobe Reader, и т.д., то тогда и появились бы эксплойты - это точно. Но то же самое можно сказать о других программах защиты. В этом смысле процессу Penetrate and Patch конца нет, конечно. И главный недостаток: они стотят на той платформе, которую они пытаются защищать...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А если контролировать все-все-все, то получится ОС для защитника, а не наоборот.

Хотя пределы разумного, конечно, должны быть. Это всякие sc config, net stop, taskkill и т.п.

Всё это получается из-за того, что система безопасности венды бесполезна с нулевого кольца, в которое легко попасть на x32, и защитное ПО пытается дублировать эту защиту своими средствами. Поэтому сейчас многие смотрят в сторону x64, и рост потребности в памяти только подстёгивает.

А вырубание банальными "батниками" мы имеем на сегодня минимум у двух продуктов. Да там даже не в батниках дело. Дело в порочности всей системы. Надо "качать" систему, а не защитное ПО, а это большая головная боль.

На самом деле там ещё проблемы есть...

Да там много чего есть. :rolleyes:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
    • PR55.RP55
      1) В uVS есть:  известные файлы. А если известный файл проявляет сетевую активность этому файлу не свойственную... т.е. это нужно обязательно учитывать. 2) Если сетевую активность проявляет файл с нестандартным расширением. 3) Файл на данный момент не проявляет сетевой активности... Но есть ли у него такая возможность в принципе ? по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )  
    • Momo
      На сколько я знаю, то по цене не очень то отличаются, даже там подороже будет. Это первое. И если телефон не б\у брать, а новый, то и у нас гарантия предоставляется, даже в интернет-магазинах. Я вот брал себе Iphone Xs https://gorbushka-market.ru/telefony/apple-iphone/iphone-xs/ и всё в норме. И телефон не китайская копия, а настоящий, и гарантия есть. Так что, не понимаю, зачем себе лишние проблемы создавать. 
    • Lavrans
      Не скажу, что я постоянный игрок,  но раз  в несколько месяцев могу сделать ставку,  особенно в период Олимпийских игр или футбольных  кубков. 
      Так вот,  у меня на телефоне есть такое приложение, https://otstavka.net/1xbet-app-android-ios/ через него обычное делаю ставки. А то искать рабочие зеркала или новых букмекеров нет времени никогда
×