Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы. В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов, сетевых экранов и специализированных продуктов с функциями HIPS (Host Intrusion Prevention Systems) на возможность предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows.
Краткое содержание:
- Введение
- Методология тестирования
- Результаты тестирования
- Комментарии партнеров
Введение
Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.
Согласно устройству операционной системы, если программа получила доступ к работе в ядре ОС (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0), то эта программа имеет неограниченные привилегии и может выполнять любые действия в системе. Соответственно если такие привилегии получает вредоносная программа, то защитная программа уже не может ничего сделать. Отсюда следует вывод, что защитной программе нужно выявить угрозу ещё на стадии проникновения в Ring 0. Для этого служат, так называемые HIPS (Host Intrusion Prevention Systems).
В этом уже втором по счет сравнительном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, а также специализированных HIPS-продуктов, на возможность предотвращения проникновения вредоносных программ в Ring 0 операционной системы Microsoft Windows XP SP3. Так же мы провели аналогичное исследование на операционной системе Microsoft Windows 7.
Методика тестирования
Для тестирования были отобраны методы, наиболее часто используемые вредоносными программами, для проникновения в ядро операционной системы Windows:
- ChangeDrvPath - данный тест пытается добавить параметр ImagePath с путем к своему драйверу у системного сервиса beep с помощью функции ChangeServiceConfigA.
- DriverSupersede - данный тест подменяет файл beep.sys на свой драйвер и загружает его в память с помощью функции StartServiceW.
- LoadAndCallImage - данный тест использует функцию ZwSetSystemInformation с целью загрузки своего драйвера в память.
- services - данный тест создает ключи в реестре с помощью функции RtlWriteRegistryValue, которые позволят загружать драйвер.
- DebugControl - данный тест использует функцию ZwSystemDebugControl с параметром SysDbgReadPhysical.
- PhysicalMemory - данный тест использует доступ с правами на запись к секции \Device\PhysicalMemory.
- RawDisk - данный тест использует открытие диска с правами на запись (\\.\PhysicalDrive0)
Важно отметить, что это, естественно, далеко не все из известных методов проникновения в ядро операционной системы Microsoft Windows. Этот набор методов является всего лишь минимальной (качественной) проверкой реализации в функционала HIPS .
Тестирование проводилось под управлением VMware Workstation 7.1. Для простоты в этот раз мы производили тестирования при помощи набора специальных утилит, которые моделируют описанные выше методы проникновения в ядро операционной системы.
Для теста в ходе открытого обсуждения были отобраны следующие персональные средства антивирусной защиты, сетевые экраны и специализированные HIPS-продукты:
- AVG Internet Security 2011 10.0.1136
- Avira Premium Security Suite 10 9.0.0.92
- Comodo Internet Security 5.0.163652.1142
- DefenseWall Personal Firewall 3.07
- GeSWall 2.9.0
- Jetico Personal Firewall 2.1.0.9.2447
- Kaspersky Internet Security 2011 11.0.2.556
- McAfee Internet Security 2011
- Norton Internet Security 2011 18.1.0.37
- Online Armor ++ Firewall 4.5.0.234
- Online Solutions Security Suite 1.5
- Outpost Security Suite Pro 2010 7.0.4 (3398.519.1243)
- Panda Internet Security 2011 16.00.00
- PC Tools Internet Security 2011 1.0.0.50
- Safe`n`Sec Deluxe 3.5.0.729
- Spyware Terminator 2.8.0.18
- Trend Micro Titanium Internet Security 2011 3.0.1303
- ZoneAlarm Internet Security Suite 9.3.37.0
Стоит пояснить, что из антивирусных продуктов и фаерволов мы брали в тест только те, в которых по информации от разработчиков присутствует функционал HIPS. Из специализированных HIPS-продуктов мы взяли два российских (Safe`n`Sec и DefenseWall) и один иностранный (GeSWall).
Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска тестовых утилит.
Шаги проведения тестирования:
- Создание снимка чистой виртуальной машины (основной).
- Установка тестируемого продукта с максимальными настройками.
- Работа в системе (запуск Process Explorer, инсталляция и запуск Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
- Отметка количества сообщений со стороны тестируемого продукта.
- Отключение режима автообучения (если такой имеется).
- Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
- Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
- Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск тестовых утилит каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.
Результаты тестирования
По результатам тестирования оказалось, что в антивирусных продуктах AVG, Norton, Avira, McAfee и Panda по факту отсутствуют HIPS-компоненты. Этими продуктами были провалены все тестовые кейсы, поэтому из итоговых результатов теста они были исключены.
Плюс в таблице означает, что была реакция HIPS на некое событие со стороны тестовой утилиты на проникновение в Ring 0 и была возможность пресечь это действие.
Минус - если тестовая утилиты сумела попасть в Ring 0, либо сумела открыть диск на посекторное чтение и произвести запись.
Таблица 1: Результаты сравнительного тестирования HIPS-компонент на Windows XP
Защитная программа / Метод проникновения в Ring 0 |
Change DrvPath |
Driver Supersede |
LoadAnd CallImage |
Services | Debug Control |
Physical Memory |
RawDisk | |
Comodo | +* | +* | +* | +* | +* | +* | +* | |
DefenseWall | +* | +* | +* | +* | +* | +* | +* | |
GeSWall | +* | +* | - | +* | - | +* | +* | |
Jetico | + | + | + | + | + | + | - | |
Kaspersky | +* | +* | +* | +* | +* | +* | +* | |
Online Armor | + | + | + | + | + | + | + | |
Online Solutions | + | + | + | + | + | + | + | |
Outpost | + | + | + | + | + | + | + | |
PC Tools | + | + | - | + | - | - | - | |
Safe`n`Sec | +* | +* | +* | +* | +* | +* | +* | |
Spyware Terminator | + | + | + | + | + | + | + | |
Trend Micro | - | + | - | - | - | - | - | |
ZoneAlarm | - | + | - | - | - | - | - |
Из всех протестированных продуктов со всеми тестовыми кейсами с настройками по умолчанию справились только: Online Armor ++ Firewall, Online Solutions Security Suite, Outpost Security Suite Pro и Spyware Terminator.
Trend Micro Titanium Internet Security, ZoneAlarm Internet Security Suite и PC Tools Internet Security не прошли тестирование, пропустив проникновение в ядро ОС в большинстве из проверенных нами случаев.
Заслуживают отдельного рассмотрения специализированные HIPS-продукты: DefenseWall Personal Firewall, GeSWall и Safe`n`Sec Deluxe; а также двух комплексных антивирусных решений: Comodo Internet Security и Kaspersky Internet Security. Их результаты в таблице 1 помечены звездочкой (*).
У HIPS-продуктов (тут можно говорить о любой песочнице) недоверие к файлу проистекает не от эвристического механизма, а от того, откуда именно появился и/или был запущен файл. Таким образом, происходит категоризация программ на доверенные и недоверенные. При этом все действия из недоверенной зоны будут анализироваться/блокироваться, а из доверенной зоны разрешаться. Поэтому результаты работы этих программ могут сильно зависеть от предварительных действий пользователя, в таблице 1 они помечены звездочкой.
DefenseWall Personal Firewall пропускает все атаки, если тестовые утилиты запускать как доверенные (когда они не проходили через недоверенный браузер, почтовый клиент или внешний носитель). Если тестовые утилиты, например, уже были на жестком диске до установки DefenseWall Personal Firewall, то они считаются доверенными и не проверяются, в этом случае тест проваливается. Если же запускать тестовые утилиты с внешнего носителя, то все опасные действия будут заблокированы.
В ходе установки Safe`n`Sec Deluxe компьютер проверяется встроенным антивирусным сканером по требованию, поэтому предполагается, что он не содержит вредоносных программ. Также необходимым требованием для работы программы является создание профиля системы (автоматическая настройка), в ходе которой существующие в системе приложения будут классифицированы и получат статус доверенных или ограниченных. В нашем случае если до создания профиля системы тестовые утилиты уже находились на жестком диске, то во всех без исключения случаях тест будет провален. Если же записать утилиту на диск уже после создания профиля или же запускать ее с внешнего носителя, то все попытки проникнуть в Ring 0 будут пресечены.
GeSWall также требует ряда предварительных действий для обеспечения положительного результата. Для этого приходилось вручную запускать тестовые утилиты в его песочнице. Но даже в этом случае нам не удалось добиться положительного результата во всех тестовых случаях.
В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.
Comodo Internet Security при запуске тестового приложения предлагает запустить его в песочнице, если с этим согласиться, то все попытки проникновения в ядро будут пресечены. В обычном режиме, как и в случае с Kaspersky Internet Security во всех случаях тест будет провален.
Таблица 2: Количество оповещений и запросов действий пользователя на Windows XP
Защитная программа | Количество оповещений и запросов действий пользователя |
AVG | Мало |
Comodo | Много |
DefenseWall | Мало |
GeSWall | Мало |
Jetico | Очень много |
Kaspersky |
Мало |
Online Armor | Очень много |
Online Solutions | Очень много |
Outpost | Много |
PC Tools | Мало |
Safe`n`Sec | Много |
Spyware Terminator | Много |
Trend Micro | Мало |
ZoneAlarm | Мало |
Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от использования надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.
Как видно из таблицы 2 многие протестированные продукты сильно надоедают алертами. Больше остальных этим отличались Jetico Personal Firewall и Online Armor ++ Firewall. Наименее надоедливыми оказались AVG Internet Security, DefenseWall Personal Firewall, GeSWall, Kaspersky Internet Security, PC Tools Internet Security, Safe`n`Sec Deluxe, Trend Micro Titanium Internet Security и ZoneAlarm Internet Security Suite.
Что касается теста по Windows 7 x86, то в ходе теста было подтверждено, что эта операционная система способна блокировать отобранные нами методы проникновения в ядро штатными средствами без помощи сторонних программ (UAC, WRP, изоляция сервисов). Это делает такой тест под эту операционную систему бессмысленным.
«Большинство протестированных продуктов с функционалом HIPS показали, что способны отразить попытки проникновения вредоносных программ в Ring 0, но части вендоров ещё нужно работать над этой областью защиты. Так же в ходе теста было выявлено, несколько антивирусных решений способны контролировать активность только при определённых условиях, например, только когда контролируемое приложение запускается со сменного носителя. Это может привести к тому, что если приложение уже находилось в системе на момент установки продукта, он ничего не сможет сделать. Такая логика работы кажется весьма странной», - комментирует Вячеслав Копейцев, инженер по тестированию Anti-Malware.ru.
Комментарии экспертов
Кирилл Керценбаум, эксперт Anti-Malware.ru:
«С одной стороны результаты данного теста говорят о том, что, несмотря на давнюю известность данных методов проникновения, а также уход в историю ОС Windows XP, для которой данная проблема особенно актуальна, не все продукты по безопасности научились с ними эффективно бороться. Вряд ли это можно признать малозначительным фактом, так как HIPS в данном контексте можно считать еще одним уровнем самозащиты, без которой практически невозможно противостоять современным технологически совершенным угрозам. Не стоит также забывать, что Windows XP еще долго будет сохранять немалую инсталляционную базу, да и хакеры не будут сидеть на месте, а будут пытаться эксплуатировать подобные методы и в более современных версиях ОС Windows. Это лишь вопрос времени и продукты по безопасности должны это учитывать, а не надеяться на авось».
Илья Рабинович, эксперт Anti-Malware.ru и генеральный директор SoftSphere Technologies:
«Проникновение злонамеренного кода в ядро операционной системы означает полный крах системы защиты. Именно поэтому очень важно обеспечивать максимально полную систему обороны от неавторизованного проникновения в ядро при минимальном вовлечении пользователя в данный процесс. Примечательно, что не так уж много производителей способны обеспечить такой баланс, а значит, им есть куда расти к радости своих пользователей».
Виталий Янко, эксперт Anti-Malware.ru, коммерческий директор компании Agnitum:
«Удручает факт, что далеко не все известные производители успешны во внедрении технологий базовой защиты ядра Windows. Однако все российские разработчики, которые первыми внедрили модули класса HIPS в персональные защитные комплексы и фактически повели за собой индустрию, успешны в защите ОС при установке "из коробки". Тем не менее, ни один продукт не является панацеей, и производителям нужно улучшать алгоритмы принятия решений ЗА занятого профи или обычного пользователя, а пользователям - расти в экспертизе уровня защиты. Когда традиционный выбор "удобство или безопасность" доминирует при отказе от "чересчур говорливых" решений на базе HIPS, уменьшение числа взаимодействий продуктов с пользователем без его воли - как раз то, что доктор прописал».
Авторы теста:
Вячеслав Копейцев
Василий Бердников
Илья Шабанов
Comodo Internet Security