Embed Size (px)
Citation preview
GAME OVER2015
ВведениеКак показывает практика, любой антивирус по дизайну уязвим, и реализовать очередной метод обхода в отношении него не является большой проблемой.
Гораздо интереснее, по нашему мнению, узнать, как обстоят дела с защитой от уже известных методов атак.Большинство аналитических работ, посвященных этой теме, как правило, ориентировано на оценку эффективности детектирования вредоносного кода антивирусами, производительность работы антивирусов и т.д. Мы же в рамках своего исследования попытались выяснить, следят ли разработчики решений такого класса за тенденциями и модифицируют ли свои продукты в соответствии с новыми методами атак.
Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот прием часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом.
После внедрения вредоносного кода внутрь процесса антивируса он способен долго и незаметно существовать в системе пользователя, что, несомненно, является следствием главного логического изъяна архитектуры самозащиты, равно как и методики использования доверенных списков процессов.
Самозащита антивирусаВредоносный код совершенствуется параллельно с развитием антивирусных технологий, что очень похоже на некую гонку вооружений. Появляются все новые угрозы, которые компрометируют программ-ное обеспечение этого класса, отключают его, полностью деактивируют его функционал и т.д. Как следствие, растут требования к разработке антивирусных решений, которые позиционируются для защиты постфактум. Антивирусы снабжают функционалом для самообороны и защиты от активных угроз.Развивается, пожалуй, самый спорный механизм ПО такого класса – механизм самозащиты.
Если систематизировать внутренне устройство нескольких антивирусных продуктов, можно обобщенно описать архитектуру самозащиты. В итоге, мы получим следующие признаки, свойственные данному механизму и его реализации:
Реализуется при помощи совокупностиперехватов и/или RegistryCallback-интерфейсаядра.
Обычно реализована файловым фильтромуровня ядра.
Контроль доступа к различнымуправляющим интерфейсам в ring0.
Реализации варьируются, это может быть совокупность различных перехватов системных функций ядра, типов объекта, использование callback’а на создание процесса.
• Глобальное отключение/блокирование антивируса
• Манипулирование белыми списками
• Скрытое функционирование в супер-привилегированном процессе
• Обход правил межсетевого экрана
• …
И, наконец, самый спорный момент в работе механизма самозащиты: процессы антивируса становятся некой супер-привилегированной сущностью, они недоступ-ны для воздействия как атакующего, так и обычного пользователя.
Последствия внедрения вредоносного кода в антиви-рус:
Методология тестирования Рассматриваемые антивирусные решения
Для проведения исследования мы отобрали несколько антивирусных продуктов, отвечающих следующим требованиям:
ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты;
Входит в список самых популярных решений, ранее тестировавшихся с применением различных методологий.
Система оценки
За каждую отраженную атаку антивирусный продукт получал по баллу. В случае, если атака была обнаружена проактивно, метод проверялся с выключенным HIPS-механизмом, и тогда при успешной реализации злонамеренного действия антивирус получал половину балла.
Суммарное максимальное количество баллов равно 6. Набрав эту сумму, антивирус автоматически мог занять первое место. 5, 5.5 баллов гарантировали второе место, 4, 4.5 балла – третье место. 4 место определяли за 3 набранных балла. Антивирус, набравший менее 3 баллов, считался провалившим тест.
Для тестирования была использована специальная программа, которая получает на вход в качестве параметров данные о технике и цели.
McAfeeESET
SymantecAVG
BitDefenderTrend Micro
AviraDrWeb
KasperskyPandaAvast
McAfee Total Security 2015 (15.4.0.470.7)ESET Smart Security (8.0.312.3)Norton Security (22.2.0.31)AVG Internet Security 2015 (2015.0.5941)BitDefender Total Security 2015 (18.20.0.1429)Trend Micro Antivirus+ 2015 (AMSP 3.5.1186)Avira (15.0.8.652)DrWeb 10 (10.0.1.03310)Kaspersky Internet Security 15 (15.0.2.361)Panda Internet Security 2015 (15.1.0)Avast Free Antivirus (2015.10.2.2218)
1
2
Среда тестирования
Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMware. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/AMD-V).
Применяемые техники
Для данного исследования было применено несколько универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО.
Все техники, используемые в данном тестировании, доступны на открытых ресурсах Интернета на протяже-нии 1-3 лет. Их код не демонстрируется намеренно. Ссылки на публичные источники, описывающие данные техники, может быть предоставлен только антивирусным компаниям только по их официальному запросу.
Инжект (inject) – техника, позволяющая запускать свой код в чужом процессе
ProxyInject атакаЗаключается в использовании оригинальных бинарных файлов антивируса с последующим инжектированием в нихвредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектированияатакующего кода.
PageFile атакаБлокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
Shim engine атакаБлокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.
Reparse-Point атакаБлокирование функционала антивирусного ПО через открытиена защищаемой директорииNTFS-потока и установку точки повторной обработки.
Duplicate Handle атакаСуть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объектаописателя открытого процесса.В итоге, это может привестик полной компрометации процессов антивируса либок инжектированиюв них вредоносного кода.
RegSafe, RegRestore атакаАтака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
Результаты
Стоит понимать, что, помимо данных техник, существует множество других (недоступных публично), которые также нацелены на внедрение в работу антивирусного продукта или на прекращение его работы. И естественно, есть универсальные инструменты, ориентированные на конкретный антивирусный продукт.
Kaspersky Internet Security 15
AVAST Free Antivirus
DrWeb 10
Norton Security
BitDefender Total Security 2015
Avira
ESET Smart Security
McAfee Total Security 2015
AVG Internet Security 2015
Trend Micro Antivirus+ 2015
Panda Internet Security 2015
ProxyInject
DuplicateHandle
Reparse-Point
PageFile
RegSafe,RegRestore
ShimEngine
ProxyInject
DuplicateHandle
Reparse-Point
PageFile
RegSafe,RegRestore
ShimEngine
6
5
4,5
4
3,5
3
3
2
2
2
2
7,5 36 07 5,5
ВыводыТаким образом, результаты тестирования с определенной методологией на данной выборке техник выявили весьма интересный результат: отечественный антивирусный разработчик более качественно улучшал и строил свою оборону, нежели это делали иностранные вендоры.
Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры.
Стоит также отметить, что, несмотря на все результаты, архитектура в целом не изменяется, и разработчики реагируют на произошедшие атаки постфактум и защищаются от уже известных механизмов атак. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности, предоставляющая полный спектр услуг, в том числе проведение аудитов ИБ и тестов на проникновение, подготовку и сертификацию по PCI и PA-DSS, СТО БР ИББС, аудит защищенности систем ДБО, SCADA, ERP, бизнес-приложений, веб-приложений и платформ виртуализации. Ключевым направлением деятельности компании являются исследования в области безопасности SAP-систем и разработка системы мониторинга безопасности SAP ERPScan. Помимо этого, компания занимается консалтингом, тестами на проникновение и аудитом кода для SAP-систем.
Digital Security является ведущим в мире партнером SAP SE по обнаружению и устранению уязвимостей в приложениях и системах SAP. Эксперты Digital Se-curity оказывают корпорации услуги по анализу безопасности новых продуктов SAP, а также почти ежемесячно получают благодарности от SAP SE и нахо-дятся на первом месте по количеству обнаруженных уязвимостей.
В основе опыта компании лежит деятельность исследовательского центра Digital Security, осуществляющего поиск и анализ уязвимостей в критичных для бизнеса приложениях таких компаний, как Oracle, SAP, VMware, IBM, 1С и прочие. За время своей деятельности специалисты центра получили множество благодарностей от перечисленных компаний более чем за 400 обнаруженных уязвимостей. Эксперты исследовательского центра возглавляют проект EAS-SEC, посвященный
безопасности бизнес-приложений, и являются постоянными докладчиками международных конференций по практической безопасности: Black-Hat, RSA, Defcon, HITB, InfoSecurity и многих других.
Система мониторинга безопасности SAP ERP-Scan хорошо известна на Западе, протестирована инженерами SAP Product Security Response Team в продуктивной системе SAP SE, имеет статус “SAP Certified – Integration with SAP Applications” и была неоднократно удостоена престижных международных наград. Компания сотрудничает с клиентами и партнерами более чем в 20 странах, в том числе в США, Германии, Испании, Голландии, Австралии, ЮАР, Индии, Корее, Беларуси, Казахстане, Турции, Польше. Наши разработки и исследования были освещены в популярнейших изданиях и на специализированных ресурсах по информационной безопасности: Reuters, CIO, PCWorld, DarkReading, Heise, Chinabyte.
Контактная информация:
OOO «Диджитал Секьюрити»
Россия, 115093, МоскваПартийный пер., д. 1, корп. 57, стр. 3
тел.: +7 (495) 223-0786
Россия, 197183, Санкт-ПетербургПетроградская набережная д. 16 лит. А.
тел.: +7 (812) 703-1547
