Тест HIPS на запобігання проникнення в ядро ​​Microsoft Windows, Безпека ПЗ, Security & Hack, статті

У цьому порівняльному тестуванні ми проводили аналіз популярних персональних антивірусів і мережевих екранів, що мають у своєму складі компоненти HIPS (Host Intrusion Prevention Systems), на можливості запобігання проникнення шкідливих програм на рівень ядра (далі Ring 0) операційної системи Microsoft Windows. Якщо шкідливій програмі вдається проникнути на рівень ядра, то вона отримує повний контроль над комп’ютером жертви.

 


Введення


Технології поведінкового аналізу та системи запобігання вторгнення на рівні хоста (Host Intrusion Prevention Systems – HIPS) набирають популярність серед виробників антивірусів, мережевих екранів (firewalls) та інших засобів захисту від шкідливого коду. Їх основна мета – ідентифікувати і блокувати шкідливі дії в системі і не допустити її зараження.


Найбільш складне завдання захисту при цьому зводиться до недопущення проникнення шкідливої ​​програми на рівень ядра операційної системи (анг. Kernel Level), що працює в “нульовому кільці процесора” (Ring 0). Цей рівень має максимальні привілеї при виконанні команд і доступу до обчислювальних ресурсів системи в цілому.


Якщо шкідливій програмі вдалося проникнути на рівень ядра, то це дозволить їй отримати повний і, по суті, необмежений контроль над комп’ютером жертви, включаючи можливості відключення захисту, приховування своєї присутності в системі. Шкідлива програма може перехоплювати вводиться користувачем інформацію, розсилати спам, проводити DDoS-атаки, підміняти вміст пошукових запитів, робити все щось завгодно, незважаючи на формально працює антивірусний захист. Тому для сучасних засобів захисту стає особливо важливо не допустити проникнення шкідливої ​​програми в Ring 0.


У даному тестуванні ми проводили порівняння популярних антивірусів і мережевих екранів, що мають у своєму складі компоненти HIPS, на можливості запобігання проникнення шкідливих програм на рівень ядра (далі Ring 0) операційної системи Microsoft Windows XP SP3.

Відбір шкідливих програм для тестування


Ми вирішили не моделювати проникнення в Ring 0 будь-якими штучними засобами, а провести тест на реальних шкідливих програмах. При цьому останні відбиралися таким чином, щоб охопити всі використовувані способи запису в Ring 0, які реально застосовуються в “дику природу” (In The Wild):



  1. StartServiceA – Завантаження шкідливого драйвера проводиться шляхом підміни файлу системного драйвера в каталозі% SystemRoot% System32Drivers з наступним завантаженням. Дозволяє завантажити драйвер без модифікації реєстру.
    Зустрічальність ITW: висока

  2. SCM – Використання для реєстрації і завантаження драйвера менеджера управління сервісами. Цей метод використовується як легітимними додатками, так і шкідливими програмами.
    Зустрічальність ITW: висока

  3. KnownDlls – Модифікація секції KnownDlls та копії однієї із системних бібліотек з метою завантаження шкідливого коду системним процесом.
    Зустрічальність ITW: середня

  4. RPC – Створення драйвера та завантаження за допомогою RPC. Приклад використання: завантажувач знаменитого Rustock.C
    Зустрічальність ITW: рідкісна

  5. ZwLoadDriver – Підміна системного драйвера шкідливим, шляхом переміщення і подальша прямого завантаження.
    Зустрічальність ITW: висока

  6. ZwSystemDebugControl – Зняття перехоплень, встановлених HIPS для контролю системних подій, в SDT, використовуючи debug-привілеї.
    Зустрічальність ITW: висока

  7. DevicePhysicalMemory – Зняття перехоплень, встановлених HIPS для контролю системних подій, в SDT, використовуючи запис в секцію фізичної пам’яті.
    Зустрічальність ITW: середня

  8. ZwSetSystemInformation – Завантаження драйвера без створення ключів в реєстрі викликом ZwSetSystemInformation з параметром SystemLoadAndCallImage.
    Зустрічальність ITW: середня

  9. CreateFileA .PhysicalDriveX – Посекторного читання / запис диска (модифікація файлів або головною завантажувального запису диска).
    Зустрічальність ITW: середня

Таким чином, було відібрано дев’ять різних шкідливих програм, що використовують наведені вище способи проникнення в Ring 0, які потім використовувалися в тестуванні.

Методологія порівняльного тестування

Тестування проводилося під керуванням VMware Workstation 6.0. Для тесту були відібрані такі персональні засоби антивірусного захисту і мережеві екрани:

  1. PC Tools Firewall Plus 5.0.0.38

  2. Jetico Personal Firewall 2.0.2.8.2327

  3. Online Armor Personal Firewall Premium 3.0.0.190

  4. Kaspersky Internet Security 8.0.0.506

  5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)

  6. Comodo Internet Security 3.8.65951.477

На жаль, з технічних причин з тесту були виключені антивіруси F-Secure і Norton. Вбудований в них HIPS не працює окремо від включеного антивірусного монітора. А оскільки відібрані зразки шкідливих програм могли детектувати сигнатурному, то ними не можна було скористатися. Використовувати ці антивіруси зі старими антивірусними базами (щоб уникнути сигнатурного детектив) не підходило, т.к. процес оновлення в цих продуктах може зачіпати і не тільки антивірусні бази, але і виконувані модулі (компоненти захисту).


Чому ми взяли в тест інші популярні антивірусні продукти та мережеві екрани, яких знайдеться безліч? Та тому, що вони не мають у своєму складі модуля HIPS. Без цього запобігти проникнення в ядро ОС у них об’єктивно немає шансів.


Усі товари встановлювалися з максимальними настройками, якщо їх можна було задати без тонкого ручного зміни налаштувань HIPS. Якщо при інсталяції пропонувався до використання режим автонавчання – то він і використовувався до моменту запуску шкідливих програм.


Перед проведенням тестування запускалася легітимна утиліта cpu-z (невелика програма, яка повідомляє відомості про встановлений в комп’ютері процесорі) і створювалося правило, яке пропонував тестований продукт (його HIPS-компонент). Після створення правила на дану утиліту, режим автонавчання відключався і створювався знімок стан системи.


Потім по черзі запускалися спеціально відібрані для тесту шкідливі програми, фіксувалася реакція HIPS на події, пов’язані безпосередньо з установкою, реєстрацією, завантаженням драйвера та інші спроби запису в Ring 0. Як і в інших тестах, перед перевіркою наступної шкідливої ​​програми проводився повернення системи до збереженого на початку знімка.


В беруть участь у тесті антивірусах файловий монітор відключався, а в Kaspersky Internet Security 2009 шкідливий додаток вручну поміщалося в слабкі обмеження з недовірених зони.


Кроки проведення тестування:



  1. Створення знімку чистої віртуальної машини (основний).

  2. Установка тестованого продукту з максимальними настройками.

  3. Робота в системі (інсталяція та запуск додатків Microsoft Office, Adobe Reader, Internet Explorer), включення режиму навчання (якщо такий є).

  4. Відмітка кількості повідомлень з боку тестованого продукту, запуск легітимною утиліти cpu-z і створення для неї правил.

  5. Відключення режиму автонавчання (якщо такий є).

  6. Переклад тестованого продукту в інтерактивний режим роботи і створення чергового знімку віртуальної машини з встановленим продуктом (допоміжний).

  7. Створення знімків для всіх тестованих продуктів, виконуючи відкат до основного знімку і заново проводячи пункти 2-4.

  8. Вибір знімка з тестованим продуктом, завантаження ОС і почерговий запуск шкідливих програм щоразу з відкотом в первинний стан, спостереження за реакцією HIPS.

Результати порівняльного тестування


Плюс у таблиці означає, що була реакція HIPS на якась подія з боку шкідливої ​​програми на проникнення в Ring 0 і була можливість припинити цю дію.


Мінус – Якщо шкідливий код зумів потрапити в Ring 0, або зумів відкритий диск на посекторного читання і зробити запис.

Таблиця 1: Результати порівняльного тестування HIPS-компонент


































































































Метод проникнення в Ring 0  PC Tools  Jetico  Online Armor   Kaspersky   Agnitum   Comodo 
StartServiceA
 

 
+ + +
 
+
SCM
 

 
+ + +
 
+
KnownDlls
 

 
+ +
 
+ +
RPC
 

 
+ + +
 
+
ZwLoadDriver
 
+
 

 
+ +
 
+
ZwSystemDebugControl
 

 
+ + + + +
DevicePhysicalMemory
 
+ + + + + +
ZwSetSystemInformation
 

 
+ + + + +
CreateFileA .PhysicalDriveX
 

 

 
+
 
+ + +
Разом припинено:
 
2
 
7
 
9
 
8
 
5
 
9
 
Кількість оповіщень та запитів дій користувача
 
Мало
 
Дуже багато Багато Мало Може бути
 
Багато

Варто зазначити, що при повному відключенні режиму навчання деякі з тестованих продуктів (наприклад, Agnitum Outpost Security Suite 6.5) можуть показати кращий результат, але в цьому випадку користувач гарантовано зіткнеться в великою кількістю всіляких алертів і фактичними утрудненнями роботи в системі, що було відображено при підготовці методології даного тесту.

Як показують результати, кращі продуктами із запобігання проникнення шкідливих програм на рівень ядра ОС є Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.


Необхідно відзначити, що Online Armor Personal Firewall Premium – це просунутий фаеровол і не містить в собі класичних антивірусних компонент, у той час як два інших переможця – це комплексні рішення класу Internet Security.


Зворотною і негативною стороною роботи всіх HIPS-компонент є кількість всіляких виведених ними повідомлень і запитів дій користувачів. Навіть самий терплячий з них відмовиться від надійного HIPS, якщо той буде надто часто набридати йому повідомленнями про виявлення підозрілих дій і вимогами негайної реакції.


Мінімальна кількість запитів дій користувача спостерігалося у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 і Agnitum Outpost Security Suite 6.5. Решту продуктів найчастіше набридали Алерта.


“Поведінковий аналіз є більш ефективним способом попередження зараження невідомою шкідливою програмою, ніж евристичні методи, засновані на аналізі коду виконуваних файлів. Але в свою чергу вони вимагають певних знань з боку користувача і його реакції на ті чи інші події в системі (створення файлу в системному каталозі, створення ключа автозавантаження невідомим додатком, модифікація пам’яті системного процесу тощо) “, – коментує Василь Бердников, експерт Anti-Malware.ru.


“У даному порівнянні були відібрані найвідоміші продукти, що мають на борту HIPS. Як видно, тільки три продукти змогли гідно перешкоджати проникненню в нульове кільце. Так само дуже важливий параметр – Кількість повідомлень (алертів) виникають при повсякденній роботі за ПК і потребують вирішення користувача. Саме тут і визначається технологічну перевагу продуктів – максимально контролювати систему і при цьому використовувати всілякі технології, для зниження кількості питань, що задаються HIPS при запуску, інсталяції програм “, – відзначає експерт.

Коментарі партнерів


Ілля Рабинович, генеральний директор і експерт SoftSphere Technologies:


“Поведінкові технології захисту вже давно стали першим ешелоном захисту користувачів, щоб не говорили вендори засобів безпеки. Дуже важливо, щоб вони були максимально комфортними для щоденної роботи, без надокучливих питань до користувача і, одночасно, надійними у захисті. На жаль, всі тестовані кошти, так чи інакше, провалили цей тест. Хтось не в змозі впоратися з усім спектром загроз безпеці, хтось закидає бідного користувача градом питанням, на які він не спроможний відповісти. Наприклад, наш DefenseWall взагалі тихо заблокував би небезпечні виклики без тривалого опитування користувача з приводу його знання тонкощів механізмів роботи операційної системи “.

Олег Зайцев, провідний технологічний експерт “Лабораторії Касперського”:


“Пріоритетним завданням при проектуванні HIPS в антивірусних продуктах” Лабораторії Касперського “є забезпечення максимально високого рівня захисту комп’ютера при мінімальній участі самого користувача. Зокрема, в Kaspersky Internet Security 2009 це досягається шляхом евристичного аналізу і визначення рівня потенційної небезпеки програми перед його першим запуском, з наступним автоматичним застосуванням більш суворих обмежень в HIPS – у разі необхідності аж до повного блокування запуску небезпечної програми. У новому тесті Anti-Malware.ru штучно відтворювалася найбільш складна для автоматичного аналізу ситуація – запуск шкідливої ​​програми з гурту “слабкі обмеження”, і ми раді, що продукт з нею чудово впорався – практично всі спроби проникнення в ядро ​​були успішно припинені “.

Інші коментарі


Максим Коробцов, технічний директор Agnitum:


“Відповідно до методології тестування модуля HIPS в продукті Outpost Security Suite Pro 2009 тестувався в умовах заздалегідь активованого режиму автонавчання, при якому автоматично створюються дозволяють правила для додатків. Даний режим покликаний захистити користувача від зайвих “питань” і помилкових спрацьовувань брандмауера і системи проактивного захисту надалі, оскільки в процесі навчання виявляється щоденна легітимна активність додатків на користувальницькому ПК. В умовах уточненої методології (з відключеним автонавчання) результати тестування модуля “Локальна безпека” Outpost відповідають рівню кращих конкуруючих продуктів “.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*