2 replies to this topic

[Txon]

... Dynamic Security Agent (DSA) ...

Système de protection « zéro heure » contre les maliciels connus et inconnus et contre les intrusions dans les ordinateurs équipés de Windows, sans recours à une base de signatures virales. DSA contrôle en permanence les processus systèmes et applicatifs, le Registre et d'autres variables afin de bloquer les menaces potentielles.

... Généralités ...

[1] - Présentation
DSA utilise plusieurs techniques de défense ...

• Contrôle et gestion des applications,
• Contrôle du Registre,
• Contrôle et gestion des processus,
• Analyse et gestion des anomalies du courrier électronique,
• Analyse des anomalies de fonctionnement du système.

DSA détecte également les maliciels sur la base de comportements caractéristiques d'une utilisation interdite du système d'exploitation.Ces procédés comprennent ...

• Tentatives d'accéder à un secteur protégé du Registre,
• Tentatives d'accéder à un objet protégé,
• Tentatives de lancer un processus étranger
• Tentatives de prendre le contrôle d'un service Windows,
• Tentatives de créer une requête DNS
• Tentatives de lancer un trafic sortant TCP

[2] - Versions de Windows
DSA fonctionne avec Windows XP, Windows 2000 et Windows Server 2000/2003.

[3] - Installation - Précautions
Afin d'éviter d'éventuels problèmes d'incompatibilité ...

• Désinstallez complètement toute ancienne version de DSA avant d'en installer une nouvelle,
• Par mesure de précaution, désactivez vos utilitaires de défense le temps de l'installation et faites ensuite une tentative de réactivation.

[4] - Composants et modules ...

• DSA comporte un programme exécutable, DSA.exe qui, en crête, ne consomme pas plus de 16Mo de mémoire.
  
• DSA utilise une bibliothèque logicielle, pfproc.dll, qui bénéficie de très nombreux crochets "inline" dans plusieurs "services Windows" et certains logiciels applicatifs : antivirus, navigateur etc.
  
• DSA lance un driver, pwipf2.sys qui crochète la "SSDT"
  
• DSA implante dans le Registre plusieurs valeurs et une clé dans la ruche HKLM
  

[5 ] - Principaux liens ...

• Site officiel ... Descriptif et téléchargement (en - Download).
• Fiche de présentation ... Privacyware DSA (en - .pdf)
• Manuel utilisateur ... Dynamic Security Agent (en - .pdf)
• Installation, fonctionnement, essais ... Tutoriel DSA (fr - Malekal)

…\…

[Txon]

.../...

Malekal ayant fait un excellent travail de présentation de la configuration de DSA, il était inutile de recommencer. Juste un rappel donc sur la différence entre [Process Detection] et [Application Security] ...

>>>> Process Detection - The DSA Process Detection feature records all processes that are launched during the 'Training Period'. Upon installation, Training is enabled by default and commences immediately upon installation for a period of 7 days. After the training period, DSA will generate a Tray Alert when any process attempts to run that was not recorded during the training period. If the process is related to known/trusted activity, the process should be allowed and will then be added to the trusted process list.

>>>> Application Security - The DSA Application Security layer monitors all inbound and outbound Application-specific Internet activity as well as WinAPI calls for system processes.

Par contre, les essais effectués méritaient une confirmation en utilisant d'autres rootkits. Les tests ont été réalisés en présence de l'antivirus Antivir, sans pare-feu.

... Essais de rootkits ...

[6] – fhide.sys ...
DSA Ne bronche pas au lancement de Driver Install Utility mais il envoie un message d'alerte lors de la tentative d'installation de simpldrv.sys (driver simple de démonstration) et celle de fhide.sys (driver rootkit), avec pour celui-ci un blocage automatique (message d'erreur de DIU) faute de réponse de l'utilisateur dans les temps.


[7] – RkU test rootkit ...
Antivir qui dispose de la signature de ce rootkit dans sa base de données a été plus rapide que DSA pour signaler le lancement de son processus. Il a fallu demander à l'antivirus d'ignorer le rootkit.
DSA a envoyé un message d'alerte pour signaler le lancement du processus mais son blocage n'a pas fonctionné. Le driver est trouvé dans le noyau par RkUnhooker.


[8] – Unreal.A
Une fois de plus, Antivir a été plus rapide que DSA pour signaler le lancement de son processus et il a fallu lui demander d'ignorer le rootkit.
DSA ne bronche pas lors de l'installation du driver de Unreal dont la présence est confirmée par RkUnhooker.
...
Bizarrement c'est au moment de procéder à la désinstallation du rootkit que DSA se manifeste pour empêcher l'intervention sur la clé de Unreal dans le Registre et pour signaler une tentative de modification de son driver.


[9] – BadRKDemo
Comme d'habitude, Antivir a été plus rapide que DSA pour signaler le lancement du processus et il a fallu lui demander d'ignorer le rootkit.
DSA bloque le lancement de badrkdemo,exe, en cas d'acceptation envoie un deuxième message d'alerte pour la tentative de création d'un "service".
...
Une deuxième acceptation ne provoque pas une troisième alerrte. badRKDemo est lancé ainsi que sa clé de démarrage, mais dans ce cas, on peut carrément rejeter la responsabilité de l'infection sur l'utilisateur. Répondre par l'affirmative à deux messages consécutifs aussi explicitement présentés sur un fond rouge sans avoir pris la précaution de s'informer relève d'une attitude totalement irresponsable.

…\…

[Txon]

.../...

... Essais de désactivation ...

[10] – HideToolz
HTz ne peut ni cacher ni "tuer" DSA. Pour comparer les résistances à ce procédé, il faut préciser que HTz ne peut pas non plus cacher ou interrompre IceSword ou RkUnhooker. Par contre HTz cache et tue très bien les processus d'Antivir.
...

[11] – RkUnhooker
RkUnhooker voit DSA comme "Not Accessible from user mode" c.a.d protégé contre les tentatives d'interruption forcée en mode utilisateur. De fait le processus de DSA n'est pas "tué" par RkUnhooker, même en utilisant la fonction [Force Kill].


[12] – IceSword
IceSword "termine" DSA sans difficulté.

... Leaktests ...

Au printemps 2007, DSA a été testé en même temps que de nombreux pare-feux par l'équipe de David Matoušek. DSA fait partie des logiciels qui passent le mieux les « leaktests ». Il est ainsi parfaitement à même de seconder n'importe quel pare-feu.

... Conclusion ...

Conclusion
Dynamic Security Agent est un IDS très performant qui permet de protéger votre système de manière très efficace.
Il semble être capable de stopper des tentatives d'installation d'infection dont ProcessGuard ne soit pas capable.

Afin une configuration complètement gratuite du type : Antivir + Dynamic Security Agent + DropMyRights et un pare-feu de votre choix
Vous ne devriez plus avoir de problème, cela ne dispense pas d'avoir bien sûr une attitude vigilente sur internet et d'éviter les sites douteux!

A ce niveau des tests, Dynamic Security Agent s'avère être un HIPS nettement plus performant que la moyenne, même s'il n'est pas parfait. Son travail de prévention demande sans doute des améliorations, mais il peut déjà être considéré comme un intermédiaire de choix entre le firewall d'un côté et l'antivirus de l'autre. Il lui manque une traduction en français et un HIDS à sa hauteur, un scanner complémentaire à celui de l''antivirus, pour détecter et éradiquer les maliciels qui leur auraient échappé ou que l'utilisateur aurait accepté "malencontreusement".

Fin provisoire ...

Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution de DSA. En cas de doute en ce qui concerne la signification d'un mot ou d'une expression, vérifiez s'il existe une explication dans le lexique des mots et expressions utilisés dans l'environnement des rootkits et des ARKs.

Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

@+