Video Screencast Help
Give us your opinion and win with Symantec! Please help us by taking this survey to tell us about your experience with Symantec Connect, so that we can continue to grow and improve.  Take the survey.

Monitoramento e Detecção de Intrusos

Created: 30 Jul 2012
Fabiano.Pessoa's picture
2 Agree
0 Disagree
+2 2 Votes
Login to vote

Prezados, bom dia. 

Realizando alguns testes a alguns dias atrás fundamentado na operação de máquinas virtuais, realizei o teste referente a transferência de arquivos de máquina virtual para máquina real e vice-versa.

Ciente de que se tratando de ataques a empresas, 80% dos mesmos ocorrem de dentro da mesma empresa, consegui observar que o XP Mode (máquina virtual com SO Windows XP) consegue perfeitamente receber, transferir, copiar etc dados para uma máquina real. 

A grande maioria dos antivírus concorrentes testados, não detectaram uma intrusão deste tipo de transferência (cópia) para a máquina real tratando-o como infecção. Pode ser por não possuir este novo código em sua base de dados ou não, mas ele foi realizado e ainda sim deixando-o, aliás tratando o mesmo como processo de rede. 

O teste fora realizado utilizando um backdoor, para abrir uma determinada porta (15) e efetuar uma "Reverse Shell".

Alguns apenas só identificaram porque estava com este código em sua base de dados a 2 dias apenas, mas antes não foram detectados e passaram a tratar este código como processo normal do PC.

O XP Mode pode atuar como SandBox, porém o XP mode habilita a integração com o SO primário, onde compartilha o disco, o clipboard e algumas outras coisas entre os 2 sistemas, nesse caso o vírus pode se instalar nas partições do SO primários, e detalhe, isso já vem como configuração inicial. 

Uma boa solução para este tipo de caso, seria a solução antivírus efetuar uma varredura neste tipo de instalação e eftuar uma correção ou dica de correção para que o usuário não permita que este tipo de integração continue em seu sistema, ou seja, criar um mecanismo que procura e detecta qualquer e real tipo de possibilidade de ameaça a partir de instalações não bem realizadas, também por hora, perguntar se o mesmo, a base de explicações quer manter este tipo de configuração.

A não informação e entradas não autorizadas por tipos de aplicações e configurações, é que fazem muitas soluções não serem 99,9%, pois sabemos que no máximo temos 99%.

RESUMO: Criar um sistema de detecção à procura de configurações fora do padrão de segurança, para definir qual a melhor aplicação baseada em testes o cliente final, estaria mais seguro.

Agradeço a aatenção de todos.

Atenciosamente,

Fabiano Pessoa