Alerty Comodo Internet Security

Alerty Firewall i Defense +.

Wiele problemów (szczególnie mniej zaawansowanym użytkownikom) mogą sprawić alerty generowane przez program.
Producent ma za zadanie stworzyć alerty tak - aby ułatwiały podjęcie decyzji użytkownikowi.
Na samym użytkowniku stoi cały HIPS. Osoba korzystająca z takich mechanizmów obronnych musi mieć przynajmniej minimum wiedzy.
Comodo zastosowało kilka metod aby ograniczyć ilość alertów, aby ułatwić użytkownikowi podjęcie decyzji.
Nie będę ciągnął dalej tego wywodu tylko przejdę do konkretów.

Podpowiedzi kolorystyczne.

Każdy alert ma określony kolor.
W zależności od stopnia niebezpieczeństwa danej akcji bądź możliwej szkody dla systemu, czy też prawdopodobieństwa działalności wirusa mają one inne kolory.
Są to: żółte, pomarańczowe, czerwone.


http://img13.imageshack.us/img13/7757/zolty.png

Żółte oznaczają zazwyczaj działania bezpiecznej aplikacji. Stanowią bardzo małe zagrożenie i są generowane tylko przy włączonym trybie paranoicznym Defense+/Trybie własnych reguł w firewallu.


http://img846.imageshack.us/img846/2576/pomaranoczwy.png

Alerty pomarańczowe generowane są w związku z działaniem nieznanej aplikacji. Tutaj należy zastanowić się i przeczytać poradę w alercie.
Alerty tego typu dotyczą mniej groźnych akcji, jednak niektóre z nich (chociażby podwyższone uprawnienia Debug - patrz dalej) mogą być objawem instalacji malware i chęci wykonania przez wirusa niszczących czynności.


http://img689.imageshack.us/img689/1979/czerwonya.png

Alerty czerwone informują nas o wysokim ryzyku podejmowanej akcji. Zazwyczaj dotyczy to żądania o dostęp do chronionych plików i folderów/kluczy rejestru/ do utworzenia nowych plików wykonywalnych w delikatnych lokacjach. Plik, który oznaczony jest jako podejrzany generuje czerwone alerty. Jeśli nie mamy pewności co do aplikacji należy zablokować takie działanie. Zezwolenie na żądanie wystawione przez realne zagrożenie może spowodować modyfikację wpisów odpowiedzialnych za autouruchamianie/zrzucanie plików i sterowników w lokalizacjach WINDOWS i System32 (co mówi nam o chęci zagnieżdżenia się wirusa) lub umożliwi mu dostęp do krytycznych uprawnień/interfejsów czy pozwoli na modyfikacje pamięci ważnych procesów.

Ikony i miniatury.

Aby jednym rzutem oka stwierdzić co żąda aplikacja Comodo wprowadziło oznaczenia obrazkowe.
Ikony dysku twardego, klawiatury, czy folderu z emblematem D+ szybko informują nas o działaniu (Patrz niżej).


http://img809.imageshack.us/img809/391/cisalertexp050511.png

Alerty Defense +.

Jak już wyżej wspomniałem alerty HIPSa kontrolują aktywność programów i dają nam możliwość decyzji.
Postaram wam się przybliżyć co (niestety, tylko niektóre) oznaczają i jak powinno się je interpretować.

Po pierwsze kierujemy się tym, czy z aplikacją mamy styczność na co dzień i czy jest nam znana.
Jeśli jest to nowy plik właśnie pobrany z niepewnej strony należy zachować czujność.
Jeśli D+ zacznie krzyczeć po włożeniu pendrive - tak samo.


http://img132.imageshack.us/img132/7384/debugm.png

Pierwszy alert dotyczy otrzymania podwyższonych praw Debug.

Wachlarz funkcji jakie aplikacja może wykonać po ZEZWOLENIU na ten alert jest imponująca. Są to m. in.:

  • Instalacja rootkita poprzez użycie sterownika ładującego API, nadpisanie sterownika czy inne.
  • Program zyskuje możliwości wstrzykiwania bibliotek dll do procesów różnymi metodami.
  • Program może zyskać prawa do manipulowania innymi procesami. (modyfikacji ich pamięcią/ zakańczanie procesów używając praw Debugera).
  • Program może zyskać prawa np do dezaktywowania kursora myszy.

I kilka innych.
Jak widać należy zastanowić się przed zezwoleniem na ten alert. Podałem tutaj głównie złośliwe działania.
Należy pamiętać też, że prawa Debug wymagają niektóre bezpieczne aplikacje.
Z własnego doświadczenia wiem (testując malware), że wiele z nich żąda tego uprawnienia.


http://img864.imageshack.us/img864/121/klawacz.png

Tutaj alert dotyczący klawiatury i przechwytywania uderzeń klawiszy. Takie działanie może być aktywnością keyloggera lub bezpiecznej aplikacji.
Wirus może przechwycić i wysłać nasze hasła itd. Powinniśmy rozważyć zablokowanie takiego alertu, szczególnie po uruchomieniu nieznanej aplikacji, po otwarciu przeglądarki, a szczególnie po otworzeniu strony logowania (banku itd.).


http://img228.imageshack.us/img228/5315/czerwony.png

Następny alert dotyczy żądania o dostęp do pamięci innej aplikacji.
Po zezwoleniu na taki alert aplikacja będzie mogła w pełni kontrolować uruchomiony proces. Może to być np. jego zakończenie, niepozwalanie na uruchomienie, modyfikacja tego procesu, zalokowanie pamięci w tym procesie i inne. W przypadku przeglądarki może to skutkować chociażby niebezpiecznym przekierowaniom.


http://img714.imageshack.us/img714/7457/winsocketsinterface.png

Następny alert dotyczy Windows Sockets Interface. Sockety Windows umożliwiają na korzystanie z sieci w rozszerzony sposób.
Tak zwany dostęp do Raw Socket umożliwia połączenie się aplikacji w nietypowy sposób przez każdy port, gdzie bardzo często ta akcja jest “niewidoczna” dla firewalli.


http://img195.imageshack.us/img195/5674/system32nowyplik.png

http://img825.imageshack.us/img825/2564/droppersterownika.png

Powyższy alert dotyczy utworzenia pliku w chronionej strefie. Porzucenie pliku w system32 świadczy o chęci zagnieżdżenia się wirusa głęboko w systemie. Porzucenie sterownika do katalogu ze sterownikami najprawdopodobniej świadczy o instalacji rootkita. Tworzenie plików w folderze Dane Aplikacji jest częstym procederem.Aplikacja chcąc dodać się do autostartu może też porzucić plik właśnie w folderze autostartu. Tworzenie plików w katalogu Program Files może świadczyć o instalacji bezpiecznej aplikacji - bądź fałszywych programów antywirusowych, adware itd.


http://img155.imageshack.us/img155/6959/shellexplorer2.png

Ten alert z kolei dotyczy powłoki systemowej.
Jest to graficzny interfejs użytkownika i wszystko co się na niego składa.
Po dostępie do niej program może modyfikować parametry systemowego explorera(pasek zadań,pulpit).Menu, które rozwija się po kliknięciu PPM może zostać wzbogacone o jakieś nowe funkcje. Uruchamianie aplikacji i programy do tego wyznaczone mogą zostać zmienione, powłoka odpowiada też za zadania specjalne jak obsługa paska zadań.


http://img832.imageshack.us/img832/6928/otwarcieprzegladarki.png

Uruchomienie przeglądarki internetowej może umożliwić wirusowi nawiązanie połączenia i pobieranie innych malware.


http://img215.imageshack.us/img215/8748/statupregistry.png

Modyfikacja chronionych kluczy rejestru przez złośliwe oprogramowanie niesie ze sobą konsekwencje.
Plik może dodać się do auto-startu, wyłączyć różne moduły systemu, zmodyfikować krytyczne wartości odpowiedzialne za ustawienia internetowe jak Proxy, serwery DNS, modyfikować przeglądarkę, dodawać i modyfikować usługi oraz wiele więcej.


http://img822.imageshack.us/img822/4071/dostepdodysku.png

Bezpośredni dostęp do dysku to dość popularna metoda infekcji łącznie z infekcją boot sektora czy ładowaniem zainfekowanego sterownika nośnika.

Piaskownica


http://img28.imageshack.us/img28/6172/piasekautomatyczny.png

Taki alert świadczy o tym, że nierozpoznany plik wykonywalny (ale nie instalator!) został umieszczony w środowisku obniżającym prawa. Nazywane jest ono “automatyczną piaskownicą”. Nie jest to do końca prawda, ponieważ ten mechanizm nie spełnia roli typowej piaskownicy. Ogranicza tylko prawa aplikacji - dopuszcza do pewnych działań, a do innych nie. Ma to zapewnić ochronę przed nieznanymi zagrożeniami oraz ograniczyć alerty (poziom ograniczenia sam decyduje czy zezwolić aplikacji na dostęp do zasobów czy też nie). Nie zachodzi tutaj wirtualizacja, więc plik może tworzyć pliki wykonywalne np. w katalogu ‘Dane Aplikacji’ - jednak będą one tak samo ograniczane jak aplikacja macierzysta - nie będą mogły zainfekować systemu.

Sprawa wygląda trochę inaczej w przypadku instalatorów.
Instalator uznawany jest za bezpieczny i dopuszczany do systemu, gdy:
-ma podpis cyfrowy i wydawca jest na zaufanej liście wydawców,
-instalator jest na białej liście.
W innym przypadku aby ograniczyć dyskomfort i umieszczanie instalatorów w piaskownicy automatycznej, Comodo wykrywa je i stosuje odpowiedni alert.


http://img822.imageshack.us/img822/5026/podpisnienatvl.png

Taki alert ujrzymy, gdy instalator jest podpisany cyfrowo, jednak nie znalazł się na zaufanej liście dostawców. W obecnych czasach wiele malware ma skradziony podpis cyfrowy/podpis firmy o wątpliwej reputacji. Warto zastanowić się nad Sandboxem jeśli instalator pochodzi z nieznanego nam kompletnie źródła.
Wiele bezpiecznych aplikacji może wystosować taki alert. Jeśli program jest bezpieczny i to wiemy klikamy “zezwól”.


http://img835.imageshack.us/img835/2584/bezpodpisu.png

Taki alert ujrzymy gdy uruchomimy instalator bez podpisu cyfrowego i nie znajdujący się na białej liście. Może to być w pełni bezpieczny program, lecz może to być malware.
Gdy program pochodzi z niezaufanego źródła warto przemyśleć wybór “Sandbox” bądź “Zablokuj”.

Comodo automatycznie wykrywa procesy potomne instalatorów i nie umieszcza ich w piaskownicy.

Alert dotyczący przepełnienia bufora.

Ta forma ataku wykorzystywana jest przez malware aby zawiesić system i zainstalować się na dysku. (Patrz: Przepełnienie bufora – Wikipedia, wolna encyklopedia)


http://img222.imageshack.us/img222/8315/bufforimage.png

Kończymy ten niebezpieczny proces uniemożliwiając jego dalsze działanie.
Niektóre bezpieczne programy mogą wywoływać podobne zachowanie - chociażby Daemon Tools.
Należy dodać je do wyjątków w ustawieniach Defense + bądź bezpośrednio z poziomu alertu.

Analiza heurystyczna Defense+.


http://img805.imageshack.us/img805/4851/keygen.png

Plik przed uruchomieniem analizowany jest mechanizmami heurystycznymi wbudowanymi w Defense+.
Pozwala to określić czy dana aplikacja jest potencjalnie niebezpieczna.
Może to być alert firewalla bądź Defense+.
Więc jeśli kiedykolwiek ujrzymy to ostrzeżenie bardzo zalecane jest by zablokować to działanie.

Otwieranie określonych, bezpiecznych aplikacji systemowych.

Czasem Defense + pyta się o otwarcie przez nieznany plik innego, bezpiecznego pliku wykonywalnego.
Mogą to być:


http://img339.imageshack.us/img339/8663/uruchomienieexplorera.png


http://img808.imageshack.us/img808/2572/runcmd.png

explorer.exe stanowi zazwyczaj powłokę systemową - zagrożenia zwiazane z powłoką były omówione we wcześniejszej części tego posta.
Natomiast plik cmd.exe daje dostęp do interpreter poleceń.

Inne, jak m.in.:

  • shutdown.exe - pozwala aplikacji zrestartować system,
  • msconfig.exe - zarządzać konfiguracją systemu,
  • regedit.exe - edytować rejestr

itd.

Wstrzykiwanie kodu (globalny hak).


http://img233.imageshack.us/img233/6193/wstrzykiwaniekodu.png

Wstrzyknięcie kodu polega na próbie przemycenia obcego kodu do innego programu lub systemu. Dotyczy to zarówno odwołań do poleceń systemu operacyjnego, użycia zewnętrznych programów poprzez wykonanie poleceń powłoki systemowej czy też odwołanie się do baz danych


http://img853.imageshack.us/img853/205/wstrzykiwanie2.png

Istnieją też inne, bardziej zaawansowane metody wstrzykiwania kodu jak wyłączanie zaawansowanych metod ochrony jądra.

Alert antywirusa.


http://img585.imageshack.us/img585/7391/cloudbehavioursuspiciou.png

Alert antywirusa najczęściej informuje nas o wykryciu zagrożenia w postaci konia trojańskiego, wirusa, robaka itp.
Powyższy alert mówi o wykryciu nowego, nieznanego pliku analizą behawioralną. Niezaufany plik wysyłany jest do CIMA (Comodo Instant Malware Analysis) i werdykt dodatni dostajemy w postaci takiego alertu. Link przeniesie nas na stronę z dokładną analizą podejrzanego zachowania.

Obszerność i bogatość w informacje tego krótkiego poradnika mogą budzić strach, lecz faktycznie jest zupełnie inaczej. Comodo stosuje techniki by ograniczać alerty do minimum (grupowanie odpowiedzi, biała lista: lokalna i chmura), że używa się go często niezauważalnie a alert podnoszony jest tylko w przypadku działania nieznanej aplikacji.

Morphiusz&Szadout