Какой фаервол лучше?

Тема в разделе "WASM.HEAP", создана пользователем Guest, 2 дек 2005.

  1. Guest

    Guest Guest

    Публикаций:
    0
    Существуют ли на данный момент фаерволы, максимально защищающие камп?
     
  2. _CC

    _CC New Member

    Публикаций:
    0
    Регистрация:
    27 апр 2005
    Сообщения:
    52
    Каждый сам для себя решает.. А вообще - Oupost.. )) Только не надо думать, что это даст абсолютную защиту "кампа"..
     
  3. Black_mirror

    Black_mirror Active Member

    Публикаций:
    0
    Регистрация:
    14 окт 2002
    Сообщения:
    1.035
    _CC

    Я как то попробовал поставить Outpost, в результате это увеличило в 5 раз траффик, так как из строки Accept-Encoding HTTP-запроса Outpost удалял слово gzip.

    В общем обошлось мне это удовольствие в несколько сотен рублей, что больше чем ущерб от всех вирусов, когда либо живших на моём компе 8)
     
  4. _CC

    _CC New Member

    Публикаций:
    0
    Регистрация:
    27 апр 2005
    Сообщения:
    52
    2Black_mirror:

    Забавно.. )) Но файер все-таки нужен хотя бы для защиты снаружи; если ты уже что-нибудь подцепил он не поможет..
     
  5. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.300
    Адрес:
    Ukraine
    Black_mirror

    Так-таки 5 раз? А ключик в реестре поправить?
     
  6. Black_mirror

    Black_mirror Active Member

    Публикаций:
    0
    Регистрация:
    14 окт 2002
    Сообщения:
    1.035
    _CC

    Кроме оутпоста никакой гадости больше не было, а трафик вырос именно из-за него, так как то что раньше IE получал упакованным, стало приходить в распакованном виде, чтобы этот "фаервол" мог там что-то вредоносное найти. Но самым вредоносным оказался он сам.



    IceStudent

    Ну по субъективным ощущениям в 10 8)

    Что за ключик?
     
  7. CyberManiac

    CyberManiac New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2003
    Сообщения:
    2.473
    Адрес:
    Russia
    ZoneAlarm в свое время был неплох, сейчас не знаю, т.к. поменял ось :)
     
  8. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.300
    Адрес:
    Ukraine
    Black_mirror
    Код (Text):
    1. [HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum\Outpost Firewall]
    2. "EnableGzipEncoding"=dword:00000001
     
  9. cresta

    cresta Active Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    2.257
    У меня BlackIce в одиночестве (без каких-либо антивирусов) уже 10 месяцев поддерживает порядок. Никакого левого траффика.
     
  10. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    В качестве защиты от троянов ни один фаерволл негоден, а по сумме признаков возможности/удобство/защита лучше всего подходит оутпост, вот я им и пользуюсь.

    Хотя оутпост обходиться довольно простым кодом.
     
  11. Avoidik

    Avoidik New Member

    Публикаций:
    0
    Регистрация:
    29 дек 2004
    Сообщения:
    288
    Адрес:
    Russia
    майн "камп", лол
     
  12. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Black_mirror

    Спасибо тебе за эту информацию:) а не мог определить почему у меня данные не в gzip, хотя есть Accept-Encoding: gzip, deflate (null).

    IceStudent

    И тебе спасибо:)

    Ну а топикстартеру скажу, что зря он создал такую тему, не получит он адекватного ответа на свой вопрос, всё разговоры сведутся к флейму.

    По сущности вопроса.

    ZwConnectPort

    ZwCreateFile

    ZwCreateKey

    ZwCreateProcess

    ZwCreateProcessEx

    ZwCreateSection

    ZwDeleteFile

    ZwDeleteKey

    ZwDeleteValueKey

    ZwDuplicateObject

    ZwLoadDriver

    ZwLoadKey

    ZwMapViewOfSection

    ZwOpenFile

    ZwOpenProcess

    ZwOpenThread

    ZwReplaceKey

    ZwRequestWaitReplyPort

    ZwRestoreKey

    ZwSecureConnectPort

    ZwSetInformationFile

    ZwSetSystemInformation

    ZwSetValueKey

    ZwTerminateProcess

    ZwUnloadDriver



    Эти функции перехватывает зонеалярм, патчем sdt,

    причем он не перехватывает ntwritevirtualmemory, как агнитум, они что распределили это?



    Вобще, нет сейчас адекватной системы, в принципе и быть не может.
     
  13. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"


    Уже связался.





    А он делает хитрее. Он перехватывает ZwOpenProcess и ZwCreateProcess. Чтобы писать в память процесса нужно сначала получить его хэндл, а вот зоналарм хрен даст это сделать.

    Зоналарм на параноидальных настройках трудно обойти так, чтобы это не требовало перезагрузки компа, но к счастью на этих настройках им совершенно невозможно пользоваться, поэтому шкурка не стоит выделки.

    А если говорить о обходе зоналарма вобще, то решение проблемы - загрузиться раньше службы зоналарма.

    Как это сделать я думаю догадается каждый у кого есть мозг.
     
  14. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Ну скажем так - при параноидальных настройках из ринг 3,

    а что-бы получить ринг0 нужен драйвер (ZwLoadDriver) или

    работать с \Device\PhysicalMemory (

    ZoneLabs перехватывает

    ZwMapViewOfSection, так, что финт с NtCreateSymbolicLinkObject не пройдет (а такой был в phrack 59-0x10).

    Обработчик ставит seh-обработчик, проверяет предыдущий режим (_ExGetPreviousMode())

    и ZwQueryObject, приводится имя обьекта к одинаковому регистру, после RtlEqualUnicodeString()

    )

    ничего особо не сделаешь:) Хотя можно установить драйвер,

    но не стартовать его (т.к. ZwLoadDriver) сразу, а дождаться следущей перезагрузки.



    Вообще можно долго говорить, что лучше и что хуже,

    но лучше пойду чаю с молоком попью:)
     
  15. Guest

    Guest Guest

    Публикаций:
    0
    Тоесть ZoneAlarm обходится только после перезагрузки системы?

    А есть ли универсальный метод по блокировки фаелвола программно?
     
  16. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Ты абываешь то, что драйвер можно установить и запустить с помошью SCM. При этом ZwLoadriver будет вызван процессом services.exe который обычно загружает драйвера с типом старта SERVICE_AUTO_START.

    И тут есть один момент, если в системе есть хоть один драйвер с таким типом старта который стартует позже службы зоналарма, то зоналарм даже не предупредит о попытке загрузки драйвера, а если и предупредит - то юзер разрешит загрузку драйверов системному процессу.

    Короче говоря, через SCM удается стартануть драйвер сразу в 99% случаев.



    Если говорить об обхода фаерволла в чистом юзермоде, то можно например прописать длл в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify и эта длл будет загружена раньше сервиса фаерволла. Затем нужно установить хук на ZwCreateThread и при срабатывании (если создается тред в другом процессе) делать инжект в него и устанавливать такой хук и там. Таким образом можно проинжектить код во все службы и пользовательские процессы, ну а дальше делаем перехват connect, и при удачном результате можем отправлять данные из процесса имеющего доступ в сеть.

    Я реализовал эту методику в юзермодном рутките, и он неплохо уживается с зоналармом.



    Есть метод обхода зоналарма и без перезагрузки системы, но его приводить не буду, сами догадайтесь.



    Короче говоря, зоналарм еще не может претендовать на звание непробиваемой изнутри защиты.
     
  17. Guest

    Guest Guest

    Публикаций:
    0
    Ms Rem

    Тогда вопрос такого плана: что если юзер залогинился через режим гостя? Можно ли в этом режиме устанавливать серсисы?

    Если я не ошибаюсь двайверы, как и сервисы ехе можно ставить только в режиме администратора?
     
  18. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    В этом случае есть два пути:

    1) Повысить привилегии через дырявые сторонние приложения (антивирус Касперского, программы защищенные фемидой или старфорсом и.т.д)

    2) Обойти зоналарм в юзермоде с помощью инжекта в довереный процесс, сделать это можно.



    Статистика показывает, что более 95% пользователей сидят под админом, поэтому повышение привилегий в настоящее время малоактуально (реализуется тяжело, а прибавки к ботнету почти никакой не даст).

    Так что сидя под гостем можно быть на 90% увереным в своей защищенности.
     
  19. Guest

    Guest Guest

    Публикаций:
    0
    сидя под гостем можно быть на 90% увереным в своей защищенности

    т.е. твой руткит, допустим, не запуттится после перезагрузки?



    Обойти зоналарм в юзермоде с помощью инжекта в довереный процесс, сделать это можно

    Практика показала, что этот метод отжил



    И еще вопрос по повышению привилегий. Это делается при помощи SAM-файлов?
     
  20. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"


    Отжили только его реализации, а сам метод живее всех живых и до сих пор позволяет обойти ЛЮБОЙ фаерволл (даже зоналарм).

    Конечно этот метод ограничен в применении, основное его применение - скачка файлов и отправка каких-либо данных через http. Тоесть это в основном довнлоадеры и парольные трояны. А для более серьезных вещей уже нужны драйвера а значит и права администратора.





    SAM файлы тут совсем непричем. Тут используются баги в софте. Например антивирус Касперского имеет довольно много разных уязвимостей которые позволяют выполнить код с правами system, достаточно лишь внимательно поискать на багтраке. Также есть различные левые службы и драйвера которые могут содержать уязвимости. Например драйвер протектора Themida открывает любому обратившемуся к нему процессу доступ к IDT, а как это использовать я думаю понятно.

    Также существует множество программ которые с правами гостя просто не работают, и их приходиться запускать от админа с помощью RunAs. В этом случае перехват CreateProcessWithLogonW (для готорого хватит прав гостя) позволит узнать пароль администратора.

    Короче к этому делу нужно приложить лишь немножко фантазии, но пока что в этом необходимости нет. Если хотя-бы 20% пользователей будут сидеть с правами гостя, то в троянах быстро появятся механизмы для повышения привилегий.