03.11.2019, 15:50
Przeprowadziłem niedawno kolejny sprawdzian SpySheltera w wykrywaniu oprogramowania...legalnego jak najbardziej...do monitorowania pracy użytkowników na komputerze. Nie bawiąc się w eufemizmy tego typu program w systemie to zwyczajnie szpieg, bo zamiarem jego instalowania jest sekretne monitorowanie tego, co "użytkownik-ofiara" na komputerze robi, niemniej spełniają swoją rolę głównie jako programy do ochrony rodzicielskiej, choć śledzenie innych bliskich osób jest dokładnie tak samo możliwe, o czym nie wstydzi się informować producent...podobnie np.z podległymi pracownikami 
OK...tym razem program testujący czyli nasz "szkodnik" to aplikacja SpyPal, a jej strona (stąd też powyższy cytat) poniżej
Uwaga: wejście na tę stronę może wywołać ostrzeżenie przeglądarki czy zainstalowanych jej dodatków, że to niebezpieczne, ale możecie śmiało stronę otworzyć...nic stamtąd samodzielnie się do Waszych systemów nie dostanie.
A teraz o teście...oryginalny opis zamieszczony jest na Wildersach w tym poście
bo tam wyraziłem chęć jego przeprowadzenia...stąd też obrazki są z wersji angielskiej SS, ale nie powinny być trudne do rozszyfrowania, zwłaszcza z komentarzem, który poniżej.
1. Test przeprowadziłem na win 8.1, który uruchomiony był w trybie Shadow Mode (wirtualizacja przy pomocy Shadow Defender), w systemie zainstalowana była najnowsza wersja SpyShelter FW z nr 12. Program został odpowiednio przygotowany - poziom ochrony "pytaj użytkownika", SS ustawiony był też tak by sam niczego automatycznie nie blokował, ale i nie zezwalał.
2. Pierwsza wykryta akcja to modyfikacja systemowego procesu Wermgr.exe - to proces mający duże znaczenie w systemie i spore w nim możliwości, ponieważ odpowiada za zgłaszanie do MS raportów o błędach i wypadkach w systemie. Instalowana aplikacja dzięki takiemu posunięciu zachowuje się poniekąd jak szkodnik, który próbuje przejąć system
3. W następnej kolejności aplikacja po nabyciu odpowiednich uprawnień modyfikuje pliki i foldery systemowe - modyfikuje rejestr i instaluje kontrolki ActiveX
4. Instalacja dobiegła właściwie do końca, ale aplikacja potrzebuje jeszcze wprowadzenia zmian pozwalających jej na niekontrolowaną pracę - możliwość ustawienia hasła, zmiana w autostarcie, rejestracja usługi
5. Kolejny etap, to czynności które spowodują wymagane modyfikacje przeglądarki (sądzę, że chodzi o domyślną w systemie...w moim przypadku to Firefox) - aplikacja modyfikuje przeglądarkę i wymusza na niej możliwość nawiązywania połączeń, przechwytywania sygnałów klawiatury, instaluje też globalny hak...ponadto uruchamia z własnymi parametrami proces pingsender.exe. To o tyle ma znaczenie...tak sądzę...że proces ten wysyła dane telemetryczne na serwery Mozilli, a nadzór nad nim może pozwalać na przechwytywanie historii przeglądania, a tym samym stron, które użytkownik odwiedza.
Proces ten uruchamiany jest przy drugim...kolejnym...uruchomieniu przeglądarki i pewnie dlatego nasz "szkodnik" (SpyPal) próbuje ingerować w systemowy proces Taskkil.exe
6. Na koniec w uruchomionym oknie aplikacji włączamy przycisk "rozpocznij monitorowanie", co wywołuje kolejne próby modyfikacji systemu i odpowiednie komunikaty SpySheltera - monitorowanie schowka systemowego, przejęcie sygnałów z klawiszy, dostęp do urządzenia do nagrywania dźwięku
Jak widać SpyShelter raczej bez trudu wyłapuje istotne do instalacji i potem do działania próby modyfikowania systemu przez nawet zaawansowane aplikacje monitorujące aktywność użytkownika. To o tyle ważne, że podobne mechanizmy wykazują prawdziwe szkodniki, które w realnym życiu panoszą się po naszych komputerach.
Cytat:Monitor Your Spouse: find out if your wife is contacting a guy via instant messenger and having an affiar later? If your husband is performing web cam xxx with some other women after you sleep in mid night? Or if your spouse is moving money to a overseas bank and preparing a divorce with you?
Monitor Your Employees: find out if your employees are stealing your company secrets? If your lazy salesman is goofing off and chatting with his girl friends during work hours? Or if the "sharks" of your company is looking for a "better place" to go?
OK...tym razem program testujący czyli nasz "szkodnik" to aplikacja SpyPal, a jej strona (stąd też powyższy cytat) poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Uwaga: wejście na tę stronę może wywołać ostrzeżenie przeglądarki czy zainstalowanych jej dodatków, że to niebezpieczne, ale możecie śmiało stronę otworzyć...nic stamtąd samodzielnie się do Waszych systemów nie dostanie.
A teraz o teście...oryginalny opis zamieszczony jest na Wildersach w tym poście
[Aby zobaczyć linki, zarejestruj się tutaj]
bo tam wyraziłem chęć jego przeprowadzenia...stąd też obrazki są z wersji angielskiej SS, ale nie powinny być trudne do rozszyfrowania, zwłaszcza z komentarzem, który poniżej.
1. Test przeprowadziłem na win 8.1, który uruchomiony był w trybie Shadow Mode (wirtualizacja przy pomocy Shadow Defender), w systemie zainstalowana była najnowsza wersja SpyShelter FW z nr 12. Program został odpowiednio przygotowany - poziom ochrony "pytaj użytkownika", SS ustawiony był też tak by sam niczego automatycznie nie blokował, ale i nie zezwalał.
2. Pierwsza wykryta akcja to modyfikacja systemowego procesu Wermgr.exe - to proces mający duże znaczenie w systemie i spore w nim możliwości, ponieważ odpowiada za zgłaszanie do MS raportów o błędach i wypadkach w systemie. Instalowana aplikacja dzięki takiemu posunięciu zachowuje się poniekąd jak szkodnik, który próbuje przejąć system
Cytat:However, before you jump to the conclusion that the process is genuine, it’s important to conduct some verifications. Nowadays, most malware programs are configured to mimic system processes with elevated privileges in order to avoid security scans, and the wermgr.exe process is one of the perfect targets.
[Aby zobaczyć linki, zarejestruj się tutaj]
3. W następnej kolejności aplikacja po nabyciu odpowiednich uprawnień modyfikuje pliki i foldery systemowe - modyfikuje rejestr i instaluje kontrolki ActiveX
4. Instalacja dobiegła właściwie do końca, ale aplikacja potrzebuje jeszcze wprowadzenia zmian pozwalających jej na niekontrolowaną pracę - możliwość ustawienia hasła, zmiana w autostarcie, rejestracja usługi
5. Kolejny etap, to czynności które spowodują wymagane modyfikacje przeglądarki (sądzę, że chodzi o domyślną w systemie...w moim przypadku to Firefox) - aplikacja modyfikuje przeglądarkę i wymusza na niej możliwość nawiązywania połączeń, przechwytywania sygnałów klawiatury, instaluje też globalny hak...ponadto uruchamia z własnymi parametrami proces pingsender.exe. To o tyle ma znaczenie...tak sądzę...że proces ten wysyła dane telemetryczne na serwery Mozilli, a nadzór nad nim może pozwalać na przechwytywanie historii przeglądania, a tym samym stron, które użytkownik odwiedza.
Proces ten uruchamiany jest przy drugim...kolejnym...uruchomieniu przeglądarki i pewnie dlatego nasz "szkodnik" (SpyPal) próbuje ingerować w systemowy proces Taskkil.exe
6. Na koniec w uruchomionym oknie aplikacji włączamy przycisk "rozpocznij monitorowanie", co wywołuje kolejne próby modyfikacji systemu i odpowiednie komunikaty SpySheltera - monitorowanie schowka systemowego, przejęcie sygnałów z klawiszy, dostęp do urządzenia do nagrywania dźwięku
Jak widać SpyShelter raczej bez trudu wyłapuje istotne do instalacji i potem do działania próby modyfikowania systemu przez nawet zaawansowane aplikacje monitorujące aktywność użytkownika. To o tyle ważne, że podobne mechanizmy wykazują prawdziwe szkodniki, które w realnym życiu panoszą się po naszych komputerach.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"