Содержание статьи
На сегодня существует целая куча всевозможных «защитных» программ – от классических антивирусов до продуктов типа Internet и Total Security. Антивирусы класса IS и TS включают в себя комплексную защиту от всевозможных угроз: вирусов, троянов, червей, руткитов, спама, фишинга. Они имеют на борту файерволы, HIPS, sandbox, анти-баннеры, модули шифрования и бэкапа, защиту от сетевых атак, родительский контроль, менеджер паролей и т.д. Все эти компоненты призваны в конечном счете обеспечить более высокую степень защиты пользовательских данных.
Существуют и бесплатные антивирусные решения. Наиболее популярны из них Avira, AVG и AVAST. Какой из них выбрать? Уступают ли данные антивирусы своим платным собратьям по качеству защиты от вредоносных программ? Насколько надежно они защищают от угроз типа Drive-by (именно через атаку на браузер и его компоненты происходит большинство заражений домашних компьютеров)? Это мы и попытаемся сегодня выяснить :).
Drive-by загрузки
Drive-by – это способ инфицирования персонального компьютера через зараженные веб-сайты. Собственно, все, что требуется для успешной атаки – уязвимый браузер и/или его компоненты. Наиболее часто используются атаки на браузеры IE6 и IE7, продукты компании Adobe (Flash Player,PDF Reader), RealPlayer и JAVA (подробнее тут: http://www.anti-malware.ru/files/ISTR 15 Global FINAL.pdf). В большинстве своем реализуются атаки на уже закрытые уязвимости, заплатки на которые давно доступны. Но поскольку многие пользователи не ставят апдейты... их компьютеры становятся частью бот-сети, компьютером-зомби.
Опасность таких атак в том, что можно «подцепить» трояна, просто посетив свой любимый сайт, который в один прекрасный момент окажется взломанным. В таком случае обычно в исходнике сайта вначале или в конце появляется обфусцированный скрипт или iframe, ведущий на «левый» сайт, где расположен пакет эксплойтов или еще парочка iframe.
Таким образом, браузер попадает под удар одного или более наборов эксплойтов (exploits toolkit, exploits pack). Эксплойт тулкит представляет собой специализированное хакерское ПО, которое содержит набор различных эксплойтов для атаки браузеров и пользовательских приложений. Также они позволяют собирать информацию о местоположении ПК-жертвы, вести статистику по пробиву (на скольких ПК был загружен и запущен бинарник) каждым эксплойтом, определять версию операционной системы, браузера и его модулей, подбирая соответствующий эксплойт. Задача эксплойта – загрузить и запустить вредоносное ПО таким образом, чтобы юзер ничего не заметил и продолжал ощущать себя полностью защищенным :).
На рынке существует достаточно много различных наборов эксплойтов. Некоторые старые и уже не поддерживающиеся в актуальном состоянии лежат в свободном доступе на всевозможных хакерских форумах. На текущий момент наиболее распространенными и часто используемыми являются следующие наборы:
- Eleonore Exploits pack
- Phoenix exploit kit
- NeoSploit
- YES exploit kit
- Siberia Exploits kit
- Seo Sploit pack
- Crimepack Exploit System
Они несколько отличаются друг от друга набором эксплойтов, качеством шеллкода, ценой, поддержкой. Некоторые характеристики наиболее распространенных тулкитов можно увидеть на врезках.
Eleonore Exploits pack
В состав связки входят следующие эксплойты:
- MDAC
- JDT
- PDF collab.getIcon
- PDF collab.collectEmailInfo
- PDF NewPlayer
- Java GSB 1.5/1.6
Средний пробив на связке:
5-20%
Цена последней версии 1.4.1:
- Стоимость самой связки = $1500
- Чистки от AV = от $50
- ребилд на другой домен/IP = $50
Crimepack Exploit System
В состав связки входят следующие эксплойты:
- MDAC
- DSHOW
- MS09-002
- Flash10
- Adobe Acrobat Reader
- JRE
Средний пробив на связке:
5-20%
Цена последней версии 2.8.1:
- Стоимость самой связки = $400
- Чистки от AV = $80 первая чистка, последующие = $50
- ребилд на другой домен/IP = $50
Phoenix exploit pack
В состав связки входят следующие эксплоиты:
- MDAC
- MS Office Snapshot
- JRE
- Flash10
- CVE-2010-0806
- Adobe Acrobat Reader
Средний пробив на связке:
5-20%
Цена последней версии 2.0:
- Стоимость самой связки = $400
- Чистки от AV = $50
- ребилд на другой домен/IP = $50
Сам код эксплойтов, как правило, обфусцирован для затруднения его анализа и детекта антивирусами.
Стоит отметить наличие во всех связках эксплойта MDAC (MS06-014), патч для которого вышел еще в мае 2006 года. Именно этот сплоит имеет высокий пробив на IE6 и занимает высокий процент в общей статистике. Это свидетельствует о том, что многие пользователи не утруждаются поставить обновления системы, тем самым рискуя «схватить» malware.
Кроме того, за последний год изменился тренд с использования уязвимостей IE6/7 на продукцию компании Adobe – в частности Acrobat Reader, а также на продукты компании Oracle Corporation – JAVA. Использование этих экплойтов позволяет производить атаки не только на IE, но и другие браузеры.
Рассмотрим часто используемые эксплойты под Acrobat Reader:
- Adobe Collab.collectEmailInfo – CVE-2007-5659
- Adobe Util.printf – CVE-2008-2992
- Adobe GetIcon – CVE-2009-0927
- Adobe Media.newPlayer – CVE-2009-4324
- Adobe Pdf libtiff – CVE-2010-0188
Наиболее часто используемые эксплойты под JAVA:
JAVA
- Deserialize – CVE-2008-5353
- GetSoundBank – CVE-2009-3867
Тестируем!
Как же для всего этого многообразия выбрать адекватный тест? Сейчас становятся все более актуальными так называемые динамические тестирования антивирусов. То есть, не банальный скан файлов вредоносных программ (а все ли они реально «вредоносы», и не является ли часть файлов мусором? :)), а проведение теста в условиях, максимально приближенных к реальным.
Браузер на тестируемом ПК направляется на зараженный сайт, где располагается непосредственно набор эксплойтов или же скрипт (простой iframe), которые перенаправляют браузер на другой веб-сайт с эксплойтами. В ходе эксплуатации уязвимости браузера или его компонентов происходит загрузка и выполнение стороннего кода, вредоносной программы. Исходя из этого, антивирус может блокировать заражение пользовательского ПК на различных этапах:
- Детектирование вредоносного скрипта, внедренного в страницу взломанного сайта;
- Блокировка открытия хоста с набором эксплойтов по базе фишинговых сайтов и сайтов, распространяющих вредоносное ПО;
- Детектирование непосредственно кода эксплойта еще до его выполнения браузером;
- Детектирование выполнения шеллкода;
- Детектирование (как сигнатурное, так и эвристическое) и удаление загруженного бинарника – инсталлятора вредоносной программы;
- Определение вредоносности по поведению в системе и последующий карантин.
Для предотвращения заражения достаточно успешного детектирования на любом из этих этапов.
Также можно выделить защитные продукты, которые имеют при себе так называемую «песочницу», что позволяет запускать браузер в виртуальной среде как «недоверенное» приложение, что ограничивает процесс браузера в правах в системе. Любое приложение, запущенное процессом браузера также становится «недоверенным». Защитные продукты, имеющие при себе «песочницу» являются более эффективными в плане защиты от атак типа Drive-by, так как не требуют постоянного пополнения баз сигнатур, сайтов и «докручивания» эвристиков. Примерами таких защитных программ являются комбайны AVAST! Internet Security, Kaspersky Internet Security, ZoneAlarm Extreme Security, HIPS DefenseWall и др.
В большинстве тестов используются только платные антивирусные программы, и совсем не уделяется внимание free-версиям. Мы решили исправить этот недочет и протестировать бесплатные варианты наиболее распространенных у нас антивирусов: AVIRA, AVG и AVAST!. Ну, а чтобы добавить в это тестирование перцу и попробовать понять, имеет ли смысл вообще качать бесплатные антивирусы, мы добавим сюда популярный платный антивирус – Kaspersky anti-virus.
Антивирусы, которые мы будем тестировать, несколько отличаются по функционалу:
AVASt!
- Файловый монитор
- сканер on-demand
- Почтовый антивирус
- Веб-антивирус
- Модуль блокировки сайтов, распространяющих вредоносное ПО
- Модуль анализа поведения
AVG
- Файловый монитор
- сканер on-demand
- Почтовый антивирус
- Веб-антивирус
- Антифишинговый модуль
AVIRA
- Файловый монитор
- сканер on-demand
KAV
- Файловый монитор
- сканер on-demand
- Почтовый антивирус
- Веб-антивирус
- Модуль блокировки сайтов, распространяющих вредоносное ПО
- Модуль анализа поведения
- Сканер уязвимостей
- Создание диска восстановления системы
- Устранение последствий заражения
Итак, переходим непосредственно к тестированию. Тест мы будем проводить по следующей методике:
- Создаем тестовые стенды на базе Vmware Windows XP SP3 32-bit с браузером Internet Explorer 7.0.5730.13 (целенаправленно не обновляем систему, чтобы дать возможность сработать эксплойтам). Ставим «дырявые» наиболее распространенные уязвимые приложения – Adobe Reader 8.1.1 и JAVA jre 1.5.0.10. Таким образом, атака будет идти на три приложения – сам браузер, на Adobe Reader и JAVA.
- Устанавливаем на стенды антивирусный софт, настройки не меняем – оставляем все как есть. Что предложит инсталлятор, то и выполняем. Мы же законопослушные граждане :). После установки обновляемся, перезагружаемся.
- Создаем основной snapshot, где у нас будут обновленные антивирусы, готовые к тесту.
- Далее, используем сайт malwaredomainlist.com и отслеживаем поступление свежих URL, содержащих exploit pack. Будем выбирать из всех самые свежие поступления, проверять перед тестом, что payload (тот бинарный файл, который загружается и выполняется шелкодом эксплойта, вредоносная программа) не детектируется всеми, кем можно, что он рабочий и успешно отрабатывает на тестовой системе. Также будем выбирать различные exploit pack из всех распространенных и используемых на текущий момент.
- Открываем наш snapshot с установленным и обновленным антивирусом, обновляемся и открываем в браузере зараженный сайт. Наблюдаем за происходящим, отмечая возможные детекты. Если эксплойт все же запустил в системе вредоносную программу, то убеждаемся, что она установилась, прекрасно работает. Собираем созданные malware файлы-компоненты, которые не детектируются, и отправляем в вирлаб антивируса, который позволил себе такую слабость :). Как файлы будут добавлены – пытаемся обновиться и пролечить систему. Успешность/безуспешность лечения помечаем.
Результаты тестирования можно увидеть в таблицах по каждому антивирусу. Красным цветом выделены md5 бинарников (payload), который заинсталлировался в системе и антивирус не смог предотвратить заражение. Возможность обнаружения/не обнаружения активной малвары указана в таблице для общей информации.
Трактовка результатов
Как видно из результатов, антивирусы Kaspersky и AVAST! показали лучший результат по блокировке заражения методом Drive-by. Лучший, но не идеальный :). Как же так? Обновленный антивирус, оказывается, не панацея от заражения вредоносным кодом через веб? Да! Именно так. Чтобы обеспечивать себе действительно высокий уровень защиты от всевозможных malware, распространяющихся через инет, следует придерживаться следующих правил:
- Работать под ограниченной учетной записью;
- Активировать автоматическое обновление Windows или же самостоятельно отслеживать выход заплаток, загружать их и устанавливать вовремя;
- Проверять наличие обновлений и выхода новых версий всего софта, установленного на ПК. Наиболее важно это делать в отношении продукции компании Adobe (Acrobat Reader, Flash Player),программ JAVA, WinZip, Firefox, Opera, Foxit, RealPlayer;
- Желательно использование антивирусного ПО с наличием Sandbox (так называемая «песочница») и модуля проверки уязвимых приложений. Или же использовать отдельный софт, который дополнит функционал антивируса;
- Не открывать ссылки, пришедшие неизвестно от кого, и не запускать неизвестные приложения, либо известные, но загруженные с источников, в которых вы неуверенны;
- Обновлять базы сигнатур установленного антивируса.
DVD
- На диске лежат скриншоты детектирования Drive-by атак тестируемыми антивирусами.
- Также на диске ты найдешь видеоролик, демонстрирующий, как можно с помощью отладчика OllyDbg получить файл конфигурации руткита TDL3 (TDSS, TidServ, Alureon).