Jump to content
ossa

Вопрос по синтетическому тесту CLT

Recommended Posts

Здравствуйте! У меня такой вопрос. Почему Kaspersky Internet Security не может пройти один из пунктов теста Comodo Leak Tests, а именно атаку на изменение системных модулей KnownDlls. Этот пункт в "Контроле программ" на запросе, но алерт о попытке вторжения не появляется. Аналогичная ситуация, если просто запретить изменения. Как вообще можно проверить, работает эта функция в HIPS KIS или нет?

использую KIS 18.0.0.405(k), ОС Windows 7 32 бита

 

Screenshot_29.png

Share this post


Link to post

Насколько я помню, в тесте  используется доверенная библиотека.
Поменяйте ее на любую неизвестную, либо просто измените в ней незначащий байт, например поменяйте служебное сообщение компилятора "This program cannot be run in DOS mode" на любое другое с сохранением его длины.

Share this post


Link to post

 Эта dll-ка (dll.dll) для теста KnownDlls вообще не нужна. Она нужна для теста на создание удалённого потока. Удалил её из папки CLT и протестировал, результат на скриншоте. dll-ка для теста KnownDlls неизвестная в KSN, точно также как и все остальные библиотеки. Так что ваше предположение ничего не объясняет.

 

Screenshot_21.png

Screenshot_31.png

Edited by ossa

Share this post


Link to post
3 часа назад, ossa сказал:

Так что ваше предположение ничего не объясняет.

Я либо прав, либо не отвечаю на вопрос в случае сомнений. ;)

CLT использует какую-то системную библиотеку, если склероз не изменяет - advapi32, которая является доверенной, и антивирус внимания на нее не обращает.
Почему так? Ну наверное чтобы не поднимать дурных алертов.

Share this post


Link to post
8 часов назад, Maratka сказал:

CLT использует какую-то системную библиотеку, если склероз не изменяет - advapi32, которая является доверенной, и антивирус внимания на нее не обращает.

Вы можете понять, что для HIPS "Контроля программ" абсолютно всё равно, какой там статус библиотеки в облаке? Dll-библиотеки вообще этим компонентом не контролируются! Если выставлен запрос на действие приложения в группе с ограничениями, должен быть алерт. Если выставлен запрет на действие приложения в группе с ограничениями, должна быть блокировка действия. Причём тут какая-то доверенность библиотеки???

Edited by ossa

Share this post


Link to post

Забыл добавить к вопросу. Естественно для теста я помещал clt.exe в группу "Слабых ограничений", где все права у меня выставлены на запрос. И в группу "Сильных ограничений", которая на умолчании. В первом случае во всех алертах кликал "Запретить". И в первом и во втором случаях результат один - по инъекции KnownDlls уязвимость.

Edited by ossa

Share this post


Link to post
2 часа назад, ossa сказал:

Вы можете понять, что для HIPS "Контроля программ" абсолютно всё равно, какой там статус библиотеки в облаке?

Мне не нужно что-то там понимать. Я это просто знаю, что ему не все равно, какой статут у библиотеки или скажем драйвера.
И если за последние года три ничего не поменяли, HIPS работает именно так, как я написал.

Share this post


Link to post
27 минут назад, Maratka сказал:

Мне не нужно что-то там понимать. Я это просто знаю, что ему не все равно, какой статут у библиотеки или скажем драйвера.
И если за последние года три ничего не поменяли, HIPS работает именно так, как я написал.

Я проверил Ваше предположение. Оно к сожалению абсолютно не подтвердилось. Всё очень просто. Отключил KSN и провёл тест ещё раз.

 

Screenshot_32.png

Screenshot_33.png

Screenshot_34.png

Share this post


Link to post

Отключить КСН крайне сложно. Разве что полным отключением сети или тонкой настройкой роутера. Даже в этом случае, на компьютере сохраняется кэш запрошенных за последние несколько дней данных.

Share this post


Link to post
16 часов назад, Maratka сказал:

Насколько я помню, в тесте  используется доверенная библиотека.
Поменяйте ее на любую неизвестную, либо просто измените в ней незначащий байт, например поменяйте служебное сообщение компилятора "This program cannot be run in DOS mode" на любое другое с сохранением его длины.

Поменять что-то в advapi32.dll не выйдет, равно как и удалить её. Эта библиотека используется ключевыми процессами Windows. Я попробовал удалить её Iobit Unlocker, получил заставку Windows c ошибкой - отсутствует dll и невозможность войти в систему

 

Screenshot_38.png

Share this post


Link to post
49 минут назад, Денис-НН сказал:

Отключить КСН крайне сложно. Разве что полным отключением сети или тонкой настройкой роутера. Даже в этом случае, на компьютере сохраняется кэш запрошенных за последние несколько дней данных.

Запретил доступ к advapi32.dll обоим экзешникам CLT. В этом варианте тест пройден полностью. Спасибо ответившим за подсказки. 

Теперь возникает ещё более серьёзный вопрос. Что это всё значит? Получается, что KIS позволяет приложению с ограничениями манипулировать системной библиотекой как ему захочется? Что это за HIPS такой?

 

Screenshot_36.png

Screenshot_37.png

Share this post


Link to post
1 час назад, ossa сказал:

Получается, что KIS позволяет приложению с ограничениями манипулировать системной библиотекой как ему захочется? Что это за HIPS такой?

Вопрос не в системности, а в безопасности библиотеки. Патченная библиотека не будет доверенной с точки зрения KSN/подписи MS, хотя и останется системной, а потому манипулировать ею так, как захочется приложению с ограничениями не получится.

Share this post


Link to post
5 минут назад, Maratka сказал:

Вопрос не в системности, а в безопасности библиотеки. Патченная библиотека не будет доверенной с точки зрения KSN/подписи MS, хотя и останется системной, а потому манипулировать ею так, как захочется приложению с ограничениями не получится.

Вы вообще HIPS KIS когда-нибудь тестировали? Вы в курсе, что есть такие понятия, как цепочка запуска приложения, наследование ограничений? Если в курсе, то так же должны знать, что если в цепочке запуска имеется хотя бы одно ограниченное приложение, то неважно чем там оно манипулирует, на последующие объекты тоже будут наложены соответствующие ограничения. 

 

Screenshot_41.png

Share this post


Link to post
5 минут назад, ossa сказал:

Вы вообще HIPS KIS когда-нибудь тестировали? Вы в курсе, что есть такие понятия, как цепочка запуска приложения, наследование ограничений?

Пусть на этот вопрос ответит кто-нибудь другой. Вон Денис например.
Сам не хочу. Лень.

5 минут назад, ossa сказал:

в курсе, то так же должны знать, что если в цепочке запуска имеется хотя бы одно ограниченное приложение, то неважно чем там оно манипулирует, на последующие объекты тоже будут наложены соответствующие ограничения. 

Значит не накладывается в определенных сценариях. KnownDlls - один из них.

Edited by Maratka

Share this post


Link to post

 

2 часа назад, ossa сказал:

Я проверил Ваше предположение. Оно к сожалению абсолютно не подтвердилось.

Как проверили, так результат и получили.

2 часа назад, ossa сказал:

Всё очень просто. Отключил KSN и провёл тест ещё раз. 

А разве я сказал, что отключение KSN на это влияет? Где я вообще про KSN писал? :D
Влиять вполне может подпись файла например. Либо локальная база доверенных хешей (не берусь утверждать, что в последней версии антивируса она работает, но раньше - была, и отлично работала в оффлайне). Наконец, если уж рассчитывать на KSN, то хеш этого файла мог давным-давно закешироваться у антивируса в качестве доверенного.

 

 

 

 

Share this post


Link to post
28 минут назад, Maratka сказал:

Значит не накладывается в определенных сценариях. KnownDlls - один из них.

Хорошо. Допустим. Это нормально? Как тогда проверить, работает эта функция или нет? Пока очевидно, что в HIPS Comodo работает, а в HIPS KIS нет. Здесь свободно имитируется замена списка часто используемых системных Dll и "Контроль программ" не реагирует. Правильно я понимаю ситуацию? 

Share this post


Link to post
3 часа назад, ossa сказал:

Вы вообще HIPS KIS когда-нибудь тестировали?

Прикольно читать, когда у бывшего работника Лаборатории Касперского, специалиста по тестированию настойчиво спрашивают тестировал ли он когда-нибудь KIS ))

Share this post


Link to post
1 минуту назад, Yuri Kalashnikov сказал:

Прикольно читать, когда у бывшего работника Лаборатории Касперского, специалиста по тестированию настойчиво спрашивают тестировал ли он когда-нибудь KIS ))

ну что ж, приятно было познакомиться с таким уважаемым человеком)

Share this post


Link to post
5 часов назад, ossa сказал:

Хорошо. Допустим. Это нормально?

Как по мне - да. Я же выше написал для чего оно сделано.

5 часов назад, ossa сказал:

Как тогда проверить, работает эта функция или нет?

Я обычно использовал тестовые утилиты. Че попроще - писал сам, что посложнее - писали разработчики самого антивируса.
Нормально прокатывало. В любом случае это гораздо лучше, чем пользоваться некой утилитой, предназначенной для пиара HIPS производства Comodo, ибо в эту утилиту загнали ровно все перехваты, какие были у Comodo на момент выпуска CLT. Естественно он их пройти просто обязан. При этом некий сторонний HIPS, имеющий в своем составе на 340, а 420 перехватов, но при этом у него 310 перехватов из тех 340, что входят  в список Comodo тест провалит.

Share this post


Link to post
20 часов назад, Maratka сказал:

CLT использует какую-то системную библиотеку, если склероз не изменяет - advapi32, которая является доверенной, и антивирус внимания на нее не обращает.

Эта библиотека читается clt.exe при запуске приложения, то есть вообще до начала тестирования. Если запретить чтение, получаем два алерта о том, что точка входа в процедуру не найдена. Прога CLT всё равно при этом запускается. Далее тест проходится в полном объёме. Если разрешить, будет та же самая уязвимость в инъекции KnownDlls. Отсюда вывод - это просто вспомогательная либа, позволяющая нормально отработать тестовому инструменту. Соответственно за объяснение вопроса это принять невозможно.

 

Screenshot_45.png

Screenshot_46.png

Screenshot_47.png

Share this post


Link to post
3 минуты назад, ossa сказал:

Прога CLT всё равно при этом запускается. Далее тест проходится в полном объёме.....
....Отсюда вывод - это просто вспомогательная либа, позволяющая нормально отработать тестовому инструменту.

Если запрет ее чтения не изменяет количество и качество прохождения тестов, то вероятно эта библиотека в CLT используется несколько глубже, чем Вам себе это представляете.

 

4 минуты назад, ossa сказал:

Соответственно за объяснение вопроса это принять невозможно. 

То не мои проблемы, что там возможно, а что нет. Уж извините.
Пишите свой тест по проверке этого функционала, раз оно Вам так принципиально.

Share this post


Link to post
10 минут назад, Maratka сказал:

Если запрет ее чтения не изменяет количество и качество прохождения тестов, то вероятно эта библиотека в CLT используется несколько глубже, чем Вам себе это представляете.

У меня запрос на чтение, запись, создание, удаление выставлен на эту библиотеку для clt.exe. Как там она ещё используется для теста на KnownDlls? Никаких алертов при тестировании Injection: KnownDlls никогда не возникает. Это явно говорит о том, что CLT свободно обходит HIPS KIS. 

Edited by ossa

Share this post


Link to post

Ну тогда начнем сначала.
Что такое KnownDlls, за что отвечает этот список и почему его мониторинг важен?

Далее - где хранится этот список, и где находятся эти библиотеки.

Share this post


Link to post
2 минуты назад, Maratka сказал:

Ну тогда начнем сначала.
Что такое KnownDlls, за что отвечает этот список и почему его мониторинг важен?

Пожалуйста

 

Screenshot_48.png

Share this post


Link to post

Меня интересует не скриншот, а понимание вопроса.
Как прописать нужную DLL в список KnownDlls?

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.