Ответы пользователя по тегу Системное администрирование
  • Как найти DLP агент в системе?

    @mink_h
    Доброго времени суток!
    Хочется поделиться своими наблюдениями - может кому и пригодится.

    Все нижесказанное будет относится к Falcongaze SecureTower.
    Несмотря на то, что клиент пытается любыми способами скрыть свое присутствие, все тайное, рано или поздно становится явным.

    1. Подмена сертификата.
    Отрываем в браузере любой ресурс, который использует https и смотрим данные сертификата. При установленном DLP-клиенте, в разделе "Certification Path" будет присутствовать сертификат, подписанный Falcongaze SecureTower.
    При установке, клиент SecureTower добавляет свой сертификат в доверенное хранилище корневых сертификатов (Trusted Root Certification Authorities).
    Вообще, при любых подозрениях, данное хранилище можно периодически просматривать - вдруг найдете что-то интересное.

    2. Расположение файлов.
    Если вы будете искать файлы и каталоги установки клиента визуально, или используя механизм поиска в проводнике (любом другом файловом менеджере) - скорее всего ничего так и не будет найдено.
    Но выход есть, все оказывается куда проще - берем пути:
    C:\Program Files\Falcongaze SecureTower
    C:\Program Files (x86)\Falcongaze SecureTower #для x64
    C:\Users\%username%\AppData\Local\Falcongaze SecureTower

    и по-очереди вставляем в адресную строку проводника - давим Enter.
    Если клиент присутствует - в открытом окне вы будете лицезреть его файлы и следы жизнедеятельности.

    Данный способ проверен на OS Windows 7 и выше.

    3. Реестр.
    При установке клиента Secure Tower, будет создан следующий раздел реестра:
    [HKEY_LOCAL_MACHINE\SOFTWARE\FalconGaze]
    Внутри данного раздела, если таковой существует, будет несколько подразделов. Из них можно почерпнуть немного дополнительной информации: путь установки, текущая версия, адрес сервера и порт подключения.

    4. Сеть.
    По-умолчанию, для связи с сервером, Secure Tower использует порт 10500.

    5. Процессы.
    Как и в случае с каталогами и файлами, клиент умеет отлично маскировать свои процессы (если захочет) в Диспетчере задач Windows.
    Вот список наиболее вероятных процессов:
    FgstEpaCss.exe
    FgstEpaCssHlp.exe
    FgStEPAgentSvcHost.exe

    Для того, что бы их "выщемить", нужно запустить старый добрый Process Monitor и открыть Process Tree - от него еще никто не уходил.

    6. Skype
    Как известно, многие DLP-системы умеют перехватывать сообщения (некоторые, особо продвинутые - даже записывать разговоры) Skype. Вы, наверное, хотите спросить: Как они это делают? Ведь протокол Skype надежно зашифрован, и никому (практически) не удалось приблизиться к его расшифровке.
    На самом деле, до дешифровки данных, переданных по закрытым протоколам, дело как-раз и не доходит вовсе. Клиент Secure Tower извлекает данные непосредственно из самого Skype.

    Способ номер раз: он (клиент) регистрирует один из своих модулей, как доверенное приложение Skype. Последнее извлекает данные, используя документированное и открытое API.
    Проверить Skype на наличие незваных гостей можно, выбрав пункт меню Инструменты -> Настройки... -> Дополнительно -> Расширенные настройки -> Контроль доступа других программ к Skype (проверено для Skype 6.20.0.104).
    В окне "Контроль доступа программного интерфейса" будут перечислены все приложения, которые имеют доступ к вашим данным в Skype. Возможно, у себя, открыв данное окно, вы найдете много чего нового и интересного!
    В настоящее время данный способ практически не используется, т.к. все (в край обнаглели) перешли к способу номер два.

    Способ номер два: Skype хранит историю переписки БД SQLite в лучших традициях жанра - в открытом виде.
    Путь расположения файла БД:
    C:\Users\%username%\AppData\Roaming\Skype\[имя_пользователя_Skype]\main.db

    Вот именно этот файл периодически и дергает DLP-клиент.

    Ставим растяжку
    Запустить Process Monitor и создать новый фильтр:
    ----------------------------------------
    | Column | Relation | Value   | Action |
    ----------------------------------------
     Path      contains   main.db   Include

    Нажать OK и ждать, пока сработает. В идеально чистой системе, кроме самого Skype, к данному файлу никто обращаться не должен. Если в системе завелась "живность" - ждать придется недолго.

    Заключение
    Всегда стоит учитывать тот факт, что разработчики не сидят сложа руки, DLP-системы постоянно совершенствуются (усложняются, порождается большее число новых багов) и методы, описанные выше, могут не сработать для новых версий.

    Кроме этого, многое зависит от политик безопасности, согласно которым настроен клиент. Отдельные модули (перехват сообщений Skype, контроль https трафика и т.д.) могут быть отключены и соответственно, каждый отдельный пункт не может дать 100%-го результата.

    Для обнаружения ПО такого рода всегда следует использовать комплексный подход, который включает проверку по всем пунктам. Кроме этого, используя некоторые из данных методов, существует вероятность отследить не только Secure Tower, но и его "конкурентов".

    P.S. В завершение обращаюсь ко всем, кого заинтересовал данный вопрос: если Вам известны другие способы (методы, действия и т.д.) по обнаружению DLP-клиентов - пишите здесь (думаю, что автор вопроса будет не против). Любая информация всегда будет полезной!
    Ответ написан
    1 комментарий