[Eng] Security Samurai 2.0 fixt MS Windows Lücken

#1 Hi,

die Windows Standard Sicherheitseinstellungen sind oft mangelhaft, eine gute Idee ist diese etwas zu optimieren siehe Screenshot:



mehr Infos auch vom Entwickler selbst:
http://forum.gladiator-antivirus.com/index.php?showtopic=26738

Download:
http://www.geocities.com/turbotramp2/samurai.html - danke heron!
oder http://www.majorgeeks.com/Samurai_d4635.html

Zitat

Samurai repairs all of the major flaws known to exist in Microsoft Windows operating systems. Unlike signature-based protection, Samurai repairs the problem, so that all attacks capitalizing on a specific vulnerability are stopped, not just attacks with known signatures.

Today's security solutions mix firewalls, anti-virus software, patches, detectors, host and network intrusion prevention and all manor of encryption to achieve a high level of security. This layered approach has proven to be the only viable solution to Internet connected computing. Unfortunately, this solution creates a great deal of complexity. Is your firewall configured properly? Is your anti-virus software up to date? Do you have the latest service pack for your operating system? And how do you know if your computer is being used by someone else through a backdoor or a rootkit? Fortunately, you don't need to be a security expert to have expert security.

Greetz Lp

#2 Hi LP,

danke erstmal für den Tipp!
Allerdings funktioniert der Download-Link bei mir nicht (Mozilla). D.h. die angegebene Seite wird schon geöffnet, enthält aber keinen Download-Link.
Habe den Download von hier gemacht:
http://www.geocities.com/turbotramp2/samurai.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Ich habe die Beschreibung zu dem Tool einmal angesehen und bin auf folgendes interessante Feature gestoßen:

Zitat

DISABLE ROOTKITS: Clear existing rootkits and prevent future loading.

This solution hooks system calls to prevent the loading of rootkits and refreshes the kernel’s system call table to clear existing rootkits. This solution also contains a user interface that informs the operator when attempts are made to load device drivers during normal operation. This can only be accomplished with the Samurai HIPS.

Bietet das wirklich Schutz vor Rootkits? Und, wenn das so "einfach" zu erreichen ist, warum entwickelt dann FSecure das Blacklight-Programm für eben diesen Zweck?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4

Zitat

Bietet das wirklich Schutz vor Rootkits?

Bestimmt nicht gegen alle. Hängt davon ab wie der Kerneltreiber geladen wird.

Zitat

This solution hooks system calls to prevent the loading of rootkits...

Einmal hat er mich gewarnt, das 2-te mam konnte der Treiber unbemerkt geladen werden.
Außerdem muß man die Warnung interpretieren können da auch lagitime Software manchmal einen Kerneltreiber installiert.

Zitat

Und, wenn das so "einfach" zu erreichen ist,...

Es gibt verschiedene Programme die beim Laden/Installieren eines Kerneltreibers warnen.

Zitat

and refreshes the kernel’s system call table to clear existing rootkits.

Das ist eine vollmundige Aussage die ich so das 1-te mal höre
Grundsätzlich gilt es, wenn die Malware bereits auf Kernelebene sein Unwesen treibt, könnte es für eine jede Schutzsoftware zu spät sein.

Gruß
Ajax

#5 Hi Ajax,

danke für die Infos und Deine Beurteilung. Also, wie immer, bei solchen Aussagen "cum grano salis", zu Deutsch "Spitz pass auf".
Werde das Tool aber verwenden, um die diversen Windows-Löcher zu stopfen. Es scheint mir dabei etwas über das bereits bekannte svc2kxp.cmd
http://board.protecus.de/t13292.htm
hinauszugehen und ist, nach meiner Ansicht, flexibler in der Handhabung.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#6 Laserpointa, Heron and Ajax:

Thanks for the interest in Samurai 2.0. The rootkit feature actually blocks:
AFXRootkit
FU Rootkit
NT Rootkit
Hacker Defender
HE4Rootkit
and most of Vanquish (Samurai blocks the kernel driver load but not the DLL injection to every process)
I will figure out a way to stop the DLL Injection portion of Vanquish soon...

When you initialize the rootkit solution, Samurai reads ntdll.dll and refreshes the kernel's system call table, but there are other ways for rootkits to hide, so Samurai is, as you suspected, not complete. I expect to solve the trampoline hiding technique shortly. I believe that will help a lot. I hope you continue to use Samurai and update when new versions come out.

TurboTramp

#7 Hi TurboTramp and welcome to the board

IMO the rootkit feature in Samurai is the most interesting, especially now since Microsoft did some noise about rootkits, probably in order to advertize their new "secure" OS Longhorn.
Most people didn't even heared about this threat till now, excepting those few who got already infected in the past
You already did a great job with Samurai by detecting some of the most widely spread rootkits.
After all Samurai is a very handy non intrusive little tool

Zitat

I will figure out a way to stop the DLL Injection portion of Vanquish soon...

And another even more sophisticated method would be code injection...
Even a sandbox FW like Tiny could be bypassed this way. Phrack has some interesting readings about it.

However it will be a very difficult if not almost impossible task to detect all the methods used by rootkits.

I'm not using Samurai since I already have hardened my OS fitting to my needs and my defence line only consists of an on demand AV, a nice process viewer and a backup image of my partition.

Anyway, it was nice to test Samurai (I had to enable raw sockets in order to do so) and for sure I will test further versions as well

Best regards
Ajax

#8 @TurboTramp

I also find Samurai to be a handy little tool. After some testing, however, I stumbled over some drawback having applied configuration changes using Samurai.
When scanning my system with Ad-Aware that prog identified the registry key {5b71f990-53cd-4832-8ca2-36ea2d70b871} in HKEY_CLASSES_ROOT\typelib, a key obviously added by Samurai (after uninstallation of Samurai that key had gone), as CoolWebSearch!
Ad-Aware info:

Zitat

Rootkey : HKEY_CLASSES_ROOT
Object : typelib\{5b71f990-53cd-4832-8ca2-36ea2d70b871}

ArchiveData(auto-quarantine- 2005-06-21 11-23-44.bckp)
Referencefile : SE1R50 13.06.2005
======================================================

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : typelib\{5b71f990-53cd-4832-8ca2-36ea2d70b871}
obj[1]=Regkey : protocols\filter\text/html
obj[2]=RegValue : protocols\filter\text/html "CLSID"
obj[3]=RegValue : software\microsoft\internet explorer\main "Enable Browser Extensions"
obj[4]=RegValue : software\microsoft\internet explorer\new windows "PopupMgr"
obj[5]=RegValue : software\classes\protocols\filter\text/html "CLSID"
obj[6]=File : C:\WINDOWS\system32\wbem\logs\wbemess.log

Equally disconcerting is the fact that corresponding to Symantec Trojan.Popdis also adds this very same key to the registry.

Zitat

Adds the key:

"{5B71F990-53CD-4832-8CA2-36EA2D70B871}"

to the registry key:

HKEY_CLASSES_ROOT\TypeLib

So, everyone using Samurai should be aware of those "false" alarms.

Regards
Heron

edit:
I have found out now the "problem" is caused by using the option option "Disable the HTML Application MIME type". So, couldn't it been tried to find some remedy? Since I would not like to put a noted security risk on to my virus scanners ignore lists the only way I see at the moment is to skip this option until the problem has been riddled out (this feature anyway is covered by some other solutions like thr local proxy Proxomitron).
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 Thanks Heron:
I modified the GUID (and fixed a GDI+ processing bug) in Samurai 2.1.1.
You can get the newest version of Samurai here:
http://turbotramp.fre3.com/

Thanks again,
TurboTramp

#10 Hi TurboTramp,

that's good news! But, I am sorry to say, the download link you have given above doesn't work. If you click "download Samurai 2.1.1" you are led to the site http://www.fre3.com/ and no downlooad in sight.

Regards
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 @Heron

Der Link ist OK.
1. Entweder Referer erlauben oder
2. einen Downloadmanager verwenden wo Du den Referer eintragen kannst
In diesem Fall ist der Referer -> http://turbotramp.fre3.com/files/

Gruß
Ajax

#12 Hi Ajax,

danke für den Tipp! Hat bestens funktioniert.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 Es gibt ein update von Samurai version 2.5 http://turbotramp.fre3.com/
Samurai.zip now includes:

Samurai.exe - This is the software required to secure your PC.
LowSecurity.DAT - Load and Apply this configuration for basic security.
MediumSecurity.DAT - Load and Apply this configuration for trusted Internet use.
MediumHighSecurity.DAT - Load and Apply this for normal Internet use and email.
HighSecurity.DAT - Load and Apply this configuration for Internet surfing.
__________
MfG Argus

#14 Habe das Prog mal ausführlich benutzt. Sieht zunächst sehr vielversprechend aus. Wenn es aber an das Eingemachte geht, sprich an die Aktivierung des Kernel-Schutzes, dann hatte ich regelmäßig anschließend Probleme mit der Systemstabilität, Freezing und Missfunktion von Programmen (das gilt übrigens auch für das an anderer Stelle erwähnte InfoProcess AntiHook Tool http://board.protecus.de/t18351.htm).
Die anfängliche Begeisterung hat sich bei mir doch merklich abgekühlt.
Welche Erfarungen habt ihr mit dem Prog gemacht?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Geht mir genauso ! Halte das Programm nocht nicht für ausgereift.!!!
Beim Kernelschutz filpt meine KPF (Kerio) aus,und ist verschwunden. Ist erst nach entfernen von Samurai wierder da.!!!
Gruß Merlinx