Niniejszym wpisem zaczniemy serię artykułów dotyczących automatyzacji analizy złośliwego oprogramowania. Będziemy przedstawiali nie tylko ciekawe narzędzia i usługi ale również metody usprawniające analizę.
Zaczniemy od usługi Team Cymru, która od niedawna jest dostępna i jest pewną alternatywą dla http://www.virustotal.com. Aby z usługi skorzystać potrzebne są 3 rzeczy: narzędzia md5 lub sha-1, nslookup oraz oczywiście złośliwe oprogramowanie które analizujemy.
Usługa Team Cymru (Malware Hash Registry) to nic innego jak baza z sumami skrótu md5 i sha-1 złośliwego oprogramowania. Wynik polecenia nslookup przedstawi nam niestety tylko informacje o tym czy w bazie taka suma istnieje czy też nie. Interesujące dane otrzymujemy gdy zamiast nslookup użyjemy polecenia dig lub whois. Oprósz daty, kiedy malware był ostatnio wykryty mamy też wskaźnik wykrywalności przez programy antywirusowe (według TC wykorzystywanych jest około 30 silników skanujących).

Mushashi to framework do wykrywania i ochrony przez metodami anti-debuggingu, które często stosowane są w złośliwym oprogramowaniu. Mushashi został włączony do projektu metasploit i jest wtyczką do windbg. Bez wątpienia może nam znacznie uprościć analizę podejrzanego procesu/pliku wykonywalnego.

Oto przykład działania. Jedna z najprostszych technik utrudniania dynamicznej analizy to użycie funkcji CheckRemoteDebuggerPresent().

BOOL IsPresent = FALSE;
CheckRemoteDebuggerPresent(GetCurrentProcess(), &IsPresent);
if(IsPresent){
printf(“Debugger zostal wykryty – CheckRemoteDebuggerPresent”);}
else { printf(“Nie wykryto debuggera…CRDP”);}

Informujemy, że od stycznia 2009 roku CMP jest partnerem firmy e-DMZ Security (http://www.e-dmzsecurity.com). Rozwiązania (w formie appliance) pozwalają na zarządzania kontami uprzywilejowanymi oraz na kontrolę tych kont (również poprzez nagrywanie sesji).

Informujemy, że kolejne szkolenie SEP odbędzie się w dniach 4-6 lutego 2009 roku. Więcej informacji pod adresem info@compfort.pl.

Szkolenie z zakresu systemu Symantec Endpoint Protection 11.x

z elementami Network Access Control

Szkolenie przeznaczone jest dla administratorów oraz osób odpowiedzialnych za utrzymanie środowiska zbudowanego w oparciu o produkt Symantec Endpoint Protection wraz z elementami Network Access Control. Obejmuje ono proces planowania, instalacji, migracji i konfiguracji oraz monitorowania środowiska SEP.
 
 

Agenda:

1. Wprowadzenie do rozwiązania Symantec Endpoint Protection oraz
    Network Access Control

    · Komponenty SEP
    · Komunikacja pomiędzy klientem, menedżerem oraz konsolą SEP
    · Komponenty NAC

2. Instalacja oprogramowania

    · Wymagania sprzętowe oraz programowe podczas instalacji Symantec Endpoint Protection
    · Planowanie  i przygotowanie instalacji  – rozmieszczenie poszczególnych komponentów
    · Instalacja menedżera Symantec Endpoint Protection Manager
    · Metody instalacji oprogramowania klienckiego
    · Instalacja klienta Symantec Endpoint Protection
    · LAB

3. Migracja oprogramowania Symantec Antivirus / Symantec Client Security
   do Symantec Endpoint Protection

    · Ścieżki migracji
    · Planowanie migracji
    · Najlepsze praktyki
    · Narzędzia przydatne podczas migracji oprogramowania
    · LAB

4. Lokalizacje i organizacja klientów

    · Zarządzanie klientami z poziomu grup
    · Dziedziczenie
    · Zarządzanie lokalizacjami
    · Przypisywanie polityk
    · Tryby zarządzania stacjami klientów
    · Możliwości kontroli interfejsu klienta
    · LAB

5. Podstawowe zadania administracyjne

    · Interfejs klienta SEP
    · Konsola zarządzania Symantec Endpoint Protection
    · Podłączanie klienta SEP do serwera zarządzania
    · Przekształcanie klienta niezarządzanego w zarządzanego
    · Rola plików Sylink.XML
    · LAB

6. Logowanie

    · Konfiguracja logowania
    · Miejsca przechowywania logów
    · Filtrowanie
    · Powiadomienia
    · Wyszukiwane określonych zdarzeń w logach

7. Polityki antywirusowe

    · Konfiguracja ustawień podstawowych
    · Rodzaje skanowań
    · Konfiguracja funkcji Auto Protect
    · Konfiguracja skanowań
    · Wyjątki
    · Ochrona przed zmianami (w tym w samym oprogramowaniu)
    · Kwarantanna
    · LAB

8. Polityki zapory ogniowej oraz IPS

    · Elementy polityki Firewall
    · Znaczenie funkcjonalności Smart Traffic Filtering
    · Budowanie polityki Firewall
    · Koncepcja systemu IPS
    · Konfiguracja systemu IPS
    · LAB

9. Polityki kontroli aplikacji i urządzeń – Element modułu NAC

    · Filozofia kontroli aplikacji na stacji roboczej
    · Filozofia kontroli urządzeń na stacji roboczej
    · Budowa polityk kontroli aplikacji i urządzeń
    · LAB

10. Raporty

    · Wprowadzenie do modułu raportującego
    · Tworzenie raportów
    · Wykorzystywanie raportów do wyszukiwania problemów związanych z bezpieczeństwem

11. Aktualizacja oprogramowania

    · Ścieżki dystrybucji aktualizacji treści
    · Dystrybucja aktualizacji zawartości do stacji klienckich z wykorzystaniem grup
    · Group Update Provider – rola i wykorzystanie
    · Pobieranie aktualizacji przez serwer Symantec Endpoint Protection Manager
    · Konfiguracja modułu LiveUpdate

12.   Zadania utrzymaniowe

    · Eksportowanie oraz importowanie ustawień serwera
    · Konfiguracja dostępu administracyjnego
    · Zarządzanie bazą danych
    · Upgrade oprogramowania serwera SEPM oraz klientów
    · LAB

13.   Rozwiązywanie problemów

    · Identyfikacja i rozwiązywanie typowych problemów komunikacyjnych
    · Weryfikacja poprawności instalacji polityki
    · Ścieżki instalacji komponentów i logi instalacyjne
    · Ręczna deinstalacja klienta
    · Postępowanie w wypadku awarii menedżera
    · LAB

Inne informacje

Czas trwania: 3 dni
Godziny szkolenia: 10.00 – 17.00
Przerwa na obiad: 13.30-14.30
Forma szkolenia: prezentacja + warsztaty

Miejsce warsztatów:
    · biuro CompFort Meridian – aleje Jerozolimskie 65/79, Warszawa

Terminy:
    · 24-26 września
    · 29-31 października

Cena: 4 000 PLN od osoby (cztery tysiące złotych)
Każdy z uczestników otrzyma certyfikat ukończenia szkolenia.
Ilość miejsc jest ograniczona (Grupa nie może przekraczać 15 osób)

Więcej informacji i rejestracja u Account Manager-a lub pod adresem info@compfort.pl

Niedawno odkryta (8 lipiec 2008) podatność w protokole DNS, umożliwia wstrzykiwanie przez atakującego dowolnego adresu IP do zapytania. Check Point dostarczył szczepionkę SmartDefense  w dniu 9 lipca 2008 roku. Aby aktywować ochronę należy zastosować się do instrukcji zamieszczonych na stronie Check Pointa

Standardowa instalacja systemu firewall pozwala na jego łatwą identyfikację. Wystarczy połączyć się na port TCP 18264 i jesteśmy w stanie pobrać certyfikat wewnętrznego CA nie wzbudzając podejrzeń administratorów systemu. Więcej informacji…

Polecamy zapoznanie się z możliwościami oprogramowania Symantec OnDemand, które pozwala znacząco podnieść poziom bezpieczeństwa podczas dokonywania transakcji elektroniczych np. w bankowości internetowej czy sklepach internetowych.

Poniższy film prezentuje sytuację, w której typowy użytkownik bankowości elektronicznej łączy się ze swoim bankiem. Istnieją jednak zagrożenia, z których obecności nie zdaje sobie sprawy …

Na początku marca pojawił się folder dotyczący rozwiązań i usług oferowanych przez CMP w zakresie bezpieczeństwa teleinformatycznego. Dokument w formacie PDF dostępny jest TUTAJ.

Ponieważ temat pełnego wykorzystania systemu Symantec Endpoint Protection trochę nam umknął zachęcam do zapoznania się z opisem usługi oferowanej przez nasz zespół. Dokument można znaleźć na stronach CMP pod adresem http://www.compfort.pl/files/pdf/CompFortMeridianPolska-MigracjaDoSymantecEndPointProtection2.pdf.