Результаты исследования, проведенного специалистами исследовательского центра Digital Security, демонстрируют, что большинство популярных антивирусных продуктов могут быть успешно атакованы при помощи известных техник, доступных на публичных ресурсах.
В рамках данной работы были проанализированы следующие решения: McAfee Total Security 2015, ESET Smart Security, Norton Security, AVG Internet Security 2015, BitDefender Total Security 2015, Trend Micro Antivirus+ 2015, Avira, DrWeb 10, Kaspersky Internet Security 15, Avast Free Antivirus, Panda Internet Security 2015. Продукты, участвовавшие в исследовании, объединены двумя признаками:
- ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты;
- Входит в список самых популярных решений, ранее трестировавшихся с применением различных методологий.
Все перечисленное ПО было подвергнуто атакам при помощи универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО. В частности, были задействованы: ProxyInject, Duplicate Handle, Reparse-Point, PageFile attack, RegSafe, RegRestore, Shim engine. Эти техники атак доступны на открытых ресурсах Интернета уже 1-3 года.
Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMware. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/VTD).
В процессе тестирования выяснилось, что почти все исследованные продукты уязвимы к одной или нескольким известным техникам атак. С результатами, а также другими подробностями исследования можно ознакомиться по ссылке: http://dsec.ru/ipm-research-center/research/self_defense_anti_virus/.
Очевидно, что некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.
