вопрос по синтетическому тесту

[Umnik 1 280]

 

 

почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции?

CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него.

 

 

и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает.

Да. Но я не знаю, на что именно смотрит HIPS, т.к. не работал с ним уже несколько лет.

[ossa 12]

CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него

 

к сожалению, это не так. драйвер нужен для имитации установки руткитов. для имитации изменения списка системных модулей KnownDlls он вообще не нужен. на скрине запуск clt.exe вообще с удалённым драйвером. тест проходится нормально, только в двух пунктах ошибки и та же уязвимость остаётся

[Umnik 1 280]

Скину тестировщику ещё раз, значит.

[ossa 12]

вот сейчас разрешил права отладчика и во втором случае дал возможность для установки руткита, но из-за отсутствия драйвера также вылетела ошибка

[ossa 12]

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

драйверы может загружать и запускать любое приложение. работа самого драйвера не контролируется HIPS, потому что отдельного процесса у драйвера нет. драйвер может создавать отдельный поток в процессе, либо работать в системном потоке процесса System, так функционируют системные драйверы. ни о каких проверках, о которых вы говорите, я не слышал. если приложение не является доверенным и пытается загрузить драйвер, обычно на такое действие реагируют HIPS известных антивирусных продуктов.

программный драйвер - это просто посредник между программой и аппаратными обеспечением устройства. без него программа просто не сможет выполнять свои функции. посредством такого микроприложения программа взаимодействует с нужным устройством. то есть действия приложения - это будут не действия драйвера, а действия процесса, в который это приложение запущено.

Изменено 9 октября, 2018 пользователем ossa

[Umnik 1 280]

 

 

драйверы может загружать и запускать любое приложение.

 

 

обычно на такое действие реагируют HIPS

Это раз.

 

https://social.technet.microsoft.com/Forums/azure/en-US/00b94d4c-a2fe-4d0b-819a-1d02ea615f94/vulnerability-in-process-explorers-driver?forum=procexplorer

Это два

//как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение.

[ossa 12]

Это раз.   https://social.techn...um=procexplorerЭто два

я говорил не о подключении к драйверу удалённо при помощи повышения привиллегий, а о загрузке и запуске драйвера неизвестным приложением.

//как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение

 

c Windows не так скучно жить

Изменено 9 октября, 2018 пользователем ossa

[Friend 1 247]

@ossa, думаю можете проверить ситуацию с 2020 версией.

[Umnik 1 280]

Мне ответили по этому запросу.

Автор ответа извинился, что сказал про доверенный драйвер. Он прочёл вопрос по диагонали и дал шаблонный ответ После повторного письма разобрался и дал правильный ответ.

 

В общем, ситуация такая. Библиотека clt, которая у нас висит в доверенных (как я понял из ответа), пытается прописать доверенную же advapi32.dll, которая подписана подписью MS. Таким образом доверенная библиотека прописывает доверенную библиотеку — детект не прилетает.

 

Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи.

Изменено 22 октября, 2018 пользователем Umnik

[ossa 12]

@Umnik, 

опять неувязка налицо. библиотека advapi32.dll вообще на семёрке без подписи, а библиотека проги clt вообще в KSN неизвестная

 

[Umnik 1 280]

Я ХЗ что там пишет Виндовс в табах свойств. Когда занимался тестированием под Windows, то никогда не проверял, что он там пишет. Есть специальные утилиты: https://docs.microsoft.com/en-us/windows/desktop/seccrypto/using-signtool-to-verify-a-file-signatureПроверь ею.

И дай хеш либы clt

[ossa 12]

@Umnik,

да advapi32.dll доверенная в облаке. но это тут нипричём. вы понимаете, что если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится??? алерт всё равно будет, и его отменить невозможно. но алерта именно на данное действие - попытку изменить список системных модулей KnownsDll, на семёрке нет!

хэш clt.exe SHA1 - 519C595797B293F4977654C8C61AE80DC735B703

Изменено 23 октября, 2018 пользователем ossa

[Umnik 1 280]

 

 

если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится???

Ну, как оказалось, не так просто. В данном случае идёт замена доверенной библиотеки доверенной же библиотекой. Одна либа, которая зелёная в облаке, прописывает другую, которая вообще с подписью MS, вроде как. KIS это поведение разрешает.

 

Хеш не clt, а его библиотеки.

[ossa 12]

 

 

удалил эту либу из папки clt и протестировал. эта длл-ка для теста KnownDlls вообще не нужна. она нужна для теста на создание удалённого потока

хэш либы dll.dll    SHA1 - 423875D5A406DACE6F09E0C0BD5A280C33DD0ADC

[Umnik 1 280]

Фффф. Парни, спросите на оффоруме в разделе бета-тестирования и ответ тут напишите Так будет правильнее. А то получается, что я отвлекалю людей от проекта со своими вопросами и при этом я вообще не участник этого проекта и понятия не имею, что и как там сейчас работает.