Можно ли защитить KeePass (менеджер паролей) от KeeFarce (вирус основанный на DLL инъекции)?

Question

[Александр Керзаков]

Последняя версия KeePass до сих пор уязвима для KeeFarce (протестировал на себе).
https://github.com/denandz/KeeFarce
Эм, не советуйте пожалуйста мне тут, хранить свои пароли в голове. Спасибо.

Answer 1

[Vitaliy Orlov]

можно поставить виртуальную машину и запускать keepass в безопасной среде

еще один вариант, добавлять какой-нибудь символ в пароль, который не будет хранится в менеджере паролей, например пароль "123$€", в менеджере хранишь "123", в голове для всех паролей приставку "$€", тогда даже в случае утечки базы менеджера паролей, сохраненный пароль будет бесполезный..

Comments

[Александр Синицын]

KeePass хорош на флешке, т.е. виртуальная машина тоже вариант сомнительный.

[Vitaliy Orlov]

Александр Синицын: как? т.е. у тебя есть доступ к 100 паролям, длинной 5 символов. Они не работают. С чего вдруг злоумышленникопределит, что в реале длинна пароля 6 символов, и между первым и вторым символом надо вставить знак евро?

[Александр Синицын]

Vitaliy Orlov: Удалил. Не внимательно прочитал )

[Vitaliy Orlov]

я понимаю, что например злоумышленник может скринить экран и видеть что вводится не 5 символов, а 6 ... и тогда пытаться подбирать этот символ ... но это слишком сложно... на таком уровне, проще поймать автора и применить утюг.

[Vitaliy Orlov]

>> KeePass хорош на флешке, т.е. виртуальная машина тоже вариант сомнительный

Тут вопрос про инъекцию в область памяти запущенного процесса, т.е. способ хранения не играет роли в данном случае (флешка, примонтированный диск и т.д.).. Виртуальная машина, обернет весь процесс в себя, тем самым не даст другому процессу доступа.

[Михаил]

Vitaliy Orlov: а запуск в среде sandboxie не подойдёт?

[Vitaliy Orlov]

Михаил: Не сталкивался с этой программой ранее, в описании на сайте, написано что она работает на уровне доступа к данным (жесткий диск), создавая копию данных для процессов запущенных через sandboxie. Вот тут: https://youtu.be/aMtyGNviiRY?t=1m я видел, что запущенный процесс explorer-а, висит точно так же как и остальные процессы, т.е. само приложение (насколько я понял), остаются доступны для основной системы. Из всего этого, могу сделать вывод что к ним точно так же можно получить доступ из других приложений (например из диспетчер задач). А это значит, что возможность считать данные остается. Но, это лишь мои догадки, как оно на самом деле устроено всё там, не знаю...

[Александр Керзаков]

Vitaliy Orlov: виртуалку запускать по времени весьма накладно получается...

Answer 2

[athacker]

Оно работает через выполнение функции экспорта самого KeePass. В теории, достаточно эту функцию отключить в настройках policy, и всё. По крайней мере, того функционала, который сейчас реализован в доступной на гитхабе версии KeeFarce, не хватит, чтобы выдернуть пароли, если в Policy отключен экспорт, надо будет допиливать.

Comments

[Александр Керзаков]

Проверил на последней версии KeePass. KeeFarce при отключённом экспорте в политике - всё равно стырил мои паролики.
Cпасает только переименование процесса программы.
хМ, странно что по описанию процесса искать программу в KeeFarce не догадались.

[athacker]

Александр Керзаков: После отключения экспорта программу перезапускали? Изменения в политике применяются только после перезапуска.

[Александр Керзаков]

athacker: естественно =)

Answer 3

[rPman]

берете открытый код keepass и меняете названия методов и файлов таким образом, чтобы вирус не мог менеджер паролей вообще обнаружить.

обфусицировать можно не только имена методов но и структуры данных, добавив в них свои поля, изменить типы имеющихся и т.п.

извините, но защита через сокрытие тут единственный метод защиты.

и в конце концов, при наличии администраторских прав, можно просто сэмулировать нажатие кнопок, вызвав меню экспорта базы в csv, мелькнувшее окно мало кто заметит.

Comments

[Александр Керзаков]

Тогда начнутся проблемы с плагинами.