我發現了一個CIS 3.10的弱點

今天原本是想寫點關於漏洞攻擊的文章
想比較一下沒有Anti BO的KIS 2010跟CIS 3.10
在同一個樣本上的表現，但測試的過程中
我無意間發現一個可以過CIS 3.10的方法
雖然目前沒有樣本，但此方法經過試驗確實可行



我之前曾經寫過一篇關於不要用Adobe Reader的文章
主要原因在於Reader太不安全了，經常被安全研究人員發現高危漏洞
很多針對Reader而生的特製PDF就此大規模攻擊Adobe用戶

因為Adobe實在太不安全的緣故，所以F-Secure才跳出來
向大家呼籲請不要再用Adobe Reader的PDF的客戶端
改用其它PDF客戶端，以確保自己機器的安全！


我手上有一個PDF樣本，測試對象為Adobe Reader 8.0
使用CIS 3.10與KIS 2010(Ver.9.0.0.463)


首先我要說明，這個樣本CIS可以藉由Memory Firewall攔截




但是，CIS跟這世上所有的防毒軟體一樣
無法100%攔截，或多或少總還是會有一些落網之魚
我們從CIS的Release Note中就可以看出來
CIS一直在增加Anti BO能夠阻擋的類型

首先我先假設CIS無法攔截這個樣本的BO行為
也就是跳過CIS所攔截的這個畫面
然後我們先來看一下KIS 2010的攔截情形


提示聯網




允許後就下載了這個叫做update.exe的程式




在system32下創建servises.exe






行為實在太可疑了，KIS 2010發出高危警告





KIS 2010沒有Anti BO，但是它的HIPS還不錯
最後依然成功攔截，再來我們來看CIS 3.10的情況









看到這裡或許有人覺得奇怪
CIS 3.10不是攔截了嗎？
確實CIS 3.10在這個樣本上是攔截了
這裡應該有人發現到什麼了吧？

沒錯CIS在這裡居然沒有彈出聯網要求
我一開始的測試是在Custon policy mode與Safe mode下
在這兩個模式下CIS用起來很正常，你認為應該提示的它都會提示
CIS 3.10這裡的問題其實是出在廠商白名單裡




COMODO為了讓CIS能夠更易用
他們傚法其他廠商一樣也引入了大批白名單
不過這份白名單並沒有像KIS這般包含行為黑白名單
我依據直覺，把Adobe從白名單裡面刪除
再執行樣本一遍，就出現了前面那些CIS的彈框

如果沒將廠商名單刪除，那CIS只會出現FD的攔截提示
然後我將自己的CIS設定退回COMODO官方所推薦的
Safe mode與Clean PC mode這兩兼顧安全與易用的防護層級
再恢復原本已經刪除的Adobe廠商白名單

來模擬看看一般人遇到這個樣本後會發生的情形
這個樣本比較不好的地方是它會在%windir%下生成
所以CIS 3.10會提示，但是在聯網的部分完全沒有彈框
打開CIS 3.10檢查正在連線中的程式，樣本一直保持在聯網的狀態




如果未來有人寫出不牴觸CIS預設規則的樣本
然後利用廠商白名單，在某種程度上應該是可以在不誘發彈框
的情況下，成功對機器造成一些破壞

很可惜CIS 3.10在這個樣本上表現讓人失望
只要程式的製造商是CIS內的廠商白名單
那它就可以得到CIS為它開的"特殊執行權限"

我們再回頭來看KIS 2010
同樣的情形在KIS 2010上就好的多了
雖然KIS在聯網的時候同樣會被過(前面截圖是在手動模式下)
但KIS複雜的智能模式，把這類型樣本對系統的傷害降到了最小
在KIS 2010上，因為承襲聊好的智能判斷方式
就算你把樣本丟到"信任群組"內，KIS照樣會彈出警告框
而不會像CIS 3.10這樣門戶大開


雖然這個弱點的利用率應該不高
如果落到有心人士手上，或許真的可以過CIS也不一定！ (繼續閱讀...)

Kaspersky InternetSecurity 9.0.0.437 RC當中的缺憾

Kaspersky新一代的安全軟體目前已經到候選版本的階段了
功能與新特性大致到目前都已經確定了
但我們今天不是要來看它有了哪些增強
也不是要看多了哪些新花樣！
我們來看一下KIS 9.0.0.437中的SandBox功能



以前介紹過SandBox的功用
但是事實上SandBox的功用不只這些
一般我們較為常見的SandBox大部分只實現磁碟讀寫部分的虛擬定向
很少有HIPS能夠實做記憶體部分的虛擬定向，但究竟將記憶體虛擬定向有什麼好處？

簡單的說被重新定向的對象不同，以往我們只將運行於SandBox內的程式對磁碟的寫入
給重新動向到了一塊隔離區內，所有的寫入皆不是真實的寫入
我們只要清空SandBox，所有先前在SandBox內寫入的資料將會消失

而有記憶體虛擬定向的SandBox，它可以保護process與precess之間的存取
用一個實際的例子來說吧，木馬它要盜取你的帳號資料
除了鍵盤測錄(KeyLog)之外，還可以利用讀取precess內的明碼資訊來達到偷照密的目的
這個時候如果我們有一個具備記憶體虛擬定向功能的SandBox
那我們就可以用SandBox來防止木馬存取process，或保護重要的process被其它process存取
這樣的結果可以讓我們的網路環境變的更安全，也比去實做AD要來的有用


首先我們來看一下AKLT 3在SandBox中執行
我選擇不攔截它的KeyLog行為，我們可以看到鍵盤測錄成功




這個測試結果說明KIS 9.0.0.437的SandBox內部並未將記憶體存取給重新定向
所以AKLT 3可以隨意存取其它process

但是如果有從KIS 8.0就開始用的人
應該都會知道KIS有一個虛擬鍵盤(Virtual Keyboard)的功能
這個虛擬鍵盤可以在不依靠AD的情況下通過AKLT 3的測試
原理就是禁止process之間的隨意存取




我基於好奇，把KIS 9.0.0.437的虛擬鍵盤開啟了
神奇的事情居然發生了！！

開啟虛擬鍵盤的情況下居然預設禁止全域螢幕擷取(Take ScreenShot)
不必靠AD就可以通過ASTE的螢幕擷取




開啟另一個螢幕擷取工具，當我選擇擷取全螢幕時
只能得到這樣的全白的視窗畫面，換句話說
在虛擬鍵盤開啟的情況下，所有的螢幕擷取都會失敗！




測試到這邊我們可以從這樣的測試結果得知
Kaspersky確實實現了記憶體虛擬定向，所以它並不是沒有記憶體虛擬定向
雖然實現了，但它卻只用來保護虛擬鍵盤！其它在SandBox中執行的程式卻沒有受到同樣的保護
這是目前我發現一個比較奇怪的地方，該問題會通過上報告知Kaspersky Develop Team (繼續閱讀...)

Kaspersky InternetSecurity 2010 Beta Released

KIS 2010於不久前推出了，新特性有Sandbox（沙盤）、更強勁的啟發
加強的雲端科技以及比KIS 09還要更豐富的手動模式
我拍了幾張圖，順便做了一個簡單的圖片介紹



KIS 2010換了新的UI，但它還是建立在KIS 09的基礎上
由於這還是開發版的緣故，很多功能像應用程式過濾，還有沙盤都不正常或還不能使用




設訂介面其實跟以往沒有什麼差別




沙盤的部分，這是KIS 2010我認為最重要的加強，恢復了策略組形式的沙盤
就像以往在KAV/KIS 6&7上可以藉由"回覆"來消除惡意的修改
除此之外還增加了虛擬空間沙盤，讓應用程式被隔離在虛擬空間之內




我們可以直接添加應用程式到KIS 2010中的沙盤，圖內兩個IE差別為一個必須手動清理
另一個則是在process結束後就自動清理沙盤內的資料




消失已久的策略組回復功能在KIS 2010中回來了




PDM（免疫防禦）的部分跟KIS 09差不多，多了幾項監控項目
KIS 2010預設監控OS Kernel Modification




原本想測試HIPS的，但應用程式過濾功能不正常
我沒有辦法修改已經被歸類的組別，導致很多測試軟體無法使用
所以我找了幾個新樣本來測試，KIS 2010的提示就目前來看
與KIS 09差不多，我手上的新樣本無法比較出兩者究竟有何差異


使用情況上，因為是開發版的關係，其實不太穩定
經常造成freeze，每次至少都十幾二十秒的等待
用起來相當辛苦，新的UI排列上也算不上好
很多以前在KIS 09上比較直覺的操作
到了KIS 2010上變的負責很多

不過當初KIS 09也是經過大大小小好幾十次的修改
所以我想KIS 2010或許在正式推出後會有很大的改善
目前嚴格來說是個非常不穩定版，等到功能完善後的測試版推出
才建議加入測試工作，目前看看介面其實就已經夠了！ (繼續閱讀...)

來談一下COMODO的啟發式報毒

COMODO的Defense+有個啟發式，根據COMODO的內測的結果
D+的啟發具有60%威脅檢測率，也被COMODO成功申請專利
但是我對於它的啟發原理很有興趣，我們用COMODO跟Kaspersky來比較一下
看一下它們之間的差別！



首先是KIS 8的情形，雖然Kaspersky沒有大似宣傳它們的行為分析
但是從這張圖來看，KIS 8會把一連串的行為，根據觸動的規則，直接報行為類似於"木馬"或"蠕蟲"
從這點上看起來，跟D+啟發似乎有異曲同工之妙




再來看看CFP的提示，這個提示是第一個步驟，也就是在行為還沒有發生之前
意思就是它是第一個氣球提示，前面那張KIS氣球提示在你看到它之前
通常還會有兩個以上的氣球提示，而CFP的D+卻是行為還沒有發生時就被提示
這裡行程了一種強烈的差異性對比，我大概來猜一下COMODO的D+啟發是基於什麼技術

一般的防毒軟體緝毒引擎，它們的啟發是大致上可以歸類為幾種
比較常見的基因啟發跟虛擬機啟發他們隻間的差別是基因啟發根據檔案結構的相似程度
將這些相似的地方做成共通特徵值，特徵值可以有一個以上，根據符合特徵的數目高低來決定是否啟發
例如一個家族被取了八個特徵值，只要新變種符合了五個或四個特徵值，就予以啟發！

而虛擬機啟發則是在系統上建立一個虛擬機環境，引擎會在虛擬機內執行該樣本
根據執行後本對系統所做的修改結果，將最為可疑的樣本予以啟發！

但是這裡我們談論的是HIPS，啟發的方法也不太相同
COMODO在這裡可能的做法是使用SandBox（沙盤）
我們可以建立一個沙盤，在沙盤內放行樣本的行為，只是這個沙盤要相當強悍
如果被穿出沙盤，可不是在氣球提示按按阻止就可以挽回，所以沙盤的可能性應該不高
早期的KIS 7就有具備沙盤技術，但是KIS 7的沙盤有的時候會被穿出去
穿出去的影響造成了破壞變成了不可逆，後來的KIS 8就取消了沙盤在這部分的應用
改採直接強化了AD作為此功能不足所造成的缺憾！

另外一種比較新的做法，就是將最危險的行為特別強調
例如Panda跟KIS，它們會將最危險的行為直接阻擋
然後不提供任何選擇的機會，這些行為平常沒有正常程式會去處碰
所以可以被列為黑名單，將其直接阻擋！我猜測COMODO也有可能用這種方法

跟上述兩款安全軟體的差別可能在於COMODO沒有直接阻擋，而是提示D+啟發
就如下圖所示，但是COMODO的D+啟發的地方不像KIS是在最危險的行為時才出現
通常都是在危險行為前兩三個甚至三四個步驟就提示你啟發了！
這大大的與KIS的行為啟發明顯不同，而且邏輯上不好猜測





很多被啟發的行為，其實你一開始時是看不出來可疑在什麼地方
往往測試到後面的步驟才發現確實是個威脅！但COMODO的D+啟發到底是怎麼實現的？
其實我到現在還是搞不清楚，之前看過的說明也無法說明出個道理來
也許在COMODO論壇用heuristic作關鍵字搜尋就有答案了，但我還是想先來自己亂猜一下！
俗話說的好，女人因秘密顯的美麗，而COMODO是因秘密顯的神秘XD (繼續閱讀...)

KIS 8.0.0.505 通過Matousec最新13項測試程式！

繼剛剛的Comodo Internet Security 3.5的測試後
我又接著測試了KIS 8.0.0.505測試版
KIS 8在Matousec最新的測試程式上面表現良好
通過了所有的測試，包括CIS 3.5無法通過的Kernel1這項


結果：
Level 3：Kernel1
Level 4：Kernel1b
Level 5：Kernel2, Kernel3, Crash4
Level 6：Kernel4, Crash5, Crash6
Level 7：FireHole2, Kill12
Level 8：Kernel4b, Kernel5
Level 9：Crash7

除此之外我還發現了新版KIS 8比之前的正式版8.0.0.454還要更流暢
因為應用程式過濾的速度加快了不少，而且也從這13項測試程式中
發現一些舊版本不曾出現過的攔截提示，整體來看8.0.0.505又強悍了不少！ (繼續閱讀...)

正體中文版 評測：卡巴斯基網路安全套裝2009

這篇是把之前寫的評測給部分中文化，希望可以讓中文版的使用者感到親切一點！

這其實是我第一次寫Kaspersky的評測，以往那幾篇其實也只能算設定教學，沒有測試與評論
跟以往一樣，我還是參與了Beta的測試活動，記得兩年多前的KIS 6.0我也加入了Beta的行列
時間過的非常很快，最近開始覺得抓蟲原來是一件如此有趣的事情！只是跟兩年前的差別是：
"我現在幫開源軟體抓的蟲比幫這些AV抓的蟲還要多更多了！"

嗯..好了，其它無關的事不說了，開始進入這次的主題


主畫面：



反惡意軟體：



系統安全：
這邊有一個安全分析精靈，可以幫你檢查你的應用程式是否有弱點
並會提供檢查到弱點的程式的替代版或者是新版本，可以避免因為軟體弱點要成的攻擊


安全分析精靈起始頁面


掃瞄完後會列出你系統上含有弱點的應用程式
你可以用它提供的網址查詢該應用程式的弱點內容


然後繼續System Analysis(系統分析)
我們可以看到安全精靈希望我們做這些動作，來避免帳密外洩的可能



網路安全：
這裡有"虛擬鍵盤"可供輸入帳密資料時使用


虛擬鍵盤它可以幫助你避免被鍵盤測錄或是其它直接獲取密碼的可能降低



隱私過濾：


隱私資料清除精靈
它可以幫你檢查並清除系統上的一些個人訊息，避免被惡意軟體竊取



設定：
在主畫面安右上角的"Setting"進入設定功能頁面
首先"檔案及記憶體" 跟"網路串流"這兩個地方稍微改一下設定，可以增加一點系統效能


"檔案及記憶體" 跟"網頁防護"可以從原本的"Recommend"(推薦)改成'Low'(最低防護等級)


"檔案及記憶體"可以視需求把啟發功能開啟(越高級誤報也越高！)


掃瞄部分：
設定為High(最高級)


建議把啟發開到最高級(越高級誤報也越高！)



Kaspersky在2009 Series使用了比7.0 Series還要更優秀的啟發式引擎
啟發引擎普遍使用了emulator(虛擬機)偵測，也有generic signatures(基因特徵)偵測
除此之外，2009 Series還擁有類似於AVIRA的結構偵測技術，用來檢查可疑的加殼檔案




以下就是一些經由啟發還有殼偵測所擷取的圖片：

　　

　

　






防護模式：
這裡推薦給一般使用者使用"Automatically Mode"(自動處理)
針對End User可以取消"自動處理"的勾選，改為使用"互動模式"
在"自動處理模式"的時候，只會有相當少的事件會被提示，大部分的事件皆會自動完成



Kaspersky 2009 Series引入了優秀的應用程式分析及過濾功能
每當你運行一個陌生程式的時候，該程式會在虛擬環境中執行
如果該程式沒有在白名單，或沒有數位簽章
那麼在第一次執行的時候就會出現如下的分析圖示
分析的時間視程式本身的複雜或檔案大小程度來決定



這裡分別進入"Proactive Defense"(免疫防護)(應用程式過濾)跟"Application Filter"的設定



免疫防護：
內建了木馬，蠕蟲，病毒，鍵盤側錄，隱藏安裝驅動的防治功能



應用程式清單：
共分為"信任"，"低受限"，"高受限"，"不信任"四個組別
程式根據第一次行為分析所得到的資訊，基於三大原則來分組：

a.檢查應用程式數位簽章，如果擁有數位簽章，那就信任它
b.普通掃瞄，經由特徵比對被掃瞄出來報毒的檔案會被放進不信任區域
c.應用程式行為，根據已經制定好的規則，判斷此應用程式對系統造成威脅，並將行為轉化為數值
這些數值稱為"危險指數"，最後根據其數值的高低決定應該分進高受限或低受限的組別



這裡是註冊表以及檔案防護設定的部分
使用者可以自行添加要被保護的項目


USB裝置以及無線設備的防護


在"應用程式清單"雙擊某個應用程式，我們可以查詢們可以查詢：
Digital Signature(數位簽章)，Rating(危險指數)，Group(組別)，Signature Data(特徵庫日期)


規則：
由於CCleaner是信任的程式，所以信任它所有的行為(如果有的話)





防火牆：

網路
這裡會列出可以你所在環境裡可以使用的網路


網路類型
預設共有三種規則，分別為Pubilc(公共)，Local(區域)，Trusted(信任)
這三者的差別為Pubilc可以連到網路，但不提供檔案分享以及印表機分享
Local則允許檔案分享以及印表機分享，Trusted則是無限制的類型



封包管理頁面
在這裡我們可以針對規則做修改，由於KIS 2009使用了大量的網路應用程式白名單
除非你想自行管理，一般推薦只使用"自動模式"，根據白名單，程式會給予應用程式正確的連線方式


網路防火牆的設定理跟KIS 7.0比較不同的地方是，KIS 2009取消了"隱形模式"連線
在某些防火牆測試網頁，會被偵測到關閉的Port，而被告之處於暴露的狀態，而不安全
但事實上既使沒有"隱形模式"，還是可以確保你的安全，差別在於KIS 2009會提示使用者關於"Inbound"的連結
如果你還是希望在防火牆測試的時候顯示Port為"隱形"你只需要找到Any Incoming TCP/UDP Stream這兩項
然後在"Aciton"這欄按滑鼠右鍵，選擇"Deny"(阻止)，這樣子你完成了跟KIS 7一樣的"隱形模式"
有一點要說明的是，使用隱形模式會影響一些網路應用程式的連接，例如會影響P2P軟體的上下載速度


如果你希望能夠像KIS 7一樣開啟隱形模式也能夠使用正常的使用P2P軟體，那必須增加規則
首先按"封包管理頁面"左下角的"Add"(加入)新增規則


這裡的Network Service框裡面已經內建的很多規則，但我們還是選擇"Add"加入新服務類型


我以eMule來作為範例，添加兩條規則




添加完後我們可以看到規則出現在最下層的地方


這裡很重要的一點是規則優先級是"從上到下"，最後一條規則因為是"Deny Any Incoming ICMP"(阻止所有網路訊息協定)
所以我們剛新增加的兩條規則必須高於"Deny Any Incoming ICMP" ，這樣就完成了eMule規則
達成了等同於KIS 7下使用隱形模式使用eMule還能取得高ID的方法


最後針對想要使用如同KIS 7網路防火牆的"互動模式"做個簡單的說明
由於KIS 2009捨棄了以往KIS 6.0/7.0的操作方式，如果想要使用以往的"互動模式"
請在"應用程式清單"的Network這項位於Trusted(信任組)的地方按滑鼠右鍵，由原本的Allow(允許)改為Promp For Action(詢問)


之後只要有陌生程式要連接網路，就會出現這樣的提示：



進程以及資源佔用資訊：
掃瞄時所佔用的CPU資源


總共兩個進程，佔用的記憶體約在20mb以下



測試：
此次測試版本資訊


測試共分為三個部分：
a.自我保護測試
b.鍵盤測錄測試
c.實際樣本測試

自我保護測試：

APT 4.0:

Results:PASS ALL

測試截圖：



　




SPT:

Results:PASS ALL


鍵盤測錄測試：

ZCST 1.0.0.33:

Results:PASS

測試截圖：

　


AKLT 2.5

Results:PASS ALL

測試截圖：

　

　

　


AKLT 3.0:

Results:PASS ALL


OtherKeylog Test:

Results:PASS ALL

測試截圖：

　


實際樣本測試：

樣本a:

第一個樣本我使用幕前網路上比較常見的KAVO變種作為測試
測試的環境在特意不更新特徵碼的情況下，僅使用HIPS來防禦

執行後，樣本a試圖進入除錯模式


這力我選擇"Block Now"(阻止)


修改驅動tdi.sys，如果被些改可能導致系統無法上網


接著修改受保護的註冊表啟動項目


提示插入進程


行為攔截後的氣球提示


攔截成功，最後跳出錯誤畫面



樣本b:

樣本b來自網路傳播的病毒信件

當你執行一個沒有數位簽章的程式的時候會提示你
建議選擇"Limit"(受限)權限下執行，安全性比較高


開始調用其他的批次作業檔


之後的危險行為KIS自動阻止了


我們可以在報告看到KIS阻止了在Syetem32下的檔案生成



樣本c:

最後一個樣本來自網路，可能在奇摩家族之類的地方流傳

這裡我一樣選擇"Limit"下執行


開始執行剛被釋放的檔案


繼續執行一個新的被釋放的檔案，接下來是一連串反覆的調用






阻止了在Help下檔案的生成




優點：
1.自動模式強大，完全不需人工干預
2.掃瞄速度較7.0來的更迅速
3.系統資源佔用降低

缺點：
1.啟發引擎還有待加強
2.FD規則的編寫靈活度有待加強
3.HIPS少數已保護的部份未提供使用者自定義


結論：

今年的KIS 2009表現還算不錯，在防護上高出了KIS 7整整一個等級
首創結合網路白名單以及數位簽章來真正實現所謂的智能化HIPS
以前所謂的智能化HIPS其實還不少，F-Secure，Safe'N'Sec，Panda等都是
但只有Kaspersky做到不需要以"人工智慧"就可以更準確的自動防禦未知或已知的威脅！
利用網路白名單還有數位簽章規類應用程式的執行權限，這是一個很有創意又有效的方法
你不會因為看不懂或者沒有相關的專業知識造成使用上的困擾，因為它都幫你處理好了！

在兩年前HIPS是一個願景是一個應該嚮往的趨勢
兩年後HIPS的運用已經相當普遍了，未來的趨勢
我想應該會是雲端運算(Cloud Computing)，原理是利用分散式運算分析
目前可以看到的測試結果顯示，使用分散式運算的偵測結果偵測率幾乎都在99%以上
但還有一些問題需要克服，要到實用的階段還有一段很長的距離

Kaspersky今年除了加強緝毒引擎還有HIPS本身外，還加入了弱點偵測的功能
或許有些人不懂這有什麼用，主要是因為現在的環境使然，很多人很喜歡利用軟體漏洞進行攻擊
加上不少人沒有定期安裝安全更新的習慣，也沒有軟體漏洞的概念，所以Kaspersky透過網路資料庫
掃瞄你的應用軟體，如果是有弱點的版本它就會提示你更新，因為利用漏洞達成的攻擊例子實在是太多太多了！
只單純只依靠緝毒引擎還有HIPS，還是有可能因為利用弱點攻擊而輕易被攻破
針對這一點，Kaspersky做了一個還不錯的平衡，因為網路安全本來就不是單向的
使用者自己本身也有責任，所以請不要依賴你的防毒軟體！ (繼續閱讀...)