eXeL@B —› Оффтоп —› Контур информационной безопасности SearchInform |
Посл.ответ | Сообщение |
|
Создано: 07 сентября 2012 11:56 · Поправил: ZaZa · Личное сообщение · #1 Доброго времени суток! Предистория: У меня развивается паранойя! Решил тут на работе на компе запустить AVZ (антивирусная утилита). И о чудо: в отчете все красным-красно. Тут тебе и руткиты с перехватами, и бэкдоры и еще всякая лабуда... Большую часть отсеял, оказалось вполне безопасные приложения. Думал уж, что в корпоративной сети получше будет, чем в домашней - тут обычно пекутся о безопасности компании, но оказывается нет! Насторожило очень то, что есть подозрение на KeyLogger. Папка в отчете указана ( %PROGRAMFILES%\SearchInformAgent\SIFilterSvc2\SIFilterSvc.exe) и через Total Commander топаем туда смотреть, что это там за зверь залег... Зайдя в %PROGRAMFILES%, долго тупил... Папки такой нет... Смотрю через PETools список загруженных модулей: такой процесс есть... Что за фигня? Ввожу папку ручками в Пуск -> Выполнить... Оба-на.. Открылась, сразу подозрение на руткит... Скрывается сука! Вот тут то меня и накрыло! Антивирусы молчат на все файлы в папке, значит одно из двух: нет в базах или все легально... Через Гугл нахожу контору - производителя сего чуда: http://searchinform.ru/ А там: «Контур информационной безопасности SearchInform» позволяет выявлять утечки конфиденциальной информации и персональных данных через электронную почту; ICQ; голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах; внешние устройства (USB/CD); FTP; файл-серверы; ноутбуки, в том числе отключенные от корпоративной сети; документы, отправляемые на печать; а также появление конфиденциальной информации на компьютерах пользователей. Ответственные сотрудники оперативно оповещаются о нарушениях политики безопасности. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков. Вот это да! За нами тут следят не по-детски... Как обойти? Снимаю хуки, удаляю файлы через Unlocker (какие удаляются, какие-то нет). Перезагружаюсь... Захожу в %PROGRAMFILES% и чудо: папка видна... Удаляю ее к чертям и радуюсь! Но не долго! Через несколько перезагрузок в входов в систему решил снова запустить AVZ, так сказать подтвердить успех... Епана-рот, опять те же лица... Повторяю все шаги по удалению, но в довесок делаю папку эту бесправную (вообще) Вроде помогло, сколь не перезагружался... Параноик скажете вы... Возможно! Ну а как следят за Вами на работе, али дома? ----- One death is a tragedy, one million is a statistic. |
|
Создано: 07 сентября 2012 13:02 · Личное сообщение · #2 |
|
Создано: 08 сентября 2012 11:59 · Поправил: Kindly · Личное сообщение · #3 |
|
Создано: 08 сентября 2012 12:15 · Поправил: OKOB · Личное сообщение · #4 Да такое практикуется довольно широко. Есть спрос - есть предложение. Таких систем множество. Есть сторонних производителей как приведенная или например вот эта http://www.staffcop.ru/ с подобным функционалом, а в больших корпарациях свои внутренние разработки. Когда-то копался в подобной шняге от Самсунг. Вот там действительно не по-детски. Да и здесь. Ты ее прибил на машине, сервак системы просканил клиенты, не нашел клиента на твоей машине, отстучал в логи и в какую нибудь дыру снова тебе ее засунул. Ты снес и папочку подправил и теперь ты все время в верхних строчках ----- 127.0.0.1, sweet 127.0.0.1 | Сообщение посчитали полезным: ZaZa |
|
Создано: 08 сентября 2012 12:44 · Личное сообщение · #5 Да за самовольное удаление такого ПО могут и с работы попереть. Лучше с ноутом ходи на работу)) ----- AutoIt | Сообщение посчитали полезным: ZaZa |
|
Создано: 09 сентября 2012 22:29 · Личное сообщение · #6 А вот теперь стало совсем интересно! Пообщался с нашим сисадмином (общаемся нормально). Ни о каком таком ПО он знать не знает, но сказал по секрету, что у нас в конторе вирус сидит и иногда сеть тормозит изрядно... Пока что найти не смогли. Я собщил ему все, что узнал... Получается, что используется сторонее ПО для слежки (может ботнет?) вирусом, хорошо себя скрывающим... Очень интересный подход... Как попал и как распространяется - вопрос, но думаю, разберемся! ----- One death is a tragedy, one million is a statistic. |
|
Создано: 09 сентября 2012 23:11 · Личное сообщение · #7 |
|
Создано: 10 сентября 2012 05:18 · Личное сообщение · #8 |
|
Создано: 10 сентября 2012 14:37 · Личное сообщение · #9 |
|
Создано: 10 сентября 2012 14:41 · Личное сообщение · #10 |
|
Создано: 11 сентября 2012 23:48 · Личное сообщение · #11 |
|
Создано: 12 сентября 2012 11:49 · Личное сообщение · #12 ZaZa Мой тебе совет: не трогай ты это дело, а то тебя еще и виновным назначат. Хотя уже поздно, рассказал админу - уже вмешался, теперь чужие проблемы могут стать твоими. Лучше всего забей и забудь, авось пронесет. ----- PGP key |
|
Создано: 13 сентября 2012 08:33 · Личное сообщение · #13 |
|
Создано: 13 сентября 2012 14:39 · Личное сообщение · #14 Ключевое слово - рабочий. Он не твой. За излишнюю инициативу тебе зарплату не повысят и премию не дадут, а втык за то что лез куда не надо - это запросто. Еще и отметят как нелояльного сотрудника, а значит кандидата на увольнение при первом удобном случае. И это так, мелочи, если сильно не повезет то может выйти что это ты установил в конторе шпионский софт (а вдобавок пиратский винрар и порно с конями), а значит пойдешь по УК, что неиллюзорно хреново, каким бы смешным ни было обвинение. Впрочем дело твое, каждый набивает свои шишки. ----- PGP key | Сообщение посчитали полезным: ClockMan, ZaZa, tempread |
|
Создано: 21 сентября 2012 12:14 · Личное сообщение · #15 |
|
Создано: 21 сентября 2012 13:13 · Личное сообщение · #16 |
|
Создано: 21 сентября 2012 14:03 · Личное сообщение · #17 |
|
Создано: 21 сентября 2012 21:36 · Личное сообщение · #18 ZaZa А вообще зачем же так сразу удалять? Нужно ведь разобраться, что за зверь, как работает, поисследовать софтину. Т.е. скачать инсталлятор либо саму жертву с рабочего компа, подебажить аккуратненько. Когда удасться выяснить, за чем это ПО следит и что пересылает, нужно попытаться создать для него такое окружение, чтоб этот шпионский говнософт репортил на базу, что всё чудесно, что вы самый трудолюбивый сотрудник во всей фирме и т.д. Первым этапом было выявление, это хорошо. Дальше может быть сбор информации о распространённости этого зверя на компьютерах других сотрудников. Если это корпоративный шпионаж, то софт сей будет не только у вас установлен, и тогда можно действовать по вышеописанному сценарию. А если вы - единственный счастливый обладатель сего зверя, то вы молодец, что его снесли, полагаю, на этом всё и закончится. ----- Stuck to the plan, always think that we would stand up, never ran. | Сообщение посчитали полезным: ZaZa |
|
Создано: 23 сентября 2012 21:07 · Поправил: ZaZa · Личное сообщение · #19 Archer пишет: Получил в дыню? Пока нет, но весь во внимании... Уже зубки подготовил: Но, кто к нам с тем придет, то от того и того и получит! ) ARCHANGEL пишет: А если вы - единственный счастливый обладатель сего зверя К сожалению нет... Проверил лично 4 компа... ARCHANGEL пишет: А вообще зачем же так сразу удалять? Вот теперь согласен... Надо бы поизучать! Есть желающие? Могу скинуть DLL-ки... ----- One death is a tragedy, one million is a statistic. |
|
Создано: 23 сентября 2012 23:58 · Личное сообщение · #20 ZaZa Занятость у меня высокая сейчас, но если вас не затруднит, скиньте. А то очень любопытно, как оно там всё устроено. Мне как-то не доводилось такого видеть, хотя некоторые знакомые с других фирм жаловались, что у них такое скрытное наблюдение практикуется, но рабочих сэмплов мне никогда не попадалось. Так что если не сейчас, то хоть когда-нибудь смогу глянуть. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
Создано: 24 сентября 2012 08:17 · Поправил: ZaZa · Личное сообщение · #21 ARCHANGEL Если есть желание поковырять, то вот: Пароль: ZaZa И прошу сообщать о ходе рассмотрения... P.S.: Все это дело хранится в папке: c:\progra~1\search~1\sifilt~1 Можете проверить, есть ли такая папка у Вас... Через ПУСК-ВЫПОЛНИТЬ... Главный инжект, я так понял - SIPH.DLL, так как он стартует через AppInit_DLLs ----- One death is a tragedy, one million is a statistic. | Сообщение посчитали полезным: ARCHANGEL |
|
Создано: 24 сентября 2012 10:01 · Личное сообщение · #22 |
|
Создано: 24 сентября 2012 11:35 · Личное сообщение · #23 ARCHANGEL Судя по описанию на офф сайте, он действительно снифает многое... «Контур информационной безопасности SearchInform» позволяет выявлять утечки конфиденциальной информации и персональных данных через электронную почту; ICQ; голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах; внешние устройства (USB/CD); FTP; файл-серверы; ноутбуки, в том числе отключенные от корпоративной сети; документы, отправляемые на печать; а также появление конфиденциальной информации на компьютерах пользователей. Ответственные сотрудники оперативно оповещаются о нарушениях политики безопасности. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков. ----- One death is a tragedy, one million is a statistic. |
|
Создано: 25 сентября 2012 10:54 · Личное сообщение · #24 |
|
Создано: 25 сентября 2012 12:13 · Личное сообщение · #25 |
eXeL@B —› Оффтоп —› Контур информационной безопасности SearchInform |