Prevx Edge erschienen Einstellungen

[Kenshiro]

Boah, schaut nach einer Eskalation oder nur Diskussion aus?

Der Beitrag wurde von Kenshiro bearbeitet: 13.06.2009, 12:59

[Habakuck]

Danke für die Umfangreiche Anlayse Anar! Zu sowas bin ich nicht in der Lage daher ist es sehr interessant deine Ausführungen zu lesen!

bist Du bei einer Targetted Attack "geowned". Das war mein initialer Kritikpunkt und bleibt es auch.

Wie würde den ein herkömmliches AV dagegen gefeit sein? Zum Beispiel Kasperksy oder McAffe?

[Julian]

Wie würde den ein herkömmliches AV dagegen gefeit sein? Zum Beispiel Kasperksy oder McAffe?

Ein AV kann da gar nichts ausrichten, nur ein HIPS. Also bei Kaspersky den interaktiven Modus anmachen, was natürlich auch keine theoretische 100%ige Sicherheit bringen kann.

[Anar]

Kommt natürlich stark drauf an. Kaspersky würde korrekt konfiguriert mit dem HIPS und der PDM durchaus ne Menge abfangen, was man so anstellen könnte. McAfee hab ich selbst seit Jahren nicht mehr angesehen. Entsprechend mag ich mir da keine Aussage erlauben.

Generell ist PrevX ja nicht schlecht. Ich überleg sogar ob ich meine Lizenz weiterlaufen lass statt vom Umtauschrecht Gebrauch zu machen. Von den mittlerweile rund 120 getesteten Rootkits wurden alle bis auf das erste erkannt. Von den ca. 40.000 Samples die ich in den letzten Monaten via Nepenthes angesammelt hab, wurde ein Großteil erkannt. Die ca. 300 übersehenen Samples wurden nach Submit innerhalb von 10 Sekunden bis 5 Minuten erkannt. Bis auf eines, das sich immer noch im Review befindet. Die Cloud kennt also echt ne Menge Malware und lernt recht schnell. Aber ich hab eine Allergie gegen Buzzwords und man sollte sich bewusst sein, daß man sich mit PrevX keinen Behaviour Blocker ins Haus holt, sondern genau genommen ein Cloud basiertes AV.

Der Beitrag wurde von Anar bearbeitet: 13.06.2009, 13:56

[Gast_Nightwatch_*]

Boah, schaut nach einer Eskalation oder nur Diskussion aus?

Hi!
Nur Diskussion

PrevX installiert einen Filesystem Filter, ein Process Creation Notification Callback und eine Hand voll Hooks um Prozessmanipulation und -terminierung zu verhindern. Ansonsten ist der PrevX Client komplett blind.

Danke Anar! Das sind doch mal wirkliche Fakten! Ich komme leider beruflich nicht aus der Branche und bin deshalb auch auf Experten-Meinungen und -Schilderungen angewiesen.
Du schreibst, dass Prevx die obengenannten Dinge installiert und damit arbeitet. Für mich sieht das schon nach einem Behavioural-Monitoring-System aus. Was müsste denn passieren oder implementiert werden, dass es ein "richtiges" wird?

Die Heuristiken bestimmen welche Dateien an die Cloud geschickt werden. Die Cloud kann zudem von sich aus Dateien anfordern. Die Dateien werden dann von der Cloud auf dafür vorgesehenen Maschinen ausgeführt und ihr Verhalten beobachtet. Nach meinen Tests dauert der Vorgang 10 Sekunden bis 5 Minuten.

Absolut richtig. Aber wenn die Heuristik bei einem Sample nicht anspringt, wird es doch auch nicht ITC verschickt. Daher meine Verwunderung, weil Du schriebst, dass es 2 Minuten später eine Erkennung geben sollte. Wie kommt es zu dieser langen Zeitspanne? Hier werden die Malware entweder sofort oder gar nicht geblockt. Nicht nachträglich und ohne Verzögerungen.

Die Popularity Heuristik hat bei mir noch nicht ein einziges File kritisiert, obwohl ich 1000% sicher bin, daß niemand außer mir die Dateien hat.

Das liegt daran, dass Du die Default-Einstellungen verwendest. Je weiter Du den Balken nach rechts verschiebst, desto kleiner wird der Rahmen gesteckt.

Es ist laut allgemeiner Definition nicht in der Lage Dich vor Zero Day Malware zu schützen, wenn Du der erste bist, der auf diese Malware trifft.

Dieser Punkt leuchtet mir immer noch nicht ein. Laut welcher Definition? Warum war Prevx dann z.B. das erste und einzige Programm, welches alle Conficker-Varianten heuristisch erkennen und blocken konnte? Und das neue MBR auch ? Unter max. Einstellungen wird hier so gut wie gar kein Sample durchgelassen. Auch solche, die bei VT eine Erkennung von 3-4/39 besitzen.

Einen nicht versteckten Prozess zu erkennen ist nämlich unglaublich schwer. Bist Du sicher, daß das Rootkit überhaupt aktiv war und weißt Du was es überhaupt versteckt hat?

Last but not least
Ja, ich habe parallel mit Gmer gearbeitet. Es ist nicht so einfach, einen aktiven Prozess im Nachhinein zu betiteln und ich kann Dir etliche Beispiele liefern, in denen das nach einer Malware-Infektion nicht der Fall ist. Und das Löschen/Stoppen des Prozesses ist ebenfalls nicht immer drin. Anprangern können viele. Aber hinterher Einschreiten und Erkennen...dass sind zwei verschiedene paar Schuhe. Testet das Ganze mal mit AVG, Avast, GData, Blacklight oder anderen. Und nein, das ist kein Bashing .

Schönes Wochenende @all !

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 13.06.2009, 14:03

[Habakuck]

Ein AV kann da gar nichts ausrichten, nur ein HIPS. Also bei Kaspersky den interaktiven Modus anmachen, was natürlich auch keine theoretische 100%ige Sicherheit bringen kann.

Das habe ich die letzten Jahre über auch gedacht aber ich zweifle momentan sehr am wahren Nutzen des Ganzen.
Denn letzten Endes kann sich ja der Kasperksy Emulator eben so irren wie jedes andere AV auch. Wenn der Prozess dann nur in die schwach beschränkte Sektion befördert wird oder sogar ganz als vertrauenswürdig eingestuft wird, wo ist dann der Schutz?
Gehen wir davon aus, dass ich manuell entscheide wo der Prozess landen soll, also den Emulator nicht verwende. Dann klicke ich auf die 123.exe weil ich mir das Programm gerne installieren möchte und mache es in gutem Glauben vertrauenswürdig. Wieder infiziert.
Wenn ich der exe nicht vertraue führe ich sie garnicht erst aus. Also ich sehe da wieder keinen Nutzen des HIPS.
Nun zum Fall Exploit: Der Adobe muss quasi vertrauenswürdig sein, ansonsten ist ein Arbeiten damit nur nervig. Das heisst aber auch, dass mich das HIPS wieder nicht schützt.


Da meine KIS Lizenz noch ziemlich lange läuft wäre ich euch dankbar mir meinen Glauben zurück zu geben...

[Solution-Design]

Nun zum Fall Exploit: Der Adobe muss quasi vertrauenswürdig sein, ansonsten ist ein Arbeiten damit nur nervig. Das heisst aber auch, dass mich das HIPS wieder nicht schützt.

Das selbe Problem hat ein OnExecution-Scanner wie a-squared. Starte man die Anwendung, dann die Malwarebehaftete pdf, passiert nichts. Erst die darauffolgenden Aktionen -insofern sie folgen- werden wieder erkannt. Ich sehe darin aber nicht direkt ein Problem. Außer, dass der Exploit nicht erkannt wird. Schaden anrichten dürfte er nicht.

[Habakuck]

Kommt natürlich stark drauf an. Kaspersky würde korrekt konfiguriert mit dem HIPS und der PDM durchaus ne Menge abfangen, was man so anstellen könnte. McAfee hab ich selbst seit Jahren nicht mehr angesehen. Entsprechend mag ich mir da keine Aussage erlauben.

Generell ist PrevX ja nicht schlecht. Ich überleg sogar ob ich meine Lizenz weiterlaufen lass statt vom Umtauschrecht Gebrauch zu machen. Von den mittlerweile rund 120 getesteten Rootkits wurden alle bis auf das erste erkannt. Von den ca. 40.000 Samples die ich in den letzten Monaten via Nepenthes angesammelt hab, wurde ein Großteil erkannt. Die ca. 300 übersehenen Samples wurden nach Submit innerhalb von 10 Sekunden bis 5 Minuten erkannt. Bis auf eines, das sich immer noch im Review befindet. Die Cloud kennt also echt ne Menge Malware und lernt recht schnell. Aber ich hab eine Allergie gegen Buzzwords und man sollte sich bewusst sein, daß man sich mit PrevX keinen Behaviour Blocker ins Haus holt, sondern genau genommen ein Cloud basiertes AV.

Also, ich habe mal beim PrevX Support angefragt.

Dieser hat mir mitgeteilt, dass PrevX sehr viel mehr als nur die Checksumme übermittelt. Es werden viele weitere Daten über das Programm an sich und weitere Vorgänge im System an den Server übermittelt. Dieser wertet die Daten aus und sendet das Ergebniss an den Clienten zurück.
Wie ganz genau das abläuft wollten sie mir nicht verraten, haben aber auch ganz klar gesagt, dass sie sonst zu viel ihrer Technologie preis geben würden.

Zur Frage der gezielten Attacke anwortete man mir, dass ein Schutz vor den normal auftauchenden Schädlingen bereits bei default settings gegeben ist, wenn man Schutz vor weiteren Gefahren wie gezielten Attacken wünscht dann muss man die Heuritik Settings hochstellen.

Sind die Regler auf Maximum ist ein Schutz vor gezielten Attacken definitiv gegeben. Das hat man mir mehrfach versichert. Alle Settings auf Maximum erzeugen ein "Anti-Executable"/whitelisting Schutz System welches quasi nicht mehr durchbrochen werden kann. Allerdings steigt die Zahl an FPs natürlich stark an.
Allerdings nutze ich jetzt seit 2Wochen Prevx mit höchsten Sets und habe keine FPs!!

Alles in allem hören sich die Ausführungen ehrlich an, wie immer.

Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 18:24

[Gast_Nightwatch_*]

Sind die Regler auf Maximum ist ein Schutz vor gezielten Attacken definitiv gegeben. Das hat man mir mehrfach versichert. Alle Settings auf Maximum erzeugen ein "Anti-Executable"/whitelisting Schutz System welches quasi nicht mehr durchbrochen werden kann. Allerdings steigt die Zahl an FPs natürlich stark an.
Allerdings nutze ich jetzt seit 2Wochen Prevx mit höchsten Sets und habe keine FPs!!

Danke für Deine Support-Anfrage!

Und dann sind wir bei dem Punkt, den ich hier schon oft preisgegeben habe. Prevx ist mit max. Einstellungen fast nicht überwindbar. Ich bekomme so gut wie kein Sample durch. Die FP´s sind bei mir auch sehr rar.

EDIT: Und in der Checksummen-Sache wurde ich auch bestätigt.Konnte mir das auch schwer vorstellen.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 14.06.2009, 18:35

[markusg]

wird eigendlich jedes file was ich manuell scanne, automatisch an prevx weitergeleitet? dann kann ich mir das senden per mail sparen.

[Habakuck]

wird eigendlich jedes file was ich manuell scanne, automatisch an prevx weitergeleitet? dann kann ich mir das senden per mail sparen.

Wird es ja. Allerdings solltest du FPs manuell einschicken. Die werden schneller behandelt.
report@prevxresearch.com
Dort das logfile des Scans hinschicken und schwups die wups wird das FP gefixt.

[markusg]

fps hatte ich noch keine... hab nur einige neue files eingesendet. allerdings an eine andere adresse. prevx ist ziemlich schnell, wenn es darum geht neue files in die erkennung aufzunehmen.wenn es dann noch mit tastatur-befehlen arbeitet ist es für mich dann richtig nutzbar.

[Draco]

Hallo

Ich werde das Gefühl nicht los, dass entweder PrevX oder NIS meinen Rechner ausbremst oder seltsame Aktivität an den Tag legt.

Meine Festplatte rattert sehr oft wirklich sehr laut herum und dann stockt das System auch, was eigentlich nicht unbedingt sein dürfte.

Gibt es noch jemanden der NIS 2009 und PrevX 3.0 auf einem Vista x64 (SP2) ausführt und berichten kann, wie bei ihm die Kombi läuft?

Theoretisch könnte es auch daran liegen, dass ich die Sicherheit bei PrevX auf Anschlag gedreht habe und deswegen alles etwas länger dauert, bin jedoch sehr unsicher.

Als Festplatte nutze ich eine WD Raptor mit 10.000 Umdrehungen und einer Zugriffszeit von 4,6 ms - ich schließe also mal aus, dass die Hardware nicht mitkommt.

[Habakuck]

Hallo

Ich werde das Gefühl nicht los, dass entweder PrevX oder NIS meinen Rechner ausbremst oder seltsame Aktivität an den Tag legt.

Meine Festplatte rattert sehr oft wirklich sehr laut herum und dann stockt das System auch, was eigentlich nicht unbedingt sein dürfte.

Gibt es noch jemanden der NIS 2009 und PrevX 3.0 auf einem Vista x64 (SP2) ausführt und berichten kann, wie bei ihm die Kombi läuft?

Theoretisch könnte es auch daran liegen, dass ich die Sicherheit bei PrevX auf Anschlag gedreht habe und deswegen alles etwas länger dauert, bin jedoch sehr unsicher.

Als Festplatte nutze ich eine WD Raptor mit 10.000 Umdrehungen und einer Zugriffszeit von 4,6 ms - ich schließe also mal aus, dass die Hardware nicht mitkommt.

PrevX kann alleine dein System nicht ausbremsen.. Das íst quasi unmöglich.. ^^
Dreh mal den PrevX Selbstschutz auf Minimum runter.
Starten den Rechner neu.
Bringt das Besserung?

Wenn nicht dann setze die Advanced Heuritc Settings auf default zurück.
Dann sollte eigentlich wirklich alles laufen. Wenn nicht dann ist NIS oder etwas anderes Schuld...

[Draco]

Hallo Habakuck,

der Selbstschutz ist bei PrevX automatisch auf Minimum, da ja NIS ebenfalls installiert ist und PrevX das erkennt.

Ich denke jedoch NIS könnte durchaus das Problem sein, da sich die beiden Programme regelrecht darum streiten, wer den nun die böse Datei löschen darf.

Wird eine infizierte Datei gefunden - meldet sich in der Regel NIS um die Infektion zu löschen, danach beginnen die Festplatten an zu rattern ohne Gnade, obwohl weder NIS noch PrevX den Prozessor belasten.
Ich werde mich mal ganz auf PrevX verlassen und NIS deinstallieren und gucken, was dann so ab geht im System

[Habakuck]

Hallo Habakuck,

der Selbstschutz ist bei PrevX automatisch auf Minimum, da ja NIS ebenfalls installiert ist und PrevX das erkennt.

Ich denke jedoch NIS könnte durchaus das Problem sein, da sich die beiden Programme regelrecht darum streiten, wer den nun die böse Datei löschen darf.

Wird eine infizierte Datei gefunden - meldet sich in der Regel NIS um die Infektion zu löschen, danach beginnen die Festplatten an zu rattern ohne Gnade, obwohl weder NIS noch PrevX den Prozessor belasten.
Ich werde mich mal ganz auf PrevX verlassen und NIS deinstallieren und gucken, was dann so ab geht im System

Nimm das Removal Tool um NIS zu deinstallieren... Danach sollte es mit prevX keine Probleme geben...

[Kenshiro]

PrevX denke ich eher unschuldig. Bei mir belegt er gerade 10 MB Speicher

[Habakuck]

Die Speicherbelegung ist sehr gering (allerdings immer noch höher als mit Kaspersky) aber viel genialer ist die praktisch nicht vorhandene CPU Auslastung und die ebenso wenig vorhandenen Festplattenzugriffe...
Schneller geht es kaum noch.
Ich hoffe sie machen einiges bis zum Q3 Release noch besser. Mich stört es momentan schon, dass ein Schutz vor absolut neuer Malware wenn man wirklich die arme erste Sau ist die der begegnet nicht so richtig vorhanden ist.

Ist hier jemand in der Lage selber ein Test Sample zu schreiben und mal auf Maximalen Heuristic Settings auszuprobieren ob PrevX schützt?

[Draco]

Die Speicherbelegung ist sehr gering (allerdings immer noch höher als mit Kaspersky) aber viel genialer ist die praktisch nicht vorhandene CPU Auslastung und die ebenso wenig vorhandenen Festplattenzugriffe...
Schneller geht es kaum noch.
Ich hoffe sie machen einiges bis zum Q3 Release noch besser. Mich stört es momentan schon, dass ein Schutz vor absolut neuer Malware wenn man wirklich die arme erste Sau ist die der begegnet nicht so richtig vorhanden ist.

Ist hier jemand in der Lage selber ein Test Sample zu schreiben und mal auf Maximalen Heuristic Settings auszuprobieren ob PrevX schützt?

Also ich programmiere zur Zeit eine Art Alternative für die Netzwerkumgebung in LANs - das Programm fragt unteranderem auch nach Adminrechten und kopiert einige Sachen in die Windows Temp-Order.
Ich hab es nun soweit umgeschrieben, dass es auch wild nach Dateien suchte und auf den Windows Ordner zugreifen wollte - ließ die Größe einer Systemdatei auslesen - worauf PrevX auch so gleich ansprang und mir eine Infektion meldete - was wohl aber auch darauf basierte, dass die Software niemand hatte, sie aber auch als "fragwürdig" eingestuft wurde.

Eine andere Software von mir - ein Spiel - wurde von PrevX jedoch in Ruhe gelassen, da die Software weder ins Internet geht oder sonst irgendwas am System verändern möchte.

Ein wirklich neuer und unbekannter Virus, wird wohl auch von kaum einem Scanner zuverlässig erkannt.

Und nebenbei: seitdem NIS weg ist, hat sich das rattern der Festplatte auch erledigt

Der Beitrag wurde von Draco bearbeitet: 17.06.2009, 12:25

[markusg]

ich hab jetzt noch mal bei prevx nachgefragt, die files werden nicht eingesendet. es werden nur infos geschickt. es ist besser, neue samples zu mailen.
report@prevxresearch.com
es muss ein rar-archiv sein, versehen mit nem pw.