Для максимальной защиты антивирус должен

Обновлено: 03.07.2024

Как показывает практика, любой антивирус по дизайну уязвим, и реализовать очередной метод обхода в отношении него не является большой проблемой.

Нашему исследовательскому центру было интересно проверить, как разработчики антивирусных решений следят за наличием описаний методов атак на просторах интернета. И всегда ли для атаки на антивирус необходимо обнаружить в нем 0-day уязвимость или достаточно просто найти полезную информацию на форумах?

Введение

Большинство аналитических работ, посвященных этой теме, как правило, ориентировано на оценку эффективности детектирования вредоносного кода антивирусами, производительность работы антивирусов и т.д. Мы же в рамках своего исследования попытались выяснить, следят ли разработчики решений такого класса за тенденциями и модифицируют ли свои продукты в соответствии с новыми методами атак.

Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот причем часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом.

После внедрения вредоносного кода внутрь процесса антивируса он способен долго и незаметно существовать в системе пользователя, что, несомненно, является следствием главного логического изъяна архитектуры самозащиты, равно как и методики использования доверенных списков процессов.

Самозащита антивируса

Вредоносный код совершенствуется параллельно с развитием антивирусных технологий, что очень похоже на некую гонку вооружений. Появляются все новые угрозы, которые компрометируют программное обеспечение этого класса, отключают его, полностью деактивируют его функционал и т.д. Как следствие, растут требования к разработке антивирусных решений, которые позиционируются для защиты постфактум. Антивирусы снабжают функционалом для самообороны и защиты от активных угроз. Развивается, пожалуй, самый спорный механизм ПО такого класса – механизм самозащиты.

Если систематизировать внутренне устройство нескольких антивирусных продуктов, можно обобщенно описать архитектуру самозащиты. В итоге, мы получим следующие признаки, свойственные данному механизму и его реализации:

1. Защита собственных файлов и директорий
   
   • Обычно реализована файловым фильтром уровня ядра.
2. Защита собственных конфигурационных данных в реестре
   
   • Реализуется при помощи совокупности перехватов и/или RegistryCallback-интерфейса ядра.
3. Защита интерфейсов антивируса
   
   • Контроль доступа к различным управляющим интерфейсам в ring0.
4. Защита собственных процессов
   
   • Реализации варьируются, это может быть совокупность различных перехватов системных функций ядра, типов объекта, использование callback’а на создание процесса.

• Глобальное отключение/блокирование антивируса
• Манипулирование белыми списками
• Скрытое функционирование в супер-привилегированном процессе
• Обход правил межсетевого экрана
• …

Методология тестирования

Рассматриваемые антивирусные решения

Среда тестирования

Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMware. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/AMD-V).

Применяемые техники

Для данного исследования было применено несколько универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО.

Все техники, используемые в данном тестировании, доступны на открытых ресурсах Интернета на протяжении 1-3 лет. Их код не демонстрируется намеренно. Ссылки на публичные источники, описывающие данные техники, могут быть предоставлены только антивирусным компаниям только по их официальному запросу.

Были выбраны такие техники, как: ProxyInject, Duplicate Handle, Reparse Point, PageFile, RegSafe/RegRestore и Shim Engine. За более подробным описание техник советуем обратится к оригинальному тексту исследования “Самозащита антивирусов”.
И для тестирования была использована специальная программа, которая получает на вход в качестве параметров данные о технике и цели.

Результаты

При определенной постановке задачи такие же техники применяются нашими специалистами в ходе тестов на проникновение. В процессе работы приходится как использовать ранее упомянутые, так и разрабатывать новые методики.

Стоит понимать, что, помимо данных техник, существует множество других (недоступных публично), которые также нацелены на внедрение в работу антивирусного продукта или на прекращение его работы. И естественно, есть универсальные инструменты и ориентированные на конкретный антивирусный продукт.

Выводы

Таким образом, результаты тестирования с определенной методологией на данной выборке техник выявили весьма интересный результат: отечественный антивирусный разработчик более качественно улучшал и строил свою оборону, нежели это делали иностранные вендоры.

Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры.

Стоит также отметить, что, несмотря на все результаты, архитектура в целом не изменяется, и разработчики реагируют на произошедшие атаки постфактум и защищаются от уже известных механизмов атак. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.

Существует множество факторов, которые необходимо учитывать при выборе оптимального антивируса в соответствии с имеющимися потребностями. Когда на карту поставлена безопасность информации, в том числе персональных данных, стоит уделить некоторое время оценке каждого антивирусного продукта. Некоторые антивирусы можно скачать бесплатно и попробовать, прежде чем доверять им свои данные.

К сожалению, не все антивирусы обеспечивают требуемый уровень защиты от вредоносных программ. Даже 10 самых популярных на рынке антивирусных программ, если их оценить по приведенным ниже критериям, могут получить очень разные баллы.

• Надежность
  Даже самый качественный антивирус может оказаться абсолютно бесполезным, если он конфликтует с другим программным обеспечением, работающим на компьютере. Если в результате такого конфликта возникает сбой или временная остановка процессов антивирусной защиты, система может стать уязвимой.
  
• Удобство использования
  Если для повседневной работы антивируса требуются особые навыки, он может оказаться непрактичным для многих пользователей. Любой антивирусный продукт, который неудобен в использовании, задает пользователю слишком много вопросов или требует принятия сложных решений, увеличивает возможность «ошибок оператора». В некоторых случаях, если антивирусом слишком сложно управлять, пользователь может просто отключить его.
  
• Комплексная защита
  Антивирусная программа должна обеспечивать постоянную защиту для всех компьютеров, всех типов файлов и всех элементов сети, которые могут стать целью вредоносной атаки или других вредоносных программ . Программа должна уметь обнаруживать вредоносный код и обеспечить безопасность всех каналов передачи данных на компьютере, включая электронную почту, интернет, FTP и т.д.
  
• Качество защиты
  Антивирусы должны уметь работать в постоянно меняющейся агрессивной среде с новыми вирусами, червями и троянцами, которые становятся все сложнее. Кроме этого, антивирусные программы могут включать новые способы борьбы с угрозами. Качество защиты частично зависит от следующих факторов:

Другие статьи и ссылки, связанные с антивирусными решениями

Выбор антивирусного решения

Существует множество факторов, которые необходимо учитывать при выборе оптимального антивирусного решения в соответствии с имеющимися потребностями.

Уровень детектирования

Основной показатель качества защиты. Антивирус должен уметь распознавать максимально большое количество существующих вредоносных программ — именно в этом и состоит его работа. При этом он должен уметь распознавать новые модификации уже известных вирусов, червей и троянцев, искать их даже в упакованных файлах (модифицированных программами упаковки исполняемых файлов), проверять содержимое архивов и инсталляторов.

Но это не совсем так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Основной вопрос — от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.

К сожалению, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных программ на сегодняшний день.

Регулярность и частота обновлений

Антивирус должен регулярно обновляться — поскольку активность компьютерных злоумышленников растёт год за годом, то увеличивается как количество новых вредоносных программ, так и частота их появления. Далеко не всегда антивирусы способны остановить новые, ранее неизвестные вирусы и троянские программы проактивными методами. По этой причине антивирус должен уметь оперативно реагировать на новые вредоносные программы.

Корректное удаление вирусного кода и последствий заражения

Баланс: производительность или полноценная защита?

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Для того чтобы защищать компьютеры, антивирусным программам требуется производить некоторые действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше отъедается ресурсов компьютера (это как железная дверь: чем она толще, тем лучше защищает, однако открывать-закрывать ее становится тем сложнее, чем больше тонн металла в неё заложено). В результате появляется проблема баланса: полноценная защита или скорость работы.

Совместимость дублирующих антивирусных программ

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

Номер Вопрос Ваш ответ Время Результат
1 Можно ли «украсть» цифровую подпись, чтобы затем использовать ее в функционале вируса? да 00:15 Да
2 Использование ActiveX в браузере рекомендуется ограничивать по причине: они дают интернет-ресурсу возможность напрямую устанавливать необходимые элементы на ПК 00:24 Да
3 Вирус от троянца отличается тем, что: умеет размножаться 00:28 Да
4 ПК не может загрузиться с USB, но при этом точно известно, что флешка исправна. Как быть? изменить параметры BIOS, чтобы ПК обрабатывал флешку как первичный жесткий диск 00:17 Да
5 Каким способом можно проверить подлинность файла? 1. проверить md5-сумму, сравнив с имеющимися данными о файле 01:46 Да
6 Какой суффикс имеет троянец, встраивающий себя в другие процессы? Inject 02:50 Да
7 MSConfig работает с: ini-файлами 00:13 Да
8 Если антивирус не обновляется три дня подряд, причиной этому может быть: вирус заблокировал доступ антивируса к сети 00:27 Да
9 Ntuser.dat — это: файл реестра. Для активного пользователя — куст HKEY_CURRENT_USER 01:34 Да
10 Выберите верное утверждение: существуют мультиплатформенные руткиты 00:27 Да
11 Файл C:\Windows\System32\config\system это: файл реестра. Куст HKEY_LOCAL_MACHINE\System 01:10 Да
12 К ПК подключен съемный жесткий диск, флеш-карта и USB-модем. Какие устройства могут стать источником заражения вирусами? верны ответы 1, 2, 3 00:20 Да
13 UAC — это: система контроля учетных записей 00:09 Да
14 Файл C:\Windows\System32\config\system это: файл реестра. Куст HKEY_LOCAL_MACHINE\System 01:34 Да
15 Dr.Web CureIt! можно бесплатно использовать: для лечения домашнего ПК/ноутбука 00:39 Да
16 На ядре какой ОС основаны Dr.Web LiveCD и Dr.Web LiveUSB? Linux 00:07 Да
17 О чем может свидетельствовать невозможность загрузки в безопасном режиме и появление BSOD при попытке входа в него? система заражена Win32.Sector 01:48 Да
18 Выберите верное утверждение: существуют мультиплатформенные руткиты 01:23 Да
20 Какие из указанных файлов расположены не в стандартных местах? верны ответы 3, 4 01:50 Да
21 MSConfig работает с: ini-файлами 00:49 Да
22 В чем причины быстрого распространения червей и вирусов по LAN? верны ответы 1, 3, 5 00:31 Да
23 Какой хеш-функции для определения подлинности файлов не существует? md-3 01:28 Да
24 Стандартные почтовые порты — это: 110 и 25 00:27 Да
25 Нажатие какой кнопки может понадобиться для входа в BIOS? верны ответы 4, 5 00:06 Да
26 UAC необходим для: противодействия доступа к ресурсам системы со стороны вредоносных программ 01:10 Да
27 Ярлык в папке автозагрузка ведет не туда, куда положено, исходя из его названия (запускает иную программу). Это может быть связано с тем, что: все ответы верны 00:11 Да
28 BHO встречаются в: Internet Explorer 00:42 Да
29 Что представляет собой Origins Tracing? антивирусная технология «поиска похожести» 01:36 Да
30 Какие действия можно проводить с кустами реестра? загружать 00:32 Да
31 Shark-режим нужно использовать для: поиска неизвестных вирусов и руткитов 00:51 Да
32 Как вирусы могут использовать файл Userinit? подменить вирусным файлом, включающим системный функционал 01:03 Да
33 В каком файле хранится куст реестра HKEY_LOCAL_MACHINE\SOFTWARE? C:\Windows\System32\config\software 03:10 Да
34 Нажатие какой кнопки может понадобиться для входа в BIOS? верны ответы 4, 5 00:11 Да
35 Вирус от троянца отличается тем, что: умеет размножаться 00:12 Да
36 Ярлык в папке автозагрузка ведет не туда, куда положено, исходя из его названия (запускает иную программу). Это может быть связано с тем, что: все ответы верны 00:13 Да

Drive

специалист по антивирусной системе защиты предприяти

Выберите верное утверждение:
3) оба утверждения верны -Да
Система сбора информации, используемая в антивирусном решении, должна:
2) максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию-Да
Если компания использует решения на основе ОС Linux или Мас OS X, то
4) верны ответы 2 и 3-Да
Большинство современных вредоносных программ разрабатываются:
3) хорошо организованными преступными сообществами-Да
Использование централизованной системы обновлений позволяет
1) в режиме реального времени контролировать отсутствие известных уязвимостей на защищаемых рабочих станциях и серверах-Да
Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через съемные носители информации,должна включать:
1) систему ограничения доступа со сменных носителей информации — для исключения возможности проникновения вирусов с флешек-Да
Проверка компьютера антивирусным сканером позволяет:
1) найти и обезвредить все вредоносные программы на жестком диске-Да
Для атак на компьютерные:
3) оба ответа верны-Да
Для максимальной защиты антивирус должен:
3) уметь и то и другое -Да
Если компания хочет надежно защитить рабочие станции сотрудников, то:
1) только антивируса (файлового монитора) недостаточно для предотвращения заражения-Да
Если троянец-блокировщик заблокировал Windows:
4) верны ответы 2 и 3-Да
В связи с тем, что наиболее опасные вредоносные программы не обнаруживаются антивирусами в момент заражения:
1) используемый антивирус должен иметь систему самозащиты, способную противостоять попыткам вредоносной программы нарушить-Да
Компания арендует файловый сервер в дата-центре. Для связи с сервером не используется защищенный канал?
2) антивирусы для файловых серверов и для интернет-шлюзов, что не позволит получить,-Да
Антивирусы определяют вредоносные программы только по сигнатурам (записям в вирусных базах)?
2) нет, по записям невозможно поймать наиболее сложные вредоносные программы — в том числе изменяющиеся при каждом запуске — полиморфные-Да
Почему мнение о том, что антивирус должен обнаруживать 100% вирусов — неверное?
5) верны ответы 1 и 3 -Нет
Система контроля и ограничения доступа, препятствующая активации вредоносной программы, еще неизвестной антивирусу, должна включать: да)
5) все ответы верны -Да
Если компания использует не подключенные к сети компьютеры, то:
2) использование антивируса для них обязательно, так как вирусы могут проникать иными путями — например, с флеш-носителей-Да
Компания использует файловый сервер под управлением ОС Unix. На сервере установлен сервис Samba.?
2) антивирус для файловых серверов и антивирус для защиты самого сервера — для защиты как файлов ОС Unix, так и файлов, обрабатываемых сервисом Samba-Да
Чем опасны уязвимости нулевого дня?
2) вирусы проникают на компьютеры через эти уязвимости, т. к. те либо еще не закрыты-Да
18. Для исключения установки неизвестных, а также вредоносных программ:
1) работа пользователя должна происходить только под учетной записью с ограниченными правами-Да
Каким образом на компьютере, изолированном от локальной сети, могут появиться вирусы?
4) все ответы верны -Да
Для обнаружения вредоносных программ:
2) кроме файлового монитора необходимо также использовать систему проверки трафика. Должны проверяться все поступающие из локальной сети файлы до момента получения их используемыми приложениями-Да
Система защиты от вредоносных программ, включающая только антивирус:
2) не может защитить от наиболее опасных вредоносных объектов, протестированных злоумышленниками на актуальных версиях антивирусных программ перед выпуском «в дикую природу»-Да
Почему сравнительные тестирования антивирусов на обнаружение с использованием коллекций вредоносных объектов не отражают реальную картину?
4) верны ответы 2 и 3 -Да
Какой антивирусный продукт требуется для защиты тонких клиентов, подключающихся к терминальному серверу?
1) никакой, т. к. тонкий клиент не имеет жесткого диска, и единственная его функция — подключение к терминальному клиенту, так что защищать там нечего-Да

Читайте также:

  
• Поменять камеру на ноутбуке
  
• Как загрузить вертикальное видео на ютуб с компьютера
  
• Память сидений шкода кодиак как настроить
  
• This application requires a java runtime environment что делать
  
• Звуковая карта infrasonic amon обзор