Як знайти dlp агент в системі

Доброго вам дня!
Хочеться поділитися своїми спостереженнями - може кому і стане в нагоді.

Все нижческазане буде відноситься до Falcongaze SecureTower.
Незважаючи на те, що клієнт намагається будь-якими способами приховати свою присутність, все таємне, рано чи пізно стає явним.

1. Підміна сертифіката.
Відриваємо в браузері будь-який ресурс. який використовує https і дивимося дані сертифікату. При встановленому DLP-клієнті, в розділі "Certification Path" буде присутній сертифікат, підписаний Falcongaze SecureTower.
При установці, клієнт SecureTower додає свій сертифікат в довірена сховище кореневих сертифікатів (Trusted Root Certification Authorities).
Взагалі, при будь-яких підозрах, дане сховище можна періодично переглядати - раптом знайдете щось цікаве.

2. Розташування файлів.
Якщо ви будете шукати файли і каталоги установки клієнта візуально, або використовуючи механізм пошуку в провіднику (будь-якому іншому файловому менеджері) - швидше за все нічого так і не буде знайдено.
Але вихід є, все виявляється куди простіше - беремо шляху:

Даний спосіб перевірений на OS Windows 7 і вище.

4. Мережа.
За замовчуванням. для зв'язку з сервером, Secure Tower використовує порт 10500.

5. Процеси.
Як і у випадку з каталогами та файлами, клієнт вміє відмінно маскувати свої процеси (якщо захоче) в диспетчері завдань Windows.
Ось список найбільш ймовірних процесів:

Для того, що б їх "вищеміть", потрібно запустити старий добрий Process Monitor і відкрити Process Tree - від нього ще ніхто не йшов.

6. Skype
Як відомо, багато DLP-системи вміють перехоплювати повідомлення (деякі, особливо просунуті - навіть записувати розмови) Skype. Ви, напевно, хочете запитати: Як вони це роблять? Адже протокол Skype надійно зашифрований, і нікому (практично) не вдалося наблизитися до його розшифровці.
Насправді, до дешифрування даних, переданих за закритими протоколами, справа як-раз і не доходить зовсім. Клієнт Secure Tower отримує дані безпосередньо з самого Skype.

Спосіб номер раз. він (клієнт) реєструє один зі своїх модулів, як довірена додаток Skype. Останнє отримує дані, використовуючи документоване і відкрите API.
Перевірити Skype на наявність непроханих гостей можна, вибравши пункт меню Інструменти -> Налаштування. -> Додатково -> Інші параметри -> Контроль доступу інших програм до Skype (перевірено для Skype 6.20.0.104).
У вікні "Контроль доступу програмного інтерфейсу" будуть перераховані всі додатки, які мають доступ до ваших даних в Skype. Можливо, у себе, відкривши дане вікно, ви знайдете багато чого нового і цікавого!
В даний час даний спосіб практично не використовується, тому що всі (в край знахабніли) перейшли до способу номер два.

Спосіб номер два. Skype зберігає історію листування БД SQLite в кращих традиціях жанру - у відкритому вигляді.
Шлях розташування файлу БД:

Ось саме цей файл періодично і смикає DLP-клієнт.

ставимо розтяжку
Запустити Process Monitor і створити новий фільтр:

Натиснути OK і чекати, поки спрацює. В ідеально чистій системі, крім самого Skype, до даного файлу ніхто звертатися не повинен. Якщо в системі завелася "живність" - чекати доведеться недовго.

висновок
Завжди варто враховувати той факт, що розробники не сидять склавши руки, DLP-системи постійно удосконалюються (ускладнюються, породжується більше число нових багів) і методи, описані вище, можуть не спрацювати для нових версій.

Крім цього, багато що залежить від політик безпеки, згідно з якими налаштований клієнт. Окремі модулі (перехоплення повідомлень Skype, контроль https трафіку і т.д.) можуть бути відключені і відповідно, кожен окремий пункт не може дати 100% -го результату.

Для виявлення ПО такого роду завжди слід використовувати комплексний підхід, який включає перевірку за всіма пунктами. Крім цього, використовуючи деякі з цих методів, існує ймовірність відстежити не тільки Secure Tower, але і його "конкурентів".

Схожі статті