Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.

Monitoramento e Detecção de Intrusos

Created: 30 Jul 2012
Fabiano.Pessoa's picture
2 Agree
0 Disagree
+2 2 Votes
Login to vote

Prezados, bom dia. 

Realizando alguns testes a alguns dias atrás fundamentado na operação de máquinas virtuais, realizei o teste referente a transferência de arquivos de máquina virtual para máquina real e vice-versa.

Ciente de que se tratando de ataques a empresas, 80% dos mesmos ocorrem de dentro da mesma empresa, consegui observar que o XP Mode (máquina virtual com SO Windows XP) consegue perfeitamente receber, transferir, copiar etc dados para uma máquina real. 

A grande maioria dos antivírus concorrentes testados, não detectaram uma intrusão deste tipo de transferência (cópia) para a máquina real tratando-o como infecção. Pode ser por não possuir este novo código em sua base de dados ou não, mas ele foi realizado e ainda sim deixando-o, aliás tratando o mesmo como processo de rede. 

O teste fora realizado utilizando um backdoor, para abrir uma determinada porta (15) e efetuar uma "Reverse Shell".

Alguns apenas só identificaram porque estava com este código em sua base de dados a 2 dias apenas, mas antes não foram detectados e passaram a tratar este código como processo normal do PC.

O XP Mode pode atuar como SandBox, porém o XP mode habilita a integração com o SO primário, onde compartilha o disco, o clipboard e algumas outras coisas entre os 2 sistemas, nesse caso o vírus pode se instalar nas partições do SO primários, e detalhe, isso já vem como configuração inicial. 

Uma boa solução para este tipo de caso, seria a solução antivírus efetuar uma varredura neste tipo de instalação e eftuar uma correção ou dica de correção para que o usuário não permita que este tipo de integração continue em seu sistema, ou seja, criar um mecanismo que procura e detecta qualquer e real tipo de possibilidade de ameaça a partir de instalações não bem realizadas, também por hora, perguntar se o mesmo, a base de explicações quer manter este tipo de configuração.

A não informação e entradas não autorizadas por tipos de aplicações e configurações, é que fazem muitas soluções não serem 99,9%, pois sabemos que no máximo temos 99%.

RESUMO: Criar um sistema de detecção à procura de configurações fora do padrão de segurança, para definir qual a melhor aplicação baseada em testes o cliente final, estaria mais seguro.

Agradeço a aatenção de todos.

Atenciosamente,

Fabiano Pessoa