Тест HIPS на запобігання проникнення в ядро Microsoft Windows

Якщо шкідливу програму вдалося проникнути на рівень ядра, то це дозволить їй отримати повний і, по суті, необмежений контроль над комп'ютером жертви, включаючи можливості відключення захисту, приховування своєї присутності в системі. Шкідлива програма може перехоплювати вводиться користувачем інформацію, розсилати спам, проводити DDoS-атаки, підміняти вміст пошукових запитів, робити все-то завгодно, незважаючи на формально працює антивірусний захист. Тому для сучасних засобів захисту стає особливо важливо не допустити проникнення шкідливої програми в Ring 0.


У даному тестуванні ми проводили порівняння популярних антивірусів і мережевих екранів, що мають у своєму складі компоненти HIPS, на можливості запобігання проникнення шкідливих програм на рівень ядра (далі Ring 0) операційної системи Microsoft Windows XP SP3.

Відбір шкідливих програм для тестування


Ми вирішили не моделювати проникнення в Ring 0 будь-якими штучними засобами, а провести тест на реальних шкідливих програмах. При цьому останні відбиралися таким чином, щоб охопити всі використовувані способи запису в Ring 0, які реально застосовуються в "дикої природи" (In The Wild):



  1. StartServiceA – Завантаження шкідливого драйвера проводиться шляхом підміни файлу системного драйвера в каталозі% SystemRoot% System32Drivers з наступним завантаженням. Дозволяє завантажити драйвер без модифікації реєстру.
    Зустрічальність ITW: висока

  2. SCM – Використання для реєстрації та завантаження драйвера менеджера управління сервісами. Цей метод використовується як легітимними додатками, так і шкідливими програмами.
    Зустрічальність ITW: висока

  3. KnownDlls – Модифікація секції KnownDlls і копії однієї із системних бібліотек з метою завантаження шкідливого коду системним процесом.
    Зустрічальність ITW: середня

  4. RPC – Створення драйвера та завантаження за допомогою RPC. Приклад використання: завантажувач знаменитого Rustock.C
    Зустрічальність ITW: рідкісна

  5. ZwLoadDriver – Підміна системного драйвера шкідливим, шляхом переміщення і подальша прямого завантаження.
    Зустрічальність ITW: висока

  6. ZwSystemDebugControl – Зняття перехоплень, встановлених HIPS для контролю системних подій, в SDT, використовуючи debug-привілеї.
    Зустрічальність ITW: висока

  7. DevicePhysicalMemory – Зняття перехоплень, встановлених HIPS для контролю системних подій, в SDT, використовуючи запис у секцію фізичної пам'яті.
    Зустрічальність ITW: середня

  8. ZwSetSystemInformation – Завантаження драйвера без створення ключів в реєстрі викликом ZwSetSystemInformation з параметром SystemLoadAndCallImage.
    Зустрічальність ITW: середня

  9. CreateFileA .PhysicalDriveX – Посекторного читання / запис диска (модифікація файлів або головному завантажувальному запису диска).
    Зустрічальність ITW: середня

Таким чином, було відібрано дев'ять різних шкідливих програм, що використовують наведені вище способи проникнення в Ring 0, які потім використовувалися в тестуванні.

Методологія порівняльного тестування

Тестування проводилося під управлінням VMware Workstation 6.0. Для тесту були відібрані такі персональні засоби антивірусного захисту і мережеві екрани:

  1. PC Tools Firewall Plus 5.0.0.38

  2. Jetico Personal Firewall 2.0.2.8.2327

  3. Online Armor Personal Firewall Premium 3.0.0.190

  4. Kaspersky Internet Security 8.0.0.506

  5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)

  6. Comodo Internet Security 3.8.65951.477

На жаль, з технічних причин з тіста були виключені антивіруси F-Secure і Norton. Вбудований в них HIPS не працює окремо від включеного антивірусного монітора. А оскільки відібрані зразки шкідливих програм могли детектуватиметься сигнатурному, то ними можна було скористатися. Використовувати ці антивіруси зі старими антивірусними базами (щоб уникнути сигнатурного детектив) не підходило, тому що процес оновлення в цих продуктах може торкатися і лише антивірусні бази, але і виконувані модулі (компоненти захисту).


Чому ми взяли в тест інші популярні антивірусні продукти і мережеві екрани, яких знайдеться безліч? Та тому, що вони не мають у своєму складі модуля HIPS. Без цього запобігти проникнення в ядро ОС у них об'єктивно немає шансів.


Всі продукти встановлювалися з максимальними налаштуваннями, якщо їх можна було задати без тонкого ручного зміни налаштувань HIPS. Якщо при інсталяції пропонувався до використання режим автонавчання – то він і використовувався до моменту запуску шкідливих програм.


Перед проведенням тестування запускалася легітимна утиліта cpu-z (невелика програма, яка подає відомості про встановлений в комп'ютері процесорі) і створювалося правило, яке пропонував тестований продукт (його HIPS-компонент). Після створення правила на дану утиліту, режим автонавчання відключався і створювався знімок стан системи.


Потім по черзі запускалися спеціально відібрані для тіста шкідливі програми, фіксувалася реакція HIPS на події, пов'язані безпосередньо з установкою, реєстрацією, завантаженням драйвера і інші спроби запису в Ring 0. Як і в інших тестах, перед перевіркою наступного шкідливої програми проводився повернення системи до збереженого на початку знімка.


У беруть участь у тесті антивірусах файловий монітор відключався, а в Kaspersky Internet Security 2009 шкідливий додаток вручну поміщалося в слабкі обмеження з недоверенной зони.


Кроки проведення тестування:



  1. Створення знімка чистої віртуальної машини (головний).

  2. Установка тестованого продукту з максимальними настройками.

  3. Робота в системі (інсталяція та запуск додатків Microsoft Office, Adobe Reader, Internet Explorer), включення режиму навчання (якщо такий є).

  4. Відмітка кількості повідомлень з боку тестованого продукту, запуск легітимною утиліти cpu-z і створення для неї правил.

  5. Відключення режиму автонавчання (якщо такий є).

  6. Переклад тестованого продукту в інтерактивний режим роботи і створення чергового знімка віртуальної машини з встановленим продуктом (допоміжний).

  7. Створення знімків для всіх тестованих продуктів, виконуючи відкат до основного знімку і заново проводячи пункти 2-4.

  8. Вибір знімка з тестованим продуктом, завантаження ОС і почерговий запуск шкідливих програм щоразу з відкотом у первісний стан, спостереження за реакцією HIPS.

Результати порівняльного тестування


Плюс у таблиці означає, що була реакція HIPS на якесь подію з боку шкідливої програми на проникнення в Ring 0 і була можливість припинити цю дію.


Мінус – Якщо шкідливий код зумів потрапити в Ring 0, або зумів відкритий диск на посекторного читання і зробити запис.

Таблиця 1: Результати порівняльного тестування HIPS-компонент


































































































Метод проникнення в Ring 0  PC Tools  Jetico  Online Armor   Kaspersky   Agnitum   Comodo 
StartServiceA
 

 
+ + +
 
+
SCM
 

 
+ + +
 
+
KnownDlls
 

 
+ +
 
+ +
RPC
 

 
+ + +
 
+
ZwLoadDriver
 
+
 

 
+ +
 
+
ZwSystemDebugControl
 

 
+ + + + +
DevicePhysicalMemory
 
+ + + + + +
ZwSetSystemInformation
 

 
+ + + + +
CreateFileA .PhysicalDriveX
 

 

 
+
 
+ + +
Разом припинено:
 
2
 
7
 
9
 
8
 
5
 
9
 
Кількість повідомлень і запитів дій користувача
 
Мало
 
Дуже багато Багато Мало Може бути
 
Багато

Варто відзначити, що при повному відключенні режиму навчання деякі з тестованих продуктів (наприклад, Agnitum Outpost Security Suite 6.5) можуть показати кращий результат, але в цьому випадку користувач гарантовано зіткнеться в великою кількістю всіляких алертів і фактичними утрудненнями роботи в системі, що було відбито при підготовці методології даного тесту.

Як показують результати, кращі продуктами по запобіганню проникнення шкідливих програм на рівень ядра ОС є Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.


Необхідно відзначити, що Online Armor Personal Firewall Premium – це просунутий фаеровол і не містить в собі класичних антивірусних компонент, у той час як два інших переможця – це комплексні рішення класу Internet Security.


Зворотною і негативною стороною роботи всіх HIPS-компонент є кількість всіляких виведених ними повідомлень і запитів дій користувачів. Навіть самий терплячий з них відмовиться від надійного HIPS, якщо той буде надто часто надокучати йому повідомленнями про виявлення підозрілих дій і вимогами негайної реакції.


Мінімальна кількість запитів дій користувача спостерігалося у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 і Agnitum Outpost Security Suite 6.5. Решту продуктів найчастіше набридали Алерта.


"Поведінковий аналіз є більш ефективним способом попередження зараження невідомою шкідливою програмою, ніж евристичні методи, засновані на аналізі коду виконуваних файлів. Але в свою чергу вони вимагають певних знань з боку користувача та його реакції на ті чи інші події в системі (створення файлів у системному каталозі, створення ключа автозавантаження невідомим додатком, модифікація пам'яті системного процесу тощо) ", – коментує Василь Бердников, експерт Anti-Malware.ru.


"У даному порівнянні були відібрані найвідоміші продукти, що мають на борту HIPS. Як видно, тільки три продукти змогли гідно перешкоджати проникненню в нульове кільце. Так само дуже важливий параметр – Кількість повідомлень (алертів) виникають при повсякденній роботі за ПК і потребують вирішення користувача. Саме тут і визначається технологічну перевагу продуктів – максимально контролювати систему і при цьому використовувати всілякі технології, для зниження запланованого питань, що задаються HIPS при запуску, інсталяції програм ", – відзначає експерт.

Коментарі партнерів


Ілля Рабинович, генеральний директор і експерт SoftSphere Technologies:


"Поведінкові технології захисту вже давно стали першим ешелоном захисту користувачів, щоб не говорили вендори засобів безпеки. Дуже важливо, щоб вони були максимально комфортними для щоденної роботи, без надокучливих питань до користувача і, одночасно, надійними в захисті. На жаль, всі тестовані кошти, так чи інакше, провалили цей тест. Хтось не в змозі впоратися з усім спектром загроз безпеки, хтось закидає бідного користувача градом питанням, на які він не здатний відповісти. Наприклад, наш DefenseWall взагалі тихо заблокував би небезпечні виклики без тривалого опитування користувача з приводу його знання тонкощів механізмів роботи операційної системи ".

Олег Зайцев, провідний технологічний експерт "Лабораторії Касперського":


"Пріоритетним завданням при проектуванні HIPS в антивірусних продуктах" Лабораторії Касперського "є забезпечення максимально високого рівня захисту комп'ютера за мінімальної участі самого користувача. Зокрема, в Kaspersky Internet Security 2009 це досягається шляхом евристичного аналізу і визначення рівня потенційної небезпеки програми перед його першим запуском, з подальшим автоматичним застосуванням більш суворих обмежень у HIPS – у разі необхідності аж до повного блокування запуску небезпечної програми. У новому тесті Anti-Malware.ru штучно відтворювалася найбільш складна для автоматичного аналізу ситуація – запуск шкідливої програми з групи "слабкі обмеження", і ми раді, що продукт з нею чудово впорався – практично всі спроби проникнення в ядро були успішно припинені ".

Інші коментарі


Максим Коробцов, технічний директор Agnitum:


"Відповідно до методології тестування модуля HIPS в продукті Outpost Security Suite Pro 2009 тестувався в умовах заздалегідь активованого режиму автонавчання, при якому автоматично створюються дозволяють правила для додатків. Даний режим покликаний захистити користувача від зайвих "питань" і помилкових спрацьовувань брандмауера і системи проактивного захисту надалі, тому що в процесі навчання виявляється щоденна легітимна активність додатків на користувальницькому ПК. В умовах уточненої методології (з відключеним автонавчання) результати тестування модуля "Локальна безпека" Outpost відповідають рівню кращих конкуруючих продуктів ".

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*