|
|||||||
|
|
|
 |
|
|
Strumenti |
09-09-2011, 13:19
|
#3381 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
 E con questa, torniamo (se si vuole) a parlare di cose serie. Ciao |
|
|
|
09-09-2011, 14:23
|
#3382 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Boni,state boni, (io che ho ancora il taglio dei capelli a 3 mm.......
 )http://blogs.norman.com/2011/malware...lashing-trojan |
|
|
|
|
09-09-2011, 14:42
|
#3383 | |
|
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
Altrimenti si sfocia nella polemica per ogni discussione, nessuno ci capisce nulla e non si va da nessuna parte.. Più in generale: Non era corretto perchè non ti eri informato su come funzionasse DW, nè hai letto dove se n'è parlato, nè hai letto/capito il manuale. Banalmente hai pensato di poterlo testare senza averlo studiato. Più nello specifico: Nel test che hai svolto è evidente, date le conclusioni da te tratte, che ti sei limitato a installare Dw, avviare l'infezione, negare gli avvisi, e fare una scansione di controllo con MalwareBytes. Poi, al termine della scansione, questo è stato il tuo ragionamento: > Se malwarebytes non rileva nulla, allora DW funziona. > Se malwarebytes rileva dei file infetti, allora DW fallisce in quanto è stato bucato. Ma la rilevazione di malwarebytes non vale nulla se fatta così, in quanto DW non nega al malware di creare/modificare file/chiavi di registro! Infatti, in termini molto semplicistici, questo è il funzionamento di DW: > Se il processo avviato è Trusted, allora è sicuro e potrà applicare modifiche, creare file e avviare processi figli, che saranno anch'essi Trusted. > Se il processo è Untrusted, allora sarà soggetto a restrizioni. Potrà comunque svolgere delle azioni, come avviare processi, creare file e chiavi di registro, ma saranno marcati come Untrusted, e saranno eliminabili in qualunque momento tramite la scheda di Rollback (mentre i processi Untrusted saranno terminabili schiacciando il bottone rosso "Stop Attach"). Inoltre, un file Untrusted può modificare solo file Untrusted, non può in alcun modo modificare/eliminare file Trusted. Quindi: > MalwareBytes trova dei file infetti semplicemente perchè ci sono, ma sono controllati e non pericolosi (essendo Untrusted non possono in alcun modo interagire con tutti i file Trusted presenti, sistema incluso). A prova dell'innocuità di tali file, puoi eliminarli tranquillamente tramite la scheda di Rollback. > Una volta avviato il malware come Untrusted devi riportare tutto come prima di avviare il malware, per fare questo usa la Rollback (credo che il nome della funzione fosse Rollback to). A questo punto ha senso fare la scansione con mbam, ma non troverai nulla.. Alla luce di ciò, se ne hai voglia, ci fai sapere cosa viene fuori svolgendo il test in maniera corretta? Grazie
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
|
|
|
|
09-09-2011, 15:48
|
#3384 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
09-09-2011, 16:16
|
#3385 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Prenderò in prestito il post di cloutz per inserirlo in 1° pagina (poi vedrò come) cosi' che sia facilmente reperibile a tutti:
la spiegazione, infatti, credo sia assolutamente limpida. In questo modo, coloro che anche in futuro volessero avvicinarsi a DW troveranno una risorsa importante per capirne meglio la logica, cosa che evidentemente non sono mai riuscito a fare neppure con la nuova stesura del 1° post di circa 1 anno fà....  Sui link del mod e di sampei, txs: gli si darà un occhiata il prima possibile. Senza cmq aver letto nulla della meccanica di funzionamento del malware in questione, credo che, al solito, chi usa buon senso e una protezione "proattiva" (che sia HIPS/Sandbox) possa ritenersi ragionevolmente sicuro anche contro questa minaccia visto che, al 99%: - non funzionerà sotto account limitato a meno che non sfrutti un meccanismo di elevazione dei privilegi non ancora patchato... - vivrà attorno ad un kernel mode driver che qualsiasi HIPS degno di questo nome sarà tranquillamente in grado di "intercettare" in fase di installazione/caricamento... Ecc... + il buon senso (che vuole che non si installino le cose a casaccio), e la tutela dovrebbe essere assicurata. Alla fine della fiera, cmq, ritengo che una qualche forma di valido AV sarà sempre necessario* per lavare via ogni dubbio bollando come "sicuramente pulito" qualsiasi file entrato nel PC. *specie se usato come intendo io: 1 file nuovo entra nel PC -> sarebbe opportuno fosse "isolato" con uno dei software trattati nel corso di questo thread (anche perchè, sennò, di cosa starei parlando da 6 anni a questa parte?  ) -> 1° scansione dell'AV sul file isolato (che non necessariamente rileverà con sicurezza matematica il buono/cattivo)--> si resiste alla tentazione di eseguirlo immediatamente--> lasciato decantare il file (isolato) per 2/3 gg al max, si riesegue la scansione e, a quel punto, la probabilità che l'engine dell'AV "conosca" l'eseguibile e lo bolli correttamente come buono/cattivo è praticamente certa....Il presupposto di partenza, infatti, in questa "visione" dell'AV, è che l'AV stesso sia di quelli tradizionalmente buoni... IMO |
|
|
|
|
09-09-2011, 16:21
|
#3386 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
spiegazione del concetto di "isolato" di cui al post sopra:
nella mia visione può voler dire - untrusted (o chiamatelo come volete...) se si usa un Sandbox... - che genererà quantomeno un pop-up di 1° esecuzione se lanciato inavvertitamente (ipotesi dell'HIPS puro)... |
|
|
|
|
09-09-2011, 16:23
|
#3387 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
|
|
|
|
|
09-09-2011, 16:35
|
#3388 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
si, ho dato un'occhiata rapidissima al blog di Symantec e sembra proprio che il mio buon senso abbia fatto centro.
The threat will drop a driver to %system%\drivers\bios.sys, then stop the beep service and replace %system%\beep.sys with the dropped one. After that it restarts beep service to load the dropped driver. Siamo infatti in ambito OS funzionante. Eseguito il malware, e a meno che l'operazione che a momenti descrivo non avvenga in qualche modo atipico, il malware *DEVE* caricare un driver. In 1° luogo stopperà un servizio di sistema per riavviarlo in un 2° momento puntando xò al driver maligno, operazioni abbondantemente intercettate/impedite di default in MD, DW, Sbxie,... Insomma, noi siamo sicuramente al sicuro.
|
|
|
|
|
09-09-2011, 17:24
|
#3389 | |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Gli utenti che vorranno rinunciare "al controllo" di un AV classico in real time installato potranno anche prendere in considerazione l'installazione di: 1) Hitman Pro (on demand multiscan). + 2) Traffic Light Bitdefender versione completa che in più rispetto agli add-on (Firefox e Chrome) esamina anche i files downloadati. Senza contare che la versione completa può essere usata anche con Opera che manca,rispetto agli altri browser, di tale estensione. Secondo me una modifica che risulterebbe certamente più leggera rispetto ad ogni AV.....anche se ovviamente sarebbe da verificare. 
|
|
|
|
|
|
09-09-2011, 18:09
|
#3390 | |
|
Senior Member
Iscritto dal: Jan 2010
Messaggi: 37011
|
Quote:
|
|
|
|
|
|
09-09-2011, 21:18
|
#3391 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Segnalo che Comodo ha rilasciato l'ultima beta (o 1° RC?, non ho capito benissimo..) della v5.8 che, praticamente, porta con se importanti migliorie alla componente HIPS, probabilmente troppo trascurata ultimamente...
Queste migliorie sono frutto dei "giochi" di un utente quaunque come potremmo essere noi, un cinesino equivalente al nostro Aigle di Wilders, tale a256886572008... Cmq: Codice:
FIXED! HIPS can be bypassed by certain malware by exploiting trusted applications FIXED! HIPS doesn't catch certain screen capturing techniques FIXED! HIPS doesn't catch windows service modifications Meglio cosi'... |
|
|
|
|
09-09-2011, 21:20
|
#3392 |
|
Senior Member
Iscritto dal: Feb 2005
Città: sassari
Messaggi: 358
|
passiamo alle cose serie.....come scrisse qualcuno.
Ovviamente continuo a sorvolare sui post poco seri seguiti al mio ultimo da parte di alcuni utenti. E' chiaro che un utente avveduto legge la guida al primo post prima di intervenire sull'argomento.Quindi risparmiatevi le raccomandazioni sulla configurazione di DW. Ed ecco nei fatti dove fallisce l'hips di DW.Fallimento a dir poco clamoroso. Non ho il tempo materiale,al momento, per realizzare un video :ergo,seguiranno degli screen logici tratti da macchina virtuale con su Xp Sp3 e DW installato W versione di prova 3.15.per regolamento del forum non allego il download dei vari trojan zero-days testati.Leggerete i loro nomi negli screen allegati.Al termine della prova sarà eseguita una scansione con mbam su xp per verificare se effettivamente dw abbia bloccato o meno l'infezione dei vari trojan sul SO.Ovviamente,inutile sottolinearlo,i vari trojan son stati bloccati da DW -selezionando UNTRUSTED- al primo tentativo di avvio seguito dalla scelta ESEGUI di windows.Trojan testati in numero di 3 complessivamente.
|
|
|
|
|
09-09-2011, 21:30
|
#3393 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
HP lo conosco personalmente ed è una bomba in velocità di scansione (+ porta con se altre chicche con l'EWS, es. il concetto del cloud-assisted-miniport-hook-bypass/ che può rivelarsi utilissimo in certe situazioni), MB lo conosciamo tutti di fama... Insomma, in questo caso la regola-dei-gelati  che vuole che "2 sia meglio che 1" può essere praticata senza problemi...PS: (in generale), mi trovate più buono da ieri?
|
|
|
|
|
|
09-09-2011, 21:34
|
#3394 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Continuo a pensare che se il test lo facessi io non ci sarebbe nessun bypass (e non perchè sia il mago dei vini), ma cmq... Attendiamo tuoi sviluppi. |
|
|
|
|
|
09-09-2011, 21:40
|
#3395 |
|
Senior Member
Iscritto dal: Feb 2005
Città: sassari
Messaggi: 358
|
edit
Ultima modifica di flaubert : 09-09-2011 alle 21:42. |
|
|
|
|
09-09-2011, 21:41
|
#3396 |
|
Senior Member
Iscritto dal: Feb 2005
Città: sassari
Messaggi: 358
|
1-Versione di DW installa su XP sp3 macchina virtuale:
 2-Trojan zero day s testati:  A)Primo trojan testato:boot exe:  A1)Selezionata l'opzione untrusted al primo avviso di DW seguito al lancio del trojan sopra:  B) secondo trojan testato:worm exe: B1)Selezionata l'opzione untrusted al primo avviso di DW seguito al lancio del trojan sopra:  B2)secondo avviso di DW sullo stesso trojan e selezionata l'opzione "block":  C) Terzo trojan testato:xxx_video.exe  C1)il trojan xxx_video.exe bypassa tranquillamente DW ed ecco la sua azione sul desktop del pc:  Il SO risulta chiaramente infetto ed è come bloccato! D) Scansione del SO con malwarebytes antimalware alla ricerca di infezioni:  E) Risulati della scansione con MBAM sul pc protetto da DW: 
Ultima modifica di flaubert : 09-09-2011 alle 22:34. |
|
|
|
|
09-09-2011, 21:47
|
#3397 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Curioso, peraltro, che su 3 sample testati (su 3?, addirittura l'intero...) DW sia incapace di dire la sua...quando altri test (se mi permetti, un pochettino più professionali dei nostri...) rilevano questa situazione:
http://malwareresearchgroup.com/malw...s/#comment-262 In sostanza, di un progetto partito il 27.01.2011, su 68 campioni testati (non cazzate, si parla di TDL3/4, Spyeye, Ransom e compagnia) DW risulta l' **U N I C O** software che ne previene...68! (PS: il size è 5, visto che lo chiedevi) C'è di che pensare.... |
|
|
|
|
09-09-2011, 22:07
|
#3398 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
*** sto seguendo praticamente in tempo reale gli aggiornamenti del tuo post***
Ok. Fino qui giusto. PS: personalmente credo sia inutile postare i soliti popup degli altri sample e passerei alle conclusioni, dove osservi cioè il bypass. |
|
|
|
|
09-09-2011, 22:11
|
#3399 |
|
Senior Member
Iscritto dal: Nov 2005
Città: Cervia (RA)
Messaggi: 16883
|
beh oddio non è che quelli di MRG siano poi tanto considerati nell'ambiente per fatti passati e pure presenti ma sempre meglio di noi con i test cantucci e vinsanto caserecci
però non male Microsoft MSE 9 passati su 68, un figurone  Grazie del link ho scoperto così che dopo anni il loro sito mi riconosce come umano, anticamente non so perchè pensava fossi una botnet Aggiornato CIS , son dei dilettanti però, problemi in cose elementari che pure un hips casereccio non tralascerebbe. Per fortuna ho anche altro a proteggere il pc
__________________
Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services Ultima modifica di Romagnolo1973 : 09-09-2011 alle 22:13. |
|
|
|
|
09-09-2011, 22:14
|
#3400 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Sono arrivato finalmente qui,
Quote:
Che dire? WinLock/ScreenLocker testati da me nel lontano 19/8/2010... |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:35.
