AntiMalware 發表HIPS阻止進入Ring 0測試

AntiMalware日前發表了一項有趣的測試
測試了六款HIPS對付病毒進入Ring 0的測試
這幾款HIPS均俱備強勁的AD保護
不像更早之前Virus.GR那不知所云的
HIPS與AntiVirs及ScanTools的大雜燴(須註冊)



AntiMalware測試所使用的樣本出自WildList
均為真正流行於這個世界的活體病毒樣
測試HIPS能否有效阻止樣本獲得Ring 0權限！



是這樣的，x86 CPU一般把執行等級分為四級
分別為ring 0、ring 1、ring 2、ring 3
其中ring 0的優先權最高，反之ring 3最低
一般OS kernel以及裝置設備的驅動均在ring 0
而我們一般使用的應用程式均在ring 3
一般我們如果要取得ring 0權限
可以透過撰寫品質不優良的驅動
或者是利用OS的漏洞取得ring 0

通常當病毒或者是有心人士
進入ring 0後，理論上可以做任何事情
包括任意把具有超強自我保護的安全軟體輕易終結的能力
所幸大部分的HIPS軟體普遍均能夠在第一時間檢測該行為


此測試在VMWare Wks 6.0平台下進行
測試的六款HIPS如下：

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477


測試使用九種Ring 0樣本
測試結果如下：




最後AntiMalware評選出最佳kernel level保護的有：
OA 3.0、CIS 3.8、KIS 09

而提示最少的有：
KIS 09、PC Tools 5.0、OP 6.5


其中只有KIS 09取得了最佳的平衡
我不清楚AntiMalware的設定是如何
因為在技術上KIS 09的AD可以阻止目前這些已知的Ring 0樣本
不排除可能是自動與手動操作模式之間的差別

最後KIS 09確實是一套非常強悍的安全軟體
想瞭解KIS 09智能化如何實現可以參閱以前的文章
更早以前的評測文章也推薦參考一下 (繼續閱讀...)

PCTools FireWall 在Matousec 13項新測試程式結果！

PCTools FW算普遍多人使用的一款優質且又有中文介面的防火牆
由於加入了HIPS Module所以能在Matousec取得很高的成績
操作上算還不錯，可惜訊息還不夠詳細，之後可以加強這一方面的提示！


結果：

Level 3：Kernel1
Level 4：Kernel1b
Level 5：Kernel2, Kernel3, Crash4
Level 6：Kernel4, Crash5, Crash6
Level 7：FireHole2, Kill12
Level 8：Kernel4b, Kernel5
Level 9：Crash7

PCTools FW掛了全套的Kernel繞過測試，表現比起KIS 8還有CIS 3.5就沒那麼好了
不過這樣的表現還是直得鼓勵一番！ (繼續閱讀...)

終於讓我找到一個過TF 3.5的樣本

前幾天介紹過的ThreatFire 3.5剛剛我發現了一個它攔截不了的樣本
這個是樣本是從AVPClub樣本區找來的樣本

我一開始使用TF測試，運行後TF沒有反映
過沒幾秒的時間系統就出現CPU使用率標高的問題
雖然還是出現了兩次警告，但系統文件還是遭到破壞...


KIS 8.0的攔截情形：
運行之後試圖執行"自我安全教育-必看.exe"


"自我安全教育-必看.exe"試圖運行6.exe



再度創建了2.bat並試圖執行它


發現explorer.exe試圖修改受保護的註冊表


執行console ime


KIS 8.0自動攔截下來惡意行為
在windows下生成兩個檔案

2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.dll Denied: KLSystemData/KLSystemFiles/SystemDll

TF的攔截情形：
解壓縮還原之後要運行6.EXE


真正攔截到的只有這個B41346EFA848.DLL而已，少了很多KIS 8.0攔截到的行為


樣本雖然被隔離，TF並要求重新開機
進入關機階段時，螢幕忽然飄過了檔案遺失的視窗
重開機之後果然出了問題，系統再也無法進入桌面！

由於TF的系統開不了機了，我也無法查看LOG
所以實際上TF是漏了什麼？我還需要一點時間分析才能知道答案 (繼續閱讀...)

ThreatFire 3.5.0.21 釋出

ThreatFire又出了新版了,版本為3.5.0.21
是ThreatFire的一個重要更新,改進了不少問題
是一套免費智能型HIPS,我們可以把ThreatFire作為我們防毒軟體的後端
如果防毒軟體失靈的時候,我們還可以靠ThreatFire的應用程式分析來擋下病毒

Some important info
1. Auto-update will not be activated for 24hrs or so.
2. If you decide to upgrade manually, and you have custom rules, pls save the General.dat file to another place. Uninstall 3.0.14.16, then install 3.5.0.21, then ... replace the General.dat file with the one you saved. When auto-updates is turned on the process will be seamless, and you will not need to take this extra step to preserve your custom rules.

1. New Security Status main GUI
a.Tabbed selection of Protection Statistics and Worldwide Detection
b.Worldwide Detection map with recent prevalent malware/adware hits.
2. Advanced Tools
a.Tabbed selection of System Activity Monitor and Advanced Rule Settings.
b.System Activity Monitor with ability to kill or look up a process
3. Enhanced Alert Dialog.
a.Provide technical information similar to Protection Log detailed view.
b.Deny option available for custom rules.
c.Custom Rules alert dialog is now blue.
d.New radio button selection.
4. User Options for default alert handling.
a.When a suspected threat is detected.
b.When adware is detected
c.When known malicious threat is detected.
5. Suspend mode, will pause scanning.
6. Better uninstall
7. AV Scanning available in free version.
8. Rules
a.Improved MBR infection detection.
b.Improved trusted program detection.
9. Improved data gathering for trusted processes
10. Improved German txt
11. VMWare and UltraVNC fixes

3.5比較重要的幾個地方,主畫面加入了世界威脅偵測情況
系統活動監控,進階規則設定,加強的提示對話框
現在提示對話框可以直截查詢惡意行為,而不用想舊版一樣只能事情結束後由Log得知
這版也改善了反安裝能力,並加入更多能夠偵測的行為,而且免費版也能夠使用引擎掃瞄病毒了!

新加入的世界威脅偵測知訊


新加入的系統活動監視


隨便運行一個樣本,這是新小浩病毒
TF 3.5在這個樣本的表現還不錯,改良過的對話框提示也比以前方便清楚了許多

按下詳細行為後會跳出這個行為視窗
舊版的TF雖然也有,但是你只能在Log中查詢,並不能在出現對話框的同時得知其行為

風險指數:非常高


惡意程式類型應該是個木馬病毒,還有一些接近廣告軟體的行為
(繼續閱讀...)

ThreatFire 3.0.8.0推出

之前介紹過的ThreatFile在幾天前出了新的3.0.8.0beta
不清楚修正了哪些問題 (繼續閱讀...)

Release of PC Tools Firewall v3.0.0.36

PC TOOLS他們在今天推出了新版本的PC Tools Firewall
是免費的,以一套免費軟體而言,它在LeakTest的評測上表現還不錯,而且有中文介面
有興趣的人可以參考AVPClub的介紹文章 (繼續閱讀...)

Cyberhawk 3.0beta開始測試

Cyberhawk 3.0beta開始測試

Cyberhawk由於被PC Tools收購的關係,目前已經改名為ThreatFire

3.0看起來有比較讓人激賞的功能有免費版開放rootkit scan以及自定一規則,這部分以前只有pro版有
而pro版則增加了PC Tools的緝毒引擎

介面更換了,但是操作方式並沒有改變


使用最近流行的小浩病毒來進行測試,成功阻擋






ThreatFire剛剛簡單的測試一下,防禦又更加強了
而且AD會把威脅生成的副程序鎖定,這個是以前版本所看不到的防護效果
看來又更上一層樓了,等出了正式版再來看他把以前2.04的問題解決了沒有 (繼續閱讀...)

Norton AntiBot被徹底的過了

原本只是單純的在測試Panda 2008的Truprevent功能
因為這個功能在Panda 2007 11.00.02(不含)後就失效了
我曾經回報過這個問題,所以我就試看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的已知病毒防護下系統被瓦解
並且再啟不能!

以下是賽門鐵克對黑色炸彈的資訊
http://www.symantec.com/security ... 4515-99&tabid=2

Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot

首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的


直接運行樣本,檔案馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中


桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言


打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了



接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上


最後提示重新啟動系統


我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)



重開機後系統還是掛了...


Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並不算罕見,而且破壞力又高

然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為


等級評定為非常危險

告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作


然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了


刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤


結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的

Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇! (繼續閱讀...)

Cyberhawk Pro 免費申請

原本的Cyberhawk Pro是付費的，而Free版是免費的
現在Novatix為了推銷Cyberhawk Pro現在開放免費申請

Pro跟Basic(功能精簡免費版)的差異在於多了電話與線上支援、允許商業環境使用、能夠移除或隔離惡意軟體、支援rootkit掃描、進階的程式設定選項、進階自訂規則功能、網頁威脅報告功能這些basic版所缺乏的實用功能

Cyberhawk Pro是我用過許多智能化HIPS中表現僅次於犀牛的

何謂智能化？
已往的HIPS軟體是將攔截到的程式行為提示，然後由使用者決定是否必須放行或是阻止
在傳統的HIPS裡這一部份全部必須建立一套規則，否則當程式一出現新的動作，就必須再加入一遍！

所以大部分時候是非常的煩人，所以現在就會出現一種另一種形態HIPS軟體
它們將一些安全的行為過慮，自行制定了一套安全規則，如果跨過這道底線
否則他是不會出現提示的！我試用這套一段時間了，如果搭配一套免費的防毒軟體
那可以更有效的防範未知病毒的侵襲！

現在由於能夠合法的免費使用Pro版，所以我在這邊推薦給各位使用！ (繼續閱讀...)