Test antywirusowej ochrony przed atakami drive-by download

Ataki, w których wykorzystuje się luki w oprogramowaniu, są trudne do wykrycia. Jest to proces tym bardziej skomplikowany, jeśli hakerzy mają na celu przejęcie kontroli nad komputerem poprzez całkowicie niewykrywalne podatności, znane jako FUD (Fully Undetectable) lub podatności 0-day, które są rozpowszechnione wśród nielicznego grona osób, głównie w otoczeniu cyberprzestępców, ale również pośród producentów sprzętu i oprogramowania antywirusowego. Zdarzenia tego typu są szczególnie niebezpieczne, zwłaszcza wtedy, kiedy ofiara będzie mieć do czynienia z zagrożeniem ATP (Advanced Persistent Threat), czyli zaawansowanym, długotrwałym atakiem. Niemal zawsze wykorzystywane elementy inżynierii socjotechnicznej w powiązaniu z efektywną taktyką wodopoju („watering hole”) stawia użytkowników na przegranej pozycji.

Jednym ze sposobów wykonania złośliwego kodu na urządzeniu ofiary jest dostarczenie złośliwego oprogramowania np. poprzez wiadomość e-mail. Nie jest to metoda finezyjna, jednak prędzej czy później dobrze przygotowany socjotechniczny atak przekona użytkownika do otworzenia załącznika. Operacja ta musi być jednak poprzedzona rozpoznaniem oprogramowania, którym posługuje się ofiara albo zastosowaniem podatności na taką aplikację, z której korzysta wielu konsumentów w atakowanym regionie geograficznym.

Eksperci z AVLab skupili się na innym scenariuszu, który jest trudniejszy do zrealizowania, ale jednocześnie bardzo skuteczny. Sprawdzili, czy w wyniku wykorzystania luki w przeglądarce Firefox haker jest w stanie uzyskać zdalny dostęp do zainfekowanego komputera i przeglądać zawartość dysków oraz folderów, kraść pliki, robić zrzuty ekranu, pobierać za pomocą interpretera PowerShell dodatkowe szkodliwe pliki oraz zmieniać ustawienia zabezpieczeń np. pakietu Microsoft Office manipulując wartościami kluczy rejestru systemowego.

Programy zabezpieczające, które posiadają moduł firewall i moduł IPS (Intrusive Prevention System) mogą skanować ruch wychodzący oraz przychodzący i tym samym znaleźć się w uprzywilejowanej pozycji w stosunku do produktów, które zapewniają tylko podstawową ochronę antywirusową. Z tego powodu przydzielono osobne rekomendacje dla rozwiązań, które posiadają firewall i osobne dla produktów, które takiego mechanizmu nie posiadają.

Zachęcamy czytelników do przeczytania całego raportu, który we wstępie charakteryzuje problematykę ataków drive-by download oraz wyjaśnia, w jaki sposób są one przeprowadzane. W dalszej części opisywana jest szczegółowa metodologia oraz główne założenia badania. Na końcu znajduje się interpretacja wyników, informacje z procesu testowania (m.in. o współpracy AVLab z producentami w celu poprawy bezpieczeństwa) oraz niezbędne wskazówki, których należy przestrzegać.

Test ukazuje jeszcze jeden związek, mianowicie skuteczności ochrony antywirusów dysponujących podstawową ochroną oraz programów ochronnych, które często są płatne i charakteryzują się tak zwaną kompleksową ochroną. W obu przypadkach okazuje się, że większość oprogramowania antywirusowego zupełnie nie nadaje się do zabezpieczenia komputerów przed zaprezentowanymi w teście atakami drive-by download. Na szczęście od tej reguły są wyjątki — antywirusy, które uzyskały certyfikat "BEST+++".


Test był bardzo trudny dla wszystkich producentów. Na komputery chronione oprogramowaniem antywirusowym przeprowadzono rzeczywiste ataki z użyciem technik, którymi na co dzień posługują się cyberprzestępcy. Tylko sześciu dostawców aplikacji ochronnych zdołało zatrzymać wszystkie próby ominięcia zabezpieczeń.

Arcabit (Polska): Arcabit Internet Security, ArcabitEndpoint Security

Bitdefender (Rumunia): Bitdefender Total Security Multi-Device 2017, Bitdefender GravityZone

Eset (Słowacja): Eset Smart Security 10, ESET Endpoint Security

Kaspersky Lab (Rosja): Kaspersky Total Security 2017, Kaspersky Endpoint for Windows 10, Kaspersky Small Office Security

Quick Heal (Indie): Quick Heal Total Security 17.00, Seqrite Endpoint Security 7.2

SecureAge Technology (Singapur): SecureAPlus

Symantec (USA): Norton Security 2017




Komentarze

Obrazek użytkownika qaxl

Test super. Jakiż inny niż te spotykane w internecie. Sprawdziliscie ochronę pod takim kątem pod jakim nikt nie testuje. Czy to naprawdę pokazuje skuteczność antywirusów? Patrząc na rekomendacje to większość można wyrzucić na śmietnik. Smutne ale prawdopodobnie prawdziwe. Jeśli wyniki są chociaż w 70% zbliżone do realiów to w jaki sposób mogą chronić się firmy przed takimi atakami lub podobnymi?

Obrazek użytkownika Damian

Panowie, a gdzie jest Emsisoft?

Obrazek użytkownika Adrian Ścibor

#2 Emsisoft nie wyraził zgody na testy, dlatego nie jest uwzględniony w wynikach. Uprzedzając pytanie - dlaczego nie wyraził zgody? Tłumaczenia niektórych producentów na różne tematy są czasami naprawdę dziwne i nie mają logicznych podstaw. Nie chcę ujawniać treści prywatnych korespondencji, dlatego po odpowiedź odsyłam do producenta.

Obrazek użytkownika Mateusz

#2 Producenci nie wyrażają zgody na testy, ponieważ boją się rezultatów. Każdy z nich ma pewną świadomość możliwości swojego produktu, a testy są swego rodzaju potwierdzeniem informacji przekazywanych w materiałach promocyjnych.

Obrazek użytkownika Adrian Ścibor

#4 Na pewno masz rację, ale niektóre tłumaczenia są tak absurdalne, że to się nie mieści w głowie.

Obrazek użytkownika ichito

@QAXL
To prawda, test bada mało badany wycinek ochrony i to na plus dla AVL, ale nie osądzałbym na jego podstawie przydatności jako takiej testowanych aplikacji do zabezpieczeń.

Obrazek użytkownika Konrad2

Nie watpilem nigdy w SecureAPlus. Producenci z Azji w czołówce a europejskie firmy w ogonie. Chyba niektórzy już się poddali i nic nowego nie mają do zaproponowania użytkownikom.

Obrazek użytkownika Zyga

Mam ciągle Bitdefendera Internet Security i cieszy mnie wynik w teście.
To jest jedyny antywirus, który nie wpuszcza mi na kompa nic. Miałem wiele lat Eseta, później przez pół roku Fsecure. Co jakiś czas robię sobie scany online Esetem, Emsisoftem EK darmowym, Zemaną czy też Hitmanem. Jak mając Eseta czy Fsecure zawsze się coś znalazło to na Bitku - Totalne zero. Zawsze wynik zero!!!
Nawet darmowy daje radę - zainstalowany u rodziców. Wczoraj pierwszy scan po pól roku - totalne zero.
Adrian zna moje wpisy w sumie :) Nie raz tutaj się wymienialiśmy poglądami.
W każdym razie poza dwiema wadami (cały czas konsola z Windows 10 nie startuje od razu oraz podczas robienie zakupów w internecie na przeglądarce i przekierowanie płatność do SafePay nie ładuje danych podczas logowanie do banku - więc albo muszę się logować na przeglądarce do banku lub wszystko od początku robić na SafePay) bardzo a to bardzzo Bitka polecam.

Obrazek użytkownika Morphiusz

Super test! Można rozumieć, że zielona kropka była przyznawana tylko w momencie zablokowania zdalnego połączenia? Czy można poznać szczegóły czerwonej kropki w jednym teście CCAV?

Obrazek użytkownika Adrian Ścibor

#9 Zielona kropka była przyznawana, jeśli:

1. Adres strony WWW został zablokowany poprzez aktywne skanowanie WWW. W niektórych programach składnik skanowania WWW został aktywowany, jeśli domyślnie był wyłączony - aby zachować zasadę równości. W każdym razie haker nie ma już możliwości kontynuowania ataku, chyba że z innego serwera.
2. Dzięki exploitowi payload przedostał się do systemu, gdzie został uruchomiony, ale został zatrzymany przez skanowanie antywirusowe lub przez dedykowany moduł do ochrony przed exploitami (i faktycznie to działało w programach, które uzyskały BEST+++). W tym przypadku atak również nie mógł być kontynuowany ze względu na brak komunikacji sieciowej: atakowany komputer <-> serwer hakera.

Jeśli dane rozwiązanie bezpieczeństwa miało zieloną kropkę, przyznawano wynik "1/-/-/-", ponieważ atak został zatrzymany na "pierwszej linii frontu".

Kropki żółte oznaczają, że wtargnięcie do systemu poprzez lukę w FF zakończyło się sukcesem dla hakera. W takim wypadku, testowany program nie mógł już zdobyć "kropki zielonej", ponieważ ustanowiono połączenie (rev_TCP )pomiędzy hakerem a zainfekowanym komputerem. Połączenie to nie było wykrywane, więc rozpoczynano procedurę testów [F] od słowa "first" i testów [S] od słowa "second".

W testach [F], mając połączenie zdalne z zainfekowaną maszyną, uruchamiano proces svchost.exe w ramach systemowego notatnika.exe w tle, na wszelki wypadek, jeśli użytkownik zamknąłby przeglądarkę. Dzięki temu połączenie nie mogło zostać przerwane, a notatnik działał w tle z parametrem ukrytego okna przed użytkownikiem (można to było zobaczyć jedynie na liście działających procesów, GUI nie było aktywne). Teraz, mając już zdalny dostęp do maszyny, uruchamiano powershell ze skryptami, które pobierały malware zapisując je na pulpicie. Następnie w powershellu przechodząc do lokalizacji /Pulpit uruchamiano każdy plik ./malware_1.exe, które - na potrzeby testów nie wyrządzały żadnej szkody w systemie - sprawdzały wszystkie składniki ochrony:

1. Jeśli mamy wynik "0/1/-/-" to wiemy, że była to ochrona sygnaturowa. Jeśli malware nie było wykryte automatycznie, to pkt2.
2. Jeśli "0/0/1/-" to wiemy, że uruchamiano zdalnie malware i sprawdzano ochronę proaktywną / behawioralną. W przypadku Comodo, które charakteryzuje się auto-sandbox'em, występowała anomalia w postaci takiej, że plik uruchomiony w sandboxie miał dostęp do internetu! (w przypadku Comodo Cloud Antivirus jest jeszcze jedna anomalia, czytaj poniżej). Producent wydał już aktualizację. Jeśli chodzi o SecureAPlus, to bardzo trudno było obejść ochronę tego antywirusa bazującego na białych listach aplikacji - zawsze użytkownik był alarmowany komunikatem. Producent Arcabit również udostępnił taką aktualizację. Ochrona anty-exploitowa sprawdzała się również bardzo dobrze w oprogramowaniu indyjskiej firmy Quick Heal.
3. Jeśli mamy wynik "0/0/0/1" wiemy, że rozwiązanie bezpieczeństwa nie zablokowało zagrożenia tj. nie zostało wykryte i usunięte, ale użytkownik został zaalarmowany (lub widział to w raportach) modułem firewall lub modułem IPS/IDS. W takim przypadku, połączenie z serwerem hakera było blokowane i atak nie mógł być kontynuowany.

W każdym razie, jeśli wynik w tabelce jest oznaczony żółtą kropką, to Czytelnik musi wiedzieć, że wszystkie testowane malware zostały zatrzymane, ale haker w dalszym ciągu miał zdalne połączenie z zainfekowanym urządzeniem i mógł próbować innych metod obejścia ochrony. Co więcej, żółta kropka oznacza również, że możliwe było wykradanie plików zdalnie, ale nie we wszystkich przypadkach. Nie umożliwił tego np. SecureAPlus, który posiada porządnie opracowane reguły przed malware skryptowymi / fileless.

Jakieś dodatkowe pytania? :)

Natomiast co do czerwonej kropki Comodo Cloud Antivirus, to plik .BAT (malware nr 2) w ataku "F", czyli uruchamiany poprzez powershell, nie był uruchamiany w sandbox'ie! Mogę przedstawić dowód koncepcji wideo. Pisz na @. Co ciekawe, ten sam malware .BAT pobrany z przeglądarki i uruchomiony ręcznie, już był uruchamiany w piaskownicy.

Owa zależność dotycząca CCAV, czyli malware uruchamianego przez powershell i uruchamianego w wyniku pobrania przez HTTP, dała inne wyniki i występuje w bardzo wielu antywirusach. Producenci nie zadbali o odpowiednie reguły, wobec czego stosując taki atak, w dalszym ciągu większość antywirusów nie jest w stanie ochronić użytkownika, pomimo zgłoszenia sposobu obejścia ochrony.

Daliśmy wszystkim producentom ponad miesiąc na wdrożenie poprawek (publikacja testu była niedawno, a test został ukończony przed końcem kwietnia), ale niewielu zastosowało się do naszych rekomendacji. Z jednej strony bardzo nas to cieszy, bo pomogliśmy w poprawie bezpieczeństwa, ale z drugiej strony to pokazuje, że niektórzy dostawcy rozwiązań mają to w ...

Obrazek użytkownika Szalony Tadeusz

#8
Od niecałych dwóch lat korzystam z AVG Internet Security (głównie dlatego, że po prostu był tańszy od Bitdefendera), ale ze względu na pewne problemy z aktualizacją do nowszej wersji i ogólnie nie najlepszą ochroną przed zagrożeniami (sugeruję się tutaj kilkoma wynikami testów AV), zdecydowałem, że nareszcie przesiądę się na Bitdefender IS. Co prawda na razie nie mam Windowsa 10, ale możesz mi wytłumaczyć o co chodzi z tą "kontrolą Windows 10, która nie startuje od razu" ?, czy to ma jakiś negatywny wpływ na ogólne bezpieczeństwo systemu, czy trzeba coś samemu za każdym razem włączać w antywirusie ?.
Pozdrawiam :)

Obrazek użytkownika Zyga

#11
Procesy Bitdefendera startują z systemem. Nie startuje tylko konsola Bitdefendera czyli zaraz po włączeniu systemu Windows 10 nie możesz wejść w Bitdefendera i w jego ustawienia . Nie wiem jaki czas będzie u Ciebie zwłoki ale u mnie na kompie czekam ok 40sekund.

Obrazek użytkownika Adrian Ścibor

#12 Z kolei w wersji 2016 za każdym razem, kiedy instalowałem Bitdefendera, GUI nie chciało się zamknąć w tradycyjny sposób. Trzeba było ubijać proces :) W wersji 2017 niczego takiego już nie zauważyłem.

Obrazek użytkownika Krzysiu Myga

Gratuluję merytorycznego przygotowania!

Dodaj komentarz