SpyShelter FW przeciw programom do monitorowania aktywności użytkownika
#1
Na Wildersach padła propozycja, bym przeprowadził test SpySheltera na wykrywanie "podejrzanych" akcji w popularnych i szeroko dostępnych aplikacjach do monitorowania zachowań/aktywności użytkowników...to te trzy aplikacje poniżej
Ardamax Keylogger  https://www.snapfiles.com/get/ardamaxkeylog.html

KidLogger  https://www.snapfiles.com/get/kidlogger.html

Keystroke Spy  https://www.snapfiles.com/get/keystrokespy.html



Testy robiłem na raty, a wyniki opublikowałem na forum WS (posty #214 i # 217

https://www.wilderssecurity.com/threads/...st-2840896



Teraz tylko wrzucam te surowe informacje, ale postaram się je tu jeszcze skomentować...ale to później ze względu na brak czasu teraz Smile

--------------
OK...nieco więcej informacji w temacie. SS jest znanym już dość dobrze programem zabezpieczającym, ale niewielu zapewne widziało go "w akcji" czyli jakie daje komunikaty na temat podejrzanych/niebezpiecznych akcji...czy jest dokładny, czy wykrywa wszystko lub prawie wszystko...czyli jak skuteczny jest w wykrywaniu zachowań aplikacji, które mogą naruszyć naszą prywatność lub dane. Takie testy można robić na faktycznych szkodnikach, ale celem tego testu miało być sprawdzenie, co SS podejrzanego wykrywa w aplikacjach normalnie dostępnych dla szerokiej rzeszy użytkowników...w tym wypadku w aplikacjach do kontrolowania/monitorowania aktywności użytkownika.

Ardamax Keylogger - testowana była wersja darmowa, co w rezultacie pozwala potencjalnemu jej użytkownikowi na kontrolowanie właściwie tylko klawiatury i tekstu wprowadzanego o innych aplikacji (pozostałe opcje kontroli są "wyszarzone" i nieaktywne). Zwracam na to uwagę dlatego, że po kilku minutach bez mojej żadnej aktywności nagle na ekranie wyskoczyły jeden po drugim alerty SS o próbach dostępu do kamery oraz wykonania zrzutu ekranu. Czyżby program chował w ukryciu jakieś funkcje, o których użytkownik (nawet ten instalujący taką aplikację) nie był oficjalnie poinformowany?...co więc z ewentualnie pobranym obrazem z kamery lub zrzutem ekranu?

Keystroke Spy - tu nie było zaskoczenia, jeśli chodzi rodzaj wykrywanych akcji
anty keylogging - 10
tworzenie zrzutu ekranu - 22, 23
ochrona systemu - 26, 41
firewall - 51, 56
Jedną z wykrytych akcji była próba uruchomienia procesu csrss.exe, który jest normalnym procesem systemu, ale uruchamiany z innej niż domyślna lokalizacji - jak w tym przypadku - jest traktowany i wykrywany przez AV jako backdoor. I właściwie taką rolę ten program pełni po zainstalowaniu Smile

KidLogger - sporo wykrytych akcji, bo program, choć darmowy, to oferuje sporo narzędzi do kontrolowania aktywności użytkownika
anty keylogging - 20
monitorowanie zmian schowka - 24
pobieranie tekstu z aplikacji - 25
dostęp do urządzenia do nagrywania dźwięku - 32
ochrona - 39, 51
firewall - 50, 53
Nieco zaskakujący poza tymi osobnymi akcjami było w tym przypadku alert o próbie uruchomienia (i tym samym kontroli) nad systemowym procesem vercslid.exe, który daje dostęp do interfejsu użytkownika i daje możliwość kontroli paska zadań i ekranu.

Na koniec tylko jedna uwaga jeszcze - w załączonych screenach są dwa, które dotyczą dostępnych w aplikacjach plikach LOG czyli listy wykrytej aktywności. Widać na nich - zaznaczone dodatkowo czerwoną obwódką - to, co aplikacja do kontroli przejęła z klawiatury...to same cyfry, choć był wtedy pisany normalny tekst. Te cyfry to efekty szyfrowania klawiatury, którą zapewnia właśnie SpyShelter Smile Prawdziwy tekst nie jest widoczny dla aplikacji, które próbują do przejąć.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Przeprowadziłem niedawno kolejny sprawdzian SpySheltera w wykrywaniu oprogramowania...legalnego jak najbardziej...do monitorowania pracy użytkowników na komputerze. Nie bawiąc się w eufemizmy tego typu program w systemie to zwyczajnie szpieg, bo zamiarem jego instalowania jest sekretne monitorowanie tego, co "użytkownik-ofiara" na komputerze robi, niemniej spełniają swoją rolę głównie jako programy do ochrony rodzicielskiej, choć śledzenie innych bliskich osób jest dokładnie tak samo możliwe, o czym nie wstydzi się informować producent...podobnie np.z podległymi pracownikami Smile



Cytat:Monitor Your Spouse: find out if your wife is contacting a guy via instant messenger and having an affiar later? If your husband is performing web cam xxx with some other women after you sleep in mid night? Or if your spouse is moving money to a overseas bank and preparing a divorce with you?

Monitor Your Employees: find out if your employees are stealing your company secrets? If your lazy salesman is goofing off and chatting with his girl friends during work hours? Or if the "sharks" of your company is looking for a "better place" to go?

OK...tym razem program testujący czyli nasz "szkodnik" to aplikacja SpyPal, a jej strona (stąd też powyższy cytat) poniżej


http://thinkertec.com/




Uwaga: wejście na tę stronę może wywołać ostrzeżenie przeglądarki czy zainstalowanych jej dodatków, że to niebezpieczne, ale możecie śmiało stronę otworzyć...nic stamtąd samodzielnie się do Waszych systemów nie dostanie.




A teraz o teście...oryginalny opis zamieszczony jest na Wildersach w tym poście


https://www.wilderssecurity.com/threads/...st-2868959


bo tam wyraziłem chęć jego przeprowadzenia...stąd też obrazki są z wersji angielskiej SS, ale nie powinny być trudne do rozszyfrowania, zwłaszcza z komentarzem, który poniżej.




1. Test przeprowadziłem na win 8.1, który uruchomiony był w trybie Shadow Mode (wirtualizacja przy pomocy Shadow Defender), w systemie zainstalowana była najnowsza wersja SpyShelter FW z nr 12. Program został odpowiednio przygotowany - poziom ochrony "pytaj użytkownika", SS ustawiony był też tak by sam niczego automatycznie nie blokował, ale i nie zezwalał.




2. Pierwsza wykryta akcja to modyfikacja systemowego procesu Wermgr.exe - to proces mający duże znaczenie w systemie i spore w nim możliwości, ponieważ odpowiada za zgłaszanie do MS raportów o błędach i wypadkach w systemie. Instalowana aplikacja dzięki takiemu posunięciu zachowuje się poniekąd jak szkodnik, który próbuje przejąć system


Cytat:However, before you jump to the conclusion that the process is genuine, it’s important to conduct some verifications. Nowadays, most malware programs are configured to mimic system processes with elevated privileges in order to avoid security scans, and the wermgr.exe process is one of the perfect targets.
https://appuals.com/what-is-wermgr-exe/




   




3. W następnej kolejności aplikacja po nabyciu odpowiednich uprawnień modyfikuje pliki i foldery systemowe - modyfikuje rejestr i instaluje kontrolki ActiveX



   



4. Instalacja dobiegła właściwie do końca, ale aplikacja potrzebuje jeszcze wprowadzenia zmian pozwalających jej na niekontrolowaną pracę - możliwość ustawienia hasła, zmiana w autostarcie, rejestracja usługi

   



5. Kolejny etap, to czynności które spowodują wymagane modyfikacje przeglądarki (sądzę, że chodzi o domyślną w systemie...w moim przypadku to Firefox) - aplikacja modyfikuje przeglądarkę i wymusza na niej możliwość nawiązywania połączeń, przechwytywania sygnałów klawiatury, instaluje też globalny hak...ponadto uruchamia z własnymi parametrami proces pingsender.exe. To o tyle ma znaczenie...tak sądzę...że proces ten wysyła dane telemetryczne na serwery Mozilli, a nadzór nad nim może pozwalać na przechwytywanie historii przeglądania, a tym samym stron, które użytkownik odwiedza.

   



Proces ten uruchamiany jest przy drugim...kolejnym...uruchomieniu przeglądarki i pewnie dlatego nasz "szkodnik" (SpyPal) próbuje ingerować w systemowy proces Taskkil.exe
   



6. Na koniec w uruchomionym oknie aplikacji włączamy przycisk "rozpocznij monitorowanie", co wywołuje kolejne próby modyfikacji systemu i odpowiednie komunikaty SpySheltera - monitorowanie schowka systemowego, przejęcie sygnałów z klawiszy, dostęp do urządzenia do nagrywania dźwięku
   

Jak widać SpyShelter raczej bez trudu wyłapuje istotne do instalacji i potem do działania próby modyfikowania systemu przez nawet zaawansowane aplikacje monitorujące aktywność użytkownika. To o tyle ważne, że podobne mechanizmy wykazują prawdziwe szkodniki, które w realnym życiu panoszą się po naszych komputerach.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Adguard blokuje stronę , Kaspersky cisza Grin
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości