AVLab - test ochrony przed wirusami bezplikowymi (10.2017)
#1
Słowo się rzekło, kobyłka u płota...
Cytat:(...)Chociaż od kilku lat pierwsze skrzypce pośród złośliwego oprogramowania ciągle odgrywają szkodniki wykorzystujące kryptografię asymetryczną, to nie możemy narzekać na niedobór również i takich sposobów oszukiwania produktów ochronnych, które poziomem przygotowania i skomplikowanym cyklem eskalacji infekcji przewyższają wirusy z rodziny ransomware.   
Rozpatrywane zagrożenia w tym raporcie to tak zwane wirusy bezplikowe (ang. malware fileless). Chociaż wektor infekcji najczęściej rozpoczyna się tradycyjnie, czyli od dostarczenia złośliwego pliku na komputer ofiary — poprzez scam lub atak drive-by download w wyniku wykorzystania exploita — to podobieństwa do powszechnych ataków z plikami wykonywalnymi na tym się kończą. Złośliwe oprogramowanie typu „fileless” działa bezpośrednio w pamięci operacyjnej komputera. W takim scenariuszu uruchomiony wirus nie zostanie przeniesiony do kwarantanny przez oprogramowanie zabezpieczające, ponieważ nie jest plikiem, lecz zestawem instrukcji do wykonania, operującym na systemowych procesach.
Autorzy złośliwego kodu, którzy często są ekspertami w swojej dziedzinie, mogą wykorzystywać tę zależność, by nie pozostawiać żadnych śladów na dysku twardym i utrudnić wykrycie szkodnika przez program antywirusowy. Zagrożenia „fileless” mają kilka cech wspólnych z rootkitami: potrafią przechowywać dane w rejestrze, który jest bazą dla ustawień systemu operacyjnego i niektórych aplikacji, a nawet przechwytywać i modyfikować funkcje API niskiego poziomu. Ponadto tak jak rootkity mogą ukrywać obecność poszczególnych procesów, folderów, plików i kluczy rejestru, w tym instalować własne sterowniki i usługi w systemie. Bezplikowe złośliwe oprogramowanie może uzyskać dostęp do uprawnień „ring-0”. Proces uruchomiony na tym poziomie wykonuje kod z uprawnieniami jądra systemu, w efekcie może uzyskać nieograniczony dostęp do wszystkich procesów, sterowników i usług.
Z pośród przedstawionych w tym raporcie programów zabezpieczających są niestety takie, które mają problemy z wykrywaniem malware fileless. Wirusy bezplikowe niczym rootkity posiadają zdolność do unikania detekcji: by dawać atakującemu zdalny dostęp do zainfekowanej maszyny mogą powodować eskalację uprawnień i wykorzystywać luki w zabezpieczeniach. Tę rodzinę szkodliwego oprogramowania często używa się w atakach APT (ang. Advanced Persident Threat) przeprowadzanych na szeroką skalę lub w atakach na pracowników wysokiego szczebla. (...)
W teście przeprowadzonym w październiku 2017 roku eksperci z AVLab wykorzystali techniki oraz narzędzia stosowane przez cyberprzestępców do przełamywania zabezpieczeń i uzyskiwania zdalnego dostępu do zainfekowanej maszyny bez zapisywania jakichkolwiek danych na dysku twardym. Opisywane bezplikowe szkodliwe oprogramowanie jest bardzo trudne do wykrycia, jeżeli produkty zabezpieczające nie dysponują mechanizmami, które kontrolują uruchamiane złośliwe skrypty. Wykrycie tych skryptów jest tym bardziej problematyczne, jeżeli złośliwy kod jest wykonywany przez systemowy interpreter PowerShell. Dzięki tej metodzie możliwe staje się zainfekowanie komputera bez podniesienia alarmu przez program zabezpieczający.
Podstawy techniczne
Test przeprowadzono w kontrolowanym środowisku, niezagrażającym bezpieczeństwu danych ani systemom komputerowym.
Do sprawdzenia efektywności ochrony różnych modułów zabezpieczających każdego testowanego programu, wykorzystano cztery rodzaje plików szkodliwego oprogramowania, które zawierały podobne instrukcje.
  • Plik M1.bat zawierał instrukcję pobierania wirusa przez PowerShell z odpowiednimi parametrami.

  • Skompilowany plik M2.exe zawierał podobne instrukcje.

  • Plik M3.exe poddano technice zaciemniania kodu (obfuskacji).

  • Plik M4.docm zawierał złośliwe instrukcje makro uruchamiające PowerShell z odpowiednimi parametrami.
Używając oprogramowania WireShark do przechwytywania pakietów, możemy zaobserwować dokładny sposób dostarczenia malware z testowego serwera zawierającego web-aplikację (która służy do atakowania komputerów) do systemu operacyjnego z zainstalowanym oprogramowaniem zabezpieczającym.
[Obrazek: NbNrEQw.png]
[Obrazek: aBDdhiE.png]
źr. i więcej: Adrian Ścibor https://avlab.pl/wielki-test-ochrony-prz...ernik-2017
Test i wyniki: https://avlab.pl/sites/default/files/68f...owe_PL.pdf
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#2
Windows Defender +++ :-)
Bullguard Internet Security
Odpowiedz
#3
(10.11.2017, 12:15)Apocalypse napisał(a): Windows Defender +++ :-)

Nieprawdopodobne, prawda? Też się zdziwiłem. Dobry wynik w tym teście nie oddaje kompleksowej oceny Windows Defendera, biorąc pod uwagę pozostały testy. Dobrze nie jest z tym "antywirusem", ale coś systematycznie poprawiają. Niemniej, widać przepaść w stosunku do czołowych producentów. To nie podlega nawet dyskusji.
Odpowiedz
Podziękowania
#4
Smile WD ten pewnie w 10-tce
Arcabit Internet Security Smile
Odpowiedz
#5
(10.11.2017, 12:23)adrian.sc napisał(a):
(10.11.2017, 12:15)Apocalypse napisał(a): Windows Defender +++ :-)

Nieprawdopodobne, prawda? Też się zdziwiłem. Dobry wynik w tym teście nie oddaje kompleksowej oceny Windows Defendera, biorąc pod uwagę pozostały testy. Dobrze nie jest z tym "antywirusem", ale coś systematycznie poprawiają. Niemniej, widać przepaść w stosunku do czołowych producentów. To nie podlega nawet dyskusji.

Jak to o nim mówią. Lepsze to niż nic...
Bullguard Internet Security
Odpowiedz
#6
Ja to czekam dnia aż MS wyłapie jakiegoś superowego wirusa i Defender go jako pierwszy zacznie wykrywać Grin
Odpowiedz
Podziękowania
#7
(10.11.2017, 17:41)rogacz napisał(a): Ja to czekam dnia aż MS wyłapie jakiegoś superowego wirusa i Defender go jako pierwszy zacznie wykrywać Grin

Była by szansa ale musiałby windows stworzyć swojego wirusa
Arcabit Internet Security Smile
Odpowiedz
#8
(11.11.2017, 16:28)Tibu 11 napisał(a):
(10.11.2017, 17:41)rogacz napisał(a): Ja to czekam dnia aż MS wyłapie jakiegoś superowego wirusa i Defender go jako pierwszy zacznie wykrywać Grin

Była by szansa ale musiałby windows stworzyć swojego wirusa

O dziwo nie, ostatnio Lumię jako pierwsze były zabezpieczone, więc jednak MS coś umie.
Odpowiedz
#9
A jakież to pionierskie mechanizmy ochrony zastosował Microsoft w Windows Phone, że nigdy wcześniej smartfony nie były tak zabezpieczone? Lumię 900 zaprezentowano zaledwie w 2012 roku, dla przypomnienia.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#10
W mobilnym Windowsie już w wersji 7 aplikacje działały w piaskownicy.
Odpowiedz
#11
Późniejsze mobilne systemy windowsa też działają w piaskownicy.
Odpowiedz
#12
(11.11.2017, 19:36)zord napisał(a): W mobilnym Windowsie już w wersji 7 aplikacje działały w piaskownicy.
Mówimy o WP7 czy Windows Mobile for pocket PC w wersji 6.5? Bo ja zacząłem właśnie od Lumii 800.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#13
WP7.
"Podczas dodawania odpowiedzi wystąpił błąd: Wiadomość jest zbyt krótka. Wpisz wiadomość dłuższą niż 5 znaków."
Odpowiedz
#14
WP7 czyi to co było w lumii 800
Odpowiedz
#15
Trzeba by sprawdzić, jak to wyglądało na starych Symbianach Series60. Problem jednak w tym, że w tamtych czasach praktycznie nikt nie instalował dodatkowych aplikacji, bo smartfony (tak!) służyły tylko do komunikacji i pracy (kalendarz, notatki). A to zapewniał system. Nikt nie myślał o łączeniu się z internetem, chyba że przez WiFi.

Ale Nokia chyba obsługiwała sklep z programami dla Nokii N95 Cool, to był wyśmienity, szykowny telefon.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#16
O co chodzi z F-secure? Niby brał udział, ale jego wyniki są wykreskowane i na liście nagrodzonych go nie ma. Coś nie tak z wynikami?...metodologią?
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz
#17
Hmm tak na logikę to nie opłacili usługi odnośnie wyników w teście Wink
Odpowiedz
#18
(12.11.2017, 15:11)ichito napisał(a): O co chodzi z F-secure? Niby brał udział, ale jego wyniki są wykreskowane i na liście nagrodzonych go nie ma. Coś nie tak z wynikami?...metodologią?

(12.11.2017, 15:40)rogacz napisał(a): Hmm tak na logikę to nie opłacili usługi odnośnie wyników w teście Wink

Nie wierzę, że nie doczytaliście. Stoi czarno na białym w legendzie pod tabelką. Nawet przy nazwie F-Secure jest oznaczenie "[3]".
Odpowiedz
#19
No kurde...miałem oczy z guzika w takim razie Cool

Cytat:[3]  Po  kilku  minutach  od  uruchomienia  systemu  ochrona  wyłączała  się
samoczynnie. Producent nie udzielił wystarczającego wsparcia technicznego
w wyznaczonym terminie, dlatego program został wykluczony z testów.
Ale to oznacza, że olali również wynik dla firm (7) i cały temat....lekko żenujące.
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz
#20
(12.11.2017, 16:17)ichito napisał(a): No kurde...miałem oczy z guzika w takim razie Cool

Cytat:[3]  Po  kilku  minutach  od  uruchomienia  systemu  ochrona  wyłączała  się
samoczynnie. Producent nie udzielił wystarczającego wsparcia technicznego
w wyznaczonym terminie, dlatego program został wykluczony z testów.
Ale to oznacza, że olali również wynik dla firm (7) i cały temat....lekko żenujące.

Nie wiem czy tak to nazwać. Odezwali się kilka dni po zgłoszeniu problemu, poprosili o logi. Logi dostali takie jakie chcieli - wygenerowane za pomocą F-Secure Recognition Tool, ale potem było długo długo nic, aż skończył się wyznaczony termin i nie mogliśmy dłużej czekać. Tak naprawdę to problem "rozwiązuje się" do dzisiaj. Przekazałem niezbędne logi dwukrotnie, o które poprosili, ale sprawa nadal pozostaje nierozwiązana.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości