Tutorial et Guide Dynamic Security Agent

Tutorial Dynamic Security Agent


Dynamic Security Agent est un HIPS (voir papier sur les 
IDS/HIDS).
Dynamic Security Agent comme son nom l’indique scrute votre système afin de détecter tout changement ou activité suspecte.
Lorsqu’un élément douteux est détecté, vous avez la possibilité de stopper l’activité, ce qui permet dans le cas d’une tentative d’infection de stopper l’infection avant son installation.

Dynamic Security Agent un peu comme un firewall, lorsqu’une activité suspecte est détectée ou une l’activié d’une nouvelle application, vous pouvez autoriser ou non l’activité de l’application, vous pouvez ajouter des règles au fur et à mesure afin d’éduquer Dynamic Security Agent et qu’il ne vous repose plus de questions concernant telle ou telles application.

Sommaire

  1. Tutorial Dynamic Security Agent
    1. Sommaire
    2. Installation de Systel Safety Monitor
    3. Premier démarrage de Dynamic Security Agent
    4. Configuration de Dynamic Security Agent
      1. System Anomaly Detection
      2. Email Anomaly Detection
      3. Processus Detection / Applications Security
    5. Comprendre les popups DSA
    6. Dynamic Security Agent : En pratique…
      1. Infection Magic.Control
      2. Drop d’une infection via une faille de sécurité sur le navigateur WEB
      3. Rootkit Rustock
      4. Trojan.Wopla
      5. Rootkit syssrv (inconnu)
      6. Windev / Trojan.Peacom
    7. Conclusion
    8. Liens

Installation de Systel Safety Monitor

Voici un lien à partir duquel vous pouvez télécharger Dynamic Security Agent : Télécharger Dynamic Security Agent

  • Double-cliquez alors sur le fichier téléchargé.
  • Le programme d’instalaltion vous souhaite la bienvenue… Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial Dynamic Security Agent

  • Vous devez accepter le contrat de licence, pour cela cochez l’option I accept the terms in the license agreement
  • Cliquez sur le bouton Next pour passer à l’étape suivante
Tutorial Dynamic Security Agent
  • Vous devez indiquer un nom d’utilisateur et une adresse email dans le cas où vous souhaitez recevoir des informations sur le produit.
  • Cliquez sur le bouton Next pour passer à l’étape suivante
Tutorial Dynamic Security Agent
  • L’installation peut alors débuter..
  • Cliquez sur le bouton Install pour lancer la copie de fichiers..

Tutorial Dynamic Security Agent

  • La copie s’effectue alors…

Tutorial Dynamic Security Agent

Tutorial Dynamic Security Agent
Dynamic Security Agent scanne directement le contenu de votre ordinateur et configure les éléments installés afin que ne pas vous poser de question lors de l’utilisation de ces programmes.

En effectuant un clic droit sur l’icône, un menu s’ouvre :
Main Menu ouvre le menu de configuration du logiciel.

  • Active/Désactive la protection des Email
  • Active/Désactive la protection du Système – protège le système contre l’installation de nouveau driver/service etc..
  • Active/Désactive la détection des processus – vérifie l’activité des processus et applications

Tutorial Dynamic Security Agent

Configuration de Dynamic Security Agent

Dynamic Security Agent est très simple à configurer.

En cliquant sur Main Menu, vous obtenez le menu ci-desous.

Tutorial Dynamic Security Agent
System Anomaly Detection

Permet de vérifier l’activité du système et bloquer les activités dangereuses, c’est une des partie les plus importantes de Dynamic Security Agent.
Dynamic Security Agent étudie l’activité de votre système pendant une période nommée le Training Statistics (par défaut 7 jours) afin de mieux détecter par la suite une activiée suspecte ou un changement d’activité provoqué par un malware.

Sensitivy threshold permet de régler la sensibilité de Dynamic Security Agent, en résuidant Sensitivy threshold, vous allez augmenter la sensibilité de Dynamic Security Agent sur les déviances d’activités du système, des popups d’alertes s’ouvront alors plus fréquemment.
Par défaut le Sensitivy threshold est réglé sur 60% je vous conseille de laisser ainsi.

Enfin l’option Require user approval for each alert permet d’ouvrir une popup pour demander à l’utilisateur l’action à effectuer pour chaque action potentiellement dangereuse détectée.

Enfin le bouton Training Statistics permet d’obtenir des informations sur les processus..

Tutorial Dynamic Security Agent

Email Anomaly Detection
Ce dernier vérifie l’envoie des mails afin de vérifier qu’un malware ne tente de transformer votre ordinateur en « machine à envoyer des SPAM »

De même l’activité des Emails peut être soumis à une Training Statistics, Dynamic Security Agent va s’habituer pendant une période à la quantité de mails que vous envoyez afin si plus tard vous êtes infectés détectés tout envoi email massif.

Le bouton Training Statistics permet de visualiser le nombre d’emails envoyés/reçus durant le Training Statistics.

Tutorial Dynamic Security Agent

Enfin en cas d’infection, vous pouvez bloquer l’envoi des emails à partir du bouton Block All outbound Emails
Processus Detection / Applications Security

Dynamic Security Agent vérifie en permanence l’activité des processus & du système.
Les connexions établies par les applications, les actions effectuées par les processus etc..
Si un comportement douteux est détecté, ce dernier vous envoie une alerte vous devez alors autoriser ou non l’application à continuer son action.

Les deux fenêtres se présentent de la même manière (à gauche Process Detection et à droite Application Security).
Sous forme de liste, les applications/processus avec une coche verte qui peuvent intéragir complètement avec le système.

En cochant la/les applications/processus vous pouvez :

  • Ajouter un nouveau processus/application manuellement à partir du bouton Add New
  • Placer le fichier en quarantaine afin de ne plus pouvoir intéragir avec le système
  • Supprimer un fichier de la liste à partir du bouton Remove
  • Le bouton Reset permet de rétablir la liste par défaut.
Tutorial Dynamic Security AgentTutorial Dynamic Security Agent

L’onglet Quarantine permet de visualiser les éléments dans la quarantaine.
Ces derniers apparaîssent sous forme de liste.

  • Le bouton Remove permet de supprimer les éléments de la liste.
  • Le bouton Add as Trusted permet de déplacer un élément de la quarantaine dans la liste des éléments autorisés.

Tutorial Dynamic Security Agent

Voici des exemples de popups que vous pouvez recevoir… afin de mieux comprendre ce qui se passe.

1/ System Anomaly : Le processus a une utilisation CPU qui excède celle habituelle.. ce qui peut signifier une infection
2/ Email Anomaly : 58 mails ont été envoyés.. au 4 même destinataires dans la journée.. ce qui peut signifier que votre ordinateur a été transformé en « machine à envoyer des SPAM »
3/ News Process : Nouveau processus détecté.. vous devez choisir si vous le laissez s’executer ou le bloquer.
4/ Incoming Traffic : L’application (ici Firefox) tente d’accéder à internet en réception (incoming).. vous devez choisir si vous bloquer ou non son accès. Vous pouvez avoir le même message mais avec Outgoing (en envoi).

Tutorial Dynamic Security Agent

Lorsqu’une application/processus en quarantaine est executé, une popup s’ouvre.
Vous pouvez alors cliquez sur :

  • Allow pour permettre l’exécution de l’application, l’élément sera alors déplacé de la quarantaine à la « Trusted list » (éléments de confiances)
  • Block pour bloquer l’exécution de l’application.
Un compte à rebours de 20s apparaît à côté du bouton Block.. si aucune action n’est effectuée au bout des 20s, l’élément sera bloqué.

Enfin, le bouton Do no ask again permet de ne plus reposer la question lors du prochain exécution de l’élément… la configuration par défaut (autoriser si dans Trusted list, bloquer si toujours dans Quarantaine) sera appliquée à l’élément.

Tutorial Dynamic Security Agent

Program Change : L’application msmsgs.exe a été modifie.
Vous pouvez alors :

  • Keep Settings : garder la configuration actuelle sur DSA, donc ne rien faire.
  • Delete settings : supprimer la configuration actuelle
  • Block Program : bloquer le programme.

La modification d’un fichier peut arriver si :

  • Vous avez effectué une mise à jour de l’application.
  • Le fichier a été infecté/modifié par un virus
Tutorial Dynamic Security Agent

Dynamic Security Agent : En pratique…

Voici quelques tests de la réaction de Dynamic Security Agent devant des tentatives d’installation d’infections

Infection Magic.Control

Lors de l’installation de MailSkionner, un des programmes responsables, des infections Magic.Control utilisant une technique de rootkits, System Safetyr Monitor a bien détecté l’installation du fichier aléatoire djfctyvmrh.exe.
L’utilisateur est donc averti de l’installation d’un fichier suspect (de par son nom), il est donc alors possible d’interdire son exécution.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent
Drop d’une infection via une faille de sécurité sur le navigateur WEB

Nous testons ensuite la consultation d’un site WEB qui installe une infection BraveSenty via une faille de sécurité sur le navigateur WEB.
Vous avez un exemple de ce que cela peut donner sur la page Le danger des cracks !

Dynamic Security Agent détecte bien lors de la consultation du site la tentative d’exécution du fichier C:Windowsavp.exe.
Vous pouvez alors bloquer la tentative d’accès par le bouton Block

Tutorial Dynamic Security Agent
Rootkit Rustock

Rustock est l’un des rootkits les plus aboutis. Rustock est un rootkit kernel-mode qui installe un driver au sein du système.
Lors de l’installation de Rustock sur le système.. Dynamic Security Agent détecte bien
à gauche la création du driver pe386.sys, sur les captures suivante la création du driver via l’ADS System32\:xpdt.sys ainsi que la création du service xpdt.

Vous pouvez alors bloquer la tentative de création du driver par le bouton Block.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent Tutorial Dynamic Security Agent
Trojan.Wopla

Trojan.Wopla a des fonctionnalités de rootkits, on le retrouve très souvent sur les infections de type Win32.Packed.Tibs /Win32.Email-Worm.Zhelatin
Trojan.Wopla semble être capable de bypasser ProcessGuard

Dynamic Security Agent détecte très bien un accès illégal à la mémoire… On peut alors bloquer l’accès à partir du bouton Block.
S’en suit une tentative d’accès au fichier dwwin.exe (Docteur Watson) signifiant que celui a planté.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent 
Rootkit syssrv (Rootkit.Win32.Agent.fq)

Ce rootkit arrive à bypasser ProcessGuard, c’est à dire que ProcessGuard n’arrive pas à le détecter et stopper son installation.

On voit que Dynamic Security Agent détecte la tentative d’installation du driver (syssrv.sys) et du service..
Vous pouvez alors bloquer sans souci leurs création et accès à partir du bouton Block.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent

Windev / Trojan.Peacom

Trojan.Peacom est un rootkit que l’on retrouve sur les infections Win32.Packed.Tibs / Win32.Email-Worm.Zhelatin
Pour plus d’informations, reportez-vous à la fiche Secubox

Dynamic Security Agent détecte bien la création du service par le dropper 3ti.exe
Vous pouvez alors bloquer sans souci leurs création et accès à partir du bouton Block

Tutorial Dynamic Security Agent

Conclusion

Dynamic Security Agent est un IDS très performant qui permet de protéger votre système de manière très efficace.
Il semble être capable de stopper des tentatives d’installation d’infection dont
ProcessGuard ne soit pas capable.

Afin une configuration complètement gratuite du type : Antivir + Dynamic Security AgentDropMyRights et un pare-feu de votre choix
Vous ne devriez plus avoir de problème, cela ne dispense pas d’avoir bien sûr une attitude vigilente sur internet et d’éviter les sites douteux!

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

(Visité 55 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Microsoft Diagnostics and Recovery Toolset (DaRT)Tutoriel Créer image système Windows

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com