Перейти к содержанию
Ingener

Программы для легального шпионажа. Способы защиты от них

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Skeptic вроде спрашивал про hips работающие по принципу "вопрос-ответ"

Именно эти хипсы он и имел в виду))) Работаю с ними (ProSecurity, сейчас Malware Defender) уже 3 года и знаю, что при любой подобной активности они всегда дают знать. Просто неохота было ставить шпиона, чтобы запостить здесь алерт, но если кто-то хочет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ingener, я тут скачал mipko. У вас он стоит? Попробую его поставить. Как понять, работает он или блокируется? Где у него логи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Проверил сейчас DW программой Mipko Employee Monitor 5.0.4:

1) При установке файла через проводник со сменного носителя - установщик запускается как ДОВЕРЕННЫЙ, следовательно и сама программа наследует статус ДОВЕРЕННОЙ и ПРЕКРАСНО ВЫПОЛНЯЕТ СВОИ ЧЁРНЫЕ ДЕЛИШКИ.

У меня нет локалки под рукой - но уверен, что при установке файлов через проводник они тоже получат статус доверенных у DW.

1. С какого именно сменного носителя был произведён запуск? Если с флешки- то значит не установлено "Автоматически запускать прилоджения со сменных носителоей как недоверенные" (которая установлена по умолчанию).

2. Для контроля локальной сети нужно установить "Запускать из локальной сети как недоверенный".

Похоже всё что запускается через проводник автоматически получает у DW статус ДОВЕРЕННЫЙ, на мой взгляд это нехорошо...

Конечно нехорошо, поскольку DefenseWall... так и не поступает.

Настройки я не изменял. Запускал чисто тупо через проводник с DVD диска.

А, тогда всё понятно. Нужно ставить галку на "Считать CD/DVD как недоверенные". Просто обычно на CD/DVD идут покупные игрушки, для обмена файлами они не удобны.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Щас, только образ Гхостом сделаю, чтобы потом не заморачиваться удалением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ну, в общем, вот что у меня получилось.

Установил я этого шпиона. Потом пошел запуск процесса и куча алертов от хипс (стоит у меня Malware Defender), запросы шли в основном четырех типов: запуск процесса, установка глобального перехватчика на сообщения, отправка сообщения другому процессу и сетевая активность.

a45a92d2bae1t.jpg f5ed5bdf2d78t.jpg

Здесь очень важно было разобраться и дать разрешения на запуск процесса, на ведение мониторирования и на ведение лога, но запретить все остальное. Очевидно, я переусердствовал и запретил лишнего, поскольку он запустился, повис в трее, но окошко не открывалось. Пришлось удалять правило и создавать заново. При этом я сразу создавал правило либо разрешения, либо запрета. Очевидно, и здесь я ошибся, и на этот раз лишку разрешил - через минут 7 после запуска проги выяснилось, что все логи пусты, кроме снимков экрана - он сделал один снимок по расписанию через 5 мин.

Тогда я сделал следующее - установил интервал снимка в 1 мин, плюс еще делать снимок при открытии нового окна, потом открыл окно MD и переместил данную прогу в разряд блокируемых. После этого продолжил серфинг. Больше ни одного снимка не было сделано, и другие логи остались чистыми.

dda60095e9cdt.jpg e232b35032abt.jpg 5aca2bb30360t.jpg 6ae9bb83a2e0t.jpg f0b07076d5b4t.jpg

Из всего этого делаю вывод: с помощью хорошего поведенческого анализатора (в моем случае - MD) заблокировать активность подобных шпионов не только возможно, но и достаточно просто.

.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Сделал так, как вы сказали - деинсталлировал мипку, удалил ее строчку в мальваре дефендере, отключил его и установил шпиона заново. Запустил его, после чего включил MD и открыл окно. Напротив пользователя стояла цифра 14, в графе "активность программ" - 13 (отображались запущенные на тот момент процессы + MD) и активность компьютера - 1 - включить мониторинг.

Запускаю Снагит для скрина - пошли алерты, запрет, делаю скриншот, а вот при вводе названия (успел ввести 5 цифр) моя MD выкидывает алерт, вешая систему намертво.

После ребута, естественно, разрешаю запуск мирки, все остальное запрещаю - и в окошке вижу, что мипка зафиксировала-таки запуск Снагита, а вот записать нажатия клавиш хипса не дала.

d2f7a480c7ddt.jpg

(активность компьютера - 2 - 2 записи включить мониторинг).

При дальнейшей работе, естественно, картинка не поменялась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ну, это кому как нравится. Я привык сам создавать правила в процессе запросов, после того, как они созданы - все, никаких алертов. Плюс ощущение того, что все под твоим личным контролем, и что ты - хозяин на компе и принимаешь окончательное решение. А MD, на мой взгляд, и не только на мой - лучший поведенческий анализатор на сегодня. Тесты, собранные priv8v, проходит стопроцентно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Все методы кейлогга в этих шпионах (можно даже их и не ставить, что бы это понять) это установка хуков (используется dll) или опрос клавы (что вряд ли) - это ловится самыми ленивыми проактивками. Сложнее - установка драйвера - некоторые могут это разрешить или выдать алерт только на установку или просто принять его за доверенный - т.к это не реальный троян, но с драйвером для кейлогга никто мучатся не будет.

Ваша hips наверное получше и поудобнее комодовской будет

Skeptic, а Вы что на это скажете? Вроде Вы когда-то юзали комодо... Не сохранилось снапшота с комодо? Просто у меня такое ощущение, что подобную фигню комодо не мог пропустить или неверно блокировать - тут (имхо) дело в умении использовать комодо и в его настройках.

А MD, на мой взгляд, и не только на мой - лучший поведенческий анализатор на сегодня.

Спорное заявление :) Перехватами можно повязать в системе абсолютно все - от запуска исполняемого файла и попытки чтения любого ключа реестра до установки драйверов. Поэтому все большие компании стараются максимально уменьшить список того, что нужно перехватывать и выдавать на это алерт юзеру с предупреждением, а по тому что осталось - принимать решения автоматом, исходя из подписей и прочего...

В принципе и самому можно быстренько накидать тулзу, которая поставит хуки на определенные события и будет выдавать алерты...

Каждому свое. При грамотной работе MD справится, но без грамотного юзера - он ничто :)

Тесты, собранные priv8v, проходит стопроцентно

С ними просто бороться - заранее известно что и для чего эти маленькие файлики делают - я этого ведь не скрываю ? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
установка драйвера - некоторые могут это разрешить или выдать алерт только на установку или просто принять его за доверенный

Не, с MD (правильно настроенным) это не проходит.

Просто у меня такое ощущение, что подобную фигню комодо не мог пропустить или неверно блокировать - тут (имхо) дело в умении использовать комодо и в его настройках.

Согласен. Но у Комодо ( а последний раз я разбирался с его хипсой в версии 3.0.22) самая неудобная и даже, пардон, дурацкая система настроек, без поллитра просто не разберешься... Вроде настроил, а простейший лик пропускает. Возился с ним, потом плюнул.

При грамотной работе MD справится, но без грамотного юзера - он ничто :)

Ну да - наверное, как и любой поведенческий анализатор.

MD еще очень удобен, в нем куча всего есть - редактор реестра, вьюер процессов, менеджер автозагрузки, снифер...Гораздо удобнее того же RTDPro.

С ними просто бороться - заранее известно что и для чего эти маленькие файлики делают - я этого ведь не скрываю ? ;)

Могу сказать, что у нас его тестил georgy_n, и она прошла все тесты, больше такого результата, насколько я помню, не показала ни одна хипса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Не, с MD (правильно настроенным) это не проходит.

Это тоже хорошо, но я не его подразумевал, а просто говорил о такой возможности - что бы если кому-то где-то такое встретиться, что бы сильно не удивлялся :)

Могу сказать, что у нас его тестил georgy_n, и она прошла все тесты, больше такого результата, насколько я помню, не показала ни одна хипса.

Вы меня запутали :)

"у нас" - это где? и какие тесты? кейлогг опросом клавиатуры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
"у нас" - это где? и какие тесты? кейлогг опросом клавиатуры?

priv8v, я имел в виду ваши PDM тесты, а у нас - на kadets.info.ru

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Любопытная ситуевина с этими законными шпионами...

Нет, ну в случае с корпоративным сектором все просто и понятно, а вот если брать в расчет домашнее использование, то предстанем перед диллемой: поставить слабый антивир, который не будет "палить" шпиона, но так же и слабо будет защищать компьютер в целом или не следить за женой, но оставить надежный антивир ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Можно его просто в исключения добавить... :rolleyes:

Да, точно. Главное, что б жена не заглянул в исключения ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Да, точно. Главное, что б жена не заглянул в исключения ;)

Можно установить пароль на доступ к настройкам антивируса. Для защиты от несанкционированного изменения "вредителями".

a9afe4420b4at.jpg faa86d4e796bt.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Да, пароль это хорошо, но без скандала уже не обойдется ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security был обновлён до версии 8.2.3000.
    • demkd
      Это можно. Хотя можно ведь просто нажать Enter.
    • PR55.RP55
      Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.  
    • demkd
      тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
    • PR55.RP55
      Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms   там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню:  Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
×