In questo articolo Ermanno Goletto ha approfondito quelli che sono i benefici nell’implementazione di EMET a protezione della propria infrastruttura.
Può essere utile verificare che le configurazioni che abbiamo implementato siano corrette, o più semplicemente verificarne il funzionamento nel caso venga rilevata una anomalia.
EMET non è un software di protezione basato su firme ma esegue una “Anlisi Comportamentale” di una serie di software o applicazioni, alcune già pre-impostate, altre che possiamo definire in autonomia.
Il poter effettuare un test del comportamento di questo “strato” di protezione può quindi aiutare a familiarizzare con le varie impostazioni, ed a capirne meglio le modalità di funzionamento
Una delle caratteristiche di protezione che possono essere definite è relativa alla Attack Surface Reduction, ossia la possibilità di limitare che una applicazione possa in sé richiamare o eseguire determinate componenti software. Il caso più evidente, e che è preimpostato all’interno di EMET stesso, è quello relativo ad un elenco predefinito di software per i quali viene impedito di eseguire Macromedia Flash
Impostazione predefinita i ASR per Excel
Con le impostazioni di default, all’atto dell’inserimento di un oggetto Flash in Excel, EMET visualizza il Pop-Up in alto.
Tuttavia alcuni tipi di “mitigation” non sono semplici da verificare, in questo caso è utile il tool Hmpalert-Test di cui è possibile effettuarne il download dal sito www.surfright.nl. Questo eseguibile simula una serie di comportamenti tipici di molti malware, per i quali EMET ( ed altri software commerciali ) eseguono la protezione.
Al fine di verificare il funzionamento è sufficiente definire in EMET l’eseguibile scaricato, come software da proteggere, oppure utilizzare un software già installato e profilato.
Successivamente, una volta eseguito, sarà possibile simulare una serie di attacchi tipici d molti malware. Il sw di test utilizza il calc quale elemento di default sul sistema per gli exploit.
è possibile utilizzare una applicazione installate da lanciare tramite il software di test e quindi simulare un exploit con le tecniche disponibili nella barra di scorrimento laterale, oppure utilizzare l’applicazione di test come exploit, in questo caso, come detto sopra, deve essere registrata in EMET.
Intervento di EMET con blocco dell’applicazione Exploit Test Tool che è usata per lanciare Calc
E’ possibile rilevare le attività di EMET all’interno del registro eventi