CIS 3.11 Release Note

COMODO在昨天發佈了CIS 3.11
新版的版號為3.11.108364.552
原CIS 3.10的用戶在昨天
已經可以透過自動升級升級至新版



下載：

32bit Setup
Size: 39M ( 40493328 )
MD5: 543567c36f5629ece2c64b1842c0d582
SHA1: 31baba2476c2843cc525d7dcf5d32eb54cdfd582

64bit Setip
Size: 42M ( 43249424 )
MD5: 39e663f4af7083a95620d9e13c37492c
SHA1: 76b1652e9bab608abf67d154619f1fa7350542c1


Change Log：

IMPROVED! Memory scanner now includes more advanced techniques to detect viruses in memory
FIXED! AV consumes huge memory while scanning some compressed files
FIXED! AV reports incorrent archive names under some circumstances
FIXED! AV causes freezes in 64 bit operating systems under certain conditions
FIXED! AV crashes while scanning certain packed files
FIXED! Some windows updates can not be installed while CIS is installed

這次新版並沒有增加或增強任何HIPS功能
僅僅是修正與提升防毒部份的能力
吸引力沒以往的版本來的高！
對於從來不用CIS AV的人來說
是體驗不出任和差別的！ (繼續閱讀...)

我發現了一個CIS 3.10的弱點

今天原本是想寫點關於漏洞攻擊的文章
想比較一下沒有Anti BO的KIS 2010跟CIS 3.10
在同一個樣本上的表現，但測試的過程中
我無意間發現一個可以過CIS 3.10的方法
雖然目前沒有樣本，但此方法經過試驗確實可行



我之前曾經寫過一篇關於不要用Adobe Reader的文章
主要原因在於Reader太不安全了，經常被安全研究人員發現高危漏洞
很多針對Reader而生的特製PDF就此大規模攻擊Adobe用戶

因為Adobe實在太不安全的緣故，所以F-Secure才跳出來
向大家呼籲請不要再用Adobe Reader的PDF的客戶端
改用其它PDF客戶端，以確保自己機器的安全！


我手上有一個PDF樣本，測試對象為Adobe Reader 8.0
使用CIS 3.10與KIS 2010(Ver.9.0.0.463)


首先我要說明，這個樣本CIS可以藉由Memory Firewall攔截




但是，CIS跟這世上所有的防毒軟體一樣
無法100%攔截，或多或少總還是會有一些落網之魚
我們從CIS的Release Note中就可以看出來
CIS一直在增加Anti BO能夠阻擋的類型

首先我先假設CIS無法攔截這個樣本的BO行為
也就是跳過CIS所攔截的這個畫面
然後我們先來看一下KIS 2010的攔截情形


提示聯網




允許後就下載了這個叫做update.exe的程式




在system32下創建servises.exe






行為實在太可疑了，KIS 2010發出高危警告





KIS 2010沒有Anti BO，但是它的HIPS還不錯
最後依然成功攔截，再來我們來看CIS 3.10的情況









看到這裡或許有人覺得奇怪
CIS 3.10不是攔截了嗎？
確實CIS 3.10在這個樣本上是攔截了
這裡應該有人發現到什麼了吧？

沒錯CIS在這裡居然沒有彈出聯網要求
我一開始的測試是在Custon policy mode與Safe mode下
在這兩個模式下CIS用起來很正常，你認為應該提示的它都會提示
CIS 3.10這裡的問題其實是出在廠商白名單裡




COMODO為了讓CIS能夠更易用
他們傚法其他廠商一樣也引入了大批白名單
不過這份白名單並沒有像KIS這般包含行為黑白名單
我依據直覺，把Adobe從白名單裡面刪除
再執行樣本一遍，就出現了前面那些CIS的彈框

如果沒將廠商名單刪除，那CIS只會出現FD的攔截提示
然後我將自己的CIS設定退回COMODO官方所推薦的
Safe mode與Clean PC mode這兩兼顧安全與易用的防護層級
再恢復原本已經刪除的Adobe廠商白名單

來模擬看看一般人遇到這個樣本後會發生的情形
這個樣本比較不好的地方是它會在%windir%下生成
所以CIS 3.10會提示，但是在聯網的部分完全沒有彈框
打開CIS 3.10檢查正在連線中的程式，樣本一直保持在聯網的狀態




如果未來有人寫出不牴觸CIS預設規則的樣本
然後利用廠商白名單，在某種程度上應該是可以在不誘發彈框
的情況下，成功對機器造成一些破壞

很可惜CIS 3.10在這個樣本上表現讓人失望
只要程式的製造商是CIS內的廠商白名單
那它就可以得到CIS為它開的"特殊執行權限"

我們再回頭來看KIS 2010
同樣的情形在KIS 2010上就好的多了
雖然KIS在聯網的時候同樣會被過(前面截圖是在手動模式下)
但KIS複雜的智能模式，把這類型樣本對系統的傷害降到了最小
在KIS 2010上，因為承襲聊好的智能判斷方式
就算你把樣本丟到"信任群組"內，KIS照樣會彈出警告框
而不會像CIS 3.10這樣門戶大開


雖然這個弱點的利用率應該不高
如果落到有心人士手上，或許真的可以過CIS也不一定！ (繼續閱讀...)

從Matousec的測試來看Outpost與COMODO！

這幾天心血來潮，看到Outpost出新的測試版
我就下載並安裝起來，說來我也很長一段時間沒有在接觸Outpost了
想當初Outpost跟ZoneAlarm都是在傳統軟體防火牆市場上的頭牌！
不過以前的市場沒有今天競爭如此激烈，也沒有如此特別強調AntiLeak功能
時至今日，現在的軟體防火牆市場已經與以前有了大大的不相同
皆往一個大方向邁進，就是陸續整合了HIPS功能，有了HIPS模組後
這些傳統防火牆也不再只是單純的傳統網路防火牆，也可以防止病毒的侵犯
對於AntiLeak的能力也大幅的提升！現在與HIPS相關測試也越來越多了
Matousec的LeakTest與Firewall Challenge都算是這方面比較為人知的測試
今天我不評論Matousec的測試做的如何，我們來看一下測試結果鎖看不到的一些東西


我們先從網路防火牆的部分來看
這是Outpost的網路活動清單：




Outpost這裡會統計process的全部連線數目以及所有流量
相較COMODO來說，COMODO提供的網路活動清單不如Outpost詳細
但這部分的差距還可以接受就是了




接下來是規則的部分Outpost跟COMODO在這部分都還算是清晰明瞭






但是比較奇怪的地方是Outpost它沒有應用程式規則清單
下面這是COMODO的應用程式規則清單




Outpost雖然每個應用程式都可以建立獨立的規則
但是它必須經由網路活動清單點選才可進行規則編輯的動作，相當的不方便！




再來看它的HIPS設定的部分，這裡跟前面一樣，只能經由process活動清單裡進行編輯




跟COMODO不一樣的地方在於Outpost有所謂的廣域設定，這部分跟COMODO一樣
但Outpost用了另一種方法來呈現，這部分倒是Outpost要方便了許多




但是HIPS我們手動可以設定的部分卻是COMODO要多於Outpost




另外一個很重要的一點就是雖然Outpost同樣擁有RD防護
但是跟KIS一樣，當process近於屬於黑名單行為時候才會出現作用




換句話說就是Outpost缺乏RD的自定義功能！
除了RD外Outpost同樣也不具有FD規則編輯的功能
這個就不是Outpost可以跟COMODO相比的地方

再來就是防護的部分，我使用AKLT 3作為測試
Outpost對於AKLT的KeyLog行為幾乎都能阻止






換了另一個比AKLT高階的Zemana的Log測試工具
Outpost在這個測試下完全無反應，這系列的測試
COMODO跟KIS都可以防的了了，顯然Outpost在這部分還是弱了一點




雖然Matousec上的成績顯示Outpost比COMODO分數要來的高一點
但實際上是不是這麼一回事？所以一個產品的好壞絕對不能只看測試結果
結果論不適合用在Matousec所做出來的測試上，尤其是這些屬於TOP級的產品！
所以我覺得先瞭解它們的產品定位我想會比較重要，畢竟光從功能上來比較
Outpost光提供的功能就比COMODO要少了很多，就算從都有的功能上來看
COMODO也遠比Outpost所提供的要來的豐富許多，如果你是一個End user
那COMODO絕對是比Outpost符合你需求的一款安全軟體！ (繼續閱讀...)

沒有Anti BFO 我們改用FD防止XML漏洞

前幾天發過的IE7 XML漏洞，目前微軟體已經發出通報
受影響的範圍更正為5.01/6.x/7.x！目前微軟依然還沒有釋出任何更新
如果你對你自己使用網路的方式不具任何信心，可以參造微軟的安全通報
有四種方法可以消極的防禦此漏洞
以下我為使用Comodo Internet Security提供第五種防禦的方法


打開CIS主視窗，找到Defances +的Block File



點選進入後加入以下FD規則，然後連按兩次"Apply"完成

%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll

這裡我僅以CIS作示範，其它的HISP軟體也可以做到此種防禦 (繼續閱讀...)

Comdodo Internet Security升級倒回

接觸安全軟體很長一段時間了，大部分軟體都是固定時間發佈新版本
很少有"升級到舊版本"的例子，今天Comodo就讓我開了一次眼界


首先問題的由來是來自Matousec的防火牆挑戰賽的落敗
Comodo似乎很想在防火牆挑戰賽中挽回自己的顏面，在知道成績表現不理想後
馬上就在官方論壇發表了將在12.1進行部份更新的消息

當然12.1也如期釋出更新，將432更新至了437，但是我在更新後
出現了一些問題，這些問題包括提示不完全、錯誤的行為提示、忘記已經存在的規則
所以後來也留下了這樣的一個"新版升級至舊版"的歷史畫面

(繼續閱讀...)

前腳文章剛寫完很快就有人因為用Flashget中標了！

上一篇Flashget官方版包毒的文章寫完沒多久
在PCDVD上就看到了另一個受害求救的例子
後來想想事情不太妙，因為這個包毒的版本已經存在官方網站上很久了
受害人數因該非常龐大，但是大部分人我想應該都沒有察覺Flashget官方版居然會包毒！
所以安全軟體上或多或少是一定要裝的，因為不是你下載的軟體沒毒就沒事了
因為下載軟體本身可能就是個木馬！


我使用Comodo Internet Security做範例（注意！我不是推薦你使用它！）
通常P2P軟體都必須開個TCP Port作聯外，這裡我使用Port 10910




然後經由以下引導，新增以下規則到你使用的P2P軟體的FileWall規則中：

Allow TCP Out From IP Any To IP Any Where Source Port Is Any And Destination Port Is 80
Allow UDP Out From IP Any To IP Any Where Source Port Is 10910 Any Destination Port Is Any
Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is 10910
Allow TCP OR UDP Out From IP Any To IP Any Where Source Port Is [1000-8000] And Destination Port Is Any
Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any

再來是D+規則，因為我發現Flashget居然會修改Windows目錄下的檔案
這屬於不應該有的行為，所以我們通過FD來限制Flashget存取系統重要目錄




開啟CIS的主畫面後經由圖片引導編輯D+規則





這是我建議的選項，請斟酌或自行修改，不懂修改請照我的建議方案


再來編輯FD規則


這裡為了不讓P2P軟體隨意執行任意process，請加入合法的process於表內


保護該應用程式無法修改Windows目錄


Note：
注意！請勿把程式設為信任應用程式！
而%windir%\*是保護windows絕對目錄下的檔案被flashget修改
因為我發現flashget在啟動的時候會修改windows下某個檔案
但是我沒有去查是做了什麼樣的修改，反正這類的程式
不應該也沒有理由修改windows下的檔案，所以我就直接禁止了

當然以上是針對Flashget的規則，其它如BitComet或者是µTorrent等
都可以照此篇教學依樣畫葫蘆，如此設定就算使用Flashget 1.94木馬版也不會中標！
是不是覺得很神奇啊？ (繼續閱讀...)

PCTools FireWall 在Matousec 13項新測試程式結果！

PCTools FW算普遍多人使用的一款優質且又有中文介面的防火牆
由於加入了HIPS Module所以能在Matousec取得很高的成績
操作上算還不錯，可惜訊息還不夠詳細，之後可以加強這一方面的提示！


結果：

Level 3：Kernel1
Level 4：Kernel1b
Level 5：Kernel2, Kernel3, Crash4
Level 6：Kernel4, Crash5, Crash6
Level 7：FireHole2, Kill12
Level 8：Kernel4b, Kernel5
Level 9：Crash7

PCTools FW掛了全套的Kernel繞過測試，表現比起KIS 8還有CIS 3.5就沒那麼好了
不過這樣的表現還是直得鼓勵一番！ (繼續閱讀...)

KIS 8.0.0.505 通過Matousec最新13項測試程式！

繼剛剛的Comodo Internet Security 3.5的測試後
我又接著測試了KIS 8.0.0.505測試版
KIS 8在Matousec最新的測試程式上面表現良好
通過了所有的測試，包括CIS 3.5無法通過的Kernel1這項


結果：
Level 3：Kernel1
Level 4：Kernel1b
Level 5：Kernel2, Kernel3, Crash4
Level 6：Kernel4, Crash5, Crash6
Level 7：FireHole2, Kill12
Level 8：Kernel4b, Kernel5
Level 9：Crash7

除此之外我還發現了新版KIS 8比之前的正式版8.0.0.454還要更流暢
因為應用程式過濾的速度加快了不少，而且也從這13項測試程式中
發現一些舊版本不曾出現過的攔截提示，整體來看8.0.0.505又強悍了不少！ (繼續閱讀...)

使用Matousec新的測試工具測試 Comodo Firewall 3.5

Matousec釋出了最新的Security Software Testing Suite測試工具
主要是增加了一些繞過測試以及自我保護測試，並新增一個滲透測試
並且移除了不討好的PerfTCP跟PerfUDP這兩個測試！

這裡我用這些新的測試工具測試了CIS 3.5
如需參閱舊版成績請參照Matousec官方網站


結果：

Level 3：Kernel1
Level 4：Kernel1b
Level 5：Kernel2, Kernel3, Crash4
Level 6：Kernel4, Crash5, Crash6
Level 7：FireHole2, Kill12
Level 8：Kernel4b, Kernel5
Level 9：Crash7


CIS 3.5在預設情況下只掛了Level 3的Kernel1這項繞過測試
繞過的原因未知，需要借助其它工具檢查CIS是一漏的哪些行為
或許不久知道就有可以過Kernel1這項測試的規則了！ (繼續閱讀...)

淺談：為何我們需要反滲透能力（AntiLeak）？

這是繼續前兩天關於ESS的AntiLeak測試的話題
什麼是反滲透？為什麼我們需要反滲透功能？

反滲透是最近三年才開始流行的一種概念
它存在的目的為彌補傳統網路防火牆的不足！


傳統防火牆最典型的就是像Windows XP SP2中所內建的
它提供了基本的網路防禦，對連入（inbound）的需求進行過濾，並阻擋不良的連入（outbound）需求
但是這種典型防火牆它對於連外的連線需求並沒有特別去限制它
意思就是我們使用瀏覽器上網這類的防火牆
我們不需要為它特別去設置規則（Rule）或策略（policy）
就可以隨意存取網路資源，所以一旦我們中了木馬或者是蠕蟲
傳統的典型防火牆是無法防範的！

再好一點的防火牆它可以針對連外做限制
例如限制IE不能存取網路，或不能存取特定IP位置或連結阜（Port）
這類型的防火牆它可以當發現連外需求的時候，會提示目標位置的IP以及連線阜等資訊
我們可以利用這些資訊來判斷這是否為必要或不必要的連線
加上適當的規則或是策略，我們可以限制瀏覽器無法瀏覽某些IP位址的網站
但不是被限制的網站卻可以隨意瀏覽，規則與測率經過適當的限制
我們可以把explorer.exe或者svchost.exe病毒常利用的兩個住要系統元件做限制
這樣子如果中了會利用這兩個元件連外的病毒，我們可以免於帳密落入惡人之手
但是如果只有這樣子其實還是不太夠的！

因為病毒的連外不但可以靠自己本身，還可以藉由其它系統程式對外連出！
我們把病毒對外連出的這個過程稱做"滲透"
大部分的傳統防火牆，只會告訴你是什麼程式要連出以及要連到哪裡的資訊
但是並不會讓你知道這個連線是由用戶本身發起還是病毒透過調用發起的！

為了讓用戶知道程式彼此之間的調用或行為，現在新一代的防火牆都包含了
HIPS模組利用SSDT Hook系統上的API，來監測額外的軟體行為
我們的防火牆就可以為我們提供更詳細的程式行為，以分辨是否為不良的連線！


下面我用Matousec的測試程式模擬病毒經過調用後外連的情形
在ESS的提示裡我們只能看到explorer.exe有連外需求




從ESS的提示中我們不知道病毒是誰，或是它透過了什麼樣的行為導致explorer.exe需要連外？
再來我們看Comodo Firewall V3它基於HIPS模組的提示


CFP3發現了直接操作螢幕的行為


偵測到試圖修改已受保護的註冊表


偵測到試圖修改用戶操作介面


經過前面的修改後explorer.exe莫名其妙的要連外了！



經過以上的提示，我們可以經楚的知道explorer.exe的連外是由breakout2.exe這的程式發起
經過一連串的行為，導致explorer.exe出現連外需求
詳細的程式行為提示幫助我們能夠輕鬆判斷該程式是否屬帶有惡意行為！
以上就是反滲透過程的一個簡單示範 (繼續閱讀...)

關於ESS在Firewall Challenge的成績

Matousec最近公佈的Firewall Challenge在AVPClub上
由000110版主提出ESS的成績與實際測試有所出入！
對此我在稍晚的時候也做了AntiLeak的測試


首先這是ESS最新的Firewall Challenge成績，等級只到達Level 1而已



這是一個相當差的表現！
而且ESS在Level 1的kill1跟kill2也沒有通過
在之前一般對於成績與實際有出入的猜測是設定方面的問題
但是我個人認為應該沒有這麼簡單，因為設定上的差異不會導致
ESS失敗kill1以及kill2這兩個自我保護測試，有所差異的應該只有AntiLeak測試


以下是我昨晚自行測試的ESS成績

Level reached：3

* Level 1 – Breakout2, Coat, ECHOtest, Kill1, Kill2, Leaktest, PerfTCP, PerfUDP, Tooleaky, Wallbreaker1, Yalta
* Level 2 – AWFT1, DNStest, Ghost, Jumper, Kill3, Kill3b, Kill6, Wallbreaker3, Wallbreaker4
* Level 3 – AWFT3, AWFT4, DNStester, Kill3f, Kill4, Kill7, SSS2, Suspend1, Thermite
* Level 4 – CopyCat, CPIL, CPILSuite1, Keylog1, Kill3e, Kill8, Kill9, SSS, Suspend2
* Level 5 – Breakout1, CPILSuite2, Crash1, Crash2, Crash3, Keylog2, Kill3c, Kill3d, VBStest
* Level 6 – CPILSuite3, DDEtest, ECHOtest2, FireHole, Flank, Keylog3, Keylog4, Kill10, Kill11, Runner
* Level 7 – BITStest, Keylog5, Keylog6, OSfwbypass, Runner2, Schedtest, SSS3
* Level 8 – Keylog7, Kill5, NewClass, Schedtest2, SockSnif, SSS4
* Level 9 – Driver Verifier
* Level 10 – BSODhook, ShadowHook

由於ESS不包含HIPS模組，所以最後等級只到達3
但這樣的成績跟Matousec的結果差的實在太多太多了
同樣的例子也發生在DSA以及KIS 8上這兩款安全軟體上
正常成績應該都要比Matousec上的結果高出一些 (繼續閱讀...)

Matousec更新Firewall Challenge成績！

Firewall Challenge最近這一兩個月也更新了幾次成績
最近他們又更新了ESS成績，但是我發現ESS成績有些怪異！



就是ESS在Kill1跟kill2實的表現，在Firewall Challenge上的結果是失敗的！
這的情形與我的記憶有些衝突，ESS的自我保護相當好，不應該沒有過這兩個測試
因為kill1跟kill2都是很低級的自我保護測試程式，對ESS來說沒有過非常奇怪
我在AVPClub論壇提出了懷疑，很快的該論壇的另一位版主000110就證實了我的懷疑！
Matousec的測試似乎有些問題，他們KIS 8以及DSA的成績都與我自己的結果有不小的出入
正常情況，這兩款的成績應該還要比Matousec上的還要高出一些才對！
目前還不是很清楚是什麼原因照成如此的差異！ (繼續閱讀...)

Matousec : Firewall Challenge 成績更新！

Matousec剛剛更新了Firewall Challenge（防火牆挑戰賽）的成績
這次加入了Netchina S3 2008 3.5.5.1與更新了PC Tools Firewall Plus 4.0.0.45的成績
而PC Tools Firewall Plus 4.0.0.45是這個測試開始以來第三個獲得10+的防火牆

(繼續閱讀...)

Comodo V3通過Matousec最新推出的八項測試程式

使用的版本為3.0.22.349
八項測試程式分別為七種keylogger,還有Level 10的GDI Hook
由於keylogger的測試全部通過,就不特別說明
所以我這邊我就用幾張圖代替就好
由於先前的62項測試中已經100% pass的CFP3
這邊我也搶先公佈使用新測試程式檢驗後的CFP3依舊100% pass
OA Free應該會是我下一個測試的目標

發現鍵盤紀錄

發現鍵盤紀錄


嘗試hook所有


發現鍵盤紀錄


發現鍵盤紀錄

GDI Hook情形：

上午 03:06:08: Probing 10 function(s) started.
上午 03:06:08: Probing function NtUserGetAsyncKeyState(D)[win32k.sys] ...
上午 03:08:50: Function NtUserGetAsyncKeyState passed the tests.
上午 03:08:50: Probing function NtUserGetKeyboardState(B)[win32k.sys] ...
上午 03:10:13: Function NtUserGetKeyboardState passed the tests.
上午 03:10:13: Probing function NtUserGetKeyState(D)[win32k.sys] ...
上午 03:12:54: Function NtUserGetKeyState passed the tests.
上午 03:12:54: Probing function NtUserMessageCall(DDDDDDD)[win32k.sys] ...
上午 03:17:16: Function NtUserMessageCall passed the tests.
上午 03:17:16: Probing function NtUserPostMessage(DDDD)[win32k.sys] ...
上午 03:19:17: Function NtUserPostMessage passed the tests.
上午 03:19:17: Probing function NtUserPostThreadMessage(DDDD)[win32k.sys] ...
上午 03:21:15: Function NtUserPostThreadMessage passed the tests.
上午 03:21:15: Probing function NtUserRegisterRawInputDevices(DDD)[win32k.sys] ...
上午 03:28:04: Function NtUserRegisterRawInputDevices passed the tests.
上午 03:28:04: Probing function NtUserSendInput(DDD)[win32k.sys] ...
上午 03:34:54: Function NtUserSendInput passed the tests.
上午 03:34:54: Probing function NtUserSetWindowsHookEx(DUDDDD)[win32k.sys] ...
上午 03:42:24: Function NtUserSetWindowsHookEx passed the tests.
上午 03:42:24: Probing function NtUserSetWinEventHook(DDDUDDDD)[win32k.sys] ...
上午 03:46:54: Function NtUserSetWinEventHook passed the tests.
上午 03:46:54: Probing complete.

(繼續閱讀...)