Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 138, ИЮНЬ 2010 г.

Выбираем халявный антивирус. Защита от drive-by угроз: for free or not for free?

На сегодня существует целая куча всевозможных «защитных» программ – от классических антивирусов до продуктов типа Internet и Total Security. Антивирусы класса IS и TS включают в себя комплексную защиту от всевозможных угроз: вирусов, троянов, червей, руткитов, спама, фишинга. Они имеют на борту файерволы, HIPS, sandbox, анти-баннеры, модули шифрования и бэкапа, защиту от сетевых атак, родительский контроль, менеджер паролей и т.д. Все эти компоненты призваны в конечном счете обеспечить более высокую степень защиты пользовательских данных.

Существуют и бесплатные антивирусные решения. Наиболее популярны из них Avira, AVG и AVAST. Какой из них выбрать? Уступают ли данные антивирусы своим платным собратьям по качеству защиты от вредоносных программ? Насколько надежно они защищают от угроз типа Drive-by (именно через атаку на браузер и его компоненты происходит большинство заражений домашних компьютеров)? Это мы и попытаемся сегодня выяснить :).

Drive-by загрузки

Drive-by – это способ инфицирования персонального компьютера через зараженные веб-сайты. Собственно, все, что требуется для успешной атаки – уязвимый браузер и/или его компоненты. Наиболее часто используются атаки на браузеры IE6 и IE7, продукты компании Adobe (Flash Player,PDF Reader), RealPlayer и JAVA (подробнее тут: http://www.anti-malware.ru/files/ISTR 15 Global FINAL.pdf). В большинстве своем реализуются атаки на уже закрытые уязвимости, заплатки на которые давно доступны. Но поскольку многие пользователи не ставят апдейты... их компьютеры становятся частью бот-сети, компьютером-зомби.

Опасность таких атак в том, что можно «подцепить» трояна, просто посетив свой любимый сайт, который в один прекрасный момент окажется взломанным. В таком случае обычно в исходнике сайта вначале или в конце появляется обфусцированный скрипт или iframe, ведущий на «левый» сайт, где расположен пакет эксплойтов или еще парочка iframe.

Таким образом, браузер попадает под удар одного или более наборов эксплойтов (exploits toolkit, exploits pack). Эксплойт тулкит представляет собой специализированное хакерское ПО, которое содержит набор различных эксплойтов для атаки браузеров и пользовательских приложений. Также они позволяют собирать информацию о местоположении ПК-жертвы, вести статистику по пробиву (на скольких ПК был загружен и запущен бинарник) каждым эксплойтом, определять версию операционной системы, браузера и его модулей, подбирая соответствующий эксплойт. Задача эксплойта – загрузить и запустить вредоносное ПО таким образом, чтобы юзер ничего не заметил и продолжал ощущать себя полностью защищенным :).

На рынке существует достаточно много различных наборов эксплойтов. Некоторые старые и уже не поддерживающиеся в актуальном состоянии лежат в свободном доступе на всевозможных хакерских форумах. На текущий момент наиболее распространенными и часто используемыми являются следующие наборы:

  • Eleonore Exploits pack
  • Phoenix exploit kit
  • NeoSploit
  • YES exploit kit
  • Siberia Exploits kit
  • Seo Sploit pack
  • Crimepack Exploit System

Они несколько отличаются друг от друга набором эксплойтов, качеством шеллкода, ценой, поддержкой. Некоторые характеристики наиболее распространенных тулкитов можно увидеть на врезках.

Eleonore Exploits pack

В состав связки входят следующие эксплойты:

  • MDAC
  • JDT
  • PDF collab.getIcon
  • PDF collab.collectEmailInfo
  • PDF NewPlayer
  • Java GSB 1.5/1.6

Средний пробив на связке:5-20%

Цена последней версии 1.4.1:

  • Стоимость самой связки = $1500
  • Чистки от AV = от $50
  • ребилд на другой домен/IP = $50

Crimepack Exploit System

В состав связки входят следующие эксплойты:

  • MDAC
  • DSHOW
  • MS09-002
  • Flash10
  • Adobe Acrobat Reader
  • JRE

Средний пробив на связке:
5-20%

Цена последней версии 2.8.1:

  • Стоимость самой связки = $400
  • Чистки от AV = $80 первая чистка, последующие = $50
  • ребилд на другой домен/IP = $50

Phoenix exploit pack

В состав связки входят следующие эксплоиты:

  • MDAC
  • MS Office Snapshot
  • JRE
  • Flash10
  • CVE-2010-0806
  • Adobe Acrobat Reader

Средний пробив на связке:
5-20%

Цена последней версии 2.0:

  • Стоимость самой связки = $400
  • Чистки от AV = $50
  • ребилд на другой домен/IP = $50

Сам код эксплойтов, как правило, обфусцирован для затруднения его анализа и детекта антивирусами.

Стоит отметить наличие во всех связках эксплойта MDAC (MS06-014), патч для которого вышел еще в мае 2006 года. Именно этот сплоит имеет высокий пробив на IE6 и занимает высокий процент в общей статистике. Это свидетельствует о том, что многие пользователи не утруждаются поставить обновления системы, тем самым рискуя «схватить» malware.

Кроме того, за последний год изменился тренд с использования уязвимостей IE6/7 на продукцию компании Adobe – в частности Acrobat Reader, а также на продукты компании Oracle Corporation – JAVA. Использование этих экплойтов позволяет производить атаки не только на IE, но и другие браузеры.

Рассмотрим часто используемые эксплойты под Acrobat Reader:

  • Adobe Collab.collectEmailInfo – CVE-2007-5659
  • Adobe Util.printf – CVE-2008-2992
  • Adobe GetIcon – CVE-2009-0927
  • Adobe Media.newPlayer – CVE-2009-4324
  • Adobe Pdf libtiff – CVE-2010-0188

Наиболее часто используемые эксплойты под JAVA:

JAVA

  • Deserialize – CVE-2008-5353
  • GetSoundBank – CVE-2009-3867

Тестируем!

Как же для всего этого многообразия выбрать адекватный тест? Сейчас становятся все более актуальными так называемые динамические тестирования антивирусов. То есть, не банальный скан файлов вредоносных программ (а все ли они реально «вредоносы», и не является ли часть файлов мусором? :)), а проведение теста в условиях, максимально приближенных к реальным.

Браузер на тестируемом ПК направляется на зараженный сайт, где располагается непосредственно набор эксплойтов или же скрипт (простой iframe), которые перенаправляют браузер на другой веб-сайт с эксплойтами. В ходе эксплуатации уязвимости браузера или его компонентов происходит загрузка и выполнение стороннего кода, вредоносной программы. Исходя из этого, антивирус может блокировать заражение пользовательского ПК на различных этапах:

  1. Детектирование вредоносного скрипта, внедренного в страницу взломанного сайта;
  2. Блокировка открытия хоста с набором эксплойтов по базе фишинговых сайтов и сайтов, распространяющих вредоносное ПО;
  3. Детектирование непосредственно кода эксплойта еще до его выполнения браузером;
  4. Детектирование выполнения шеллкода;
  5. Детектирование (как сигнатурное, так и эвристическое) и удаление загруженного бинарника – инсталлятора вредоносной программы;
  6. Определение вредоносности по поведению в системе и последующий карантин.

Для предотвращения заражения достаточно успешного детектирования на любом из этих этапов.

Также можно выделить защитные продукты, которые имеют при себе так называемую «песочницу», что позволяет запускать браузер в виртуальной среде как «недоверенное» приложение, что ограничивает процесс браузера в правах в системе. Любое приложение, запущенное процессом браузера также становится «недоверенным». Защитные продукты, имеющие при себе «песочницу» являются более эффективными в плане защиты от атак типа Drive-by, так как не требуют постоянного пополнения баз сигнатур, сайтов и «докручивания» эвристиков. Примерами таких защитных программ являются комбайны AVAST! Internet Security, Kaspersky Internet Security, ZoneAlarm Extreme Security, HIPS DefenseWall и др.

В большинстве тестов используются только платные антивирусные программы, и совсем не уделяется внимание free-версиям. Мы решили исправить этот недочет и протестировать бесплатные варианты наиболее распространенных у нас антивирусов: AVIRA, AVG и AVAST!. Ну, а чтобы добавить в это тестирование перцу и попробовать понять, имеет ли смысл вообще качать бесплатные антивирусы, мы добавим сюда популярный платный антивирус – Kaspersky anti-virus.

Антивирусы, которые мы будем тестировать, несколько отличаются по функционалу:

AVASt!

  • Файловый монитор
  • сканер on-demand
  • Почтовый антивирус
  • Веб-антивирус
  • Модуль блокировки сайтов, распространяющих вредоносное ПО
  • Модуль анализа поведения

AVG

  • Файловый монитор
  • сканер on-demand
  • Почтовый антивирус
  • Веб-антивирус
  • Антифишинговый модуль

AVIRA

  • Файловый монитор
  • сканер on-demand

KAV

  • Файловый монитор
  • сканер on-demand
  • Почтовый антивирус
  • Веб-антивирус
  • Модуль блокировки сайтов, распространяющих вредоносное ПО
  • Модуль анализа поведения
  • Сканер уязвимостей
  • Создание диска восстановления системы
  • Устранение последствий заражения

Итак, переходим непосредственно к тестированию. Тест мы будем проводить по следующей методике:

  1. Создаем тестовые стенды на базе Vmware Windows XP SP3 32-bit с браузером Internet Explorer 7.0.5730.13 (целенаправленно не обновляем систему, чтобы дать возможность сработать эксплойтам). Ставим «дырявые» наиболее распространенные уязвимые приложения – Adobe Reader 8.1.1 и JAVA jre 1.5.0.10. Таким образом, атака будет идти на три приложения – сам браузер, на Adobe Reader и JAVA.
  2. Устанавливаем на стенды антивирусный софт, настройки не меняем – оставляем все как есть. Что предложит инсталлятор, то и выполняем. Мы же законопослушные граждане :). После установки обновляемся, перезагружаемся.
  3. Создаем основной snapshot, где у нас будут обновленные антивирусы, готовые к тесту.
  4. Далее, используем сайт malwaredomainlist.com и отслеживаем поступление свежих URL, содержащих exploit pack. Будем выбирать из всех самые свежие поступления, проверять перед тестом, что payload (тот бинарный файл, который загружается и выполняется шелкодом эксплойта, вредоносная программа) не детектируется всеми, кем можно, что он рабочий и успешно отрабатывает на тестовой системе. Также будем выбирать различные exploit pack из всех распространенных и используемых на текущий момент.
  5. Открываем наш snapshot с установленным и обновленным антивирусом, обновляемся и открываем в браузере зараженный сайт. Наблюдаем за происходящим, отмечая возможные детекты. Если эксплойт все же запустил в системе вредоносную программу, то убеждаемся, что она установилась, прекрасно работает. Собираем созданные malware файлы-компоненты, которые не детектируются, и отправляем в вирлаб антивируса, который позволил себе такую слабость :). Как файлы будут добавлены – пытаемся обновиться и пролечить систему. Успешность/безуспешность лечения помечаем.

Результаты тестирования можно увидеть в таблицах по каждому антивирусу. Красным цветом выделены md5 бинарников (payload), который заинсталлировался в системе и антивирус не смог предотвратить заражение. Возможность обнаружения/не обнаружения активной малвары указана в таблице для общей информации.

Трактовка результатов

Как видно из результатов, антивирусы Kaspersky и AVAST! показали лучший результат по блокировке заражения методом Drive-by. Лучший, но не идеальный :). Как же так? Обновленный антивирус, оказывается, не панацея от заражения вредоносным кодом через веб? Да! Именно так. Чтобы обеспечивать себе действительно высокий уровень защиты от всевозможных malware, распространяющихся через инет, следует придерживаться следующих правил:

  1. Работать под ограниченной учетной записью;
  2. Активировать автоматическое обновление Windows или же самостоятельно отслеживать выход заплаток, загружать их и устанавливать вовремя;
  3. Проверять наличие обновлений и выхода новых версий всего софта, установленного на ПК. Наиболее важно это делать в отношении продукции компании Adobe (Acrobat Reader, Flash Player),программ JAVA, WinZip, Firefox, Opera, Foxit, RealPlayer;
  4. Желательно использование антивирусного ПО с наличием Sandbox (так называемая «песочница») и модуля проверки уязвимых приложений. Или же использовать отдельный софт, который дополнит функционал антивируса;
  5. Не открывать ссылки, пришедшие неизвестно от кого, и не запускать неизвестные приложения, либо известные, но загруженные с источников, в которых вы неуверенны;
  6. Обновлять базы сигнатур установленного антивируса.

DVD

  • На диске лежат скриншоты детектирования Drive-by атак тестируемыми антивирусами.
  • Также на диске ты найдешь видеоролик, демонстрирующий, как можно с помощью отладчика OllyDbg получить файл конфигурации руткита TDL3 (TDSS, TidServ, Alureon).
Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001