Добро пожаловать в Клуб Любителей Симантек!
Пока собрано 3450 рублей. Из них через виджет - 3250. Спасибо за понимание!
Показано с 1 по 4 из 4
  1. #1
    Аватар для SDA
    Спонсор и совладелец Клуба
    Совет Клуба
    Norton Forever!
    Старожил
    Администратор
    Статус: SDA вне форума
    Регистрация : 09.02.2010
    Сообщений : 14,481
    Поблагодарил(а) 8,556
    Поблагодарили : 21,000 раз(-а), в 8,948 сообщениях
    Записей в дневнике : 7
    Репутация : 21368Array

    Самозащита антивирусов

    Как показывает практика, любой антивирус по дизайну уязвим, и реализовать очередной метод обхода в отношении него не является большой проблемой.
    Нашему исследовательскому центру было интересно проверить, как разработчики антивирусных решений следят за наличием описаний методов атак на просторах интернета. И всегда ли для атаки на антивирус необходимо обнаружить в нем 0-day уязвимость или достаточно просто найти полезную информацию на форумах?


    Введение

    Большинство аналитических работ, посвященных этой теме, как правило, ориентировано на оценку эффективности детектирования вредоносного кода антивирусами, производительность работы антивирусов и т.д. Мы же в рамках своего исследования попытались выяснить, следят ли разработчики решений такого класса за тенденциями и модифицируют ли свои продукты в соответствии с новыми методами атак.

    Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот причем часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом.

    После внедрения вредоносного кода внутрь процесса антивируса он способен долго и незаметно существовать в системе пользователя, что, несомненно, является следствием главного логического изъяна архитектуры самозащиты, равно как и методики использования доверенных списков процессов.

    Самозащита антивируса

    Вредоносный код совершенствуется параллельно с развитием антивирусных технологий, что очень похоже на некую гонку вооружений. Появляются все новые угрозы, которые компрометируют программное обеспечение этого класса, отключают его, полностью деактивируют его функционал и т.д. Как следствие, растут требования к разработке антивирусных решений, которые позиционируются для защиты постфактум. Антивирусы снабжают функционалом для самообороны и защиты от активных угроз. Развивается, пожалуй, самый спорный механизм ПО такого класса – механизм самозащиты.

    Если систематизировать внутренне устройство нескольких антивирусных продуктов, можно обобщенно описать архитектуру самозащиты. В итоге, мы получим следующие признаки, свойственные данному механизму и его реализации:


    1. Защита собственных файлов и директорий
      • Обычно реализована файловым фильтром уровня ядра.

    2. Защита собственных конфигурационных данных в реестре
      • Реализуется при помощи совокупности перехватов и/или RegistryCallback-интерфейса ядра.

    3. Защита интерфейсов антивируса
      • Контроль доступа к различным управляющим интерфейсам в ring0.

    4. Защита собственных процессов
      • Реализации варьируются, это может быть совокупность различных перехватов системных функций ядра, типов объекта, использование callback’а на создание процесса.


    И, наконец, самый спорный момент в работе механизма самозащиты: процессы антивируса становятся некой супер-привилегированной сущностью, они недоступны для воздействия как атакующего, так и обычного пользователя.

    Последствия внедрения вредоносного кода в антивирус:

    • Глобальное отключение/блокирование антивируса
    • Манипулирование белыми списками
    • Скрытое функционирование в супер-привилегированном процессе
    • Обход правил межсетевого экрана


    Методология тестирования

    Рассматриваемые антивирусные решения

    Для проведения исследования мы отобрали несколько антивирусных продуктов, отвечающих следующим требованиям:

    1. ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты;
    2. Входит в список самых популярных решений, ранее трестировавшихся с применением различных методологий.


    Получился такой список (На момент тестирования это были самые последние версии):
    Разработчик Наименование продукта, версия
    McAfee McAfee Total Security 2015 (15.4.0.470.7)
    ESET ESET Smart Security (8.0.312.3)
    Symantec Norton Security (22.2.0.31)
    AVG AVG Internet Security 2015 (2015.0.5941)
    BitDefender BitDefender Total Security 2015 (18.20.0.1429)
    Trend Micro Trend Micro Antivirus+ 2015 (AMSP 3.5.1186)
    Avira Avira (15.0.8.652)
    Dr.Web Dr.Web 10 (10.0.1.03310)
    Kaspersky Kaspersky Internet Security 15 (15.0.2.361)
    Panda Panda Internet Security 2015 (15.1.0)
    Avast Avast Free Antivirus (2015.10.2.2218)
    Среда тестирования

    Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMware. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/AMD-V).

    Применяемые техники

    Для данного исследования было применено несколько универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО.

    Все техники, используемые в данном тестировании, доступны на открытых ресурсах Интернета на протяжении 1-3 лет. Их код не демонстрируется намеренно. Ссылки на публичные источники, описывающие данные техники, могут быть предоставлены только антивирусным компаниям только по их официальному запросу.
    Были выбраны такие техники, как: ProxyInject, Duplicate Handle, Reparse Point, PageFile, RegSafe/RegRestore и Shim Engine. За более подробным описание техник советуем обратится к оригинальному тексту исследования “Самозащита антивирусов”.
    И для тестирования была использована специальная программа, которая получает на вход в качестве параметров данные о технике и цели.



    Результаты

    При определенной постановке задачи такие же техники применяются нашими специалистами в ходе тестов на проникновение. В процессе работы приходится как использовать ранее упомянутые, так и разрабатывать новые методики.


    Стоит понимать, что, помимо данных техник, существует множество других (недоступных публично), которые также нацелены на внедрение в работу антивирусного продукта или на прекращение его работы. И естественно, есть универсальные инструменты и ориентированные на конкретный антивирусный продукт.
    Выводы

    Таким образом, результаты тестирования с определенной методологией на данной выборке техник выявили весьма интересный результат: отечественный антивирусный разработчик более качественно улучшал и строил свою оборону, нежели это делали иностранные вендоры.

    Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры.

    Стоит также отметить, что, несмотря на все результаты, архитектура в целом не изменяется, и разработчики реагируют на произошедшие атаки постфактум и защищаются от уже известных механизмов атак. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.

    Блог компании «Digital Security»

    Жить не тужить, никого не осуждать, никому не досаждать, и всем мое почтение

  2. 4 пользователей сказали cпасибо SDA за это полезное сообщение:

    alexgrits (26.06.2015),norton46 (16.06.2015),Sergio (17.06.2015),tarasman (17.06.2015)

  3. #2
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,392
    Поблагодарил(а) 12,417
    Поблагодарили : 23,711 раз(-а), в 7,952 сообщениях
    Записей в дневнике : 8
    Репутация : 23787Array
    Ну да, avast free впереди всех на белом коне.
    А avast IS видимо такой отстой, что его никогда в тест не берут.


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  4. 2 пользователей сказали cпасибо Энди-701 за это полезное сообщение:

    norton46 (16.06.2015),Sergio (17.06.2015)

  5. #3
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,392
    Поблагодарил(а) 12,417
    Поблагодарили : 23,711 раз(-а), в 7,952 сообщениях
    Записей в дневнике : 8
    Репутация : 23787Array
    А вот что мне только что передали...

    В ноябре 2014 компания Digital Security сообщила об обнаруженной ей уязвимости в продуктах «Лаборатории Касперского», McAfee и Avast Software.
    Касперычи подсуетились и подлатали свои продукты аккурат перед тестом. Авастовцы успели подлатать не всё, или пронадеялись на свой супер-продукт. "Макаке", впрочем, даже предупреждение не помогло.

    Уязвимость основана на использовании в антивирусных программах средств аппаратной виртуализации и, по заявлению Digital Security позволяет злоумышленнику получить контроль над ОС и отключить защитное ПО.

    Далее "Лаборатория Клоунов" просто жжет в своем репертуаре. Люди постарались, подсказали, где дыра, а ЛК дыру закрыли, а потом и говорят: "Где дыра?"...

    «Лаборатория Касперского» заявила, что не признает обнаруженный Digital Security феномен «уязвимостью». Сотрудники ЛК говорят, что «для того, чтобы ей воспользоваться, потенциальному злоумышленнику нужно обойти дополнительные механизмы защиты, имеющиеся в продуктах».
    При написании этого материала возникла оживленная заочная дискуссия между сотрудниками Digital Security и «Лаборатории Касперского».
    «Лаборатория Касперского» посредством своей пресс-службы признала, что в презентации Digital Security действительно описаны способы отключения гипервизоров защитных решений сторонних разработчиков, однако обойти такими способами (вызовом кода драйвера из стороннего приложения) механизмы защиты Kaspersky Internet Security 2015 невозможно.
    В «Касперском» говорят, что попросили от Digital Security помимо презентации доказательства реального использования уязвимости на практике, однако такой демонстрации не увидели.


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  6. 3 пользователей сказали cпасибо Энди-701 за это полезное сообщение:

    norton46 (16.06.2015),SDA (17.06.2015),Sergio (17.06.2015)

  7. #4
    Norton Forever!
    Активный участник
    Статус: Sergio вне форума
    Регистрация : 01.10.2014
    Адрес : Уругвай
    Сообщений : 553
    Поблагодарил(а) 1,701
    Поблагодарили : 273 раз(-а), в 153 сообщениях
    Репутация : 285Array
    "Лаборатория Клоунов" - цирк на колесах

  8. 2 пользователей сказали cпасибо Sergio за это полезное сообщение:

    tarasman (15.01.2016),Энди-701 (17.06.2015)

 

 

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •