Wielki test ochrony przed wirusami bezplikowymi (październik 2017)

W czasach cyfryzacji niemal każdego aspektu życia publicznego i prywatnego nie brakuje pojawiających się nowych, ciekawych technik obchodzenia zabezpieczeń. Chociaż od kilku lat pierwsze skrzypce pośród złośliwego oprogramowania ciągle odgrywają szkodniki wykorzystujące kryptografię asymetryczną, to nie możemy narzekać na niedobór również i takich sposobów oszukiwania produktów ochronnych, które poziomem przygotowania i skomplikowanym cyklem eskalacji infekcji przewyższają wirusy z rodziny ransomware.   

Rozpatrywane zagrożenia w tym raporcie to tak zwane wirusy bezplikowe (ang. malware fileless). Chociaż wektor infekcji najczęściej rozpoczyna się tradycyjnie, czyli od dostarczenia złośliwego pliku na komputer ofiary — poprzez scam lub atak drive-by download w wyniku wykorzystania exploita — to podobieństwa do powszechnych ataków z plikami wykonywalnymi na tym się kończą. Złośliwe oprogramowanie typu „fileless” działa bezpośrednio w pamięci operacyjnej komputera. W takim scenariuszu uruchomiony wirus nie zostanie przeniesiony do kwarantanny przez oprogramowanie zabezpieczające, ponieważ nie jest plikiem, lecz zestawem instrukcji do wykonania, operującym na systemowych procesach.

Autorzy złośliwego kodu, którzy często są ekspertami w swojej dziedzinie, mogą wykorzystywać tę zależność, by nie pozostawiać żadnych śladów na dysku twardym i utrudnić wykrycie szkodnika przez program antywirusowy. Zagrożenia „fileless” mają kilka cech wspólnych z rootkitami: potrafią przechowywać dane w rejestrze, który jest bazą dla ustawień systemu operacyjnego i niektórych aplikacji, a nawet przechwytywać i modyfikować funkcje API niskiego poziomu. Ponadto tak jak rootkity mogą ukrywać obecność poszczególnych procesów, folderów, plików i kluczy rejestru, w tym instalować własne sterowniki i usługi w systemie. Bezplikowe złośliwe oprogramowanie może uzyskać dostęp do uprawnień „ring-0”. Proces uruchomiony na tym poziomie wykonuje kod z uprawnieniami jądra systemu, w efekcie może uzyskać nieograniczony dostęp do wszystkich procesów, sterowników i usług.

Z pośród przedstawionych w tym raporcie programów zabezpieczających są niestety takie, które mają problemy z wykrywaniem malware fileless. Wirusy bezplikowe niczym rootkity posiadają zdolność do unikania detekcji: by dawać atakującemu zdalny dostęp do zainfekowanej maszyny mogą powodować eskalację uprawnień i wykorzystywać luki w zabezpieczeniach. Tę rodzinę szkodliwego oprogramowania często używa się w atakach APT (ang. Advanced Persident Threat) przeprowadzanych na szeroką skalę lub w atakach na pracowników wysokiego szczebla. Według raportu „Fileless attacks against enterprise networks” opublikowanego przez Kasperky Lab, cyberprzestępcy wykorzystywali bezplikowe złośliwe oprogramowanie do zaatakowania blisko 140 przedsiębiorstw na całym świecie, głównie w Stanach Zjednoczonych, Wielkiej Brytanii, Rosji, Francji, Ekwadorze, Brazylii, Tunezji, Turcji, Izraelu i Hiszpanii. Wśród wziętych na cel podmiotów i instytucji znalazły się banki, firmy telekomunikacyjne i organizacje rządowe.

W teście przeprowadzonym w październiku 2017 roku eksperci z AVLab wykorzystali techniki oraz narzędzia stosowane przez cyberprzestępców do przełamywania zabezpieczeń i uzyskiwania zdalnego dostępu do zainfekowanej maszyny bez zapisywania jakichkolwiek danych na dysku twardym. Opisywane bezplikowe szkodliwe oprogramowanie jest bardzo trudne do wykrycia, jeżeli produkty zabezpieczające nie dysponują mechanizmami, które kontrolują uruchamiane złośliwe skrypty. Wykrycie tych skryptów jest tym bardziej problematyczne, jeżeli złośliwy kod jest wykonywany przez systemowy interpreter PowerShell. Dzięki tej metodzie możliwe staje się zainfekowanie komputera bez podniesienia alarmu przez program zabezpieczający.

Podstawy techniczne

Test przeprowadzono w kontrolowanym środowisku, niezagrażającym bezpieczeństwu danych ani systemom komputerowym.

Do sprawdzenia efektywności ochrony różnych modułów zabezpieczających każdego testowanego programu, wykorzystano cztery rodzaje plików szkodliwego oprogramowania, które zawierały podobne instrukcje.

  • Plik M1.bat zawierał instrukcję pobierania wirusa przez PowerShell z odpowiednimi parametrami.
  • Skompilowany plik M2.exe zawierał podobne instrukcje.
  • Plik M3.exe poddano technice zaciemniania kodu (obfuskacji).
  • Plik M4.docm zawierał złośliwe instrukcje makro uruchamiające PowerShell z odpowiednimi parametrami.

Używając oprogramowania WireShark do przechwytywania pakietów, możemy zaobserwować dokładny sposób dostarczenia malware z testowego serwera zawierającego web-aplikację (która służy do atakowania komputerów) do systemu operacyjnego z zainstalowanym oprogramowaniem zabezpieczającym.


Dostarczenie malware z testowego serwera do systemu operacyjnego.

Więcej szczegółów technicznych, metodologia, wyniki ochrony oraz przyznane nagrody, znajdują się w raporcie przygotowanym w języku polskim i angielskim.




Komentarze

Obrazek użytkownika Vegas

Czemu w teście nie ma Emsisoft Anti-Malware?

Obrazek użytkownika Adrian Ścibor

#1 Producent nie wyraził zgody na testy.

Obrazek użytkownika Zyga

Dlaczego Fsecure w teście ma wszystkie wyniki - a w ocenie końcowej jego brak? Widzę, że Bitek był dobrym rozwiązaniem i nie mam co narzekać, poza tym, że nie każdemu mogę go polecić (ma swoje wymagania jeśli chodzi o zasoby sprzętowe)

Obrazek użytkownika Adrian Ścibor

#3 jest napisane jak byk, że Fsecure został wykluczony z testów.

Obrazek użytkownika Joki2

Windows Defender pod Windows 10 ma bardzo dobry wynik. A jaki wynik może mieć jego bliźniak Microsoft Security Essentials? Chodzi mi o to że mam jeszcze system Win7 i zainstalowany MSE i chcę wiedzieć czy warto go stosować jako podstawowy AV?

Obrazek użytkownika Adrian Ścibor

#5 Fakt, że WD zdobył b. dobry wynik nie świadczy jeszcze o tym, że warto go polecać w kontekście zabezpieczenia całego obszaru środowiska roboczego. W poprzednich testach było wręcz odwrotnie. Użytkownik jest narażony na różnego rodzaju ataki, nie tylko te opisywane w teście. Polecam poprzednie testy:

Test skanerów na żądanie:https://avlab.pl/test-bezplatnych-skanerow-antywirusowych-wrzesien-2017
Test przed atakami drive-by download: https://avlab.pl/test-antywirusowej-ochrony-przed-atakami-drive-download
Test ochrony przed ransomware: https://avlab.pl/wielki-test-oprogramowania-dla-domu-i-dla-firm-do-ochro...
Innego typu, ale test bezpieczeństwa "bezpiecznych przeglądarek" do bankowości internetowej: https://avlab.pl/test-antywirusowych-modulow-do-ochrony-bankowosci-inter...

Obrazek użytkownika Joki2

#6 To co być polecił z darmowych AV, a co z bezpłatnych? Mnie się wydaje, że płatne chronią lepiej, tyle, że nie każdy chce wydawać kasę na płatne.

Obrazek użytkownika czesio1234

Jaki darmowy antywirus polecacie myślałem nad:
Avast Free Antivirus
AVG AntiVirus Free
Avira Free Antivirus
Bitdefender Antivirus Free Edition
Kaspersky Free
Panda Protection
360 Total Security
Comodo Internet Security Premium
Fajnie jak by zrobiliście test dla darmowych antywirusów

Obrazek użytkownika Adrian Ścibor

#8 Z darmowych (kolejność przypadkowa): Kaspersky, Comodo IS, Comodo CAV, SecureAPlus.
Coś do poczytania:
https://avlab.pl/konfrontacja-comodo-internet-security-premium-10-z-como...
https://avlab.pl/zamien-swojego-antywirusa-na-secureaplus

Obrazek użytkownika czesio

#9 dziękuję za odpowiedz a który jest najlepszy z listy podanej :)

Obrazek użytkownika Adrian Ścibor

#10 Jestem jakimś guru lub wyrocznią i to co powiem jest jedynie słuszne i prawdą objawioną? :-)

1. CIS - jest to bardzo dobry soft, ale na ustawieniach domyślnych trzeba go troszeczkę podrasować. Największa zaleta to oczywiście automatyczna piaskownica.
2. Comodo Cloud Antivirus ma swoje wady i zalety. Dobra ochrona domyślnie, ale nie jest aż tak zaawansowany jak Comodo Internet Security.
3. Kaspersky Free - dobry soft, ale do płatnego mu ciut brakuje.
4. SecureAPlus - odmienny od pozostałych, bo bazuje na white-listingu i silnikach w chmurze. Świetny. ]

Spróbuj wszystkiego na maszynach wirtualnych i zdecyduj.

Obrazek użytkownika czesio

#11 hehe ok na próbę wgrałem Kaspersky Free mam jeszcze pytanie co byś polecił na android darmowego myślałem nad:
- Kaspersky Internet Security for Android (wersja bezpłatna)
-ESET Mobile Security for Android
-Avast Mobile Security
-AVG AntiVirus dla systemu Android

Obrazek użytkownika Adrian Ścibor

#12 Poczytaj wstęp, jak to jest naprawdę z tymi AV na Androida: https://avlab.pl/quick-heal-seqrite-praktyczne-zastosowanie-mdm-dla-peln...

Jeżeli miałbym płacić za AV na Androida, to kupiłbym opcję Windows+Android tego samego producenta, aby mieć konsolę do zarządzania dwoma lub więcej urządzeniami. Zainteresuj się jeszcze ZoneAlarm Mobile Security od firmy Check Point: https://avlab.pl/producent/check-point mają duże doświadczenie i rozwiązania w portfolio na mobilne systemy, aczkolwiek głównie dla firm. ZoneAlarm jest dla home user.

Na dniach będzie też recenzja ESET-a Internet Security dla Windows oraz dla Androida, więc będziesz miał co czytać i testować.

Obrazek użytkownika Zyga

Z darmowych polecam Pandę oraz Bitdenfender. Sprawdzone osobiście. Nie polecam Avasta

Obrazek użytkownika Zyga

#4 W którym to miejscu jest napisane?

Obrazek użytkownika Adrian Ścibor

#15 W legendzie pod tabelami z wynikami.

Dodaj komentarz