Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Ven 29 Mar 2024 - 10:18

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 8 messages ] 
Auteur Message
 Sujet du message: Dynamic Security Agent
MessagePublié: Dim 17 Sep 2006 - 05:09 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Encore un nouveau (sorti il y a quelques mois) programme de protection système, ou HIPS, qui se montre assez intéressant :) : Dynamic Security Agent, édité par Privacyware.

http://www.privacyware.com/dynamic_security_agent.html


Le but est de se protéger de malwares qui ne seraient pas reconnus par l'antivirus, de compléter son travail en assurant une protection contre les menaces de type "zero-day" : Il n'y a aucune base de signature utilisée ici, le programme permet de bloquer les malwares en détectant simplement les "anomalies-système". Il se classe donc parmi les Process Guard, Online Armor, CyberHawk, AppDefend, System Safety Monitor, et consorts.

Ah!! :D Au fait, il est gratuit 8).

L'interface est extrêmement simplifiée :

Image


L'onglet Process Detection :

Image

Les processus listés ici sont ceux qui sont "autorisés" à se lancer, et la liste en est établie pendant que le programme est en mode "apprentissage",après son installation; la durée peut en être ajustée, ou ce mode peut être suspendu. Une fois le mode apprentissage quitté, tout nouveau processus déclenche une alerte :

Image

Cela permet d'empêcher tout malware de se lancer, si tant est qu'ils 'agisse d'un exécutable :) . C'est déjà beaucoup! :P


Mais Dynamic Security Agent dispose d'autres ressources, pour assurer la protection du système. Une fois un processus lancé, il doit passer d'autres "barrières", par exemple le programme comporte un module d'analyse des connexions :

Image

Ainsi, tout programme fraîchement autorisé à se lancer ne pourra pas accèder librement au réseau, DSA peut l'en empêcher.


Il dispose aussi d'un module d'analyse comportementale de l'activité courrier, pouvant détecter un nombre anormal d'envoi de mails, pouvant révéler la présence d'un ver, par ex.

Le plus curieux est son module de "détection d'anomalie système", analysant les statistiques d'utilisation des ressources par les différents processus du système, pour pouvoir signaler en as d'activité inhabituelle :

Image

A vrai dire, je suis un peu circonspect quant à l'efficacité réelle de cette protection :wink: , je l'ai désactivée pour l'instant.


Enfn, d'autres paramètres ne sont pas accessibles dans l'interface, mais sont couverts par DSA : Protection des clés Run dans le registre, contrôle des créations/modifications de services, accès à des objets système sensibles, etc.





Voulant évaluer un peu son efficacité pratique, je lui ai soumis différents malwares :

Note : Tous ces tests peuvent être considérés comme réussis, dans la mesure où il est possible (et fortement conseillé :lol: ) d'empêcher tous ces différents malwares de se lancer; avec DSA, il faut expréssément autoriser à se lancer tous les processus qui ne sont pas dans la "liste autorisée". A défaut, DSA leur interdit alors de s'exécuter. (cf la 3ème image supra).

Ici j'ai laissé les différents malwares s'exécuter, pour voir un peu de quelle manière il pouvait les identifier comme malicieux, et comment il réagissait lorsque ceux-ci sont déjà lancés.

* Test avec un rootkit : DSA s'en sort haut-la-main, en détectant la création du service requis par le rootkit. Une fois pressé Block, le rootkit est tué avant d'avoir pu lancer son service, et donc de pouvoir cacher des fichiers 8)

Image


* Test avec un keylogger : Ici DSA échoue, si tant est que le keylogger est autorisé à se lancer bien sûr :

Image

Bon, ç'est un keylogger, assez vicieux d'ailleurs, DSA doit avoir plus de succès avec d'autres...


* Test avec quelques Vers :

DSA n'empêche pas ceux-ci de créér des fichiers dans les répertoires système, mais empêche cependant les vers d'accéder à ces fichiers qu'ils ont eux-même créés! :lol:

Wormray

Image

(Celui-ci est en outre empêché de s'inscrire au démarrage de l'ordinateur).


Lovesan

Image


* Avec un troyen :

Image

Image


* Enfin, avec un spyware :

EDIT : Voir en dessous pour le spyware.


[strike]Je suis déçu, celui que j'ai testé ici n'a pas été bloqué.

En installant une application bidon, qui installe EDG-access, DSA n'a pas du tout détecté la création, puis le lancement de ce rootkit :?

Pour preuve, on le voit caracoler dans Icesword[/strike] :

Image



[strike]Bon, bilan mitigé, mais n'oublions pas que j'ai volontairement laissé ici le fichier de test initial s'exécuter, ce qui modère quand même la critique. Et j'ai peut-être pas non plus choisi l'exemple le plus commode, Lol[/strike].


Me reste à tester la protection contre les "drive-by-downloads", puisque la description du programme sur son site en parle comme une des caractéristiques. Je le ferai plus tard :wink:


Dernière édition par nicM le Dim 17 Sep 2006 - 16:24, édité 1 fois au total.

Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 17 Sep 2006 - 08:45 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Merci nicM.
:-)
Citer:
En installant une application bidon, qui installe EDG-access, DSA n'a pas du tout détecté la création, puis le lancement de ce rootkit

Citer:
n'oublions pas que j'ai volontairement laissé ici le fichier de test initial s'exécuter

C'est tout de même enuyeux sachant que justement que c'est souvent par l'installation d'un programme tiers (jeu ou autre gadget) que l'on contamine son ordi, donc dans ce type de cas on va autoriser l'installation, comme tu l'a fait.

Cependant il semble constituer une parade efficace dans pas mal d'autres cas.
:P

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Dim 17 Sep 2006 - 15:03 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Salut AgnesD :wink: ,

Euh, oui, en effet, j'ai été un peu bluffé de la facilité avec laquelle edgaccess s'est installé, car j'attendais une fenêtre de DSA me signalant le lancement du 2ème exécutable :? ou tout au moins une fenêtre me demandant de valider l'accès au fichier dans system32, comme avec les 2 vers...

Bon, j'ai pas pris non plus l'exemple le plus facile, hein :lol: , DSA devrait avoir plus de succès avec des spywares plus "conventionnels".

D'ailleurs c'est pareil pour le keylogger que j'ai pris, celui-là peu de programmes peuvent le bloquer :roll: , une fois lancé.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 17 Sep 2006 - 15:52 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Ah... Du nouveau avec le spyware :lol: : Je ne sais pas trop ce qui s'est passé la dernière fois, mais là DSA bloque tranquillement le rootkit...

Image

Image


Confirmé une seconde fois, avec encore un autre rootkit droppé par le spyware.

D'ailleurs, en refusant les deux accès, les fichiers sont effacés aussi sec dans System32, et les exécutables ne se lancent même pas...


Encore un autre point : Le module "Application Security" se comporte bien comme un firewall applicatif, puisque capable de détecter les connexions du spyware, donc de les empêcher :

Image


Image


Auquel cas le spyware n'est de toute façon pas capable de télécharger son rootkit :!: . Il faut accepter les connexions pour que le rootkit soit téléchargé, puis tente de s'installer (et soit bloqué).



Donc en pratique, DSA est bien capable de bloquer EDGaccess 8) :0045: C'est moi qui ai du faire une fausse manip' cette nuit :oops: (tests nocturnes à la va-vite...)

:roll:


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 21 Sep 2006 - 21:14 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Au fait, concernant les drive-by-downloads, rien de spécial avec DSA : Il protège ici encore en contrôlant les exécutions, une fois les fichiers téléchargés.

Dans le test que j'ai effectué, il n'a pas empêché un activex malveillant de s'installer (une variante de Small), mais a pu bloquer le lancement de l'exécutable par l'activex :) , donc le troyen ne s'est pas installé.

:wink:


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 18 Avr 2007 - 14:17 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Petite mise à jour :) , je l'ai réinstallé il y a peu, vraiment intéressant ce programme, on n'a pas idée de ses capacités en lisant simplement la description de ses caractéristiques sur le site de l'éditeur.

J'ai l'impression qu'ils ont intégré toutes les protections liées aux activités inter-processus que contient le firewall de Privacyware (qui lui, n'est pas gratuit), et ont simplement escamoté les options de configuration, bien moins complètes ici.

Mais ces protections restent fonctionnelles, il faut simplement les paramètrer au cas par cas, en gérant les alertes.

Je nai pas testé de leaktests contre lui, mais d'après ce que j'ai lu, il en bloque beaucoup, vraiment beaucoup, transformant de fait n'importe quel firewall un peu juste à ce niveau là en brute épaisse :lol: une fois associé à DSA, qui complémente très efficacement la tâche du firewall.


:)


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 12 Juil 2007 - 17:33 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Bonjour tout le monde :) ;

Je viens de terminer une série de tests effectués sur DSA, et un petit site a été mis en place pour la présentation des résultats :) :

http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/DSA_index.htm


Ca aura pris le temps, mais je pense que le jeu en valait la chandelle :lol: : 80 tests, comprenant des troyens, des rootkits, backdoors, vers, keyloggers, et les nouvelles "brutes épaisses" annoncées : les "kernel-hooks unhookers" :shock: .

Bilan : DSA est excellent, et ce d'autant plus qu'il s'agit d'un programme entièremment gratuit.

Note : Le site est en anglais, mais je vais traduire les deux pages principales (l'intro, et la conclusion) en français, très bientôt :wink: .

nicM


Dernière édition par nicM le Dim 15 Juil 2007 - 14:19, édité 1 fois au total.

Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 13 Juil 2007 - 10:23 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
Merci nicM :wink


Haut
 Profil  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 8 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr