Антисплойт: антивирусная индустрия в борьбе с эксплойтами (эссе)

Эксплуатация уязвимостей в программном обеспечении на стороне конечного пользователя стала одним из основных трендов на черном рынке. Прогнозы аналитических компаний демонстрируют стабильный рост доходов киберпреступников от услуг предоставления средств компрометации и, как следствие, рост смежных направлений криминальной деятельности: загрузка вирусного кода, кража чувствительной информации, аренда бот-сетей и так далее.

Эксплойт – средство организации начальной стадии жизненного цикла вредоносного программного обеспечения. Результатом использования уязвимости в ПО может стать не только стабильное развитие какого-либо ботнета, но и инцидент, который впоследствии получит широкую огласку в средствах массовой информации.

Причины наличия угрозы заключаются в обилии ошибок в коде программных продуктов. Несовершенство или полное несоблюдение требований безопасного программирования, банальная человеческая невнимательность в этом процессе обеспечивают все необходимые условия для инициализации жизненного цикла вредоносного ПО, использующего эксплойт в качестве своей доставки до реципиента и дальнейшего распространения. Именно поэтому бороться с угрозой нужно комплексными мерами обеспечения безопасности на уровне специальных программных решений, предлагаемых вендорами антивирусной индустрии. Рассмотрим технологии борьбы с эксплойтами на стороне конечных пользователей, предоставляемые ведущими представителями российского антивирусного рынка (по данным ^[1] анализа рынка антивирусной защиты в России 2010-2012).

Kaspersky Internet Security

В то время как корпорация Microsoft ищет универсальные способы борьбы с эксплойтами на уровне операционной системы (технологии ASLR и DEP оказались недостаточно совершенными в борьбе с новыми средствами эксплуатации), объявляя гонорары разработчикам, компания «Лаборатория Касперского» идет в этом направлении своими путями, одной из первых анонсируя технологию «автоматизированной защиты от эксплойтов», которая, исходя из специализированных тестов ^[2] независимых аналитиков лаборатории MRG Effitas, демонстрирует впечатляющие результаты.

Полностью «независимым» данное тестирование назвать сложно по той причине, что его инициатором выступила «Лаборатория Касперского», а значит, «инновация» по понятным временным причинам на момент тестов не имела аналогов.

Методология проведения тестирования заключалась в использовании фреймворка Metasploit и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора (так называемые «уязвимости нулевого дня»). Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.

Технология «Автоматическая защита от эксплойтов ^[3]» (второе название — AEP) основана на поведенческом анализе уже известных экземпляров этого вида вредоносного ПО, а также данных о текущем состоянии приложений, которые находятся в зоне «риска» и пользуются большим вниманием со стороны злоумышленников. Также AEP усиливает всторенные средства рандомизации адресного пространства (ASLR) операционной системы Windows. В сочетании с традиционными методами защиты, коими являются сигнатурный анализ, контентная фильтрация и «облачные» сервисы, в реальных условиях эта технология имеет еще больших потенциал для отражения атак, основанных на эксплуатации уязвимостей в стороннем программном обеспечении.

ESET Smart Security

Второй по доле рынка в России представитель антивирусной индустрии не делает прямых заявлений о борьбе с эксплойтами, а распределяет эту узкоспециализированную функцию по технологиям «ESET Live Grid», «ESET ThreatSense» и «ESET ThreatSense.Net». Первая представляет собой распределенный аналитический центр, собирающий данные о параметрах работы целевой информационной системы и проходящих в ней подозрительных процессах, строящий оценку риска каждого запущенного приложения на основе репутационной системы.

Технология «ThreatSense» — технология расширенной эвристики, которая непосредственно осуществляет борьбу с инициализацией полезной нагрузки в процессе эксплуатации уязвимости. При помощи результатов эвристических методов в сочетании с результатами эмуляции (технологией, также известной как «песочница») и сигнатурных методов обнаружения вредоносного кода антивирусное программное обеспечение принимает решение о наличии попыток заражения. Эффективность «ThreatSense» и расширенной эвристики демонстрируют отчеты о сретификации, предоставляемые независимым институтом IT-безопасности «AV-TEST»: в разделе «Защита» (именно в этом разделе указанного отчета определяется способность программного продукта защищать рабочую станцию от начальной стадии жизненного цикла вредоносного ПО) антивирус успешно определил 90% экземпляров эксплойтов, использующих «уязвимости нулевого дня». Примечателен тот факт, что антивирусное решение «Лаборатории Касперского», проходившее сертификацию «AV-TEST» в этот же временной интервал (сентябрь-октябрь 2012 года) успешно определило 98% экземпляров аналогичного набора эксплойтов.

Norton Internet Security

Компания Symantec является первопроходцем в технологии использования облачной инфраструктуры для защиты от вирусных угроз. Так называемая «защита SONAR» (Symantec Online Network for Advanced Response) предназначена для предотвращения последствий эксплуатации 0day-уязвимостей с помощью поведенческого анализа целевых приложений и рейтинговой системы оценки уровня опасности. Одним из ключевых факторов в реализации данной технологии является показатель уровня доверия сообщества (Norton Community Watch). Результаты статистических данных, получаемых от единой пользовательской базы знаний Norton Community Watch, значительным образом оказывают влияние на принятие решения антивирусным приложением о принадлежности того или иного файла к вредоносной среде.

Отчет о сертификации «AV-TEST» последней версии продукта Symantec Norton Internet Security 2013 демонстрирует эффективность защиты SONAR версии 4.0 в 96% атак, направленных на эксплуатацию уязвимостей нулевого дня, векторами которых выступали веб-приложения, содержащие вредоносный код, и электронная почта. Данные, которые содержатся в разделе «Защита» указанного отчета также позволяют сделать вывод об оперативности обновления информации о новых образцах вредоносного кода в облачной базе знаний: ни один из конкурирующих в российском сегменте продуктов не показал стопроцентной защиты от известных экземпляров вредоносных программ, обнаруженных за последние 2-3 месяца. Примечателен и тот факт, что облачная инфраструктура SONAR оказалось на втором месте по уровню продуктивность в борьбе с эксплойтами, которую организовала компания MRG Effitas, и показала второй результат в тестировании после технологии AEP от «Лаборатории Касперского».

Другие представители индустрии

Менее 13% рынка антивирусной защиты в России делят между собой такие вендоры как «Доктор Веб», Trend Micro, McAfee и другие игроки. Прямых заявлений или анонсов технологий борьбы с эксплойтамии от вышеперечисленных компаний за последний год в средствах массовой информации замечено не было, однако продукт Panda Cloud Antivirus, чей объем продаж в российском сегменте не попадает даже в долю погрешности, начиная с версии 2.1 имеет в наличии механизмы борьбы с данным типом угроз.

Облачная база знаний, где каждый пользователь может внести свой вклад, напоминает вышеописанную инфраструктуру SONAR от Symantec. Технология Panda Security, основанная на распределенной среде, в настоящее время, по данным из отчетов «AV-TEST», демонстрирует свои возможности в определении 0day-эксплойтов в среднем лишь в 80-85% атак в зависимости от версии своего продукта. Возможно, эти цифры связаны с небольшой, но стабильно пополняющейся базой пользовательских сенсоров, на которые опирается данная технология.

Две стороны одной медали

Разработчики антивирусной индустрии особенно остро осознают изощренность современных атак и вынуждены обеспечивать свои продукты средствами всесторонней защиты, в буквальном смысле превращая устаревший термин «антивирус» в «программный комплекс обеспечения информационной безопасности на стороне клиента».

Развитие так называемых «целенаправленных устойчивых угроз» (Advanced Persistent Threat, APT) теперь затрагивает и конечных пользователей. И, как показывает практика, реализация любой даже неизвестной на текущий момент техники заражения целевой информационной системы начинается с эксплуатации уязвимостей «нулевого дня». Именно на этом этапе разработчики «ЛК» предлагают рубить голову «змеям», известным как APT. Эту идею поддерживают и другие крупные игроки данного рынка, постепенно внедряя «антиэксплойт» в свои продукты. Однако если взглянуть на эту проблему под другим углом, с точки зрения стороны атакующей, то становится заметным ряд проблем, тянущихся с «панацеей от эксплойтов».

Во-первых, кто сказал, что антивирусное программное обеспечение не содержит 0day-уязвимостей? Человеческий фактор, хитро распределяющий ошибки в программном коде, имеет место в процессе разработки любого серьезного продукта, а значит угрозы, описанные в данном материале, применимы и к самим антивирусам. К тому же, история знает подобные примеры компрометации пользовательской системы через ошибки в средствах обеспечения ее защиты.

Во-вторых, идея краудсорсинга (crowdsourcing – решение сложной задачи неограниченным кругом лиц) в антивирусной индустрии ведет за собой проблемы сопутствующих технологий: передача данных в «облако» от каждого клиента, репутационная система оценки и так далее. Например, тенденция доверять данным о подозрительных файлах, которые присылают (а в некоторых продуктах и самостоятельно оценивают) пользователи, может выйти боком для разработчиков: злоумышленник, имеющий в своих ресурсах многочисленный ботнет и знающий протокол обмена данными антивирусного ПО с «облаком», может внести информационный шум в репутацию того или иного файла. Последствия таких действий очевидны.

Резюме

Встроенные средства пользовательских операционных систем семейства Windows для борьбы экслуатацией уязвимостей «нулевого дня» не справляются с текущими версиями вредоносного кода, который пишется квалифицированными злоумышленниками. Техники обхода защит DEP (предотвращение выполнения данных) и ASLR (технология рандомизации адресного пространства) с успехом применяются в новых видах эксплойтов, и становится очевидно, что с данной угрозой нужно бороться средствами антивирусной защиты. Однако тот факт, что уязвимости встречаются и в средствах, обеспечивающих защиту от них, позволяет сделать следующий вывод, что защита от эксплойтов – это, прежде всего, непрерывный процесс.

Задача обеспечения информационной безопасности пользователя от эксплуатации уязвимостей в его информационной среде решается только с помощью комплексного подхода. Антивирусная индустрия решает эту задачу, осуществляя мониторинг с помощью множества сенсоров и тем самым блокируя инициализацию векторов проникновения полезной нагрузки в целевую систему, а использование облачной инфраструктуры помогает разработчикам защиты оставаться «в тренде» уязвимостей приложений наравне с представителями рынка киберпреступности.

Список использованных источников

www.anti-malware.ru/russian_antivirus_market_2010_2012 ^[1] — Анализ рынка антивирусной защиты в России 2010-2012
www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011.pdf ^[4] — Cisco 2011 Annual Security Report
www.mrg-effitas.com/wp-content/uploads/2012/06/MRG-Effitas-Exploit-Prevention-Test1.pdf ^[2] — Comparative Assessment of Kaspersky Internet Security 2013 (MRG Effitas)
www.kaspersky.ru/downloads/pdf/technology_auto_protection_from_exploit.pdf ^[3] — «Автоматическая защита от эксплойтов»
www.av-test.org/no_cache/en/tests/test-reports/?tx_avtestreports_pi1%5Breport_no%5D=123613 ^[5] — AV-TEST Product Review and Certification Report (Kaspersky Internet Security)
www.esetnod32.ru/company/why/technology/ ^[6] — Технологии ESET
blog.eset.com/2012/12/13/advanced-heuristics ^[7] — Advanced Heuristics (ESET)
www.av-test.org/no_cache/en/tests/test-reports/?tx_avtestreports_pi1%5Breport_no%5D=123651 ^[8] — AV-TEST Product Review and Certification Report (Eset Smart Security)
www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=v26386563_N360_N360OEM_6_ru_ru&product=home&pvid=f-home&version=1&lg=en&ct=us ^[9] — Защита SONAR (Symantec Norton Internet Security)
community.norton.com/t5/Norton-Protection-Blog/What-s-New-in-Norton-Internet-Security-2012/ba-p/433160 ^[10] — Norton Protection Blog
www.av-test.org/no_cache/en/tests/test-reports/?tx_avtestreports_pi1%5Breport_no%5D=123662 ^[11] — AV-TEST Product Review and Certification Report (Symantec Norton Internet Security)
www.viruslab.ru/products/detail.881.html ^[12] — облачная технология Panda Security
www.av-test.org/en/tests/home-user/producer/panda/ ^[13] — AV-TEST Product Review and Certification Reports (Panda Cloud Antivirus Free)

Автор: Difezza

Источник ^[14]