Программы для легального шпионажа. Способы защиты от них

[Ingener 150]

-

[Skeptic 235]

Skeptic вроде спрашивал про hips работающие по принципу "вопрос-ответ"

Именно эти хипсы он и имел в виду))) Работаю с ними (ProSecurity, сейчас Malware Defender) уже 3 года и знаю, что при любой подобной активности они всегда дают знать. Просто неохота было ставить шпиона, чтобы запостить здесь алерт, но если кто-то хочет...

[Ingener 150]

-

[Skeptic 235]

Ingener, я тут скачал mipko. У вас он стоит? Попробую его поставить. Как понять, работает он или блокируется? Где у него логи?

[Илья Рабинович 521]

Проверил сейчас DW программой Mipko Employee Monitor 5.0.4:

1) При установке файла через проводник со сменного носителя - установщик запускается как ДОВЕРЕННЫЙ, следовательно и сама программа наследует статус ДОВЕРЕННОЙ и ПРЕКРАСНО ВЫПОЛНЯЕТ СВОИ ЧЁРНЫЕ ДЕЛИШКИ.

У меня нет локалки под рукой - но уверен, что при установке файлов через проводник они тоже получат статус доверенных у DW.

1. С какого именно сменного носителя был произведён запуск? Если с флешки- то значит не установлено "Автоматически запускать прилоджения со сменных носителоей как недоверенные" (которая установлена по умолчанию).

2. Для контроля локальной сети нужно установить "Запускать из локальной сети как недоверенный".

Похоже всё что запускается через проводник автоматически получает у DW статус ДОВЕРЕННЫЙ, на мой взгляд это нехорошо...

Конечно нехорошо, поскольку DefenseWall... так и не поступает.

Настройки я не изменял. Запускал чисто тупо через проводник с DVD диска.

А, тогда всё понятно. Нужно ставить галку на "Считать CD/DVD как недоверенные". Просто обычно на CD/DVD идут покупные игрушки, для обмена файлами они не удобны.

[Ingener 150]

-

[Skeptic 235]

Щас, только образ Гхостом сделаю, чтобы потом не заморачиваться удалением.

[Skeptic 235]

Ну, в общем, вот что у меня получилось.

Установил я этого шпиона. Потом пошел запуск процесса и куча алертов от хипс (стоит у меня Malware Defender), запросы шли в основном четырех типов: запуск процесса, установка глобального перехватчика на сообщения, отправка сообщения другому процессу и сетевая активность.

Здесь очень важно было разобраться и дать разрешения на запуск процесса, на ведение мониторирования и на ведение лога, но запретить все остальное. Очевидно, я переусердствовал и запретил лишнего, поскольку он запустился, повис в трее, но окошко не открывалось. Пришлось удалять правило и создавать заново. При этом я сразу создавал правило либо разрешения, либо запрета. Очевидно, и здесь я ошибся, и на этот раз лишку разрешил - через минут 7 после запуска проги выяснилось, что все логи пусты, кроме снимков экрана - он сделал один снимок по расписанию через 5 мин.

Тогда я сделал следующее - установил интервал снимка в 1 мин, плюс еще делать снимок при открытии нового окна, потом открыл окно MD и переместил данную прогу в разряд блокируемых. После этого продолжил серфинг. Больше ни одного снимка не было сделано, и другие логи остались чистыми.

Из всего этого делаю вывод: с помощью хорошего поведенческого анализатора (в моем случае - MD) заблокировать активность подобных шпионов не только возможно, но и достаточно просто.

.

[Ingener 150]

-

[Skeptic 235]

Сделал так, как вы сказали - деинсталлировал мипку, удалил ее строчку в мальваре дефендере, отключил его и установил шпиона заново. Запустил его, после чего включил MD и открыл окно. Напротив пользователя стояла цифра 14, в графе "активность программ" - 13 (отображались запущенные на тот момент процессы + MD) и активность компьютера - 1 - включить мониторинг.

Запускаю Снагит для скрина - пошли алерты, запрет, делаю скриншот, а вот при вводе названия (успел ввести 5 цифр) моя MD выкидывает алерт, вешая систему намертво.

После ребута, естественно, разрешаю запуск мирки, все остальное запрещаю - и в окошке вижу, что мипка зафиксировала-таки запуск Снагита, а вот записать нажатия клавиш хипса не дала.

(активность компьютера - 2 - 2 записи включить мониторинг).

При дальнейшей работе, естественно, картинка не поменялась.

[Ingener 150]

-

[Skeptic 235]

Ну, это кому как нравится. Я привык сам создавать правила в процессе запросов, после того, как они созданы - все, никаких алертов. Плюс ощущение того, что все под твоим личным контролем, и что ты - хозяин на компе и принимаешь окончательное решение. А MD, на мой взгляд, и не только на мой - лучший поведенческий анализатор на сегодня. Тесты, собранные priv8v, проходит стопроцентно.

[priv8v 960]

Все методы кейлогга в этих шпионах (можно даже их и не ставить, что бы это понять) это установка хуков (используется dll) или опрос клавы (что вряд ли) - это ловится самыми ленивыми проактивками. Сложнее - установка драйвера - некоторые могут это разрешить или выдать алерт только на установку или просто принять его за доверенный - т.к это не реальный троян, но с драйвером для кейлогга никто мучатся не будет.

Ваша hips наверное получше и поудобнее комодовской будет

Skeptic, а Вы что на это скажете? Вроде Вы когда-то юзали комодо... Не сохранилось снапшота с комодо? Просто у меня такое ощущение, что подобную фигню комодо не мог пропустить или неверно блокировать - тут (имхо) дело в умении использовать комодо и в его настройках.

А MD, на мой взгляд, и не только на мой - лучший поведенческий анализатор на сегодня.

Спорное заявление Перехватами можно повязать в системе абсолютно все - от запуска исполняемого файла и попытки чтения любого ключа реестра до установки драйверов. Поэтому все большие компании стараются максимально уменьшить список того, что нужно перехватывать и выдавать на это алерт юзеру с предупреждением, а по тому что осталось - принимать решения автоматом, исходя из подписей и прочего...

В принципе и самому можно быстренько накидать тулзу, которая поставит хуки на определенные события и будет выдавать алерты...

Каждому свое. При грамотной работе MD справится, но без грамотного юзера - он ничто

Тесты, собранные priv8v, проходит стопроцентно

С ними просто бороться - заранее известно что и для чего эти маленькие файлики делают - я этого ведь не скрываю ?

[Skeptic 235]

установка драйвера - некоторые могут это разрешить или выдать алерт только на установку или просто принять его за доверенный

Не, с MD (правильно настроенным) это не проходит.

Просто у меня такое ощущение, что подобную фигню комодо не мог пропустить или неверно блокировать - тут (имхо) дело в умении использовать комодо и в его настройках.

Согласен. Но у Комодо ( а последний раз я разбирался с его хипсой в версии 3.0.22) самая неудобная и даже, пардон, дурацкая система настроек, без поллитра просто не разберешься... Вроде настроил, а простейший лик пропускает. Возился с ним, потом плюнул.

При грамотной работе MD справится, но без грамотного юзера - он ничто

Ну да - наверное, как и любой поведенческий анализатор.

MD еще очень удобен, в нем куча всего есть - редактор реестра, вьюер процессов, менеджер автозагрузки, снифер...Гораздо удобнее того же RTDPro.

С ними просто бороться - заранее известно что и для чего эти маленькие файлики делают - я этого ведь не скрываю ?

Могу сказать, что у нас его тестил georgy_n, и она прошла все тесты, больше такого результата, насколько я помню, не показала ни одна хипса.

[priv8v 960]

Не, с MD (правильно настроенным) это не проходит.

Это тоже хорошо, но я не его подразумевал, а просто говорил о такой возможности - что бы если кому-то где-то такое встретиться, что бы сильно не удивлялся

Могу сказать, что у нас его тестил georgy_n, и она прошла все тесты, больше такого результата, насколько я помню, не показала ни одна хипса.

Вы меня запутали

"у нас" - это где? и какие тесты? кейлогг опросом клавиатуры?

[Skeptic 235]

"у нас" - это где? и какие тесты? кейлогг опросом клавиатуры?

priv8v, я имел в виду ваши PDM тесты, а у нас - на kadets.info.ru

[TANUKI 240]

Любопытная ситуевина с этими законными шпионами...

Нет, ну в случае с корпоративным сектором все просто и понятно, а вот если брать в расчет домашнее использование, то предстанем перед диллемой: поставить слабый антивир, который не будет "палить" шпиона, но так же и слабо будет защищать компьютер в целом или не следить за женой, но оставить надежный антивир

[Ingener 150]

-

[TANUKI 240]

Можно его просто в исключения добавить...

Да, точно. Главное, что б жена не заглянул в исключения

[ak_ 395]

Да, точно. Главное, что б жена не заглянул в исключения

Можно установить пароль на доступ к настройкам антивируса. Для защиты от несанкционированного изменения "вредителями".

[TANUKI 240]

Да, пароль это хорошо, но без скандала уже не обойдется