Nuovo set di test da Comodo

[nV 25]

Confesso che era già da un pò che sognavo l'idea di disporre di un qualcosa che consentisse di simulare tecniche usate da real malwares per "dipanare" [] i Pc invece che costringermi a scaricare di volta in volta direttamente i vari virus da fonti poco raccomandabili...

Un qualcosa, insomma, che fosse specifico per hips/behaviour blocker puri e non fosse sempre il solito LeakTest...

Bè:
questo tool sembrerebbe avermelo fornito giusto ieri Comodo!
(in verità in rete sono reperibili tantissimi altri tool specificamente modellati per gli hips come ad es. l'ormai famoso APT della DiamondCS, spt, AKLT, [...], o il recentissimo bypass hips di un famoso (?) hacker cinese, un certo mj0011 [tool del quale peraltro mi piacerebbe scambiare 2 parole anche con voi]... )

La "bellezza" di questo strumento, allora, è il fatto di simulare sia tecniche di installazione driver abbondantemente impiegate nei rootkit di tipo kernel mode, sia tecniche di process attacks injection...

Il tool è questo:


Per fortuna, abbiamo un descrizione dell'obiettivo che si propone ogni singolo test:
Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.

Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B).

DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state.

DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory.

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)




LINK:
http://forums.comodo.com/leak_testin...2866#msg152866




ProSecurity:

[nV 25]

Qui il test nel dettaglio esaminato caso per caso.

Condizioni di test:
- Sistema reale (no VM)
- XP Pro SP2 aggiornato
- Account in uso: Admin
- Hips: ProSecurity 1.43
- Behaviour Blocker: PDM (Kis 7.0.1.325)

Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.





Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B)



(EDIT: ho dimenticato la foto della creazione di beep.sys?: si vede cmq dal log sotto...)



DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state
(NB: è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error" [che equivale a PASSATO!]..
Vedi foto sotto per la creazione/scrittura della Dll...)


Ecco qui, allora, l'iniezione della Dll in un ramo di svchost...



...e un pop-up del registry guard che coinvolge la chiave File Rename Operation:



Bloccare quest'ultima operazione lascia in stato sospeso il test (appunto, si vede la dicitura "testing..." pur essendo finito il tutto)





DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory
(nota: ProSecurity non mostra nel pop-up la voce "create remote thread" (come EQS, ad es...) bensi' la generica voce Write Process Memory il che spiega perchè sotto sembra avvenire una cosa diversa da quella che si proporrebbe Comodo ["The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory"]...)




(anche sopra c'è il pop-up del registry guard per il File Rename Operation...)

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)



Se si blocca il controllo DDE/OLE/COM, il test "muore"...
Se lo si autorizza, finalmente interviene il PDM del Kis (hidden data sending..)



Il test è quindi passato...





CONSIDERAZIONI:
esclusivamente sul 2° test, o Rootkit Installation 2 che mi ha letteralmente "schoccato" e costretto a rieseguire una rapida batteria di rootkit (cazzuti) per riprova... (tutto STRA-OK!, cmq )
Qui (per me, almeno) si entra nell'alveo dell'ignoranza più assoluta per cui è possibile che qualsiasi considerazione che segue sia folle/errata.

Allora, qual'è il problema?
Comodo dice che il test "Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager".

ProSecurity, invece, *NON* segnala tentativi di apertura di beep.sys ma solo la sovrascrittura del file in oggetto (e la creazione di un altro .sys, si vede negli screen..)

Con veri Rootkit, invece, le diverse azioni dei malwares risultano ben visibili....
Esempi fatti ieri sul mio Pc REALE e *non* in VM...




In sostanza, non c'ho capito una minch*ia....

[marmotta88]

Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

[sampei.nihira]

Quote:

Originariamente inviato da marmotta88

Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

Usando la "riduzione dei privilegi del browser" il risultato è identico.
Questo dimostra che la riduzione dei privilegi consente di ottenere il massimo vantaggio (specie in navigazione ed apertura posta elettronica) usando l'account amministratore quindi con il minimo disagio.
Credo che il test sia inattendibile se lanciato in modalità virtuale.

[leolas]

grazie per la segnalazione
provo subito


EDIT: un genio! mi sono ricordato che ho disinstallato OA mezz'ora fa



(aspetto la new release ita)

[leolas]

Quote:

Originariamente inviato da marmotta88

Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

[CUT]

senza HIPS passi ben poco

[nV 25]

Quote:

Originariamente inviato da leolas

senza HIPS passi ben poco

ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...

----------

Sarebbe necessario scrivere un sacco di cose anche perchè credo che potenzialmente questo test (se pur molto limitato) possa insegnare anche a noi molti aspetti interessanti....
Cosi' come "error" del test andrebbe interpretato, ecc...


Aimè, mi rendo conto di aver aperto troppo frettolosamente il thread quando, da parte mia, ho conoscenze scarsissime della materia [= lacune a go go..] e poco tempo a disposizione perchè:
a - volevo uscire
b - ho proprio poco tempo
c - ti tocchi! (l'opzione c, infatti, è sempre costante in tutti i sondaggi ed è quella che ho scritto poc'anzi ....)

[leolas]

Quote:

Originariamente inviato da nV 25

ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...

Giusto

In effetti, mi sono accorto di aver detto una gran ****ta: l' "error" è interpretabile come "test passato", in effetti

E ho letto il post frettolosamente, non notando che aveva i diritti limitati (come puoi vedere anche dal post prima, in quel momento ci stavo poco con la testa )

[xcdegasp]

ho provato il test con l'account del gruppo administrator e config che uso normalmente sul notebook:


OnlineArmor

[marmotta88]

Ciao, ho fatto altri due tests,

Da account limitato lanciando il programma come amministratore:



infine mi sono loggato con l' account di amministratore:



sono messo proprio male!

dell'ultimo test se ne parlava anche su pc al sicuro...adesso non so se sia lo stesso test comunque credo che il concetto sia quello (comodo lo passava)
http://www.pcalsicuro.com/main/2007/...sa-i-firewall/

[nV 25]

2° post fatto

Mancano ancora mooooooooolte cose, ma almeno un'idea la abbiamo...

Il 2° post, peraltro, si conclude con una mia domanda:
vi sarei infinitamente grato se poteste controllare con i vostri software e farmi sapere (meglio se con foto di pop-up/log)...

Grazie





NB per sampei:
semmai i test possono essere superati senza ricevere alcun pop-up da parte di PS:
a me, infatti, qui serviva "far vedere"

[leolas]

com'è ovvio che sia, Mike ha già detto che nella prossima release OA passerà i test: http://support.tallemu.com/vbforum/s...ead.php?t=3418

Inizio davvero a pensare anch'io che comodo e OA se la stiano tirando troppo, con questi test.... Appena ne esce uno di nuovo, fanno i salti mortali per riuscire a passarlo il giorno dopo............. mentre entrambi ci stanno mettendo anni a far uscire la traduzione

EDIT: Dimenticavo!!! Complimenti nV per il lavoro svolto!!!

[nV 25]

perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo... ) per fare la trad.




@ Leo:
grazie!

Datemi delle risp, cmq, perchè ho dei "vuoti" d'ombra ASSOLUTI...

[leolas]

Quote:

Originariamente inviato da nV 25

perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo... ) per fare la trad.

Veramente il programma SAREBBE già tradotto (vero degasp e "me stesso"?).
Il problema è che è da 2 settimane che dovrebbe uscire la traduzione...

Per COmodo, invece, non hanno ancora reso disponibili i files da tradurre

ps: leggi l'edit dell'altro post
edit: ok, l'hai fatto xD


EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire...

[xcdegasp]

sì confermo è fatta da molto tempo... se pensassero a giocare meno "a chi ce lo ha più rocksolid" forse la rilasciano

[nV 25]

Quote:

Originariamente inviato da leolas

EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire...

io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.



Visto che ci sono, anzi, continuo l'OT con il log di un SSDT restorer inizialmente testato da NicM
Perchè sprecare questa foto di ieri visto che il sample in questione apre il Pc come una lama calda affondata nel burro?

[leolas]

Quote:

Originariamente inviato da nV 25

io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.

ehm
dicevo che puoi andare a fracassare i maroni di tutti i leghisti al governo (dato che parlavi di "fracassare i maroni" e di "governo")



Speriamo che non ci sia nessun leghista qui, sennò

[leolas]

...

vedi che non dovevo dirlo?

[sampei.nihira]

@ Enne

Enne ma un "vecchio" (senza secondi fini) amatore come te del KIS che va a fare questi test con il tuo "ancora per poco credo" "pupillo"...........
Tanto alla fine lo disinstallerai giusto ?

Meglio...... KIS 8 e......basta ?
Come mi scrivesti una volta a proposito di altro, io ho riciclato il "basta" ?

http://forum.kaspersky.com/index.php?showtopic=66237

Su,sù qualche anticipazione a questi poveri utenti che pendono dalle tue labbra !!