Security Professionals
- ipfw add deny all from eindgebruikers to any
EMET de moeite waard?
12-06-2014, 12:51 door Anoniem, 15 reacties
Hallo allemaal,
Graag hoor ik jullie mening over EMET. Is deze tool van Microsoft de moeite waard of niet? Ik hoor namelijk verschillende verhalen. Ja, want het is een makkelijke tool die de lat een stukje hoger legt. Nee, want de tool is makkelijk te omzeilen. Wat is waar? Graag jullie mening.
Diederik
Graag hoor ik jullie mening over EMET. Is deze tool van Microsoft de moeite waard of niet? Ik hoor namelijk verschillende verhalen. Ja, want het is een makkelijke tool die de lat een stukje hoger legt. Nee, want de tool is makkelijk te omzeilen. Wat is waar? Graag jullie mening.
Diederik
Reacties (15)
Probeer op ons instituut al langer om EMET doorgevoerd te krijgen - tot op heden zonder succes wat naar mijn mening onterecht is want ja, want het is een makkelijke tool die de lat een stukje hoger legt. Implementatie is een eitje, en zelfs in een multi omgeving als de onze (inclusief Firewall, anti virus, paar honderd applicaties etc) draait het tot op heden geruisloos (getest vanaf versie 3.x sinds een dik jaar).
12-06-2014, 14:16 door
Eric-Jan H te D
De technieken die in EMET zitten, worden doorlopend verfijnd. Tenzij kan
worden aangetoond dat er een generiek pad om EMET heen is, dus
onafhankelijk van welke blokkeringstechniek dan ook, is het gebruik zeker
aan te raden.
Nieuw in EMET 5 is de Attack Surface Reduction. Deze is nu alleen voor
enkele MS producten standaard ingericht en moet voor andere producten
handmatig in het Register worden ingesteld. Verwacht kan worden dat als
ASR definitief een nuttige toevoeging blijkt, de inrichting ervan ook met een
GUI ondersteund gaat worden
worden aangetoond dat er een generiek pad om EMET heen is, dus
onafhankelijk van welke blokkeringstechniek dan ook, is het gebruik zeker
aan te raden.
Nieuw in EMET 5 is de Attack Surface Reduction. Deze is nu alleen voor
enkele MS producten standaard ingericht en moet voor andere producten
handmatig in het Register worden ingesteld. Verwacht kan worden dat als
ASR definitief een nuttige toevoeging blijkt, de inrichting ervan ook met een
GUI ondersteund gaat worden
12-06-2014, 14:19 door
Mysterio
Ja, EMET kun je goed gebruiken om je systeem te harden. Er zijn methoden om EMET te omzeilen, maar die zijn nog zeldzaam.
12-06-2014, 17:50 door
[Account Verwijderd]
[Verwijderd]
EMET is een zeer sterke tool, mits goed geconfigureerd.
Aan te raden is om de "Popular Software" template te gebruiken van Microsoft.
Wanneer EMET meldingen maakt, is het goed om uit te zoeken waarom, inplaats van gelijk de tool uit te schakelen of de configuratie direct te verzwakken.
De kracht van EMET is ook dat oude software versie van bijvoorbeeld Adobe Reader, Flash en Java ook beschermd zijn tegen exploits, ondanks deze plugins niet de laatste updates hebben.
Laatst was er een test met Adobe Reader 9.0.0 (redelijk oud en niet gepatched.).
Toen werd een PDF ingeladen met bekende exploits die nog niet opgelost waren in deze versie.
EMET blokkeerde deze PDF door Reader af te sluiten, dus detecteerde dat er iets gebeurde dat niet goed was.
Aan te raden is om de "Popular Software" template te gebruiken van Microsoft.
Wanneer EMET meldingen maakt, is het goed om uit te zoeken waarom, inplaats van gelijk de tool uit te schakelen of de configuratie direct te verzwakken.
De kracht van EMET is ook dat oude software versie van bijvoorbeeld Adobe Reader, Flash en Java ook beschermd zijn tegen exploits, ondanks deze plugins niet de laatste updates hebben.
Laatst was er een test met Adobe Reader 9.0.0 (redelijk oud en niet gepatched.).
Toen werd een PDF ingeladen met bekende exploits die nog niet opgelost waren in deze versie.
EMET blokkeerde deze PDF door Reader af te sluiten, dus detecteerde dat er iets gebeurde dat niet goed was.
...
https://www.security.nl/posting/391583/Malware+stopt+virusscanner+via+Windows-beveiligingsfeature
https://www.security.nl/posting/391583/Malware+stopt+virusscanner+via+Windows-beveiligingsfeature
Het houdt met een download niks tegen.
Ik had mijn laptop vernieuwd en downloade een Trash Gen,en spuugde me weer helemaal vol.
2500 stuks,kon ik weer opnieuw beginnen.
Ik heb EMET nu vol open Staan met Avira en een sandbox.
En Winpatrol.
Niks is meer veilig,het wordt steeds erger,en de lol gaat me er vanaf met de pc,erger!
Ik had mijn laptop vernieuwd en downloade een Trash Gen,en spuugde me weer helemaal vol.
2500 stuks,kon ik weer opnieuw beginnen.
Ik heb EMET nu vol open Staan met Avira en een sandbox.
En Winpatrol.
Niks is meer veilig,het wordt steeds erger,en de lol gaat me er vanaf met de pc,erger!
Ik gebruik ook regelmatig Malwarebytes,en scan nu iedere dag met deze en Avira.
Allebei volledige scans.
Allebei volledige scans.
15-06-2014, 12:22 door
Spiff has left the building
@ Anoniem za.14-6, 23:47 uur,
EMET beschermt de applicaties waarop het is toegepast.
Als voorbeelden:
Bij een webbased aanval die probeert gebruik te maken van een ongepatchte kwetsbaarheid in de browser of in browser add-ons, zal EMET die aanval bemoeilijken en daardoor in veel gevallen verhinderen.
En bij een onverhoopte malware-infectie die probeert gebruik te maken van een ongepatchte kwetsbaarheid in bijvoorbeeld Microsoft Office, of WMP, of VLC mediaplayer, of een van de andere applicaties die je hebt beschermd door het EMET protection profile "Popular Software" toe te passen, dan zal EMET die aanval bemoeilijken en het uitvoeren van de betreffende malware daardoor in veel gevallen stoppen.
Echter, applicaties waarop de EMET mitigations niet zijn toegepast, die worden door EMET niet specifiek beschermd (hooguit door het door middel van EMET system wide toepassen van DEP en SEHOP en eventueel ASLR).
Download je malware die gebruik maakt van (ongepatchte?) kwetsbaarheden in applicaties waarop EMET niet is toegepast dus die niet worden bewaakt door EMET, dan biedt EMET geen bescherming tegen het uitvoeren van die malware.
Buiten dat, je zult wellicht iets verkeerd doen, gezien je vermelding "downloade een Trash Gen, en spuugde me weer helemaal vol. 2500 stuks".
Ik loop nóóit malware-infecties op, en hetzelfde geldt voor veel andere verstandige gebruikers. Wat voor onveilig gedrag of onveilige systeemconfiguratie heb je dat je zo'n malware-infectie oploopt?
En ten slotte, je schreef, "Ik heb EMET nu vol open staan".
Wat bedoel je daarmee?
Als je ermee bedoelt dat je EMET hebt geconfigureerd met indien mogelijk "Maximum security settings" en met protection profile "Popular Software" toegepast, dan is dat mooi, maar uiteraard slechts als één onderdeel van wat een brede veilige systeemconfiguratie moet zijn. (En vergeet het verstandige en veilige gedrag niet.)
@ Anoniem za.14-6, 23:51 uur,
Je noemt scans met MBAM en Avira.
Dat heeft echter niets te maken met EMET. EMET is geen malware-scanner.
EMET pas je toe om het uitvoeren van malware te bemoeilijken en te verhinderen.
Scans met MBAM en Avira gebruik je om eventuele malware op te sporen en te verwijderen.
Dat zijn verschillende dingen.
Ik begrijp daarom niet goed wat je bedoelde met je opmerking.
EMET beschermt de applicaties waarop het is toegepast.
Als voorbeelden:
Bij een webbased aanval die probeert gebruik te maken van een ongepatchte kwetsbaarheid in de browser of in browser add-ons, zal EMET die aanval bemoeilijken en daardoor in veel gevallen verhinderen.
En bij een onverhoopte malware-infectie die probeert gebruik te maken van een ongepatchte kwetsbaarheid in bijvoorbeeld Microsoft Office, of WMP, of VLC mediaplayer, of een van de andere applicaties die je hebt beschermd door het EMET protection profile "Popular Software" toe te passen, dan zal EMET die aanval bemoeilijken en het uitvoeren van de betreffende malware daardoor in veel gevallen stoppen.
Echter, applicaties waarop de EMET mitigations niet zijn toegepast, die worden door EMET niet specifiek beschermd (hooguit door het door middel van EMET system wide toepassen van DEP en SEHOP en eventueel ASLR).
Download je malware die gebruik maakt van (ongepatchte?) kwetsbaarheden in applicaties waarop EMET niet is toegepast dus die niet worden bewaakt door EMET, dan biedt EMET geen bescherming tegen het uitvoeren van die malware.
Buiten dat, je zult wellicht iets verkeerd doen, gezien je vermelding "downloade een Trash Gen, en spuugde me weer helemaal vol. 2500 stuks".
Ik loop nóóit malware-infecties op, en hetzelfde geldt voor veel andere verstandige gebruikers. Wat voor onveilig gedrag of onveilige systeemconfiguratie heb je dat je zo'n malware-infectie oploopt?
En ten slotte, je schreef, "Ik heb EMET nu vol open staan".
Wat bedoel je daarmee?
Als je ermee bedoelt dat je EMET hebt geconfigureerd met indien mogelijk "Maximum security settings" en met protection profile "Popular Software" toegepast, dan is dat mooi, maar uiteraard slechts als één onderdeel van wat een brede veilige systeemconfiguratie moet zijn. (En vergeet het verstandige en veilige gedrag niet.)
@ Anoniem za.14-6, 23:51 uur,
Je noemt scans met MBAM en Avira.
Dat heeft echter niets te maken met EMET. EMET is geen malware-scanner.
EMET pas je toe om het uitvoeren van malware te bemoeilijken en te verhinderen.
Scans met MBAM en Avira gebruik je om eventuele malware op te sporen en te verwijderen.
Dat zijn verschillende dingen.
Ik begrijp daarom niet goed wat je bedoelde met je opmerking.
Bedankt voor je volledige uitleg,heeft me erg geholpen.
En voor je tijd hiervoor om te reageren.
Maar wist al dat EMET geen scanner is.
Heb trouwens ook nog deep hooks aangezet.
Ik wilde gewoon mijn programma's weer terug waar ik mee werkte,en kwam dat ineens mee.
Ja ik gebruik maximale settings,ook in Avira,en nog Secunia PSI.
En Zemana Anti Keylogger.
En werk met een Toshiba C875 14W,van afgelopen jaar.
Daar moeten nog 16GB inkomen,wat nu 6 is en een Hybride schijf.
Geheugen van Transcend en de schijf van Toshiba.
Die is nu anderhalf jaar oud.
Ik probeer ook nog wel eens wat programma's uit,dat moet ik ook maar eens laten.
Maar hoe pas ik dat profiel Popular Software toe?
Zag ook dat er helemaal niks staat waar dat normaal allemaal aangevinkt is,bij APPS.
En voor je tijd hiervoor om te reageren.
Maar wist al dat EMET geen scanner is.
Heb trouwens ook nog deep hooks aangezet.
Ik wilde gewoon mijn programma's weer terug waar ik mee werkte,en kwam dat ineens mee.
Ja ik gebruik maximale settings,ook in Avira,en nog Secunia PSI.
En Zemana Anti Keylogger.
En werk met een Toshiba C875 14W,van afgelopen jaar.
Daar moeten nog 16GB inkomen,wat nu 6 is en een Hybride schijf.
Geheugen van Transcend en de schijf van Toshiba.
Die is nu anderhalf jaar oud.
Ik probeer ook nog wel eens wat programma's uit,dat moet ik ook maar eens laten.
Maar hoe pas ik dat profiel Popular Software toe?
Zag ook dat er helemaal niks staat waar dat normaal allemaal aangevinkt is,bij APPS.
15-06-2014, 16:38 door
Spiff has left the building
Door Anoniem, 13:40 uur:
Heb trouwens ook nog deep hooks aangezet.
De nieuwste EMET versie, EMET 4.1 Update 1, daarbij wordt Deep Hooks standaard toegepast.Heb trouwens ook nog deep hooks aangezet.
https://www.microsoft.com/en-us/download/details.aspx?id=41138
Door Anoniem, 13:40 uur:
Ik wilde gewoon mijn programma's weer terug waar ik mee werkte, en kwam dat ineens mee.
Wellicht een download-adres dat niet deugde?Ik wilde gewoon mijn programma's weer terug waar ik mee werkte, en kwam dat ineens mee.
Download je je applicaties wel van de sites van de ontwikkelaars of uit andere veilige bron?
Door Anoniem, 13:40 uur:
Ik probeer ook nog wel eens wat programma's uit,dat moet ik ook maar eens laten.
Zorg je dat je je eerst verdiept in wat je wilt uitproberen, en je download enkel veilige software van de sites van de ontwikkelaars of uit andere veilige bron, dan hoort er geen probleem te zijn.Ik probeer ook nog wel eens wat programma's uit,dat moet ik ook maar eens laten.
Door Anoniem, 13:40 uur:
Maar hoe pas ik dat profiel Popular Software toe?
Het allersimpelste:Maar hoe pas ik dat profiel Popular Software toe?
EMET\ Import\ selecteer Popular Software.xml\ pas toe.
(Dat heb ik recent hier ook genoemd: https://www.security.nl/posting/390970#posting391148)
Maar staan er onder EMET\ Apps\ Appication Configuration al applicaties waarop mitigations zijn toegepast, dan levert dat voor zover ik weet een aantal dubbel-vermeldingen op. Dat kan geen kwaad, maar het is wel wat rommelig, vind ik.
Wat netter vind ik daarom het volgende:
Verwijder eerst onder EMET\ Apps\ Appication Configuration alle applicaties waarop mitigations zijn toegepast,
en importeer vervolgens het profiel Popular Software.
Ik heb dat eerder hier uitgebreid beschreven:
https://www.security.nl/posting/41491#posting370538
vanaf "verwijder het relatief beperkte standaard-profiel Recommended Software".
@TS: Je vraagt, is EMET de moeite waard? Maar je kunt beter vragen of jij de moeite waard bent om een 0-day aan te besteden?
EMET wordt regelmatig genoemd door Microsoft als 'mitigation'. Maar als bijvoorbeeld IE lek is, kun je ook een andere browser gebruiken tot de Out Of Band update klaar is (dit gebeurt een paar keer per jaar).
Je kunt je ook afvragen hoe een gebruiker op EMET reageert. Mijn ouders wil ik het niet aandoen. Met het risico dat office opeens afgesloten wordt terwijl er geen aanval plaats vond. Dat is namelijk het grootste risico met EMET. Dat het iets stuk maakt op je computer. Ik heb dat zelf twee keer gehad met het openen van IE 9 vlak na patch dinsdag. Kan niet met zekerheid zeggen dat dit door EMET kwam, maar sinds die eraf is is het nooit meer gebeurd (toch al een half jaar geleden denk ik).
Dus, ben jij zo interessant dat iemand een 0-day op jou wil gebruiken? Dan helpt EMET zeker.
Als je gewoon voorzichtig bent op internet en kan wachten op de patch waarvoor je EMET wil inzetten, waarom zou je het dan installeren? Vooral omdat je weet dat het programma's kan afsluiten (soms ook als er niets aan de hand is).
Maar als je computer blijft werken zonder problemen en je het leuk vind, dan kun je het zeker doen.
Een andere reden om EMET te installeren is voor mensen die hun computer niet goed updaten. Dan houdt EMET zeker een hoop malware tegen. Maar er is geen garantie dat er geen 'false positives' plaatsvinden.
EMET wordt regelmatig genoemd door Microsoft als 'mitigation'. Maar als bijvoorbeeld IE lek is, kun je ook een andere browser gebruiken tot de Out Of Band update klaar is (dit gebeurt een paar keer per jaar).
Je kunt je ook afvragen hoe een gebruiker op EMET reageert. Mijn ouders wil ik het niet aandoen. Met het risico dat office opeens afgesloten wordt terwijl er geen aanval plaats vond. Dat is namelijk het grootste risico met EMET. Dat het iets stuk maakt op je computer. Ik heb dat zelf twee keer gehad met het openen van IE 9 vlak na patch dinsdag. Kan niet met zekerheid zeggen dat dit door EMET kwam, maar sinds die eraf is is het nooit meer gebeurd (toch al een half jaar geleden denk ik).
Dus, ben jij zo interessant dat iemand een 0-day op jou wil gebruiken? Dan helpt EMET zeker.
Als je gewoon voorzichtig bent op internet en kan wachten op de patch waarvoor je EMET wil inzetten, waarom zou je het dan installeren? Vooral omdat je weet dat het programma's kan afsluiten (soms ook als er niets aan de hand is).
Maar als je computer blijft werken zonder problemen en je het leuk vind, dan kun je het zeker doen.
Een andere reden om EMET te installeren is voor mensen die hun computer niet goed updaten. Dan houdt EMET zeker een hoop malware tegen. Maar er is geen garantie dat er geen 'false positives' plaatsvinden.
Aan spiff en anderen
Heb die EMET 4.1 Update 1,maar moest Deep hooks toch aanvingken,stond uit.
Maar ik zal die eens opnieuw instaleren,en kijken of ik die apps dan toch krijg.
Heb die EMET 4.1 Update 1,maar moest Deep hooks toch aanvingken,stond uit.
Maar ik zal die eens opnieuw instaleren,en kijken of ik die apps dan toch krijg.
Door Fwiffo: @TS: Je vraagt, is EMET de moeite waard? Maar je kunt beter vragen of jij de moeite waard bent om een 0-day aan te besteden?
als malware-makers een 0-day vinden, die ze massaal willen gebruiken, doet het er niet toe of iemand de moeite waard is, daar word code voor geschreven, en die word via verschillende manier verspreid,
denken dat je NIET de moeite waard bent, kan een grote denkfout zijn, met grotere gevolgen dan je lief is ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.