Test Firewall et leaks :La fête à Matousec

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
compte-supprime666

Test Firewall et leaks :La fête à Matousec

par compte-supprime666 »

http://forum.bitdefender.com/index.php?showtopic=41033


Le forum de Bitdefender discute des leaktests, pour ceux que les résultats aux tests de Matousec intéressent encore,

http://www.matousec.com/projects/proact ... esults.php
Malekal_morte
Messages : 110320
Inscription : 10 sept. 2005 13:57

Re: La fête à Matousec

par Malekal_morte »

Salut,

Je n'ai pas vraiment d'avis sur ce site.
C'est assez difficile de savoir quels sont exactement les tests effectués même si y a quelques informations qui sont donnés.

Par contre, je suis pas d'accord avec le premier commentaire donné sur le forum de BitDefender.
Tu parles de proactivité, dans le cas de Matousec ça se résume aux problèmes de leaks (fuites), combien d'infections ont recours à des leaks sur le total de celles ci?
Beaucoups de Bots : Ngrbot / Andromeda / SmokeBot, d'autres bots sans noms utilisent des leaks.
nrgbot injecte explorer.exe
Andromeda / Smokebot lancé une instance de svchost.exe (et beaucoup d'autres le fonts, notamment un spambot mais je n'ai pas le nom en tête).

Le dropper de ZeroAccess fait des injections aussi.

J'en vois vraiment beaucoup, c'est devenu un standard.

et quand je me souviens que le pare-feu Avast! et F-Secure ne détectait pas les injections sur explorer.exe - me dis qu'ils ne se valent pas tous.
=> https://www.malekal.com/2011/10/24/avas ... -rapide/3/
=> https://www.malekal.com/2011/10/27/f-se ... -rapide/4/

Dommage que les tests ne semblent que tester (sauf erreur de ma part) les injections de DLL et non la manipulation de processus et leurs injections :
Inject2
Test type: Leak-test
Techniques: file/directory manipulation, binary planting, DLL injection
Scoring: Test was prevented to send data to Internet server – PASSED; test was able to send data to Internet server – FAILED.
Description: Inject2 attempts to inject a DLL into Internet Explorer by creating the DLL in its installation directory with a name of one of the system DLLs it depends on.
Inject1
Test type: Leak-test
Techniques: system object manipulation, DLL injection
Scoring: Test was prevented to send data to Internet server – PASSED; test was able to send data to Internet server – FAILED.
Description: Inject1 attempts to inject a DLL into Internet Explorer by creating a special section for one of the DLLs it depends on.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
compte-supprime666

Re: Test Firewall et leaks :La fête à Matousec

par compte-supprime666 »

Comment tu fais pour savoir qu'il y a leak? tu vois par exemple qu'explorer est utilisé lors de l'infection, mais pour voir que, par exemple, le malware se fait passer pour IE pour utiliser explorer ça me semble difficile, jamais vu sur tes tests quelque chose de décelable, sur process explorer notamment.

Pour moi on est sûr qu'il y a leak quand on fait un leaktest, et encore, de toute façon ça n'a pas d'intérêt de le savoir, l'important c'est que la proactivité de l'antivirus arrête le malware.
compte-supprime666

Re: Test Firewall et leaks :La fête à Matousec

par compte-supprime666 »

http://www.wilderssecurity.com/showthread.php?t=333772


Le test à Comodo (le "meilleur" aux leaks), qu'est ce qu'on peut en déduire après avoir consulté ce lien? ce n'est pas le pare feu et sa capacité de filtrage en sortie qui est déterminante, c'est la proactivté de l'antivirus et celle de Windows.
Malekal_morte
Messages : 110320
Inscription : 10 sept. 2005 13:57

Re: Test Firewall et leaks :La fête à Matousec

par Malekal_morte »

Dans la liste des produits testés, il y a aussi des suite de sécurité.
Donc manifestement Antivirus + Firewall ne font pas leurs boulots.
Comment tu fais pour savoir qu'il y a leak? tu vois par exemple qu'explorer est utilisé lors de l'infection, mais pour voir que, par exemple, le malware se fait passer pour IE pour utiliser explorer ça me semble difficile, jamais vu sur tes tests quelque chose de décelable, sur process explorer notamment.
Un malware ne se fait pas passer pour IE, il peux lancer le processus pour l'utiliser pour se connecter quelque part, comme le font les trojans clicker ou certains Rats.

Après que ce soit la partie Antivirus ou Firewall qui doit ou doit pas... je vous laisse ce débat.

Que l'antivirus ou le firewall doit bloquer/détecter l'injection de processus ou que le firewall doit notifier l'utilisateur quand explorer.exe se connecte en HTTP quelque part ou que le firewall laisse passer quand svchost.exe se connecte aux updates MS mais que l'utilisateur soit notifié, quand une instance de svchost.exe soit lancé en userland et se connecte HTTP quelque part...
Tout ça parce qu'il est écrit quelque part que les FW ça doit faire ça et pas ça et patati patata.

Reste que pour les injections, certains suites de sécurité ne sont pas foutues de les bloquer alors que c'est commun.

D'autre part, c'est peut-être vrai que certaines suites testées notamment avec l'antivirus sont capables de bloquer des droppers qui font ceci ou cela dont des injections, dans un certains ordre car ce sont des droppers de familles connues alors qu'un test un par un des leaks, il ne bronchera pas.
Bref qu'un dropper d'un malware soit bloqué alors que le test montre que tous les leaks ne sont pas détectés.

(reste que dans ce cas, un gars qui code un truc spécifique, y a des chances que la suite ne bronche pas)


Toute façon, ça reste un test, faut pas tout suivre à la lettre.
Certains éditeurs font en sorte que les tests leurs soient favorables... alors que la protection contre les malwares traditionnels est moyenne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »