главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • Придумываем метод

    Дано:
    Вы специалист по безопасности. Вы пришли на компьютер пользователя. У него стоит Edialer, The Bat!, ICQ, Total Commander.

    Ваша задача:
    Сделать так, чтобы пароли, лежащие на локальном диске пользователя украсть не удалось, какие бы трояны пользователь не запускал.

    Решение:
    Предлагается при помощи какой-либо утилиты разрешить доступ к паролям пользователя только программам Edialer, The Bat, ICQ, Total Commander, которые непосредственно пользуются этой информацией, а всем другим программам этот доступ запретить.

    Инструменты

    Нашими инструментами будут программы:

    • File monitor - монитор доступа к файлам
    • Registry Monitor - монитор доступа к реестру Windows
    • PassView от команды Nht - просмотрщик паролей
    • Safe'n'Sec - система предовращения атак уровня хоста

    Все эти программы вы должны записать на компакт диск. Когда вы придете к пользователю, то вам придется инсталлировать только Safe'n'Sec на его компьютер. Все остальные программы запускаются прямо с диска. С точки зрения цены вопроса, заплатить придется только за программу Safe'n'Sec. Все остальные программы бесплатны и будут использоваться нами лишь для настройки и тестирования.

    Демонстрация метода

    Итак, про The Bat! мы знаем, что он хранит пароли прямо рядом с письмами. Эту папку мы задаем при инсталляции The Bat! и путь к этой папке хранится в реестре.

    Эти пароли слабо защищены и их легко можно просмотреть, например, при помощи программы PassView. (Она у нас будет эмулировать работу трояна.) Давайте попробуем. Запускаем программу PassView и видим, что она смотрит пароли очень многих программ: Odigo, Edialer, Far, Outlook, The Bat!, Total Commander. Для профилактики показываем это пользователю.

    Смотрим на лицо пользователя - видим, как улыбка исчезает с его лица. А ведь он позвал вас именно по этому поводу. Начинаем расспрашивать как было дело и слышим, что он вчера запустил свежий и очень нужный апдейт от Микрософта, присланный ему ВАМИ (он же не знает, что обратный адрес можно подделать) и после этого почему-то кто-то сменил все его пароли и котрольные вопросы на его бесплатные почтовые ящики... Радуемся, что, слава богу, на корпоративном почтовом сервере, вы закрыли доступ по POP3 и IMAP4 и HTTP извне и никто не смог ни прочитать его почту, ни сменить пароль.

    Иногда возникает ситуация, что путь к паролям неизвестен. Для этого можно использовать программу Filemon, чтобы посмотреть какие пути открывает приложение, или программу RegMon, чтобы посмотреть какие пути реестра читаются приложением. Некоторые программы хранят пароли в реестре.

    Попробуем проверить это. Запускаем RegMon и FileMon, настраиваем фильтр и заставляем их выдавать информацию о программе PassView. Затем запускаем сам PassView, переходим на вкладку The Bat и видим, что сначала PassView лезет в реестр, чтобы узнать, где лежат пароли. Находит там путь "C:\den\mail":

    Затем, при помощи Filemon, мы видим, что PassView открывает нужный файл в этой директории и вынимает оттуда пароли:

    Как мы и предполагали, PassView находит пароли и выводит их на экран. Логично предположить, что трояны будут действовать по той же методике. Давайте попробуем перекрыть эту дырку. Глядя на скриншоты, видно, что если запретить доступ всем программам к папке C:\Den\Mail, а программе TheBat разрешить к ней доступ, то тогда, мы сможем читать почту при помощи программы The Bat! и одновременно предотвратить кражу паролей.

    Справедливости ради надо заметить, что троян может воспользоваться методом Dll-injection для считывания паролей или при помощи сниффера перехватить сетевой траффик с паролем, исходящий с компьютера. Защититься от этого тоже можно, но защиту от этой напасти, будем обсуждать в другой статье.

    Итак, для реализации данного алгоритма будем использовать программу Safe'n'Sec. Она позиционируется как HIPS и выполняет функции контроля приложений.

    Установка программы не требует больших усилий, ставим и начинаем сразу настраивать правила. Для этого закрываем оба приложения PassView и The Bat! и заходим в режим добавления правил. Добавляем правило:

    Это правило запрещает открытие файлов в папке C:\Den\Mail для всех приложений. Но ведь нам нужно, чтобы The Bat! имел возможность открывать эту папку. Надо добавить правило для самого The Bat!. Займемся этим.

    Чтобы проверить, что правило работает и чтобы разрешить доступ для The Bat!, нужно заставить Safe'n'Sec выдавать запросы на экран, как только какое-либо приложение пытается обратиться в эту папку. Вы видите на скриншоте, что выделенное поле "Запросить действие" установлено в "Да". Нажимаем везде Ok. И запускаем The Bat!. Появляется окошко:

    Мы выбираем "Разрешить", и просим создать правило навсегда. Но, к сожалению, Safe'n'Sec будет задавать вопросы для каждого файла в папке. Поскольку нам давить кнопку "Разрешить" для каждого файла нет смысла, то мы переходим в список приложений и правим правило для The Bat! так, чтобы оно работало не пофайлово, а ко всей папке.

    Окошко-предупреждение уж очень надоедливая фича Safe'n'Sec. Когда ты по ошибке запрещаешь что-то для доступа, а какая-то программа открывает там 100 файлов или делает 100 соединений, то если не знать, где это можно исправить, то так и придется давить 100 раз кнопку "разрешить". На мой взгляд, здесь нужно было бы добавить более расширенный wizard (для продвинутых) который бы запретил или разрешил именно то, что ты хочешь, а не кокретное событие. У меня есть еще несколько предложений по улучшению интефейса Safe'n'Sec. Готов поделиться с авторами своими идеями. Моя почта вверху статьи.

    Правим правило, которое мы добавили в предыдущем окошке:

    В результате The Bat! у нас начинает получать доступ к папке C:\den\mail.

    Ну вот и всё с правилами для доступа к папке. Но это только кажется, что Safe'n'Sec настроен. По ходу дела уже видим, что некоторые продукты, стоящие на компьютере, лазят в эту папку. Например, антивирус:

    Тут уже ваше решение - пускать его туда или нет. Но я предполагаю, что антивирусу в этой папке всегда найдется работа. Поскольку в папке attach всегда много всяго хлама и именно в эту папку приходят вирусы и трояны из Интернет.

    На самом деле Safe'n'Sec долго настраивать, например, нужно будет разрешить тому же TheBat! доступ к почтовым серверам по протоколам SMTP и POP3 или IMAP:

    Но это не главное. Давайте теперь проверим, есть ли у нас доступ к этой папке. Для этого уберем назойливое окошко-предупреждение, что производится доступ в c:\den\mail:

    И попробуем в эту папку попасть другими приложениями. Радуемся, что PassView уже не показывает паролей, поскольку ему был запрещен доступ:

    И даже стандартный explorer.exe не может туда попасть:

    Мы достигли желаемого. Можно посмотреть логи Safe'n'Sec и понять что происходило.

    Заключение

    Надеюсь, на примере The Bat! вы поняли, как заблокировать доступ троянов к паролям других программ. Например, чтобы запретить доступ к паролям всех ftp серверов, которыми вы пользуетесь в Total Commander нужно запретить доступ всем приложениям к одному файлу C:\Windows\wcx_ftp.ini. Но разрешить этот доступ для самого Total Commander. И, надеюсь, вам поможет тот факт, что даже если вы не знаете, где находится файл, который надо защищать, то вы всегда можете это узнать, посмотрев логи доступа к файловой системе, которые собирает утилита Sysinternals FileMonitor:

    Всего хорошего!

    Источник: securitylab.ru


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • KeePass Password Safe 2.04 Alpha - хранитель паролей
  • Mail PassView 1.38 - восстанавливаем пароли для почтовых клиентов
  • Remote Desktop PassView 1.00 - Смотрим пароль.
  • Решение Safe’n’Sec Personal продемонстрировало 98% эффективность блокирования вредоносного ПО по результатам тестов AV Comparatives!
  • Safe’n’Sec Personal 2.0


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+