Malware Defender - Tutorial

[cloutz]

NOTA: Il contenuto di quest'opera è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5

Malware Defender

NEWS: MALWARE DEFENDER È DIVENTATO FREE!!

Per i curiosi: il suo ex sviluppatore, Xiaolin, è entrato a far parte del gruppo http://labs.360.cn/ ed è stato costretto a lasciare Malware Defender.
In ogni caso il software ora è diventato gratuito, ma lo sviluppo pare ancora attivo, anche se procede un pò più a rilento (che ci siano altri garzoni ad aiutare Xiaolin, troppo occupato con 360? ).
Purtroppo, non ho ancora capito il perchè, è stato interrotto il supporto per la localizzazione in italiano del software. Ergo dalla versione free, MD sarà disponibile solo in cinese o inglese..

Considerazione importante: anche se pian piano lo sviluppo dovesse rallentare non c'è da temere: MD è un software molto solido, ed inoltre gli hips non necessitano di grandi aggiornamenti continui! Basta che sia garantito il bugfix per le feature più importanti.
E per ora Xiaolin risponde ad ogni email inviata al supporto tecnico, con la stessa velocità di sempre




Informazioni Utili

• Sito: http://labs.360.cn/malwaredefender/index.html
• Supporto tecnico: support@torchsoft.com
• Requisiti di Sistema: N/A
• Compatibile con:
  Windows 2000 (Service Pack 4)
  Windows XP (32-bit)
  Windows 2003 (32-bit)
  Windows Vista (32-bit)
  Windows 2008 (32-bit)
  Windows 7 (32-bit)
• Licenza: prima era a pagamento, ora è completamente gratuita!

Download Area

Codice:

Malware Defender 2.7.1 - STABILE

English Version (grazie nV 25 per l'up): 
http://www.2shared.com/file/CECW1jDD/md_setup_en.html  



Malware Defender ultima versione rilasciata - 2.7.2 NON ANCORA STABILE 

English version: 
http://dl.360safe.com/md_setup_en.exe


What's new in MD 2.7.2?
- GUI improvements

Introduzione

Malware Defender nasce come hips (Host Intrusion Prevention System), cui però è stato aggiunto un modulo firewall.
Il metodo d’azione dell’hips consiste nel monitorare qualunque evento avvenga nel pc in modo che, nel caso in cui si verifichi un’azione sospetta (o per cui non vi è una regola), l’utente venga allertato attraverso dei popup.
In questo modo è possibile prevenire, potenzialmente, qualunque tipo di minaccia, ammesso che l’utente sia consapevole e giudichi correttamente la legittimità di un’azione.
Esistono dei leaktest, che mettono alla prova questo genere di applicazioni contro possibili attacchi. Questo è il sito di riferimento.
Consiglio a chi non conosce molto gli hips la lettura di questo 3d di nV 25, che propone un'infarinatura globale sulle migliori tecnologie di difesa preventiva.


N.B.:
Premetto che questa guida si propone di essere una presentazione del software, con una breve descrizione delle funzionalità principali (anche perché siamo in poco più di un paio ad usarlo in tutta Italia, se è vero)..quindi niente di eccessivamente impegnato, almeno per ora…

Non è mio interesse soffermarmi sulla spiegazione di ogni singola voce (anche perché richiederebbe una vita), ma solo illustrare quali saranno le opzioni cui sicuramente dovrete ricorrere nel normale utilizzo di MD, in modo da fornirvi i mezzi per poter “sopravvivere”. Niente di più.
Quindi se intendete usare questo software consiglio caldamente di leggere tutto il tutorial: ho trattato solo le cose principali, da sapere per forza per usare decentemente MD.

Se trovate problemi, incompatibilità o crash potete scrivere in inglese al supporto della Torchsoft support@torchsoft.com (se non ve la cavate con l’inglese mandatemi un pm, girerò la segnalazione allo sviluppatore).
Se invece trovate problemi di traduzione segnalatelo pure a me, o nella discussione o via pm, e provvederò a correggere al più presto.


Installazione

L'installazione non presenta nulla di complesso, per questo andrò veloce..
Scaricate l’ultima versione del software dalla sezione Download Area e avviate il setup, procedendo sempre cliccando Avanti.
Terminata l’installazione vi troverete davanti a questo avviso:



Lo stesso sviluppatore, Xiaolin, consiglia di abilitare la Modalità Apprendimento e di fare almeno un riavvio e loggarsi con ogni utente, per poi tornare in Modalità Normale; questo in modo che MD possa imparare da solo alcune regole, altrimenti ci metterebbe subito in difficoltà.
Ci si presenterà anche un avviso riguardo il download dei simboli kernel, accettate e aspettate; vi verrà chiesto di accettare il download dal server Microsoft, fatelo.

[cloutz]

Configurazione

Appena terminata l’installazione, al successivo riavvio, noteremo due nuove voci nel taskmanager relative a Malware Defender. Questi sono i valori dei suoi processi dopo 5 ore di lavoro:



Noteremo, tra le altre cose, la presenza dell'icona di MD in TrayIcon:



Con un tasto dx sull’icona in Tray si aprirà il menu contestuale:



Troviamo la scelta Opzioni, cliccandoci si aprirà questa finestra, in cui sono presenti una miriade di possibili configurazioni:



Di queste consiglio di controllare che le seguenti siano impostate così:

Generale > Avvia MD con Windows... Abilitato
Generale > Usa nome random per il driver di MD... Abilitato
Protezione> Tutte le protezioni Abilitate
Protezione> Modalità di protezione... impostato su Normale
Protezione > In modalità Apprendimento, se viene trovata una regola “nega”… Abilitato
Protezione > Disabilita mdhook.dll ... Disabilitato
Conferma> Tutte le opzioni Abilitate

Anche cliccando su Protezione (nel menu contestuale), abbiamo la possibilità di attivare/disattivare i vari livelli di protezione di Malware Defender. Ovviamente consiglio di tenere tutto attivo.

Sempre nel menu contestuale possiamo notare 3 differenti modalità principali:

1. Modalità Normale: fornisce popup ogni volta che si tenta un’azione nuova, non conosciuta
2. Modalità Apprendimento: MD crea delle regole in automatico, in base alle azioni che si stanno svolgendo in quel momento…quindi non verranno aperti popup, ma in questo caso il pc è molto vulnerabile. Usare con discrezione.
3. Modalità Silenziosa: non saranno aperti popup e ogni azione che non viene regolata da una specifica regola viene negata.

Cliccando invece su Apri Malware Defender (o facendo doppio click sull’icona in Tray) si aprirà la schermata principale del programma, simile alla seguente:



Possiamo trovare diverse categorie:

• Regole File Globali: presenta il ruleset riguardante i permessi (e le restrizioni) ai file
• Regole Registro Globali: come sopra ma riferito al registro
• Regole Network Globali: come sopra ma riferito alla rete
• Regole Applicazioni - Normale: regole riguardanti comuni applicazioni. Si divide in 3 gruppi applicazioni:

  - Trusted Application: Godono di grande libertà, possono compiere qualunque azione senza generare popup
  - Blocked Application: le applicazioni in questa categoria non possono fare nulla
  - Installer or Updater: da usare per setup o software che si stanno aggiornando

• Regole Applicazioni - Sistema: regole riguardanti applicazioni di sistema

Cliccando su una regola applicazione qualsiasi (in questo caso rundll32.exe), entreremo in una finestra che ci consentirà di gestire i permessi di quest’applicazione:



Per ogni azione abbiamo diverse opzioni tra cui scegliere:

• Ignora: ignorerà questo singolo evento e andrà alla ricerca della regola (consenti/nega/chiedi) già esistente, con priorità immediatamente successiva
• Chiedi: aprirà un popup ogni volta che l’azione sarà eseguita
• Consenti: consentirà l’azione
• Nega: bloccherà l‘azione

Mettendo la spunta sulla voce Log Evento, potremo far in modo di creare un evento nel log, ogni volta che viene eseguita l’azione, qualunque sia il comando deciso.

Altra cosa importante è l’uso dei Log, che ritroviamo in fondo nella pagina principale: cliccando su una voce del log col tasto dx, potremo direttamente creare/modificare/copiare la regola, con un solo click.





N.B.: Questa è, in 2 parole, la gestione delle regole di MD (in realtà ci sarebbero da fare una serie di discorsi riguardanti la priorità delle regole e le altre voci sui processi, moduli, hook, registro ecc…ma io stesso le sto ancora studiando, e la guida si propone di trattare le cose principali da sapere)

N.B.2: Nel caso vi voleste avventurare nella creazione delle regole consiglio di abilitare sempre i log, e di controllarli spesso. Saranno i log a dirvi se la regola va bene o no.
In tal caso consiglio la lettura di una serie di utili link, anche solo per capire meglio il funzionamento e il “gioco” delle regole, tutti made in Wilders:
http://www.wilderssecurity.com/showt...45#post1360445
http://www.wilderssecurity.com/showt...3728&highlight
http://www.wilderssecurity.com/showt...wall+configure

questa, invece, è un'ottima configurazione proposta da arran su Wilders (strano ):
http://www.wilderssecurity.com/showthread.php?t=252773

se volete leggere la storia di come MD si sia fatto conoscere, e apprezzare, in questi ambienti leggete questo 3d:
http://www.wilderssecurity.com/showthread.php?t=217522

[cloutz]

Popup

Nell’uso quotidiano MD si manifesterà prepotentemente attraverso dei popup.
Ora ne analizzerò uno, tanto per spiegare gli elementi da tenere in considerazione, e il criterio da usare, per rispondere a questi avvisi.



Azione: rappresenta l’azione, presunta sospetta, che MD ha individuato e per cui chiede il nostro intervento
Processo: è l’applicazione genitore, quella che “crea il processo” (qui chiamato Obiettivo)
Descrizione, Proprietario: sono delle informazioni che, al momento della scelta tra Consenti e Nega, possono aiutarci a valutare la legittimità di un eseguibile, e quindi della sua azione.
Obiettivo: è l’applicazione figlio, quella che “è creata” dall’applicazione genitore (qui chiamato Processo)
Cmd line: è la linea di comando, con cui l’applicazione genitore richiama l’applicazione figlio
Regola: è la regola che ha fatto scaturire il popup.

Quindi questo popup andrà interpretato così:
“Il processo explorer.exe, verificato da Microsoft Corporation, sta cercando di creare il nuovo processo hijackthis.exe, attraverso la linea di comando “C:\programmi\Trend Micro\HijackThis\HijackThis.exe”.
L’avviso è stato generato dalla regola [App]*”

Ovviamente cliccando su ciascuna voce (processo, obiettivo o regola) MD ci aprirà la propria interfaccia grafica e ci mostrerà il processo attivo o la tale regola…Questo, ogni tanto, può essere utile…

Ora che abbiamo capito l’azione che si sta svolgendo, dobbiamo rispondere.
Possiamo rispondere direttamente Consenti o Nega ad un popup, senza addentrarci in tutte quelle opzioni che vediamo sotto, ma in tal caso MD non ricorderà la risposta, che verrà subito dimenticata (quindi qualora si dovesse ripresentare l’azione verremo nuovamente avvisati).
Per far sì che MD non ci disturbi più dobbiamo creare una regola ad hoc per quel processo. Iniziamo selezionando Crea una regola applicazione per questa azione.
Guardando l'avviso notiamo che esistono 2 tipi di regole:

1. Regola permanente, che sarà salvata nel ruleset di MD
2. Regola temporanea, che una volta chiuso il processo, viene eliminata (va usata per processi occasionali, programmi che si avviano una volta l’anno per cui non conviene creare una regola permanente)

Possiamo, inoltre, decidere se la regola che andremo a creare (permanente o temporanea che sia) debba essere limitata alla cmd line, alla linea di comando che ha richiamato l’obiettivo.

Talvolta ci viene permessa l’opzione di inserire l’applicazione in questione (genitore o figlio) in determinati gruppi, di cui abbiamo parlato prima: Installer or Updater, Trusted Application, Blocked Application. Anche questa considerazione è valida sia in maniera temporanea che permanente.



Piccola parentesi: questo è un avviso a livello “applicazione”, infatti l’obiettivo è un’applicazione. Se per esempio ricevessimo un avviso riguardante il registro avremmo alla voce “Oggetto della regola” più opzioni. Per esempio in questo avviso

osserviamo 2 opzioni, una più dettagliata, una invece più generica. Infatti:

1. Possiamo vedere il percorso HKLM\Software\Microsoft\..\Run, ma l’oggetto (il valore) è ben specificato, è Malware Defender.

2. Qui invece troviamo sempre lo stesso percorso, ma al posto dell’oggetto abbiamo una wildcard *. Questo renderà la regola più generica, in quanto creeremo una regola valida per qualsiasi valore (non solo, come in 1, per l’oggetto “Malware Defender”).

Da notare che possiamo scegliere l’obiettivo cliccando sul tasto […], che ci permette di sfogliare i valori. In questo modo possiamo personalizzare la regola a nostro piacimento.




Ultima cosa. Il pulsante Nega e Termina il Processo, in basso a destra, è la vostra salvezza, ed è presente SEMPRE, in ogni avviso.
In caso vi accorgiate che qualcosa non va, che qualche nuovo processo sta avendo un comportamento strano e non sapete cosa fare, cliccatelo. In questo modo l’azione dell’avviso viene negata e il processo chiuso.
L’infezione, così, dovrebbe essere arginata (sempre se non lo cliccate troppo tardi).

[cloutz]

Angolo Test

Ringraziando Romagnolo per l'input, uso questo post per inserire un piccolo test, che ci mostra come Malware Defender agisce di fronte a un'infezione (in questo caso simulata).
Dico simulata perchè si tratta del test TrojanSimulator, che semplicemente imita il comportamento di un normale trojan, senza però infettare realmente il nostro sistema (sarà infatti disinstallabile).

Scarichiamo il pacchetto del test qui ed estraiamolo. Dopo aver letto come agisce nel file readme.txt, avviamo il file trojansimulator.exe.


N.B.: nel mio caso Prevx 3.0 (attivo durante il test) rileva un comportamento sospetto e ci avvisa, giustamente, bloccando l'intruso:

Comunque lo considero come Trust e continuo


Riceveremo il primo popup, che ci avvisa dell'esecuzione del malware ad opera di explorer.exe (se neghiamo questo avviso il test non inizia, in quanto ne neghiamo l'esecuzione ):


Consentiamo e ci apparirà questa finestra, in cui dovremo cliccare su Install, per installare il finto trojan:




Qui prevx mi avvertirà ancora per la creazione del file TSServ.exe:

Lo Trusto ancora e vado avanti


MD mi avvisa che il file trojansimulator.exe sta cercando di creare un nuovo processo chiamato tsserv.exe (dalla linea di comando vediamo il comando /install):



Consentendo permettiamo al test di continuare, e vediamo che tsserv.exe imposta un nuovo valore di registro (per l'avvio automatico). In questo modo farebbe avviare automaticamente il trojansimulator:



Se consentiamo anche questo, vediamo l'avviso del test, che ci informa del fatto che il trojan simulator è stato installato correttamente:




Attraverso questo test abbiamo visto come sia importante saper interpretare correttamente i popup, per rispondere nel miglior modo possibile, ed evitare danni. Consentire 2-3 popup di Malware Defender così critici, potrebbe significare essere infettati senza neanche accorgersene.

Paradossalmente la miglior cosa è negare l'infezione sin dall'esecuzione, consentendo solo:

• File sicuri, fidati: che conosciamo e di cui conosciamo la fonte, che è sicura, dopo averli fatti analizzare a servizi online
• Azioni consapevoli: quello che avviamo noi.

Se, avendo una buona configurazione di base (con antivirus, browser con javascript disabilitati o NoScript, sistemi di sandbox), negate tutto ciò che non rientra in queste 2 categorie (che rappresentano, da sole, un buon discriminante alla portata di tutti), siete al sicuro dal 99% dei malware.

Poi, ovviamente, serve anche cognizione di causa, nel non bloccare eventi/azioni del normale funzionamento del sistema operativo, e non andare a mettersi nei casini da soli ....

[cloutz]

"Chicche"

Le osservazioni che troverete in questo post sono personali, quindi opinabili.
Buona parte di questi settaggi, anzi tutti, nascono da nV 25, quindi il merito va a lui


N.B.: Tali settaggi incrementano indubbiamente i livelli di controllo di MD, permettendoci di monitorare azioni/aree che con ruleset di default non vengono controllati. Possono risultare però assillanti, e non è detto che sappiate gestire la situazione, quindi adottateli con cognizione di causa.

• Interfacce COM e Caricamento dll: si legga qui.
• NamedPipe: aprire la Regola Applicazione - Normale [*] e creare una regola nella sezione File come questa.

[cloutz]

...per ora ho terminato...

In caso ci fossero richieste da utenti, e quindi ci fosse la reale necessità, amplierò la guida...d'altronde su MD di cose da dire ce n'è una marea..

in particolare stavo cercando di studiarmi qualche restrizione in più in modo da rendere disponibile un ruleset predefinito (tipo quello provato da Kees su W.), ma aspetto una modifica di Xiaolin sulla creazione delle regole

p.s.: ho già sbaglito il titolo..c'è Tutorial che è da togliere

[commi]

Complimenti cloutz.

Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.

Grazie.

[cloutz]

Quote:

Originariamente inviato da commi

Complimenti cloutz.

Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.

Grazie.

Nulla figurati..tanto siamo solo io, te e alessandro ad usare MD in Italia

ne approfitto per comunicare che MD è vulnerabile, a quanto pare, a questo PoC test..
l'.exe in questione, infatti, riesce a terminare qualunque programma indipendentemente dall'hips, che viene bellamente bypassato

chiunque volesse l'.exe del test mandi un pm.
Ho avvisato Xiaolin intanto..

[nV 25]

Quote:

Originariamente inviato da commi

....Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.

+ 1

[Kohai]

Complimentoni cloutz! E' da un po' che seguivo (in sordina) il thread degli hips e il tuo sviluppo su questo software.
Auguroni per la guida. Bravo!

[sampei.nihira]

Quante (piacevoli) novità in pochi giorni di mia assenza !!

Bravo Cloutz.

Il tuo commento sulla poca diffusione di alcuni sw di sicurezza (ma non solo) in Italia è azzeccato.
Ad esempio Netchina (pur essendo free e questo è già un bel vantaggio) secondo me segue in parte la stessa sorte di MD.
Altro svantaggio di MD è il posizionamento in classifica M. in confronto ad altri sw free.
Non che la cosa sia completamente indicativa ma.....

[cloutz]

Grazie ragazzi

spero, con questo 3d, di far appassionare qualcuno...anche se, come sappiamo bene, gli hips non entusiasmano molto gli utenti

Quote:

Originariamente inviato da sampei.nihira

Quante (piacevoli) novità in pochi giorni di mia assenza !!

Bravo Cloutz.

Il tuo commento sulla poca diffusione di alcuni sw di sicurezza (ma non solo) in Italia è azzeccato.
Ad esempio Netchina (pur essendo free e questo è già un bel vantaggio) secondo me segue in parte la stessa sorte di MD.
Altro svantaggio di MD è il posizionamento in classifica M. in confronto ad altri sw free.
Non che la cosa sia completamente indicativa ma.....

"Purtroppo" MD è a pagamento, questo è secondo me il principale motivo per cui non viene usato molto in Italia (dove si sa, siamo più tirchi ..e questa sarà, cmq, la nostra salvezza)
Sono sicuro che se fosse free gli utenti ci sarebbero, soprattutto gli smanettoni che ora sono col D+ o chi ama un vero hips granulare..

per i test di Matousec qui c'è la risposta di Xiaolin che, a quanto pare, non è interessato a modificare MD in base ai test falliti...
anche perchè, come hips, MD può dare la paga a molti che si posizionano più in alto, al di là di cosa dica Matousec...

-------------------------------------------------

in riferimento a questa vulnerabilità, Xiaolin risponde:

This POC have been released in the Chinese MD forum first. It cannot kill MD. I will think about whether to fix it or not.

Best Regards,
Xiaolin

[Romagnolo1973]

e bravo il nostro cloutz davvero un lavorone, il programma è davvero ottimo come la qualità della tua guida. Se anche solo una persona si sensibilizza all'uso degli Hips behh allora il lavoro non è vano, anzi.
Penso che a forza di predicare l'uso di questi software prima o poi qualcuno ci darà retta.

[xcdegasp]

ottimo lavoro

[arnyreny]

Quote:

Originariamente inviato da xcdegasp

ottimo lavoro

bravo....
inserirei differenza tra la free e la professional
http://www.gentlesecurity.com/professional.html
peccato che e' solo x 32 bit

[cloutz]

Quote:

Originariamente inviato da xcdegasp

ottimo lavoro

Quote:

Originariamente inviato da Romagnolo1973

e bravo il nostro cloutz davvero un lavorone, il programma è davvero ottimo come la qualità della tua guida. Se anche solo una persona si sensibilizza all'uso degli Hips behh allora il lavoro non è vano, anzi.
Penso che a forza di predicare l'uso di questi software prima o poi qualcuno ci darà retta.

Grazie ragazzi

Quote:

Originariamente inviato da arnyreny

bravo....
inserirei differenza tra la free e la professional
http://www.gentlesecurity.com/professional.html
peccato che e' solo x 32 bit

...peccato anche che è Malware Defender, non GesWall

[arnyreny]

Quote:

Originariamente inviato da cloutz

Grazie ragazzi



...peccato anche che è Malware Defender, non GesWall

hai ragione scusami...
ma non gira su i 64...peccato

[arnyreny]

e' molto simile a real defender...prosecurity...

con una grafica molto migliorata

[@Sirio@]

Quote:

Originariamente inviato da cloutz

...

Sono sicuro che se fosse free gli utenti ci sarebbero, soprattutto gli smanettoni che ora sono col D+ o chi ama un vero hips granulare..

...

Lo puoi dire forte ...cmq è tanto che vorrei provarlo, prima o poi lo farò.

Complimenti per il lavoro cloutz!

[Roby_P]

Complimenti cloutz

Hai fatto davvero un gran bel lavoro