Archive for the ‘Security’ Category.

URLVoid – Scan websites for malware

Denne web-service giver mulighed for at scanne websites for ondsindet kode(malware).
URLVoid benytter p.t. 12 forskellige scan-services. Se nedenstående billede.

URLVoid kan benyttes via nedenstående link. Tjek den ud.
http://www.urlvoid.com/

Sandboxie – sikker web browsing Part 2

Vi har fået installeret og konfigureret Sandboxie. Tiden er nu kommet til at starte ens browser op i den beskyttet sandbox.
Tegnet/symbolet [#] viser at vores browser kører i et isoleret sandbox-miljø.

 

Samtidig kan man se, at Sandboxie ikonet nu har fået røde prikker. Det betyder at der er noget aktivt (filer/sessioner) i sandboxen.

Hvis Sandboxie ikke er aktiv/tom, vil ikonet være gult, som vist på nedenstående billede.

Lad os nu prøve at downloade et program, som vi ønsker at installere og benytte.
Når man kører sin browser i Sandboxie, skal man som udgangspunkt altid vælge at gemme filen, fremfor at køre den.
Hvis man kører filen vil programmet bliver installeret i en sandbox og vil således blive slettet, når vi lukker vores browser session.
Det er ligeledes vigtigt at man gemer filen i de mapper/områder, som har support for “Øjeblikkelig Genskabelse”.
Som tidligere vist, er det som standard følgende områder.

– Overførelser
– Skrivebord
– Documents

Jeg downloader i dette eksempel en applikation, som hedder Notepad++.
Læg igen mærke til symbolet [#], som vises, når diverse handlinger foregår i sandboxen.
Jeg vælger “Gem”.

Jeg vælger mappen “Overførelser” og klikker “Gem”.

Sandboxie kommer nu op med formen “Øjeblikkelig Genskabelse”. Jeg vælger her “Genskab”.

Nedenstående billede viser, at min applikation Notepad++ nu er gemt udenfor sandboxen og jeg kan nu installere den, på mit rigtige system.

Lad os se hvad der sker, når jeg afvikler ondsindet kode (malware) i en browser, som kører i en isoleret sandbox.
Nedenstående billeder viser, at jeg at har afviklet et par “fake AV” programmer.



 

Her kan vi se, at de ondsindet filer er isoleret i sandboxen.

Diverse malware ikoner og alerts kommer frem på mit system.

 

Ved at fjerne malwaren, skal man nu bare højre musetaste på Sandboxie ikonet og vælge “Afslut Alle Programmer”.
I nogle tilfælde kan malwaren fryse ens skrivebord eller mus og man bliver derfor nødt til at slukke computeren.

Malwaren har lagt et gevejsikon ud på skrivebordet. det er et af de områder, som tillader “Øjeblikkelig Genskabelse”.
Derfor bliver man spurgt om man vil genskabe gervejen. Det ønsker vi ikke og vælger her “Slet Sandbox”.

Vi har nu et rent system igen. Simpelt og effektivt.

Hvis man kommer til at afvikle malware der prøver at skrive i C:Programmer eller C:Windows vil Sandboxie komme med nedenstående besked.
Vi har konfigureret Sandboxie med kun “Læse/read” adgang til disse foldere. Malwaren kan således ikke afvikles og vil fejle.

En sidste ting, som er vigtig, i forhold til netbank og andre personfølsomme services/tjenester.
Man kan ved et uheld komme til at afvikle user-mode malware som indeholder keyloggere eller password stealers.
Derfor er det vigtigt, altid at lukke alle sine browser sessioner og derved slette sandboxen inden man feks går på sin netbank.
Man kan også oprette en seperat sandbox, som man kun benytter til netbank,E-Boks mfl.

Denne blog-post serie omkring Sandboxie er nu afsluttet.

Sandboxie – sikker web browsing Part 1

Med Sandboxie kan man surfe sikkert på nettet. Sandboxie afvikler de ønskede applikationer i et isoleret lag på computeren, som beskytter den effektivt mod uønskede ændringer.
Hvis man således afvikler sin browser (IE/FF/Chrome) fra Sandboxie og downloader og eksekverer onsindet kode (malware), vil det bliver fanget og isoleret af Sandboxie.
Det betyder, at malware som er fanget i et Sandbox-lag ikke dynamisk kan bryde ud og inficerer brugerens computer.
Ved at lukke ens browser/session vil alt inden i Sandboxie blive slettet inklusiv malwaren.
Se nedenstående link og grafisk illustration for mere info.
http://www.sandboxie.com/


 

Lad os se, hvordan det kan virke i praksis. Nedenstående guide er testet på en Windows 7 32-bit platform med betalingsversionen af Sandboxie.
Jeg starter her med at downloade og installere nyeste version af Sandboxie fra nedenstående link.
http://www.sandboxie.com/index.php?DownloadSandboxie

Højre musetast på “SandboxieInstall.exe” og vælg “Kør som administrator”.


 

Klik “Ja”.

 

Vælg “Dansk” og klik “OK”.

 
 
Klik på “Jeg Accepterer”.

 

Klik på “Installer”.

 

Vælg “Næste”.

 

Vælg “Næste”.

 

Klik på “Afslut”.

 
 
Sandboxie starter herefter automatisk op med et velkomst skærmbillde. Klik på “Luk”.

 

En genvej til “Sandboxed Web Browser” bliver placeret på skrivebordet. Samtidig er “Sandboxie Kontrol” startet op. Det er her, vi senere skal lave en række ændringer til standard konfigurationen.

For køb og registrering af Sandboxie skal man gøre følgende:
Gå til http://www.sandboxie.com/ og klik på “Buy” i menuen. Klik herefter på linket “Enter the store”.
 

Fjern/fravælg “Backup CD”. og gennemfør resten af betalings-proceduren.
For ca. 242 kr får man således en livstids-licens til Sandboxie, som jeg mener er et rigtig godt tilbud.
 
I “Sandboxie Kontrol” gå til “Hjælp” og vælg “Registrer Sandboxie”.

 

Indtast “Navn” og tilsendt “Nøgle”. Klik på “OK”.

Afslut installation og registrering ved at klikke “OK”.

 

I “Sandboxie Kontrol”, højre musetast på “Sandbox DefaultBox” og vælg “Sandbox Indstillinger”.

Nedenstående billede viser de default områder du kan downloade og gemme filer og som herefter kan gemmes udenfor sandboxen.

Under “Beskyttelse” vælg her at slette indholdet af sandboxen. Dette vil sikre dig, at alle filer/malware bliver slettet, hver gang du lukker din browser.

 

Vælg “Mindsk rettigheder fra Administrator…”

Under “Læs-Kun-Adgang”, tilføj Programmer/Program Files og Windows katalog.

Udfra “Internet Explorer” vælg her at sætte + udfra alle settings, som vist på nedenstående billede. Dette vil give den største flexibilitet.
Alle andre applikationer/plugins, som bliver startet via IE, bliver således også afviklet i Sandboxie. Det kunne være såbare programmer som Java, Adobe og Flash.

Afslut konfiguationen med at password beskytte den. Gå til “Konfigurer” og “Lock Configuration”.

Vælg ” Password must be entered….”.

 

Angiv “Adgangskode” 2 gange. Klik “OK” > “OK”. Luk herefter “Sandboxie Kontrol”.

 

Sandboxie – sikker web browsing Part 1 er nu afsluttet.

Oprettelse af logs fra Process Explorer og Autoruns

Process Explorer:

Klik på nedenstående link
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Ude i højre side, Klik på linket “Run Process Explorer now from Live.Sysinternals.com”


Vælg “Kør”.

 

Vælg “Kør”.

Vælg “Agree”.

Vælg “View” og vælg “Select Columns”.

 

Under fanebladet “Process Image”, sæt hak udfra “Integrity Level”. For Windows XP, vil dette felt være nedtonet og skal ikke udføres.

Vælg fanebladet “Process Memory” og sæt hak i “WS Private Bytes”. Klik på “OK” knappen”.

 

Vælg “File” – “Save As”.

Vælg “Skrivebord” – angiv “Filnavn” – vælg “Gem”.

Vælg “File” – “Exit”.

 

Autoruns:

Klik på nedenstående link.
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Ude i højre side, Klik på linket “Run Autoruns now from Live.Sysinternals.com”.


Vælg “Kør”.

Vælg “Kør”.

Vælg “Agree”.

Tryk på “Esc” tasten på dit tastatur/keyboard.
Vælg “Options” – Vælg “Very Code Sinatures”.

 

Vælg “File” – “Refresh”.

Vent indtil der stå “Ready” nede i venstre hjørne.

Vælg “File” – “Save”.

Vælg “Skrivebord” – angiv “Filnavn”. vælg “Gem”.

Vælg “File” – “Exit”.

Opret en ny folder på dit skrivebord, som du feks kalder SYSlog. Kopier de 2 filer (Procexp,AutoRuns) ind i denne mappe.
Vælg herefter at at komprimere SYSlog folderen. Højre mustetast på folderen. Vælg “Send til”. Vælg “ZIP-komprimeret mappe”.

Denne vejledning er nu afsluttet.

Installation og opsætning af Online Armor

Med Online Armor (OA), kan man effektivt stoppe diverse malware angreb, som udnytter sårbarheder i programmer og browser plug-ins.
Online Armor benytter whitelist teknologi, som kun tillader godkendte eksekverbare filer at bliver afviklet.
Programmet er freeware og kan downloades fra nedenstående link.
http://www.tallemu.com/downloads.php (vælg her Online Armor Free)

Jeg vil i denne blog-post beskrive installation og opsætning af OA, samt teste drive-by angreb.
Jeg har testet OA på Windows XP (SP3) og Windows 7 (32-bit).

Download Online Armor og gem den i en folder eller ude på skrivebordet.
Kør filen “OnlineArmor_Setup_Free.exe” (For Vista og Windows 7, højre musetast på filen og vælg kør som administrator).

Vælg “Next”.

Vælg “I accept the agreement” og klik på knappen “Next”.

Vælg “Next”.

Vælg “Next”.

Indtast din e-mail adresse to gange og vælg “Next”.

Vælg “Install”.

 

Installationen udføres. Når den er færdig, klik på knappen “Finish”.

En konfigurationsguide fremkommer herefter. Vælg “Next”.

Vælg “Next”, når Online Armor har færdiggjort scannings-processen.

 

Fravælg “Send anonymous information….”. Klik på knappen “Next”.

Vælg “Finish”. Computeren genstarter herefter.

Efter genstart fremkommer nedenstående billede, når man logger ind på sin computer. Dette tager omkring 2 minutter.

Dobbeltklik herefter på “Online Armor” ikonet, som jeg har indrammet med gult. Ikonet findes nede ved systemuret nederst i højre hjørne.

 

Klik på ikonet “General”.

Fravælg “Firewall”. Vi er kun interesseret i “Program Guard” funktionen, som vil beskytte os effektivt mod, at malware sniger sig ind på systemet uden at vi har godkendt det.

Vælg “Yes”. Windows egen indbygget firewall vil herefter bliver aktiveret. Dette vil være den bedste løsning for almindelige hjemmebrugere.

 

Vælg “Close”.

Højre musetast på “Online Armor” ikonet nede ved systemuret. Vælg “Set Password”.

Vi låser herefter OA konsollen, så drive-by malware automatisk bliver blokeret.
Skriv dit ønskede password 2 gange og sæt hak udfra “Enable autolock” og “Lock GUI now”.
Afslut med klikke på “OK” knappen.

Hvis man downloader og installere såkaldt trusted software, som ikke findes i “Online Armor” whitelist databasen, vil dette program blive blokeret.
Som eksempel ønsker jeg i dette tilfælde at installere programmet “KeePass”.
http://keepass.info/

Jeg downloader programmet og gemmer det på mit skrivbord. Jeg dobbeltklikker på filen for at installere det.

OA kender ikke programmet i whitelistdatabasen og blokerer det.

 

For at installere KeePass eller andre programmer, skal man gøre følgende:
Højre musetast på OA ikonet nede ved systemuret og vælg “Unlock GUI”.

Indtast dit føroprettede password og klik “OK”.

Kør KeePass setup filen. OA promter nu om du ønsker at stole på dette program.
Sæt hak udfra “Trust this program” og “Install mode”. Afslut med “Allow”.

Efter installationen af det ønskede program. Vælger jeg igen at låse OA konsollen.
Høre musetast på “Online Armor” ikonet igen og vælg “Lock GUI”.

Så proceduren er som følger, hver gang man skal installere nye trusted programmer.

1. Hent og gem det ønskede program fra en side du stoler på. Søg forinden på google hvis du er i tvil om programmet.
2. Unlock GUI.
3. Kør setup-filen.
4. Ved OA prompt, Vælg “Trust this program” og “Install mode”.
5. Efter installation, vælg “Lock GUI” igen.

Nedenstående billeder viser drive-by malware der automatisk bliver blokeret af “Online Armor”.
Ved at have låst OA konsollen, bliver alle ikke godkendte filer automatisk blokeret.



 

Med ovenstående konfiguration, vil OA effektivt beskytte dig mod nuværende og fremtidige malware angreb,
som udnytter sårbarheder i de programmer du har installeret på din computer. Herunder din browser (Internet Explore-Firefox mfl.).