Обзор антикейлоггера Zemana AntiLogger

Безопасность

Zemana antilogger это своеобразный HIPS с ограниченным, или даже узконаправленным, функционалом. Его цель – шпионское ПО: кейлоггеры, скринлоггеры, шпионы. Сигнатурные базы не используются, работает программа на «голом» поведенческом анализе, не допуская вредоносным программам производить определенные действия. То есть программа отслеживает не все вторжения, а перехваты конкретных функций, будь то захват изображений или видео с экрана, захват звука с системы или микрофона, управление веб-камерой или фиксирование нажатых клавиш. И это не мешает производить мониторинг автозагрузки, то есть и любое другое вредоносное ПО, пытающееся записаться в автозапуск, внедрить шелл-код или установить перехват будет остановлено.

Дистрибутив весит всего 8,5 мб, если округленно. Установка происходит в три клика. Никаких опций или предварительных настроек нет, перезагрузка так же не требуется. Пробная версия позволяет использовать полный функционал в течении 14-ти дней.

Касательно настроек. Изменять их необязательно, разве что можно выставить галочку на пункте проверки цифровой подписи.
Zemana AntiLogger-2
Для входа в меню настроек необходимо открыть Zemana Keylogger и кликнуть по пункту «Настройки».

В общем-то все. Никаких плюшек больше нету, в этом достоинство аскетичного интерфейса и скромного функционала программы.
Ресурсов потребляется минимальное количество – около 30 мегабайт оперативной памяти при открытом центре управления.

Для тестирования я использовал свою подборку из актуальных зловредов разных классов (преимущественно кейлоггеры, бэкдоры, ддос-боты и винлокеры) и тестовый набор, предоставляемый организацией matousec, с которого и начнем.
Из всего публичного пакета бинарников zemana смог более менее эффективно блокировать только зловредов классов autoruns, да и то только из первых трех уровней.
Точная статистика, к сожалению потеряна, но общий результат – менее 30%. То есть продукт не в состоянии обеспечить достойной защиты, судя по тестам. Что же на практике?

Затем была взята подборка реальных угроз, в которую входили следующие зловреды:

  • Кейлоггеры. Использовались образцы как старых, так и продаваемых ныне представителей класса.
  • Винлокеры. Тоже нескольких поколений, включая зарубежные образцы.
  • Руткиты и буткиты. Alureon, Tdss, Zaccess, Mayachok, Sinowal.
  • Банковские трояны и формграбберы. Zeus, Spyeye, Carberp, Ice9, Pinch, UFR stealer.
  • Файловые вирусы. Parite, Sality.
  • ДДоС-боты. Optima, G-bot, Zapadlo, Armageddon, dirt jumper, ngrbot.
  • Черви. Morto, Radminer, Kolab, Phorpiex, skonk.
  • Бэкдоры – xtreme, darkcomet, cybergate, spynet.

Кейлоггеры.

Эффективно отлавливаются Zemana из-за небогатого выбора среди возможной реализации функционала. Перехват клавиш, он и в африке перехват.

Частично бэкдоры.

Вообще с бэкдорами сложная ситуация. Если настройки бэудора предписывали ему записываться в автозагрузку, внедряться в процессы или производить захват нажатых клавиш/снимков с экрана, то продукт Zemana на них реагировал. Если это был просто удаленный доступ к системе, то атака происходила успешно.
так же были пресечены попытки записи в автозапуск у всех винлокеров и ддос-ботов G-bot, Zapadlo, ngrbot.

Боты, устанавливающиеся не через сервисы.

Сработал контроль автозагрузки.

Банковские трояны и винлокеры

Смогли запуститься, но не были записаны в автозагрузку, что тем не менее позволило им нанести вред системе.

Вся проблема в том, что в дикой природе большинство перечисленных зловредов распространяются не в чистом виде, а в зашифрованном. При шифровании одним из атрибутов при запуске является внедрение кода в свой же процесс, что позволяет отловить с помощью Zemana около 70% массово распространяемых вредоносных программ. Однако в чистом виде против тех же образцов программа будет уже бессильна, а такие тоже встречаются, пусть реже.
Вердикт тут может быть только один – программа не способна обеспечить должную защиту в одиночку, ее следует комбинировать с антивирусом.

От чего вообще способна защитить программа:

  • Запись в автозапуск через реестр. Используется мониторинг только за «банальными» ветками.
  • Внедрение кода в процесс. Да, от публичных методов сокрытия и внедрения вредоносного кода программа защищает в более чем половине случаев.
  • Уже указанные выше перехваты клавиатуры картинки, видео и звука. Против кейлоггеров и скрин-логгеров программа действительно работает качественно.
  • Установка драйверов ядра Windows. Помогает от 80% старых руткитов и от некоторых образцов современного вирьмейкерства.

От чего программа не в состоянии защитить:

  • Изменения в файловой системе.
    То есть копирование, удаление, создание – любые изменения файлов программа не отслежиает. Получается, что ни от файлового вируса, ни от других деструктивных зловредов Zemana не поможет.
    Отсюда же вытекает и следующий пункт.
  • Автозагрузка через папку «Автозагрузка» в главном меню пользователя.
  • Запуск или завершение процессов. Программа контролирует внедрение, но не манипуляции с процессами. Себя программа тоже частенько не в состоянии обеспечить должным уровнем защищенности – процесс легко закрывается, с применением некоторых трюков.
  • Создание служб.
    Непозволительная оплошность, ряд файлов, которые блокируются другими откровенно слабыми продуктами преспокойно работают в системе с установленным Zemana antilogger.
  • Отключение системы. Программа не контролирует комманды на отключение системы, завершение сеанса пользователя или перезагрузку компьютера.
  • Удаление данных из реестра.
    Данные, попадающие в реестр проверяются только для типичных веток реестра, используемых вредоносными программами, все остальные изменения игнорируются.
  • Захват контроля над экраном, мышью и клавиатурой.
    Это я про винлокеры, программа не даст винлокеру записаться в автозагрузку, но он все равно откроется.
    При чем от троянцев, которые отправляют злоумышленнику скриншоты, сделанные в пораженной системе, Zemana защищает. Странно, что винлокеры продукту не по зубам.
  • Сетевая активность.
    Этого и не обещано, но сейчас распространены такие троянские программы, которые воруют конфиденциальные данные. Для пресечения кражи необходимо оперативно блокировать работу с сетью для подозрительных программ.

Вот как-то так. Мое мнение субъективно, но я не поставил бы этот продукт, как основное средство защиты системы от вредоносных программ.

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий

  1. Нахнах

    хороший обзор. спасибо!

    Ответить