Verificare il Funzionamento di EMET

In questo articolo Ermanno Goletto ha approfondito quelli che sono i benefici nell’implementazione di EMET a protezione della propria infrastruttura.
Può essere utile verificare che le configurazioni che abbiamo implementato siano corrette, o più semplicemente verificarne il funzionamento nel caso venga rilevata una anomalia.

EMET non è un software di protezione basato su firme ma esegue una “Anlisi Comportamentale” di una serie di software o applicazioni, alcune già pre-impostate, altre che possiamo definire in autonomia.
Il poter effettuare un test del comportamento di questo “strato” di protezione può quindi aiutare a familiarizzare con le varie impostazioni, ed a capirne meglio le modalità di funzionamento

Una delle caratteristiche di protezione che possono essere definite è relativa alla Attack Surface Reduction, ossia la possibilità di limitare  che una applicazione possa in sé richiamare o eseguire determinate componenti software. Il caso più evidente, e che è preimpostato all’interno di EMET stesso, è quello relativo ad un elenco predefinito di software per i quali viene impedito di eseguire Macromedia Flash

20160215-Emet-ASR-FlashImpostazione predefinita i ASR per Excel

 

 

 

 

20160215-Excel-ASR-Flash

Con le impostazioni di default, all’atto dell’inserimento di un oggetto Flash in Excel, EMET visualizza il  Pop-Up in alto.

 

 

 

Tuttavia alcuni tipi di “mitigation” non sono semplici da verificare, in questo caso è utile il tool Hmpalert-Test di cui è possibile effettuarne il download dal sito www.surfright.nl. Questo eseguibile simula una serie di comportamenti tipici di molti malware, per i quali EMET ( ed altri software commerciali ) eseguono la protezione.

20160215-Emet-Hmpalert-Test

 

Al fine di verificare il funzionamento è sufficiente definire in EMET l’eseguibile scaricato, come software da proteggere, oppure utilizzare un software già installato e profilato.

 

 

 

Successivamente, una volta eseguito, sarà possibile simulare una serie di  attacchi tipici d molti malware. Il sw di test utilizza il calc quale elemento di default sul sistema per gli exploit.

 

20160215-Hmpalert-Test.png

è possibile utilizzare  una applicazione installate da lanciare tramite il software di test e quindi simulare un exploit con le tecniche disponibili nella barra di scorrimento laterale, oppure utilizzare l’applicazione di test come exploit, in questo caso, come detto sopra, deve essere registrata in EMET.

 

 

20160215-Hmpalert-Test_1

 

Intervento di EMET con blocco dell’applicazione Exploit Test Tool che è usata per lanciare Calc

 

 

 

E’ possibile rilevare le attività di EMET all’interno del registro eventi

20160215-Emet-Eventvwr

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...