Tutorial et Guide Dynamic Security Agent

Tutorial Dynamic Security Agent


Dynamic Security Agent est un HIPS (voir papier sur les IDS/HIDS).
Dynamic Security Agent comme son nom l’indique scrute votre système afin de détecter tout changement ou activité suspecte.
Lorsqu’un élément douteux est détecté, vous avez la possibilité de stopper l’activité, ce qui permet dans le cas d’une tentative d’infection de stopper l’infection avant son installation.

Dynamic Security Agent un peu comme un firewall, lorsqu’une activité suspecte est détectée ou une l’activié d’une nouvelle application, vous pouvez autoriser ou non l’activité de l’application, vous pouvez ajouter des règles au fur et à mesure afin d’éduquer Dynamic Security Agent et qu’il ne vous repose plus de questions concernant telle ou telles application.

Sommaire

  1. Tutorial Dynamic Security Agent
    1. Sommaire
    2. Installation de Systel Safety Monitor
    3. Premier démarrage de Dynamic Security Agent
    4. Configuration de Dynamic Security Agent
      1. System Anomaly Detection
      2. Email Anomaly Detection
      3. Processus Detection / Applications Security
    5. Comprendre les popups DSA
    6. Dynamic Security Agent : En pratique…
      1. Infection Magic.Control
      2. Drop d’une infection via une faille de sécurité sur le navigateur WEB
      3. Rootkit Rustock
      4. Trojan.Wopla
      5. Rootkit syssrv (inconnu)
      6. Windev / Trojan.Peacom
    7. Conclusion
    8. Liens

Installation de Systel Safety Monitor

Voici un lien à partir duquel vous pouvez télécharger Dynamic Security Agent : Télécharger Dynamic Security Agent

  • Double-cliquez alors sur le fichier téléchargé.
  • Le programme d’instalaltion vous souhaite la bienvenue… Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial Dynamic Security Agent

  • Vous devez accepter le contrat de licence, pour cela cochez l’option I accept the terms in the license agreement
  • Cliquez sur le bouton Next pour passer à l’étape suivante
Tutorial Dynamic Security Agent
  • Vous devez indiquer un nom d’utilisateur et une adresse email dans le cas où vous souhaitez recevoir des informations sur le produit.
  • Cliquez sur le bouton Next pour passer à l’étape suivante
Tutorial Dynamic Security Agent
  • L’installation peut alors débuter..
  • Cliquez sur le bouton Install pour lancer la copie de fichiers..

Tutorial Dynamic Security Agent

  • La copie s’effectue alors…

Tutorial Dynamic Security Agent

Tutorial Dynamic Security Agent
Dynamic Security Agent scanne directement le contenu de votre ordinateur et configure les éléments installés afin que ne pas vous poser de question lors de l’utilisation de ces programmes.

En effectuant un clic droit sur l’icône, un menu s’ouvre :
Main Menu ouvre le menu de configuration du logiciel.

  • Active/Désactive la protection des Email
  • Active/Désactive la protection du Système – protège le système contre l’installation de nouveau driver/service etc..
  • Active/Désactive la détection des processus – vérifie l’activité des processus et applications

Tutorial Dynamic Security Agent

Configuration de Dynamic Security Agent

Dynamic Security Agent est très simple à configurer.

En cliquant sur Main Menu, vous obtenez le menu ci-desous.

Tutorial Dynamic Security Agent
System Anomaly Detection

Permet de vérifier l’activité du système et bloquer les activités dangereuses, c’est une des partie les plus importantes de Dynamic Security Agent.
Dynamic Security Agent étudie l’activité de votre système pendant une période nommée le Training Statistics (par défaut 7 jours) afin de mieux détecter par la suite une activiée suspecte ou un changement d’activité provoqué par un malware.

Sensitivy threshold permet de régler la sensibilité de Dynamic Security Agent, en résuidant Sensitivy threshold, vous allez augmenter la sensibilité de Dynamic Security Agent sur les déviances d’activités du système, des popups d’alertes s’ouvront alors plus fréquemment.
Par défaut le Sensitivy threshold est réglé sur 60% je vous conseille de laisser ainsi.

Enfin l’option Require user approval for each alert permet d’ouvrir une popup pour demander à l’utilisateur l’action à effectuer pour chaque action potentiellement dangereuse détectée.

Enfin le bouton Training Statistics permet d’obtenir des informations sur les processus..

Tutorial Dynamic Security Agent

Email Anomaly Detection
Ce dernier vérifie l’envoie des mails afin de vérifier qu’un malware ne tente de transformer votre ordinateur en « machine à envoyer des SPAM »

De même l’activité des Emails peut être soumis à une Training Statistics, Dynamic Security Agent va s’habituer pendant une période à la quantité de mails que vous envoyez afin si plus tard vous êtes infectés détectés tout envoi email massif.

Le bouton Training Statistics permet de visualiser le nombre d’emails envoyés/reçus durant le Training Statistics.

Tutorial Dynamic Security Agent
Enfin en cas d’infection, vous pouvez bloquer l’envoi des emails à partir du bouton Block All outbound Emails
Processus Detection / Applications Security

Dynamic Security Agent vérifie en permanence l’activité des processus & du système.
Les connexions établies par les applications, les actions effectuées par les processus etc..
Si un comportement douteux est détecté, ce dernier vous envoie une alerte vous devez alors autoriser ou non l’application à continuer son action.

Les deux fenêtres se présentent de la même manière (à gauche Process Detection et à droite Application Security).
Sous forme de liste, les applications/processus avec une coche verte qui peuvent intéragir complètement avec le système.

En cochant la/les applications/processus vous pouvez :

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent

L’onglet Quarantine permet de visualiser les éléments dans la quarantaine.
Ces derniers apparaîssent sous forme de liste.
  • Le bouton Remove permet de supprimer les éléments de la liste.
  • Le bouton Add as Trusted permet de déplacer un élément de la quarantaine dans la liste des éléments autorisés.

Tutorial Dynamic Security Agent

Tutorial Dynamic Security Agent

Tutorial Dynamic Security Agent

Tutorial Dynamic Security Agent

Dynamic Security Agent : En pratique…

Voici quelques tests de la réaction de Dynamic Security Agent devant des tentatives d’installation d’infections

Infection Magic.Control

Lors de l’installation de MailSkionner, un des programmes responsables, des infections Magic.Control utilisant une technique de rootkits, System Safetyr Monitor a bien détecté l’installation du fichier aléatoire djfctyvmrh.exe.
L’utilisateur est donc averti de l’installation d’un fichier suspect (de par son nom), il est donc alors possible d’interdire son exécution.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent
Drop d’une infection via une faille de sécurité sur le navigateur WEB

Nous testons ensuite la consultation d’un site WEB qui installe une infection BraveSenty via une faille de sécurité sur le navigateur WEB.
Vous avez un exemple de ce que cela peut donner sur la page Le danger des cracks !

Dynamic Security Agent détecte bien lors de la consultation du site la tentative d’exécution du fichier C:Windowsavp.exe.
Vous pouvez alors bloquer la tentative d’accès par le bouton Block

Tutorial Dynamic Security Agent
Rootkit Rustock

Rustock est l’un des rootkits les plus aboutis. Rustock est un rootkit kernel-mode qui installe un driver au sein du système.
Lors de l’installation de Rustock sur le système.. Dynamic Security Agent détecte bien
à gauche la création du driver pe386.sys, sur les captures suivante la création du driver via l’ADS System32\:xpdt.sys ainsi que la création du service xpdt.

Vous pouvez alors bloquer la tentative de création du driver par le bouton Block.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent Tutorial Dynamic Security Agent
Trojan.Wopla

Trojan.Wopla a des fonctionnalités de rootkits, on le retrouve très souvent sur les infections de type Win32.Packed.Tibs /Win32.Email-Worm.Zhelatin
Trojan.Wopla semble être capable de bypasser ProcessGuard

Dynamic Security Agent détecte très bien un accès illégal à la mémoire… On peut alors bloquer l’accès à partir du bouton Block.
S’en suit une tentative d’accès au fichier dwwin.exe (Docteur Watson) signifiant que celui a planté.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent 
Rootkit syssrv (Rootkit.Win32.Agent.fq)

Ce rootkit arrive à bypasser ProcessGuard, c’est à dire que ProcessGuard n’arrive pas à le détecter et stopper son installation.

On voit que Dynamic Security Agent détecte la tentative d’installation du driver (syssrv.sys) et du service..
Vous pouvez alors bloquer sans souci leurs création et accès à partir du bouton Block.

Tutorial Dynamic Security AgentTutorial Dynamic Security Agent

Windev / Trojan.Peacom

Trojan.Peacom est un rootkit que l’on retrouve sur les infections Win32.Packed.Tibs / Win32.Email-Worm.Zhelatin
Pour plus d’informations, reportez-vous à la fiche Secubox

Dynamic Security Agent détecte bien la création du service par le dropper 3ti.exe
Vous pouvez alors bloquer sans souci leurs création et accès à partir du bouton Block

Tutorial Dynamic Security Agent

Conclusion

Dynamic Security Agent est un IDS très performant qui permet de protéger votre système de manière très efficace.
Il semble être capable de stopper des tentatives d’installation d’infection dont
ProcessGuard ne soit pas capable.

Afin une configuration complètement gratuite du type : Antivir + Dynamic Security AgentDropMyRights et un pare-feu de votre choix
Vous ne devriez plus avoir de problème, cela ne dispense pas d’avoir bien sûr une attitude vigilente sur internet et d’éviter les sites douteux!

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 29 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *