|
|||||||
|
|
|
 |
|
|
Strumenti |
12-05-2006, 21:10
|
#1 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
56k WARNING - DFK THREAT SIMULATOR - *Potenzialmente RISCHIOSO!!*
ATTENZIONE: PER SICUREZZA, ESEGUIRE QUESTO TEST SOLO IN AMBIENTE PROTETTO (es. una VIRTUAL MACHINE) o SOLO SE si è fatto precedentemente un BACK-UP dei DATI !!!Scartabellando un pò su Wilders, ho trovato questo thread: che fa riferimento ad un nuovo simulatore di minacce, il "DFK ThreatSimulator", che nasce per superare i limiti dell'ormai obsoleto "Eicar Antivirus Test" proponendo un nuovo tester più aderente a quelle che sono le attuali minacce riproducendo infatti tecniche di dropper, rootkit, virus, trojan, spyware, keylogger, leaktest.... "Although the security community has relied on the "Eicar Antivirus Test File" for years, the complex advances in malware requires a more modern and thorough threat simulation. To this end the "DFK Threat Simulator" was created. Bundling a declawed collection of dropper, rootkit, virus, trojan, spyware, keylogger, leaktest, and alternate data stream technology, the DFK Threat Simulator is a serious representation of the modern dangers facing computer users today." Ho deciso quindi di mettere alla frusta la configurazione che trovate in sign. per vedere come reagiva.  Anzitutto metto il link alla pagina dell'autore, davvero spettacolare per come è messo l'esempio che mostra quanto sia altro il rischio che incombe quotidianamente su ogniuno di noi....(specie i + incauti...  ) - SCENARIO ipotizzato - CLICCAMI -  (traduzione della storiella: BOB = utente medio con XP SP2 AGGIORNATO + NAV 2005, ZA Free, Microsoft Antispyware beta1... un bel giorno riceve una mail da 1 amico con un allegato di nome "Office Idiots (funny).exe"....fa la sua bella scansioncina con il suo AV, tira un sospiro di sollievo perchè non viene rilevato nulla.... ..e decide di eseguirlo.PECCATO Xò che l'allegato sia uno "zero day" attack (NB: DFK Threat Simulator in relatà NON E' NOCIVO!! )Lanciato l'eseguibile, BOB riceve un msg di errore generico generato in realtà ad arte dal malware stesso per mascherare la sua vera attività. "this type of malware falls under the classification of "dropper" because the legitimate file "drops" and runs additional payload (or files) invisibly in the background." http://www.morgud.com/interests/secu...allery/s10.png ZA gli dice che c'è qualcosa di strano: "swfactive.exe cerca di comunicare con l'esterno..... http://www.morgud.com/interests/secu...allery/s11.png "swfactive.exe" simula infatti un trojan comune: Optix Pro, opportunamente modificato per evitare di essere intercettato da AV/AntiSpyware e sfrutta la porta TCP n° 9..... Bob nega il permesso ma.... e qui inizia il bello:  TA-DAAAAAA' ZoneAlarm sembra abbia ignorato il comando "Deny" e autorizza la connessione: (la porta, infatti, viene messa in ascolto...)  "Optix Pro uses a straightforward method to open a port and communicate through it. " .. il trojan in questione in sostanza usa tecniche tipiche del LEAKTEST Thermite.....http://www.firewallleaktester.com/leaktest8.htm "it could have just as easily downloaded and run a virus, trojan, or additional malware or uploaded your passwords and credit card numbers to a malicious attacker." Per grattare allora informazioni, DFK Threat Simulator avvia un "keylogger" che registra le cose.... Il trojan Optix Pro è costruito per disattivare i programmi di sicurezza che rintraccia.... e VINCE!!  ... Compare la finestrella:  C'è poi tutta la storiella dell'infezione sulle chiavi di registro... Sebbene Bob termini il Simulator usando il Task Manager, la finestrella riappare dopo pochi minuti... DFK Threat Simulator infetta infatti la chiave "Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run"... FINE 1° PARTE.... RIPETO: NON E' PERICOLOSO ma per scrupolo seguite le raccomandazioni sopra!!!!! Ultima modifica di nV 25 : 13-05-2006 alle 13:24. |
|
|
|
12-05-2006, 21:10
|
#2 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Andiamo avanti col discorso.
Come detto al post n°3, il mio obiettivo era quello di testare i miei programmi di HIPS, quindi LA REAZIONE di Process-Guard, RegDefend e del modulo PDM del KAV 6: la prima cosa che ho dovuto fare, allora, è stata quella di togliere il real time del KAV6 che intercetta "la minaccia" ripulendo di conseguenza il contenuto della cartella con dentro il DFK simulator....  OK, bel coglione direte voi: d'altro canto, SE IL TEST SIMULA UNO ZERO-DAY ATTACK (quindi una serie di azioni NON ANCORA classificate come rischiose proprio perchè la minaccia è NUOVA ( potremmo dire, dell'ultimo minuto)...), che senso avrebbe avuto farlo intercettare CON LE FIRME dall'AV?  OK, partiamo.   Al n°1, devo ovviamente autorizzare PG a far eseguire office idiots (funny).exe e, a ruota, projector.exe / swfactive.exe. Nel solito istante vedo che LnS mi avvisa di projector.exe  PS: swfactive.exe è l'Optix Pro trojan che si metterebbe in ascolto sulla porta TCP 9 e cerca di disabilitare AV/Fw/IPS... Il bast@rdo swfactive.exe comincia a far danni (n°2/3) cercando di terminare Look'n'Stop & Process-Guard (senza riuscirci). PS:swf-files.exe contiene il payload del DFK Threat Simulator's incorporando Vanquish rootkit (vanquish.exe & vanquish.dll), Eicar test virus (Win32v.com), Spyware Simulator (Win32s.exe), an alternate data stream popup message (ads.cmd, 0wn3d.exe, and Win32a.cmd), Thermite leaktest (Win32l.exe), the SpyEx 1.0 keylogger (Win32k.exe)..... Autorizzo swf-files.exe, runtime.exe, win32k.exe (n°4)..... PS:win32k.exe è l'SpyEx 1.0 keylogger. ..ma (n°5) il keylogger sbatte la sua bella craniata.... Autorizzo qualche altra cosetta tra cui XYNTService.exe (n°6).... PS: a proposito di swf-files.exe, si legge "Third party tools not related to the payload include: XYNTService (XYNTService.exe & XYNTService.ini), DelNext (delnext.exe), and ElSave (elsave.exe)".... ...che batte anch'esso la sua CRANIATA contro PG (n°7)Bene, a questo punto il ROOTKIT ( e siamo arrivati ad esaminare il p.to n°8): il Vanquish rootkit (vanquish.exe & vanquish.dll). Prima rimbalza a canestro n°9, poi il vile, che mica si arrende, tenta di modificare una marea di cose (n°10)... Arriva la parte del Thermite Leaktest (Win32l.exe) (n°11): prima se ne consente l'esecuzione, poi PG lo blocca (n°12) ( NB: il livello di lavoro di PG è cosi' basso che non arriva neppure a LnS che infatti se ne stà silenzioso...  )Seguono le mie autorizzazioni a delnext.exe & elsave.exe (n°13) ( per vedere cosa sono, vedi n°6 ).... OK: ma RegDefend che ha fatto fino ad ora? E il PDM del KAV6? Presto detto: RegDefend:  PDM Kav6:   Quindi, PROATTIVAMENTE, il KAV 6 non lavora cosi' male... EDIT h17.20: provato con il solo PDM del KAV6 :'na bolgia ma lavora! Intercetta Win32k.exe ( questo xò riesce a disattivare un processo ma non mi sono accorto quale...) /Win32l.exe / vanquish.exe ( e tutte le sue modifiche viste sopra...)  Il modulo contro l'alterazione del registro nega invece le modifiche indotte da win32k.exe, win32a.cmd, vanquish.exe, XYNTservice.exe...  CONCLUSIONI: bè, anche stavolta la LEZIONE è la seguente: visto che i malwares operano sempre più a 360°, SOLO SE le ns/protezioni sono anch'esse a 360° ( potremmo dire, operanti su LIVELLI DIVERSI...) si può avere qualche chance di salvare la pelle.....  E' possibile peraltro che il mio sistema sia stato forato da questo test: non ho mezzi/competenze per poterlo affermare o escludere categoricamente: PER SCRUPOLO HO PERò RIPRESO L'IMMAGINE E RIPRISTINATO IL TUTTO. Ultima modifica di nV 25 : 13-05-2006 alle 18:46. |
|
|
|
|
12-05-2006, 21:41
|
#3 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
ma con quali "vince" di questi programmi di protezione?
perchè fare la prova con norton sinceramente è come invitare un ocarina a bere
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
13-05-2006, 10:03
|
#4 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Non hai letto i dettagli tecnici: http://www.morgud.com/interests/secu....asp#technical "swfactive.exe (Borland Delphi 5) is the Optix Pro trojan that has been "declawed" to communicate on the harmless "Discard" TCP 9 port and not run on reboot. The built-in and user-specified security programs it attempts to disable or shut down includes": e giù una carellata di nomi.... ne riporto qualcuno: F-Secure AV, Kaspersky, NOD32 AV,BitDefender AV...(insomma, tutti!!) ...e una carellata anche di Fw & HIPS.... Il mio obiettivo era cmq quello di testare i miei programmi di HIPS, quindi come reagisce Process-Guard,RegDefend e il PDM del nuovo KAV 6.. e difatti ho disabilitato il real time del KAV che intercetta questo test. Troppo facile xò inserire nelle firme anche le cose scomode ( es. questo test ): visto che SIMULA uno ZERO-DAY ATTACK, mi son dovuto mettere nelle condizioni ottimali per provarlo, per cui ho disabilitato il real time "facendo finta" che l'AV non lo rilevi per vedere proprio LA REAZIONE dei miei programmi IPS. Ultima modifica di nV 25 : 13-05-2006 alle 10:26. |
|
|
|
|
|
13-05-2006, 13:55
|
#5 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Finito.
Chi vuol dargli un'occhiata, si accomodi. RICORDO CHE I SEGUENTI SOFTWARE SONO "FORATI" DA QUESTO SIMULATORE (NE METTO SOLO ALCUNI...): Abtrusion Protector, Agnitum Outpost Free/Pro, AntiHook, AntiVir AV, ArcaVir AV, Armor2net Personal Firewall, a-squared Personal, avast!4 Home /Professional, AVG, BitDefender AV/firewall, BlackICE, BOClean, ClamWin, Dr.Web AV, eTrust EZ AntiVirus/Firewall, ewido security suite, AVK, F-Prot Antivirus, F-Secure Anti-Spyware/AV, G-Data AntiVirenKit/Firewall, Giant/Microsoft Antispyware, Jetico Personal Firewall, Kaspersky, Kerio Firewall, Lavasoft Ad-aware Plus, Look N' Stop firewall, McAfee AntiSpyware/ AV/firewall/Internet Security, NOD32 AV, Norton AntiVirus/ firewall/Internet Security (NIS), Panda Antivirus, PC-Cillin AV/ firewall, PestPatrol ........... PS: @ eraser/wgator/.... Se lo volete provare dandoci magari ulteriori dettagli su come "lavora", benvenuti anche a voi.
Ultima modifica di nV 25 : 13-05-2006 alle 14:04. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:03.
