Увидел анонс нового хипса на форуме malwaretips. Поглядел, вроде наши разрабы. Заявляют, что работает совсем без хуков ядра, используя только виндовые возможности из коробки. Сейчас раздают на халяву полную версию на год. Кто-нибудь сталкивался с продуктом?
Сайт: https://rehips.com

| Сообщение посчитали полезным: TryAga1n, Gideon Vi, HandMill

Recrypter

Изначально я думал что у вас стандартный км сервисный фильтр. Его я могу разобрать. Я поставил вашу поделку на вм, на XP не устанавилось, стало на 7. Элементарный скан гмером не обнаружил км фильтров - изучать нечего, это юзермод поделка. Хотя у вас в каталоге есть какой то дров, но опять же - фильтров нет, нет обьекта для анализа. Вы опубликовали очередной факав!

Юзер же механизмы контроля - инжекты с процесса в процесс для меня интереса не представляют, это обычные уг механизмы выживания в ос малварки.

-----
vx

| Сообщение посчитали полезным:

Вы правы, ядерных хуков там нет, это и на сайте написано.
Поддерживаемые версии Windows-это Vista SP1+, включая серверные, включая x64.
Если Вы считаете, что всё так просто-попробуйте обойти, Вы будете удивлены.

| Сообщение посчитали полезным:

Recrypter
Вопрос: Как Вы int 2E запретите? )

-----
IZ.RU

| Сообщение посчитали полезным: difexacaw

Никак. И не собираемся запрещать.

| Сообщение посчитали полезным:

Так я любой сервис могу вызвать. Запускается гмер, ваша тулза его не блочит, только запуск(очевидно через обычный инжект, но можно отладчик прицепить но не интересно) . Я через нэйтив могу загрузить свой дров или любое действие в системе выполнить - вы это не лочите. Могу исполняться в контекте вашего процесса, Олли его отлично аттачит, а значит никакой защиты нет, это фейк.
Можно копнуть глубоко, но в данном случае это бессмысленно, позорная поделка, главное что гуй годный и все уверуют лол.

-----
vx

| Сообщение посчитали полезным:

Это HIPS, при старте новых процессов он спрашивает, что с процессом делать. Запуск в изоляции-это песочница. Видимо, обход-это выйти из песочницы. А из песочницы драйвер не загрузить.

| Сообщение посчитали полезным:

Recrypter

Нет там никакой песочницы, вы соврали про чисто юзермод. Ваша поделка посылает помимо бесконечного числа соккетных IOCTL запросы к device\ReHIPSDrv, а это обычный монитор процессов(PsSetCreateProcessNotifyRoutine()).
Механизм прост - из кернел нотифи сообщение шлётся в серверный процесс и выводится гуй. Зачем там соккеты юзать и криптоапи, вероятно скрытые возможности(палевный импорт - прямо как у винлокеров), это снифером послушать надо
Обходы - можно взять ваш этот дров и посмотреть обработчик IOCTL, в простейшем случае. Почему оно не блочит запуск приложений с повышенными правами - видимо баг.

> Запуск в изоляции-это песочница.

Изоляция невозможна, без полноценной кернел сервисной фильтрации. Можно напрямую прибить ваш процесс или даже в него загрузиться, это не блокируется, так как отсутствует механизм сервисной фильтрации.
Ну для анализа подобного софта есть даже штатные мощные тулзы, трасевьюв к примеру

-----
vx

| Сообщение посчитали полезным:

А я нигде и не обещал, что у нас чисто юзермод, Вы что-то путаете. Оно спрашивает про запуск любых процессов, стало быть и блокировать процессы тоже может любые.
Смотреть драйвер или нет, это Вам виднее. Вы же обещали обход на этой неделе.

| Сообщение посчитали полезным:

Recrypter

Я не вижу обьекта для обхода. Это простой нотификатор на создание процессов. Сервисы можно вызывать любые. Вам уже сказали выше про Int 2e.
А зачем кстате гуй показывать при запуске процессов - юзер сам выбирает что запускать, зачем его уведомлять. Всё равно ваша поделка инфу никакую не даёт про принятие решения, запускать или нет. Система сама у меня при запуске спрашивает, есчо больше окон ?

Добавлено спустя 12 минут
> Смотреть драйвер или нет, это Вам виднее.

Для серьёзной защиты, для крупных ав имеет смысл ручной разбор, как это делалось для клифа например, это полноценная защита. Для потока обычного не значительного и сомнительного софта это особо смысла не имеет, так как это занимает кучу времени. Обычно делается иначе - посылается поток IOCTL если это дров, рандомных(фаззинг) и ожидается системный крэш, далее анализится минидамп. Обход в пододных случаях никого не интересует, а возникает необходимость искать реение в виде LPE.

Скажите зачем соккетные запросы выполнять, на вм без сети - вы что то хотите загрузить, софтверную не достающую компоненту ?
Ежели это механизм IPC, то это глупое решение, так как оно палится и блочится любой норм защитой. Да и тайминг обмена данными через соккеты никакой. Но обычно это попытка подгрузить немного говнеца в систему.

-----
vx

| Сообщение посчитали полезным: Lambda

difexacaw
Этот дров не простой нотификатор на создание процессов. Вон там твои любимые фильтры внутри. Если конечно под фильтрами не подразумевается какая-нибудь ... с кучей перехватов в ядре. Гмером он посканил бугага, 2017 год лошара, выкинь свой гмер на помойку.

Recrypter
Я так понимаю этот ваш хипс это микс sandboxie & defensewall, где от первого взята идея, а от второго собстна хипс с правилами итд. Так?

Т.е. сугубо говоря чтобы заставить это работать мне нужно выбрать приложение и запустить его через контекстное меню - run isolated, где ваша система принудительно запустит его из-под user с урезанными правами на отдельном рабочем столе с политиками безопасности "запретить". В конечном итоге, если вы все реализовали грамотно, обход этого потребует какой-нибудь сплоет.

Я ничего не понял из вашего интерфейса как заставить его обучаться, где и как там прописаны права на программы - появилось какое-то cmd окно с добавлением правил и повисло на MpSigStub.exe(потом спустя минут 5 куда-то пропало), кроме как самому запустить программу в песочнице, мне в этот режим работы вашей программы попасть не удалось. Я включил Expert - ничего, покрутил этот ползунок во все позиции - никакой разницы. На что он вообще влияет? На поведение в Isolated Mode? Собственно что ожидалось - такой же анальный огород как в DefenseWall - т.е. все приложения по умолчанию не доверенные итд. А тут это типа что сандбокси? Ничего не понял.

Допустим основной случай применения этого сандбокса с зачатками хипса это браузер и серфинг в инете разных прон сайтов.

Честно говоря я не понимаю зачем это нужно, если можно поставить ВМ, туда браузер и серфить инет оттуда. Уровень защищенности будет сопоставим, уровень мозгоебства - значительно меньше.

| Сообщение посчитали полезным:

Alchemistry пишет:
Допустим основной случай применения этого сандбокса с зачатками хипса это браузер и серфинг в инете разных прон сайтов.

вообще мимо. Автор пытается (пытался?) сделать принципиально простую в использовании утиль, когда при запуске какого-то нового файла вообще не нужно помнить о том, что запускать его нужно в песочнице. Когда вообще все можно запускать изолированно от системы, кроме тех программ, работе с которыми это вредит. По крайней мере так было в бете. По концепции близко к Shadow Defender, но реализация отличается.

Alchemistry пишет:
Честно говоря я не понимаю зачем это нужно, если можно поставить ВМ

да, зафигачить на вм ось, выделить её оперативку и кидать туда-сюда скачанные файлы - значительно меньший уровень мозгоебства, чем sandboxie

зы. От себя: не было бы sandboxie, пользовался бы сабжем. Разве что в бете были жуткие тормоза, не знаю, как в релизе.

| Сообщение посчитали полезным: zNob

На вкус и цвет Гидеон, товарищей нет. Мне проще один раз настроить такую вм, и это займет у столько же времени сколько втыкание в настройки этой Рехипс. Linux + VM - и никакие хипсы вам не потребуются.

В общем обход готов. Ваша рехипс совершенно не защищает от кернел мод сплоитов. Т.е. любая эскалация на непатченной (1day итд сплоеты) или патченной (0day сплоеты) приведет к пробиву вашей хипсы прямо в Isolated Mode.

Для примера берем сплоет у него нет CVE номера и я вам его не дам. В качестве тестовой ОС берем самую популярную win7 x64, full patch.

Запускаем сплоет в вашем Isolated Mode.



Этот код может быть спокойно выполнен и в контексте браузера, так что тут мантра про блок неизвестных процессов не пройдет. Попробуйте сделать такое из-под ВМ, где помимо эскалации потребуется еще и guest-to-host escape.

Я понимаю, что вы и не обещали предотвращения подобного, но вы поймите что смысла в очередном клоне сандбокси без каких-то дополнительных защитных фич - нет.

Более того уровень защищенности у вас даже НИЖЕ чем при использовании sandboxie.
Потому что сплоит выше запущенный из-под сандбокси не получит System. А в вашем сандбоксе он его получит. Следовательно, реализация вашей песочницы слабее. Ну и на кой она нужна вообще тогда?

| Сообщение посчитали полезным: neshta, Lambda

ReHIPS полностью оффлайн решение, сокеты там для организации тонкого клиента с возможностью централизованного удалённого управления скажем администратором в домене.

Действительно в чём-то ReHIPS можно заменить отдельной виртуальной машиной и запуском программ в ней. Только неизвестно, что будет быстрее по времени. ВМ необходимо как 1 раз установить и настроить, так и потом каждый раз запускать и перетаскивать необходимые файлы. ReHIPS необходимо только 1 раз настроить. Плюс требования к аппаратной части, запускать ВМ и ОС будет всяко более требовательно, чем ReHIPS. Ну и отдельно всё же лицензионные вопросы и вопросы порога вхождения, т.е. в организации админу проще поставить и настроить 1 раз ReHIPS, чем массово закупать лицензии на ВМ и рассказывать всем бухам, что любой пришедший по почте файлик надо запускать вон в той вот ВМ.

Действительно, Вы правы, ReHIPS требует полностью обновлённого Windows и ядерные уязвимости представляют определённую угрозу. Это написано в документации, и сам я считаю, что от хорошей ядерной уязвимости и грамотно написанного эксплоита не поможет ни одно средство безопасности.

Сравнивать с другими продуктами и как-то принижать их с моей стороны было бы не совсем корректно. Скажу так, что ядерные уязвимости подкосят все продукты, кого-то в большей степени, кого-то в меньшей, но нет серебряной пули, и это общая проблема. Другой вопрос, каким ещё уязвимостям подвержены эти продукты, а некоторые продукты ещё и добавляют свои уязвимости.

| Сообщение посчитали полезным:

Recrypter пишет: Вы правы, ReHIPS требует полностью обновлённого Windows и ядерные уязвимости представляют определённую угрозу

Простыми словами можно спокойно устанавливать руткит или запускать шифровальщик файлов и после рассказывать ох*ительные истории, что ReHIPS удобнее бесшовного запуска программы из под виртуальной машины. Другой момент в том, что если система скомпрометирована то в случае с ReHIPS это будет живая система со всеми вытекающими, а в случае с виртуальной машиной: 1. необходимо убежать с гостевой оси. 2. если основная ось линух, а сейчас это нередкость то нужно еще как то выжить в этой оси, которая далеко не дружелюбна для малвари. В общем доводы сводятся к тому, что непрофессионалам возня с хипсами непонятна и сродни магии, а профессионалам нужно еще придумать кейс в котором данное решение хоть как то себя оправдывает, тем более оно еще и платное.

| Сообщение посчитали полезным: Lambda, sefkrd

Alchemistry

> Гмером он посканил бугага, 2017 год лошара, выкинь свой гмер на помойку.

Это до сих пор лучший сканер изменений в системе. Аналога нет, есть вот эта поделка --> Link <--

Но оно не ядерное. Это статик детекторы, которые проверяют изменения системных структур. Этих тулз единицы, так что не нужно поливать говном, раз сам говёный. Есть инструменты типо boshspwn, но это полноценные вм, а не кривые фильтры, которые мониторят пару ядерных механизмов.

Песочница" это частичная виртуализация - установка сервисных ловушек, эмуляция фс етц. Монитор процессов это не хипс. Если доступен прямой ядерный вызов то никакие ваши сплойты нафиг не нужны.

Ну а то, что вы сравниваете какой то фильтр с виртуализацией или хипсами говорит о том, что у вас друг мой больной разум.

Новые версии системы поддерживают виртуализацию(hvl), но это совершенно к сабжу отношения не имеет.

О чём вообще можно говорить, если вы пару обращений к памяти и десяток стандартных сервисов обработать не можите, в каждом втором топике это дерьмо. И вы решили обсуждать технологии визоров/хипсов. Смешно и пичально одновременно.

Добавлено спустя 23 минуты
shellstorm

Вы хотите сказать то же, что я раньше сказал - это пародия на UAC, второй гуй запрос, только немного другое оформление гуя
Полагаю что сейчас не гипер-в атуально, а локальные визоры. Но это не песочницы, это совершенно иные технологии, но эти товарищи не могут это понять.

-----
vx

| Сообщение посчитали полезным:

Что касается кейса использования для профессионалов. Я с Вами согласен, что для запуска непонятных файлов многие действительно используют ВМ. Но я пока не знаю ни одного человека, который абсолютно всё делает в ВМ, в том числе загружает её, чтоб мельком глянуть прогноз погоды в браузере перед выходом на улицу. Если Вы такой, готов лично пожать Вам руку, я пока таких не встречал. Ну и да, не стоит забывать, что в этом случае обслуживать и поддерживать в актуальном состоянии придётся как минимум 2 ОС, и чем больше они разные, тем больше времени на это уйдёт. Причём это процесс постоянный, а не 1 раз поставил, настроил и забыл.
По поводу платное-хотя за цену отвечает и маркетинговый отдел, лично я считаю, что цена вполне демократична. Даже здесь в просьбах на взлом стоит минимальная цена в 15 или 20$.

difexacaw
У Вас интересные рассуждения о технологиях, но они к сожалению ничем практически не подкреплены. Мы всегда открыты для критики, но лишь тогда, когда она подкреплена практикой. Действительно, мы не используем перехваты, потому что они нам и не нужны. Мы и без них обеспечиваем достаточный уровень защиты. Доказательством чему является отсутствие от Вас обхода, который Вы сами и обещали.

| Сообщение посчитали полезным: zNob

Recrypter пишет:
Доказательством чему является отсутствие от Вас обхода, который Вы сами и обещали.

Вы сломаете нам троля.

| Сообщение посчитали полезным: VOLKOFF, sefkrd, DimitarSerg

Recrypter

Может ты глупый совсем и не понимаешь что тебе говорят ?

ОБХОДИТЬ НЕЧЕГО, ТАК КАК НЕТ ЗАЩИТЫ.

У вас монитор загрузки образов и есчо пара нотифи, на изменение реестра к примеру. Это обычный UAC.

Чего обход вам нужен ?
Зачем какие то семплы пилить, если ваш процесс отлично отладчиком берётся и завершается. В пару кликов.

-----
vx

| Сообщение посчитали полезным:

По концепции близко к Shadow Defender
имхо, идеальная вещь, защищает от всего, есть версия под новые винды. Не понимаю, как при наличии Shadow Defender умудряются продавать антивирусы..

| Сообщение посчитали полезным:

difexacaw пишет:
Чего обход вам нужен ?

Например, можешь запилить им семпл, который будет выходить в сеть или шифровать файлы снаружи песочницы не смотря на запретные настройки песочницы.

| Сообщение посчитали полезным: Bit-hack, Recrypter

parfetka
Shadow Defender мог бы быть хорошим, если бы создавал реально песочницу. Реально же он не мешает грузиться драйверам, которые могут сотворить с диском и самим Shadow Defender что угодно. Ну и да, по сути он только для защиты целостности, и то с поправкой на непривилегированного атакующего. Защищать конфиденциальность он и не пытается, приходи и выноси что хочешь.

| Сообщение посчитали полезным: Recrypter

difexacaw
От модератора: Что бы не случилось, оставайтесь взаимно вежливыми.

Recrypter
Я показал вам наглядно и аргументированно почему

во-первых:
ваш продукт не нужен,
во-вторых:
он уступает уже имеющимся решениям.

Не имею ни малейшего понятия, кто вы такие и что это за Recrypt LLC, кстати очень классное название для компании, занимающейся безопасностью, круче было только у Returnil. Лично мне ваш софт не интересен, я его посмотрел и удалил, все больше е[/moder]го я смотреть не буду. Использовать и рекомендовать кому-то - боже мой нет конечно тоже. Могу заметить из плюсов, что он довольно стабилен, по крайней мере он не упал, а из еще минусов - он дает негативный эффект на производительность системы. Увы и ах не знаю в чем дело. Будем надеяться в вашем проприетарном продукте нет каких-нибудь серьезных LPE и прочего, но фактически как и со всеми антивирусами установка подобного софта просто увеличивает attack surface для целевой машины. Ваш код закрыт, вы сами какое-то малоизвестные стартапы с непонятным прошлым и туманными перспективами. Нет, спасибо. Однако вы безусловно найдете поклонников на wilderssecurity, где собственно вы свой продукт и пытаетесь продвинуть. Контингент там кххм "особенный", так что возможен локальный успех.

Тут вот говорят, что вы опоздали на 10-12 лет. Могу с этим поспорить, 10-12 лет назад у МС просто не было всех этих замечательных интерфейсов, фильтров, калбеков итд. Там были только недокументированные хаки, помниться в висте аверы даже ныли на этот счет, встречаясь с представителями мс, потому что патчгард им тогда перекрыл кислород Могу ошибаться, но сандбокси уже была тогда, на хаках - хуках и т.д., т.е. подобный софт уже был и вы бы были просто "одними из", сомневаюсь, что вы бы выстрелили и тогда. Удачи

| Сообщение посчитали полезным:

Alchemistry

Что же ты такой агрессивный всегда, впрочем пофиг.

Показывать диалог выбора запустить/отклонить имеет смысл только если дать какую то инфу для принятия решения - результат викс активности, какой то детект типо сигнатурного етц. Имя файла ничего не значит, значит и диалог такой выводить смысла не имеет. Обучение - а на чём его проводить, обычно это правила для проактивной защиты, но она ведёт лог по сиссервисам, на основе которого создаются правила.

Lambda

> Например, можешь запилить им семпл, который будет выходить в сеть или шифровать файлы снаружи песочницы не смотря на запретные настройки песочницы.

А как собственно реализуется изоляция ?
Любой хипс каким то образом захватывает сервисные вызовы и эмулирует фс и выполняет прочую сервисную обработку. Если же сервисы не мониторятся, то это не хипс. Так как можно к примеру пропатчить винапи и прочию юзер функционал и выполнять фильтрацию, но понятно что такое не есть песочница, так как можно напрямую дёрнуть сискал или вообще скопировать себе секцию кода и выполнить в ней код, пересчитав смещение апи.
Захватить скрытно сервисный механизм не представляется возможным, есть механизмы типо KDR и ETW, через них может быть захвачен сервисный диспетчер, но это викс методы. GMER не видит перехваты, поэтому можно полагать что сервисы не мониторяться, а значит нет и песочницы. Хотя можно это всё проверить.
Ядерные вызовы всегда являются проблемой, так любой локальный визор(DBI) эмулирует поток инструкций, к примеру PIN/DRIO/etc. Их можно как угодно мониторить, эмулить/исполнять/изменять. Но ничего нельзя сделать с кернел вызовами - как в ядро, так и векторами из него в юм. Нужно отпустить исполнение. Некоторые сервисы можно скипать, эмулируя их, но их слишком много и они не локальны, что бы эмулировать всё. А если отпустить управление, это значит выйти из под визора, так как может быть составлен спец вызов для этого.

-----
vx

| Сообщение посчитали полезным:

difexacaw

Складывается впечатление, что Lambda написал не вопрос о создании семпла, а вопрос: что такое HIPS, etc.. На что получил исчерпывающий ответ..

| Сообщение посчитали полезным:

difexacaw, сие чудо создаёт нового юзера с ограниченными правами и далее принудительно запускает программы от его имени. И ещё хучит SwithDesktop в winlogon.exe.

Окошко переключения между окнами ничем не защищено, спокойно прибивается (тогда юзер не может переключиться обратно).

Стойкость ReHIPS = Стойкость прав Windows

--- UPD ----
Беглый анализ показал:

1) Без включённого UAC окошко переключения между рабочими столами никак не защищается.
1.1) Если uac включён окошко можно заблокировать: http://joxi.ru/E2pvvpKI9eNKEr?d=1
2) Ограничение на занимаемое место я не заметил, засирай как хочешь.
2.1) И на занимающую память тоже нет ограничений.
2.2) И проц нагружай тоже как хочешь.
3) Запрет на запуск потомков легко обходиться, но напомню всем что у них багбаунти нет :c

Для вирусописателей логичней всего будет добавить HookDll32.dll в блеклист (GetModuleHandle) и заставить свою подделку неистово лагать (заодно заблокировав переключение между рабочими столами), что вынудит юзера запустить вирь в обычном режиме.

| Сообщение посчитали полезным: difexacaw

vovanre

Я сразу сказал что это фейк. Но я не искал юзер хуки, так как они хипсу не нужны. Но для разбора фейков можно запустить юзер скан, тем же гмером и посмотреть что оно делает. Спасибо за понятное обьяснение сути и главное что краткое. Респект!

-----
vx

| Сообщение посчитали полезным:

difexacaw, ну почему так категорично. Если бы проект был опенсурс + пару доп функций, то я бы такое поставил на старый ноут моей бабушки. (и даже без иронии)

| Сообщение посчитали полезным:

sefkrd пишет:
Складывается впечатление, что Lambda написал не вопрос о создании семпла, а вопрос: что такое HIPS, etc.. На что получил исчерпывающий ответ..

От меня вопроса не было. Это было предложение.

| Сообщение посчитали полезным:

vovanre

Вашей бабке полагаю без разницы что ставить

Мне есчо интересно зачем оно в сеть ломится, если открыть сетевой доступ что оно сделает ?
Наверно это самое важное. Как обычно - блок оси и смс на номер или может загрузится майнер или бот.. ?
Раз эта поделка заливается в процессы, которые реализуют защиту.

-----
vx

| Сообщение посчитали полезным:

difexacaw

А на ZXSpectrum майнер запустится ? Или у Вас уже Scorpion ?)))

| Сообщение посчитали полезным: