придумуємо метод
дано:
Ви фахівець з безпеки. Ви прийшли на комп'ютер користувача. У нього варто Edialer, The Bat !, ICQ, Total Commander.
Ваше завдання:
Зробити так, щоб паролі, що лежать на локальному диску користувача вкрасти не вдалося, хоч би які трояни користувач не запускав.
Рішення:
Пропонується за допомогою будь-якої утиліти дозволити доступ до паролів користувача тільки програмам Edialer, The Bat, ICQ, Total Commander, які безпосередньо користуються цією інформацією, а всім іншим програмам цей доступ заборонити.
Інструменти
Нашими інструментами будуть програми:
- File monitor - монітор доступу до файлів
- Registry Monitor - монітор доступу до реєстру Windows
- PassView від команди Nht - переглядач паролів
- Safe'n'Sec - система запобігання атак рівня хоста
Всі ці програми ви повинні записати на компакт диск. Коли ви прийдете до користувача, то вам доведеться інсталювати тільки Safe'n'Sec на його комп'ютер. Всі інші програми запускаються прямо з диска. З точки зору ціни питання, заплатити доведеться лише за програму Safe'n'Sec. Всі інші програми безкоштовні і будуть використовуватися нами лише для настройки і тестування.
демонстрація методу
Отже, про The Bat! ми знаємо, що він зберігає паролі прямо поруч з листами. Цю папку ми задаємо при інсталяції The Bat! і шлях до цієї папки зберігається в реєстрі.
Ці паролі слабо захищені і їх легко можна переглянути, наприклад, за допомогою програми PassView. (Вона у нас буде емулювати роботу трояна.) Давайте спробуємо. Запускаємо програму PassView і бачимо, що вона дивиться паролі дуже багатьох програм: Odigo, Edialer, Far, Outlook, The Bat !, Total Commander. Для профілактики показуємо це користувачеві.
Дивимося на обличчя користувача - бачимо, як посмішка зникає з його обличчя. А адже він покликав вас саме з цього приводу. Починаємо розпитувати як була справа і чуємо, що він вчора запустив свіжий і дуже потрібний апдейт від Мікрософтвера, присланий йому ВАМИ (він же не знає, що зворотну адресу можна підробити) і після цього чомусь хтось змінив все його паролі і котрольно питання на його безкоштовні поштові скриньки ... Радіємо, що, слава богу, на корпоративному поштовому сервері, ви закрили доступ по POP3 і IMAP4 і HTTP ззовні і ніхто не зміг ні прочитати його пошту, ні змінити пароль.
Іноді виникає ситуація, що шлях до паролів невідомий. Для цього можна використовувати програму Filemon, щоб подивитися які шляхи відкриває додаток, або програму RegMon, щоб подивитися які шляхи реєстру читаються додатком. Деякі програми зберігають паролі в реєстрі.
Спробуємо перевірити це. Запускаємо RegMon і FileMon, налаштовуємо фільтр і змушуємо їх видавати інформацію про програму PassView. Потім запускаємо сам PassView, переходимо на вкладку The Bat і бачимо, що спочатку PassView лізе в реєстр, щоб дізнатися, де лежать паролі. Знаходить там шлях "C: \ den \ mail":
Потім, за допомогою Filemon, ми бачимо, що PassView відкриває потрібний файл в цій директорії і виймає звідти паролі:
Як ми і припускали, PassView знаходить паролі і виводить їх на екран. Логічно припустити, що трояни будуть діяти за тією ж методикою. Давайте спробуємо перекрити цю дірку. Дивлячись на скріншоти, видно, що якщо заборонити доступ всім програмам до папки C: \ Den \ Mail, а програмі TheBat дозволити до неї доступ, то тоді, ми зможемо читати пошту за допомогою програми The Bat! і одночасно запобігти крадіжці паролів.
Справедливості заради треба зауважити, що троян може скористатися методом Dll-injection для зчитування паролів або за допомогою сніффер перехопити мережевий трафік з паролем, що виходить з комп'ютера. Захиститися від цього теж можна, але захист від цієї напасті, будемо обговорювати в іншій статті.
Отже, для реалізації даного алгоритму будемо використовувати програму Safe'n'Sec. Вона позиціонується як HIPS і виконує функції контролю додатків.
Установка програми не вимагає великих зусиль, ставимо і починаємо відразу налаштовувати правила. Для цього закриваємо обидва додатки PassView і The Bat! і заходимо в режим додавання правил. Додаємо правило:
Це правило забороняє відкриття файлів у папці C: \ Den \ Mail для всіх додатків. Але ж нам потрібно, щоб The Bat! мав можливість відкривати цю папку. Треба додати правило для самого The Bat !. Займемося цим.
Щоб перевірити, що правило працює і щоб дозволити доступ для The Bat !, потрібно змусити Safe'n'Sec видавати запити на екран, як тільки який-небудь додаток намагається звернутися в цю папку. Ви бачите на скріншоті, що виділене поле "Запросити дію" встановлено в "Так". Натискаємо всюди Ok. І запускаємо The Bat !. З'являється віконце:
Ми вибираємо "Дозволити", і просимо створити правило назавжди. Але, на жаль, Safe'n'Sec буде задавати питання для кожного файлу в папці. Оскільки нам тиснути кнопку "Дозволити" для кожного файлу немає сенсу, то ми переходимо до списку додатків і правимо правило для The Bat! так, щоб воно працювало трохи пофайлово, а до всієї папці.
Віконце-попередження вже дуже набридлива фіча Safe'n'Sec. Коли ти помилково забороняєш щось для доступу, а якась програма відкриває там 100 файлів або робить 100 з'єднань, то якщо не знати, де це можна виправити, то так і доведеться тиснути 100 раз кнопку "дозволити". На мій погляд, тут потрібно було б додати більше розширений wizard (для просунутих) який би заборонив або дозволив саме те, що ти хочеш, а не кокретного подія. У мене є ще кілька пропозицій щодо поліпшення інтефейс Safe'n'Sec. Готовий поділитися з авторами своїми ідеями. Моя пошта вгорі статті.
Правимо правило, яке ми додали в попередньому віконці:
В результаті The Bat! у нас починає отримувати доступ до папки C: \ den \ mail.
Ну ось і все з правилами для доступу до папки. Але це тільки здається, що Safe'n'Sec налаштований. По ходу справи вже бачимо, що деякі продукти, які стоять на комп'ютері, лазять в цю папку. Наприклад, антивірус:
Тут вже ваше рішення - пускати його туди чи ні. Але я припускаю, що антивірусу в цій папці завжди знайдеться робота. Оскільки в папці attach завжди багато всяго мотлоху і саме в цю папку приходять віруси і трояни з Інтернет.
Насправді Safe'n'Sec довго налаштовувати, наприклад, потрібно буде вирішити того ж TheBat! доступ до поштових серверів по протоколах SMTP і POP3 або IMAP:
Але це не головне. Давайте тепер перевіримо, чи є у нас доступ до цієї папки. Для цього приберемо настирливе віконце-попередження, що виробляється доступ в c: \ den \ mail:
І спробуємо в цю папку потрапити іншими додатками. Радіємо, що PassView вже не показує паролів, оскільки йому був заборонений доступ:
І навіть стандартний explorer.exe не може туди потрапити:
Ми досягли бажаного. Можна подивитися логи Safe'n'Sec і зрозуміти що відбувалося.
висновок
Сподіваюся, на прикладі The Bat! ви зрозуміли, як заблокувати доступ троянів до паролів інших програм. Наприклад, щоб заборонити доступ до паролів всіх ftp серверів, якими ви користуєтеся в Total Commander потрібно заборонити доступ всім додаткам до одного файлу C: \ Windows \ wcx_ftp.ini. Але вирішити це доступ для самого Total Commander. І, сподіваюся, вам допоможе той факт, що навіть якщо ви не знаєте, де знаходиться файл, який треба захищати, то ви завжди можете це дізнатися, подивившись логи доступу до файлової системи, які збирає утиліта Sysinternals FileMonitor:
Всього доброго!
джерело: securitylab.ru