2013/10/16

COMODO Firewall 6 HIPSについて(1)

インストールの記事で、きちんと理解しないと…なんて書いたわけですが、本家マニュアルをWeb翻訳でちょっとずつ読み進めています。

とりあえず理解した部分をまとめておきます。
Web翻訳に頼っているくらいですから、間違いがあるかもしれませんが、良く分からない、調べるのが大変という方には理解の一助になるかもしれません。
(確認したバージョンは6.3.294583.2937。画像は日本語化済みのものを使用します)

HIPS設定

詳細は後に回して、まずざっとした説明から。
  • パラノイドモード
    • 最高のセキュリティレベル設定。ルール作成したものは別として、全ての実行ファイルを監視し制御するモード。上級者向け。学習しない。
      ※ここでの学習とは、自動的に許可ルールを作成することのようです。
  • セーフモード
    • 監視・制御しつつも信頼するファイルは許可し、学習も行う。未知のアプリケーション実行時はアラートを発生させる。多くのユーザーに推奨のモード。
  • クリーンPCモード
    • モードをクリーンPCモードにした時以降、システムに導入されたすべての新しい実行可能ファイルが監視・制御され、新しくアプリケーションがインストールされる度にアラートを発生させる。 学習も行われる。新しいPCであったり、ユーザーがこのモードにする時点ではマルウェアやその他の脅威に侵されていないことを知っている場合に推奨されるモード。
  • トレーニングモード
    • セキュリティレベルが変更されるまで、全ての実行ファイルの許可ルールが作成(学習)され、アラートは発生しない。 ユーザーが全ての実行ファイルが100%安全であると確信を持ってこのモードにすることが推奨される。
とまぁこんな感じでしょうか。この学習に関して関わってくるのが、ファイル評価設定です。

ファイル評価設定

  • クラウド検索を有効にする
    • クラウドベースのファイル検索サービスで、ホワイトリスト・ブラックリストのチェックを行う。
  • 信頼するアプリケーションの署名
    • 信頼するベンダーの署名がファイルにあれば、信頼するファイルとなる。
ファイル実行時そのファイルの対処が未設定の場合(その項目を有効にしていれば)、チェックを行い、信頼するファイル、ブロックするファイル、認識されていないファイルと分別されるようです。

信頼するファイルは「信頼するファイル」のリストに追加され、HIPSの監視から除外されます(パラノイドモードを除く)。

ブロックするファイルはDefense+>HIPS>Protected Objectsタブの「ブロックするファイル」に追加され、実行がブロックされます(と、マニュアルに書いてあるようなんですが、ブロックされるようなファイルを持っていないため確認は出来ていません)。

認識されていないファイルの場合、HIPSの監視項目の行動を起こした時にアラートが表示され、対応を求められます。

マニュアルではわかりづらい部分も多く、どのような動作になるか見てみました。

パラノイドモード

HIPSをパラノイドモードにして(HIPSのテストなので自動サンドボックス・ファイアウォールは無効)、ファイル評価のチェックは全部外し、プリセットの設定はCOMODO - Proactive Securityにしてメモ帳を起動してみます。

explorer.exeがnotepad.exeの実行を試みたとアラートが入りました。explorer.exeのHIPSルールを見るとファイル実行時のみ確認するようになっている為、このアラートが出ているわけですね。メモ帳を実行しようと操作しているので当然の動作です。許可を押します。

メモ帳が起動しました。取り敢えずファイルから、名前をつけて保存をクリックしてみます。

今度は、notepad.exeがメモリ内のexplorer.exeをアクセスしようとしているとアラートが出ました。許可を押します。

次はグローバルフックをインストールしようとしているとのアラートが。許可を押します。

続いて直接ディスクアクセスを試みているとのアラート。許可を押します。

ようやく保存ダイアログボックスが出てきました。と同時に、

またディスクアクセスのアラート。先ほど今後同じ処理をするにチェックを入れたうえで許可したので出ないのが正しいと思うのですが、何故か出ます。プログラムの実行処理とアラートのタイミングのせいでしょうか?良く分かりませんが…。取り敢えず許可を押して、ファイル名を入れようとすると、

直接キーボドにアクセスとのアラート(実際はキーボード入力時ではなく、保存ダイアログボックスのファイルの上をマウスオーバーした時に反応するようです)。許可を押しファイル名を入れ、ダイアログボックスの保存を押すと、

ファイルを保存しようとしていることへのアラート。これは当然なので、許可を押すと、ようやく保存されたので、ここでテストを終了しました(保存するファルダの位置が違うとアラート内容も変わってくるようです)。

メモ帳を起動して、名前を付けて保存するだけの動作で、7回もアラートが出ました。今回はテストなのでホイホイ許可していきましたが、本来はその動作を理解した上で全ての許可やブロックを細かく制御したい上級者向けのモードです。

さて、今後同じ処理をするにチェックを入れていると、ルールとして作成されていきます。
HIPSルールを見てみますと、

メモ帳であるnotepad.exeのルールが作成されています。中身をみると、

「インタープロセスメモリアクセス」、「Windows/WinEventフック」、「保護するファイルまたはフォルダー」の変更が(1\0)となっていて追加されているのが分かります(左が許可の数、右がブロックの数)。また、ディスク、キーボードは許可に設定されています。

例えばWindows/WinEventフックの中は、

アラートで許可したdwmapi.dllが許可するファイルに設定されています。
notepad.exeの他にexplorer.exeのアラートもあったので、


explorer.exeの実行を許可するファイルにnotepad.exeが加えられています。

こういうルールが出来た後は、もう一回同じようにメモ帳を開き名前をつけて保存しても、ルールに従うのでアラートは出ません。ただし、保存するテキストファイルの名前が変わると、また「保護されたファイルまたはディレクトリの変更アラート」が出ます。ここはチェックする必要が無いというのであれば、「保護するファイルまたはフォルダー」のアクションを許可にすると、このチェックは全て許可になりますし、”変更”の個別のパスを編集して、アスタリスクを使って"C:\Users\*\Desktop\a.txt"とすると、どのユーザーのデスクトップでもa.txtというファイルだけは許可にするというような事も出来ます。

このアラートは、Defense+>HIPS>Protected Objectsの保護するファイルで設定されているから(この時はデスクトップに保存していました)アラートが出るので、設定されていない場所(例えばc:\)に保存すると「保護されたファイル――」のアラートは出ません(当然c:\を保護するように自分で設定は出来ます)。
さて、ファイル評価を無効にしていましたが、最初にファイル評価の信頼するアプリケーションの署名にチェックを入れていればどうなるでしょうか。

出てくるアラートは同じでしたが、信頼するファイルにマイクロソフトの署名のあった、explorer.exe、notepad.exe、dwmapi.dllのファイルが追加されています(COMODOのファイルも追加されていますがこのテストとは関係ありません)。

クラウド検索を有効にするにだけチェックを入れてみると、

notepad.exeだけが登録されています。

ただこれは、パラノイドモードでの結果で、セーフモードだと、notepad.exeとexplorer.exeが登録されるのですが、その違いは良く分かりません。

※信頼するファイルはハッシュでの管理らしく、名前や場所が異なる同じファイルを手動で登録しても最初に登録したファイルが表示されるようです。

パラノイドモードでも、実行時にファイル評価が行われ信頼するファイルに追加されますが、それによってHIPSの監視から外れることもなく、全て監視されるみたいです。

セーフモード

ファイル評価のクラウド検索を有効にする信頼するアプリケーションの署名を無効にした状態でパラノイドモードと同じテストをすると、同じアラートが出ます。

信頼するアプリケーションの署名を有効にすると、一切アラートが出ません。

信頼するファイルを見てみると、マイクロソフトの署名のあるexplorer.exeとnotepad.exeが登録されています。

explorer.exeが信頼するファイルなのでexplorer.exeの挙動を監視せず、そこから起動されたnotepad.exeも信頼するファイルのなのでnotepad.exeの挙動も監視せずアラートは出なかったということですね。

当然HIPSのルールには何も追加・変更はありませんし、explorer.exeのルールを見ても実行許可ファイルとしてnotepad.exeの登録はありません。

ファイル評価のクラウド検索や署名から信頼されているファイルに判断された場合、信頼されるファイルのリストに入れられてしまいHIPSの監視対象から外れるわけですが、そのような信頼されているファイルでもHIPSのルール上に許可ルールを作りたい場合、「安全なアプリケーションのルールを作成する」にチェックを入れるとそれが可能です。チェックを入れなかった場合、HIPSルールに変化はなかったのですが、

チェックをいれていた場合、HIPSルールにnotepad.exeのカスタムルールが作られています。内容は、
このようになっていて、監視項目が許可になっていたり、変更の内容が追加されていたり、自動でルールが作成されています。これが、学習と呼ばれる処理ですね。当然、explorer.exeのルールの実行許可ファイルにもnotepad.exeが追加されています。

※信頼するファイルとHIPSルールの競合について
HIPSルールと信頼するファイルがある場合、優先されるのはHIPSルールのようですが、HIPSルールで確認となっている項目は、許可として扱われるみたいです。更に「安全なアプリケーションのルールを作成する」にチェックがある場合、ルールセットでの指定は書き変わりませんが、カスタムルールであれば確認の部分に限り、許可に書き換わったり、変更に追加があったり無かったりするようです。

ルールに全て信頼出来るファイルも設定すると、煩雑になり、PCのリソースも消費するというので信頼出来るファイルは分けて管理することになったらしいので、ルールをカスタマイズするつもりが無ければ、安全なアプリケーションのルールを作成する意味は無さそうです。

長くなってきましたので次回へ続きます。
その他の記事