Как найти DLP агент в системе?

Добрый день.
На работе УБ внедрил DLP. Скорее всего FalconGaze SecureTower.
Как агент проявляется в системе? Например Win7 x64. Где искать агента? каким ПО можно посмотреть куда он шлет запросы и тд.
Очень хотелось бы найти DLP-агент в системе.
Спасибо.
  • Вопрос задан
  • 33796 просмотров
Решения вопроса 1
@SokoloffP
Первым делом Вам нужны админские права на машине. Они есть?

Если есть, то ProcessHacker в помощь.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
@mink_h
Доброго времени суток!
Хочется поделиться своими наблюдениями - может кому и пригодится.

Все нижесказанное будет относится к Falcongaze SecureTower.
Несмотря на то, что клиент пытается любыми способами скрыть свое присутствие, все тайное, рано или поздно становится явным.

1. Подмена сертификата.
Отрываем в браузере любой ресурс, который использует https и смотрим данные сертификата. При установленном DLP-клиенте, в разделе "Certification Path" будет присутствовать сертификат, подписанный Falcongaze SecureTower.
При установке, клиент SecureTower добавляет свой сертификат в доверенное хранилище корневых сертификатов (Trusted Root Certification Authorities).
Вообще, при любых подозрениях, данное хранилище можно периодически просматривать - вдруг найдете что-то интересное.

2. Расположение файлов.
Если вы будете искать файлы и каталоги установки клиента визуально, или используя механизм поиска в проводнике (любом другом файловом менеджере) - скорее всего ничего так и не будет найдено.
Но выход есть, все оказывается куда проще - берем пути:
C:\Program Files\Falcongaze SecureTower
C:\Program Files (x86)\Falcongaze SecureTower #для x64
C:\Users\%username%\AppData\Local\Falcongaze SecureTower

и по-очереди вставляем в адресную строку проводника - давим Enter.
Если клиент присутствует - в открытом окне вы будете лицезреть его файлы и следы жизнедеятельности.

Данный способ проверен на OS Windows 7 и выше.

3. Реестр.
При установке клиента Secure Tower, будет создан следующий раздел реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\FalconGaze]
Внутри данного раздела, если таковой существует, будет несколько подразделов. Из них можно почерпнуть немного дополнительной информации: путь установки, текущая версия, адрес сервера и порт подключения.

4. Сеть.
По-умолчанию, для связи с сервером, Secure Tower использует порт 10500.

5. Процессы.
Как и в случае с каталогами и файлами, клиент умеет отлично маскировать свои процессы (если захочет) в Диспетчере задач Windows.
Вот список наиболее вероятных процессов:
FgstEpaCss.exe
FgstEpaCssHlp.exe
FgStEPAgentSvcHost.exe

Для того, что бы их "выщемить", нужно запустить старый добрый Process Monitor и открыть Process Tree - от него еще никто не уходил.

6. Skype
Как известно, многие DLP-системы умеют перехватывать сообщения (некоторые, особо продвинутые - даже записывать разговоры) Skype. Вы, наверное, хотите спросить: Как они это делают? Ведь протокол Skype надежно зашифрован, и никому (практически) не удалось приблизиться к его расшифровке.
На самом деле, до дешифровки данных, переданных по закрытым протоколам, дело как-раз и не доходит вовсе. Клиент Secure Tower извлекает данные непосредственно из самого Skype.

Способ номер раз: он (клиент) регистрирует один из своих модулей, как доверенное приложение Skype. Последнее извлекает данные, используя документированное и открытое API.
Проверить Skype на наличие незваных гостей можно, выбрав пункт меню Инструменты -> Настройки... -> Дополнительно -> Расширенные настройки -> Контроль доступа других программ к Skype (проверено для Skype 6.20.0.104).
В окне "Контроль доступа программного интерфейса" будут перечислены все приложения, которые имеют доступ к вашим данным в Skype. Возможно, у себя, открыв данное окно, вы найдете много чего нового и интересного!
В настоящее время данный способ практически не используется, т.к. все (в край обнаглели) перешли к способу номер два.

Способ номер два: Skype хранит историю переписки БД SQLite в лучших традициях жанра - в открытом виде.
Путь расположения файла БД:
C:\Users\%username%\AppData\Roaming\Skype\[имя_пользователя_Skype]\main.db

Вот именно этот файл периодически и дергает DLP-клиент.

Ставим растяжку
Запустить Process Monitor и создать новый фильтр:
----------------------------------------
| Column | Relation | Value   | Action |
----------------------------------------
 Path      contains   main.db   Include

Нажать OK и ждать, пока сработает. В идеально чистой системе, кроме самого Skype, к данному файлу никто обращаться не должен. Если в системе завелась "живность" - ждать придется недолго.

Заключение
Всегда стоит учитывать тот факт, что разработчики не сидят сложа руки, DLP-системы постоянно совершенствуются (усложняются, порождается большее число новых багов) и методы, описанные выше, могут не сработать для новых версий.

Кроме этого, многое зависит от политик безопасности, согласно которым настроен клиент. Отдельные модули (перехват сообщений Skype, контроль https трафика и т.д.) могут быть отключены и соответственно, каждый отдельный пункт не может дать 100%-го результата.

Для обнаружения ПО такого рода всегда следует использовать комплексный подход, который включает проверку по всем пунктам. Кроме этого, используя некоторые из данных методов, существует вероятность отследить не только Secure Tower, но и его "конкурентов".

P.S. В завершение обращаюсь ко всем, кого заинтересовал данный вопрос: если Вам известны другие способы (методы, действия и т.д.) по обнаружению DLP-клиентов - пишите здесь (думаю, что автор вопроса будет не против). Любая информация всегда будет полезной!
Ответ написан
Perkov
@Perkov
Можно посмотреть, какие порты на рабочей машине в статусе listen, можно посмотреть на установленные соединения, сравнив из со списком задач, можно поискать недавно установленное ПО и т.д. Вариантов - масса.
Главное - зачем?
Если УБ поставило - значит что-то ищут. Если увидят лишнюю активность... то такое как правило заканчивается тем,что им выписывают премию за проявленную бдительность.
Ответ написан
Комментировать
@olegSH_V Автор вопроса
Зачем - личный интерес.
спасибо за советы, оказалось все проще:
клиент создал папку со своим названием в C\Program Files\ и еще можно через браузер, DLP заменяет сертификаты на свои с таким же названием.

Всем спасибо!
Ответ написан
Комментировать
@YVI
Еще эта софтина (DLP) может перехватывать доступ на камеру/микрофон. Т.е. программы ВКС не могут использовать оборудование, потому что "другое приложение уже использует камеру/микрофон". Этим другим приложением и оказывается falcongaze.
Еще ProcessExplorer/monitor/haker, tasklist не видят процессы созданные агентом falcongaze (их нет в списке процессов). Искали как раз какой процесс использует камеру (по физическому ИД) ProcessMonitor нашел "не существующий процесс", но указал его PID. По PID его можно завершить через taskkill, но DLP все равно автозапустится.
По поводу папок - через проводник/far/powershell папки не видны (хотя атрибуты на папках обычные вроде). но работает автозаполнение имени(либо напрямую переходить пути из сообщения выше). Кстати, каталоги видны если зайти на комп через админ.ресурс c$
з.ы. Стало интересно как такой трюк с папками можно сделать самостоятельно. Если кто знает - напишите, пожалуйста.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы