>

Защита конечных устройств, или почему антивирус не панацея. Антивирусы против эксплойт-пака Импорт и экспорт настроек

Эксплуатация уязвимостей в программном обеспечении на стороне конечного пользователя стала одним из основных трендов на черном рынке. Аналитические компании прогнозируют стабильный рост доходов киберпреступников от услуг предоставления средств компрометации. Взглянем на антивирусную защиту с позиции обладателя топовой связки сплоитов.

Для тех, кто не осилил: краткое содержание

Мы арендовали новейший Blackhole (пришлось тряхнуть мошной, но чего не сделаешь ради науки), установили новейшие версии топовых антивирусов и проверили, кто из них чего стоит в деле борьбы с новейшими эксплойтами. Благодаря тому, что в наших руках оказалась и консоль эксплойт-пака, и рабочая машина с антивирусом, мы смогли оценить антиэксплойт-эффективность абсолютно достоверно. А еще мы сняли про все это дело видео. Короче, читай, не ленись!

Методика тестирования

В числе топовых на черном рынке эксплойт-паков сейчас находится Blackhole. В одном из прошлых номеров мы о нем уже писали, а успех этого продукта определяется прежде всего его «навороченностью» и обилием различных технологий борьбы с антивирусным ПО, гибкой системой перенаправления трафика (так называемой TDS), интерфейсом консолидации и вывода статистической информации. Именно последнюю версию (на момент написания статьи) этого сплоит-пака мы и будем использовать для тестирования антивирусных решений, участвующих в обзоре.
Матрица рынка киберпреступлений

Тестовый стенд будет представлять собой среднестатистическую конфигурацию пользовательской рабочей станции с предустановленной ОС Windows 7 Ultimate Edition (дефолтовые настройки безопасности) с предустановленным ПО: Adobe Flash Player 10.x (не самая последняя версия, но самая распространенная), Java JDK/JRE 1.6.0.25, Adobe Acrobat 10.x., Internet Explorer 8.0.x.

Методика тестирования простая: заходим по вредоносной ссылке, которая содержит сплоит-пак Blackhole v 2.0.1, и наблюдаем результат. Если дроппер связки успешно загрузил наш notepad.exe, значит, система скомпрометирована, а если окно «Блокнота» не появилось, то проводим разбор полетов (уведомил ли антивирус пользователя и так далее), после чего делаем выводы.

Kaspersky Internet Security

В то время как корпорация Microsoft ищет универсальные способы борьбы с эксплойтами на уровне ОС (технологии ASLR и DEP оказались недостаточно совершенными), объявляя гонорары разработчикам, компания «Лаборатория Касперского» идет в этом направлении своим путем, анонсируя технологию «автоматизированной защиты от эксплойтов», которая, судя по тестам лаборатории MRG Effitas, показывает достойные результаты. Методология этого тестирования заключалась в использовании фреймворка Metasploit и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора («уязвимости нулевого дня»). Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.

Технология «автоматическая защита от эксплойтов» (AEP) основана на поведенческом анализе уже известных экземпляров этого вида вредоносного ПО, а также данных о текущем состоянии приложений, которые находятся в зоне «риска» и пользуются большим вниманием со стороны злоумышленников. Также AEP усиливает встроенные средства рандомизации адресного пространства (ASLR) операционной системы Windows. В сочетании с традиционными методами защиты (сигнатурный анализ, контентная фильтрация и облачные сервисы) в реальных условиях эта технология имеет большой потенциал отражения атак, основанных на эксплуатации уязвимостей в стороннем программном обеспечении.

Полностью независимым данное тестирование назвать сложно по той причине, что его инициатором выступила «Лаборатория Касперского», а значит, инновация по понятным временным причинам на момент тестов не имела аналогов. Посмотрим, как пользовательская защита «Kaspersky Internet Security 2013» выглядит со стороны злоумышленника. Отправляем браузер пользователя, рабочая станция которого находится под активной защитой данного продукта, по вредоносной ссылке, где находится наша связка. Процесс загрузки сразу же прерывается сообщением о вредоносном объекте. Вывод: 1day и прочие уязвимости из базы Blackhole exploit kit не прошли, эксплуатация уязвимости останавливается благодаря усиленной рандомизации адресного пространства, и дроппер связки попросту не инициализируется.

ESET Smart Security

Второй по доле рынка в России представитель антивирусной индустрии не делает прямых заявлений о борьбе с эксплойтами, а распределяет эту узкоспециализированную функцию по технологиям ESET Live Grid, ESET ThreatSense и ESET ThreatSense.Net. Первая представляет собой распределенный аналитический центр, который собирает данные о параметрах работы целевой информационной системы и проходящих в ней подозрительных процессах и оценивает риск каждого запущенного приложения на основе репутационной системы.

Технология ThreatSense - технология расширенной эвристики, которая непосредственно борется с инициализацией полезной нагрузки при эксплуатации уязвимости. При помощи результатов эвристических методов в сочетании с результатами эмуляции («песочница») и сигнатурных методов обнаружения вредоносного кода антивирусное программное обеспечение определяет, есть ли попытки заражения. Эффективность ThreatSense и расширенной эвристики демонстрируют отчеты о сертификации, предоставляемые независимым институтом IT-безопасности AV-TEST: в разделе «Защита» (именно в этом разделе отчета определяется способность программного продукта защищать рабочую станцию от начальной стадии жизненного цикла вредоносного ПО) антивирус успешно определил 90% экземпляров эксплойтов, использующих «уязвимости нулевого дня». Примечательно, что антивирусное решение «Лаборатории Касперского», проходившее сертификацию AV-TEST в этот же временной интервал (сентябрь - октябрь 2012 года), успешно определило 98% экземпляров аналогичного набора эксплойтов. Впрочем, известно, что самое честное тестирование антивирусы проходят в нашей хакерской лаборатории, поэтому давай закончим рассказывать о чужих результатах и посмотрим на свои собственные.

Переход по вредоносной ссылке для антивирусного решения компании ESET видимой реакции не вызывает - нет никаких уведомлений и записей в лог-файлах о том, что была обнаружена попытка эксплуатации уязвимости. Однако исполняемый файл «Блокнота» не загружен, из чего следует предположение, что антивирусное ПО не позволяет сплоиту отработать.

Norton Internet Security

Компания Symantec - первопроходец в технологии использования облачной инфраструктуры для защиты от вирусных угроз. Так называемая защита SONAR (Symantec Online Network for Advanced Response) предназначена для предотвращения последствий эксплуатации 0-day-уязвимостей с помощью поведенческого анализа целевых приложений и рейтинговой системы оценки уровня опасности. Один из ключевых факторов в реализации данной технологии - показатель уровня доверия сообщества (Norton Community Watch). Антивирусное приложение решает, принадлежит ли тот или иной файл к вредоносной среде, учитывая результаты статистических данных, получаемых от единой пользовательской базы знаний Norton Community Watch.

Отчет о сертификации AV-TEST последней версии продукта Symantec Norton Internet Security 2013 демонстрирует эффективность защиты SONAR версии 4.0 в 96% атак, направленных на эксплуатацию уязвимостей нулевого дня, векторами которых выступали веб-приложения, содержащие вредоносный код, и электронная почта. Данные, которые содержатся в разделе «Защита» отчета, также позволяют сделать вывод об оперативности обновления информации о новых образцах вредоносного кода в облачной базе знаний: ни один из конкурирующих в российском сегменте продуктов не показал стопроцентной защиты от известных экземпляров вредоносных программ, обнаруженных за последние два-три месяца. Примечателен и тот факт, что облачная инфраструктура SONAR оказалась на втором месте по уровню продуктивности в борьбе с эксплойтами, которую организовала компания MRG Effitas, и показала второй результат в тестировании после технологии AEP от «Лаборатории Касперского».

Отправленный по вредоносной ссылке, содержащей сплоит-пак, браузер пользователя спрашивает разрешение на выполнение Java-кода устаревшим плагином, и после положительного ответа мы наблюдаем его работу: связка благополучно эксплуатирует уязвимость и в качестве показателя своей успешной работы перенаправляет нас на страницу редиректа. Где все это время был Norton Internet Security? Ни одного уведомления о какой-либо подозрительной активности, никакой реакции на эксплуатацию. Однако дроппер связки не запускает наш notepad.exe. Причины этого потеряны где-то в недрах «молчаливого» продукта от Symantec. Панель статистики Blackhole сообщает нам об успешной загрузке нашего файла жертве.

Другие представители индустрии

Менее 13% рынка антивирусной защиты в России делят между собой такие вендоры, как «Доктор Веб», Trend Micro, McAfee и другие игроки. Прямых заявлений или анонсов технологий борьбы с эксплойтами от этих компаний за последний год в средствах массовой информации замечено не было, однако продукт Panda Cloud Antivirus, чей объем продаж в российском сегменте не попадает даже в долю погрешности, начиная с версии 2.1 имеет в наличии механизмы борьбы с данным типом угроз.

Облачная база знаний, где каждый пользователь может внести свой вклад, напоминает описанную выше инфраструктуру SONAR от Symantec. Технология Panda Security, основанная на распределенной среде, в настоящее время, по данным из отчетов AV-TEST, демонстрирует свои возможности в определении 0-day-эксплойтов в среднем лишь в 80–85% атак в зависимости от версии своего продукта. Возможно, эти цифры связаны с небольшой, но стабильно пополняющейся базой пользовательских сенсоров, на которые опирается данная технология.

Резюме

Встроенные средства Windows для борьбы с эксплуатацией уязвимостей «нулевого дня» не справляются с текущими версиями вредоносного кода, который пишется квалифицированными злоумышленниками. Техники обхода защит DEP (предотвращение выполнения данных) и ASLR (технология рандомизации адресного пространства) с успехом применяются в новых видах эксплойтов.

Kaspersky Internet Security 2013 отлично продемонстрировал свою технологию в действии, не дав сплоит-паку проэксплуатировать уязвимость на стороне пользователя и проинформировав последнего о наличии вредоносного содержимого. Norton Internet Security, в свою очередь, позволил эксплойту отработать и загрузить дроппер, но инициализация вредоносного кода (в нашем случае это был исполняемый файл notepad.exe) завершилась неудачей, причина которой так и осталась для пользователя загадкой - продукт не вывел никаких уведомлений и не отчитался о своих действиях. То же можно сказать и о продукте ESET, который «тихо», но, в отличие от Norton Internet Security, остановил загрузку вредоносного файла на сторону жертвы.

Денис Макрушин, ведущий специалист Cload.ru , defec.ru

Эксплойты представляют из себя особый вид вредоносного ПО, которое используется злоумышленниками для установки различных троянских программ или бэкдоров на компьютер пользователя. Такая операция установки с использованием эксплойтов осуществляется незаметно для пользователя, что дает злоумышленникам неоспоримые преимущества. Эксплойт пытается использовать уязвимость в том или ином компоненте ОС для проведения подобной операции.

Для пользователя наиболее опасным сценарием является использование злоумышленниками эксплойта, который позволяет удаленно установить код в ОС. В таком случае человеку достаточно посетить скомпрометированный веб-ресурс для заражения вредоносным кодом (drive-by). Если на вашем компьютере установлена уязвимая версия ПО: браузера или плагинов к нему, то вероятность того, что вы сможете заразиться вредоносным кодом очень высока.

Обновлять ОС, а также установленное ПО является хорошей практикой поскольку производители регулярно закрывают вновь появляющиеся в нем уязвимости. К числу компонентов, через которые пользователь подвергается особому риску, можно отнести следующие:

  • Браузеры (MS Internet Explorer, Google Chrome, Apple Safari OS X, Mozilla Firefox и др.).
  • Плагины для браузеров (Adobe Flash Player, Oracle Java, MS Silverlight).
В случае особых таргетированных атак или атак типа «watering hole», злоумышленники могут использовать 0day уязвимости в ПО и ОС. Подобное название носят уязвимости, которые на момент использования их злоумышленниками еще не были закрыты вендором.

Антивирусные продукты умеют обнаруживать эксплойты по сигнатурам. Таким образом он позволяет защитить пользователя от вредоносного контента на лету, заблокировав соответствующую веб-страницу с вредоносным содержимым.

Современные выпуски Microsoft Windows: Windows 7, 8 и 8.1 имеют встроенные механизмы, которые позволяют защитить пользователя от деструктивных действий эксплойтов. К таким возможностям относятся:

  • Механизмы DEP & ASLR , которые значительно затрудняют возможность эксплуатирования той или иной уязвимости в ПО и ОС за счет наложения ограничений на использование памяти не подлежащей исполнению и размещение программ в памяти по произвольным адресам. DEP & ASLR на Windows 7+ используются на максимально возможном уровне.
  • User Account Control, UAC , который был доработан начиная с Windows 7 и требует подтверждение от пользователя на запуск программ, которым необходимо изменение системных настроек и создание файлов в системных каталогах.
  • Фильтр SmartScreen для ОС (начиная с Windows 8 для ОС), который помогает предотвратить загрузку вредоносного ПО пользователем из интернета на основе его репутационной информации Microsoft.
  • Специальный «расширенный защищенный режим» (Enhanced Protected Mode) для браузера Internet Explorer (начиная с IE 10). На Windows 8 позволяет запускать вкладки браузера в контексте изолированных процессов, которые ограничены в выполнении определенных действий. Для Windows 7 x64 позволяет запускать вкладки браузера как отдельные 64-битные процессы.

PDF-файлы

Файлы, предназначенные для открытия в программах Adobe Reader, Acrobat имеют формат PDF и являются достаточно опасными, особенно, если получены из неблагонадежных источников. Adobe расширили PDF до маскимально возможного уровня, позволяя встраивать туда всевозможное содержимое. Одним из основных преимуществ использования документов в формата PDF является кроссплатформенность при условии доступности ридера (Adobe Reader) для необходимой вам платформы.

Во многих случаях злоумышленники используют именно вредоносные PDF-файлы для доставки вредоносных программ пользователю. В случае если используемая версия Adobe Reader является уязвимой, существует высокая вероятность заражения компьютера.

В виду высоких рисков использования PDF-документов из небезопасных источников, а также учитывая нерасторопность пользователей в вопросах безопасности, современные версии Adobe Reader имеют специальный «Защищенный режим» просмотра документов или «sandboxing» (Защита в изолированной программной среде). При использовании такого режима, коду из PDF файла полностью запрещается выполнение определенных потенциально опасных функций.


Рис. Настройки режима «sandbox» в Adobe Reader.

По умолчанию защищенный режим находится в отлюченном состоянии. Несмотря на активную галочку «Включить защищенный режим при запуске», он выключен поскольку опция использования этого режима находится в состоянии «Отключен». Соответственно после установки программы крайне рекомендуется перенести эту настройку в режим «Для файлов из потенциально небезопасных источников» или «Все файлы».

Обратите внимание, что при включении защищенного режима, Adobe Reader отключает ряд функций, которые могут быть использованы в PDF-файлах. Поэтому при открытии файла вы можете получить следующее уведомление.

Рис. Всплывающая подсказка, указывающая на активный защищенный режим просмотра.

В случае если вы уверенны в происхождении этого файл, вы можете активировать все его функции нажав соответствующую кнопку.

Adobe Flash Player

Злоумышленники очень любят Adobe Flash Player. Поскольку его плагины для проигрывания содержимого используются во всех браузерах, поиск уязвимостей в нем и последующеее их использование во вредоносных целях является крайне приоритетной задачей у злоумышленников.

Как и другое ПО от Adobe, Flash Player регулярно обновляется в рамках выпускаемых компанией серий обновлений (Adobe Security Bulletins). Большинство из этих уязвимостей имеют тип Remote Code Execution, это говорит о том, что злоумышленники могут использовать ту или иную уязвимость для удаленного исполнения кода.

Производители веб-браузеров как и Adobe не сидят на месте и встраивают специальные механизмы защиты от эксплойтов, которые используют плагины Flash Player. Такие браузеры как MS Internet Explorer (v10 на Windows 8), Google Chrome и Safari OS X (новейшей версии) запускают проигрыватель Flash Player в контексте sandbox-процесса (т. е. песочницы), ограничивая доступ этому процессу ко многим системным ресурсам, местам в файловой системе и работе с сетью.

Очень важной функцией является своевременное обновление плагина Flash Player для браузера. Такие браузеры как Google Chrome и Internet Explorer 10 автоматически обновляются с выходом новой версии Flash Player, таким образом проигрыватель для них будет обновлен автоматически.

Для проверки вашей версии Adobe Flash Player воспользуйтесь офиц. источником Adobe .

Кроме этого, браузеры поддерживают возможность полного отключения плагина Flash Player, для запрещения браузеру проигрывать подобное содержимое. Мы уже писали развернутую статью о проблемах использования плагина Java в браузерах . Отключение плагина Flash Player производится аналогичным образом.

Для Google Chrome.

«Настройки»->«Показать дополнительные настройки»->«Настройки контента»-> «Отключить отдельные модули».

Для Internet Explorer.

«Сервис»->«Настроить надстройки».

ESET Exploit Blocker

Является надстройкой над проактивной защитой в новейших версиях антивирусных продуктов седьмого поколения ESET Smart Security и ESET NOD32 Antivirus. В отличие от обычного статического обнаружения по сигнатурам, модуль Exploit Blocker анализирует поведение приложения на предмет совершения им подозрительных действий и приемов, которыми пользуются эксплойты. После обнаружения подобных действий, они подвергаются анализу и вредоносный процесс немедленно блокируется. Некоторые подобные действия подвергаются дополнительному анализу в нашем облаке, что предоставляет дополнительные возможности по защите пользователей от таргетированных атак и атак с применением 0day эксплойтов.

MS Internet Explorer и Google Chrome

Мы уже писали в начале нашего материала, что наиболее предпочтительным методом атаки на пользователей для злоумышленников является удаленное исполнение кода через браузер (drive-by download). Так или иначе, вне зависимости от установленных плагинов сам браузер может содержать и, потенциально, содержит определенное количество уязвимостей. Если уязвимость уже исследована разработчиками и для нее выпущено обновление, пользователь может установить обновление и не беспокоиться, что злоумышленники скомпрометируют его ОС. С другой стороны, если злоумышленники используют еще неизвестную уязвимость, т. е. ту, которая не была закрыта (0day), ситуация для пользователя осложняется.

Многие современные веб-браузеры и ОС имеют в своем составе технологию изоляции процесса приложения, не допуская таким образом выполнения каких-либо действий, которые браузеру выполнять не положено. В общем случае такая техника называется sandboxing и позволяет накладывать ограничения на действия, выполняемые процессом. Одним из примеров такой изоляции является тот факт, что современные браузеры (напр. Internet Explorer и Chrome) исполняют свои вкладки как отдельные процессы в ОС, позволяя таким образом задавать разрешение на выполнение тех или иных действий конкретной вкладке, а также обеспечивая стабильность работы самого браузера. В случае, если одна из вкладок зависнет, пользователь может завершить ее не завершая другие.

В современных версиях браузера MS Internet Explorer (IE10 & 11) имеется специальная технология sandboxing, которая называется «Enhanced Protected Mode» (Расширенный Защищенный Режим). Этот режим позволяет ограничивать действия процесса вкладки или плагина и таким образом затруднять возможности эксплуатации браузера для злоумышленников.


Рис. Режим sandboxing для Internet Explorer, который стал доступен начиная с 10-й версии.

Enhanced Protected Mode (EPM) был доработан для Windows 8. Если вы используете EPM в Windows 7 x64, то эта возможность обеспечивает запуск вкладок браузера как 64-битных процессов (по умолчанию IE запускает свои вкладки как 32-битные процессы). Заметьте, что по умолчанию EPM выключен.


Рис. Демонстрация работы EPM на Windows 7 x64 [с использованием MS Process Explorer ]. С включенной опцией, процессы вкладок браузера запускаются как 64-битные, что затрудняет их возможность эксплуатации для установки вредоносного кода.

Начиная с Windows 8, Microsoft ввели поддержку изоляции действий процесса (sandboxing) на уровне ОС. Технология получила название «AppContainer» и позволяет максимально возможно использовать преимущества такого режима для EPM. Процессы вкладок Internet Explorer с активной функцией EPM работают в режиме AppContainer. Кроме этого, в Windows 8 режим EPM включен по умолчанию.

Рис. Демонстрация работы EPM на Windows 8, для вкладок включен AppContainer (aka sandboxing).


Рис. Различия в работе EPM на Windows 7 & 8.

Google Chrome как и IE также имеет специальные возможности по предотвращению атак типа drive-by download. Но в отличие от него, режим sandboxing для Chrome работает постоянно и не требует дополнительных действий по его включению со стороны пользователя.

Режим sandboxing для Chrome означает, что процессы вкладок запускаются с пониженными привилегиями, что не позволяет им выполнять различные системные действия.


Рис. Режим sandboxing как он реализован в Google Chrome. Почти все идентификаторы безопасности пользователей групп SID в маркере доступа имеют статус Deny, что запрещает процессу выполнять важные системные функции, разрешенные этим группам.


Рис. Chrome использует специальный объект задания, в который включаются все процессы браузера. Объект позволяет ограничивать действия приложения по отношению к ресурсам ОС, препятствуя эксплуатирование браузера злоумышленниками.

Кроме этого режима, Google Chrome имеет возможности по блокированию вредоносных URL-адресов или сайтов, которые были занесены в черный список Google как распространяющие вредоносное ПО (Google Safe Browsing). Такая возможность похожа на базу URL в Internet Explorer SmartScreen.


Рис. Google Safe Browsing в Google Chrome в действии.

По отношению к браузеру и ОС представляет из себя виртуальную машину (или среду JRE) для исполнения приложений Java. Платформенная независимость таких приложений делает Java очень популярной в использовании, на сегодняшний день ее используют на более чем трех млрд. устройств.

Как и прочие плагины к браузеру, плагин Java является достаточно привлекательным к использованию для злоумышленников, а учитывая предыдущий опыт использования ими уязвимостей можно сказать, что Java представляет из себя наиболее опасный компонент из всех других плагинов браузера.

В нашем ранее опубликованном материале о проблемах использования Java на вашей системе мы писали каким образом можно отключить этот плагин для различных браузеров в случае, если вы не пользуетесь приложениями Java и не хотите подвергать себя опасности.

Когда вы используете Java на Windows, то настройки безопасности этой программы можно регулировать с использованием апплета на панели управления. Кроме этого, новейшие ее версии позволяют настраивать параметры безопасности более детально, что позволяет запускать только доверенные приложения.


Рис. Настройки обновлений для Java. Проверка обновлений включена по умолчанию, пользователь уведомляется перед операцией их загрузки.

Для полного отключения Java во всех используемых в системе браузерах следует снять настройку «Enable Java content in the browser» в апплете Java.


Рис. Снятие галочки «Enable Java content in browser» полностью отключает возможность использования плагинов в установленных браузерах.

Компания Microsoft выпускает бесплатный инструмент для пользователей, который поможет защитить ОС от методов атак, применяемых в эксплойтах.


Рис. Интерфейс EMET.

Инструмент Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR принудительно для нужных процессов (усилить защиту системы на более старых версиях ОС).

EMET настраивается отдельно для каждого приложения, т. е. чтобы защитить приложение через этот инструмент вам нужно задать его в соответствующем списке. Кроме этого имеется список приложений, для которых EMET включен по умолчанию, например, браузер Internet Explorer, Java, программы пакеты Microsoft Office.

Более подробную информацию об использовании EMET и обзор его возможностей см. на нашем корпоративном блоге .

Некоторые компоненты Windows, которым мы не уделяли особого внимание выше, также могут использоваться злоумышленниками для удаленного исполнения кода или повышения привилегий.


Рис. Статистика исправлений различных компонентов Windows в рамках месячных обновлений patch tuesday. Рейтинг показывает компоненты, которые обновлялись чаще остальных за первое полугодие 2013 года.

На приведенном выше рейтинге видно, что для браузера Internet Explorer закрывалось наибольшее количество уязвимостей, в рамках двенадцати обновлений было закрыто более пятидесяти уязвимостей, причем шесть из них имели статус is-being-exploited-in-the-wild на момент закрытия, т. е. находились в активной эксплуатации злоумышленниками.

Вторым наиболее исправляемым компонентом является известный драйвер подсистемы windows – win32k.sys, который обеспечивает работу графической системы ОС в режиме ядра. Уязвимости в этом компоненте используются злоумышленниками для повышения привилеги в системе, напр. обхода ограничений, накладываемых UAC.

Обратите внимание, что по умолчанию в Windows 7 & 8 имеется возможность автоматической доставки обновлений пользователю. Проверить обновления можно также через панель управления.

The Security Architecture of the Chromium Browser link
Understanding IE Enhanced Protected Mode link

Теги: Добавить метки

Некоторые пользователи столкнулись с необычно медленной работой, подтормаживанием пользовательского интерфейса в Windows 10. Вы заметили, что Проводник, открывает окна очень медленно, и вы видите, как окно открытой вами папки появляется поэтапно. Это может напоминать вам о проблемах с графическими драйверами, но в этом случае это не так. Проблема с медленной работой интерфейса системы затрагивает пользователей, установивших обновление Windows 10 Fall Creators.

Симптомы могут быть следующими:

  • Открытие нового окна Проводника занимает слишком много времени.
  • Вы практически видите, как поэтапно появляется окно.
  • Большие задержки при открытии папок.
  • Другие проблемы, связанные с пользовательским интерфейсом системы.
  • Диспетчер задач не показывает каких-либо аномальных действий приложения или ресурса. Все, кажется, так и должно быть. Даже тяжелые игры могут работать нормально.

Настоящая причина происходящего - обновленный Защитник Windows . Теперь приложение оснащено дополнительной защитой, защитой от вторжений с Control Flow Guard. Проблема с Защитой потока управления, является причиной такого поведения.

Это высоко оптимизированная функция безопасности, которая создана для борьбы с уязвимостями, связанными с повреждением памяти. Установив жесткие ограничения на то, где приложение может выполнить код, что значительно затрудняет выполнение эксплойтами произвольного кода с помощью таких уязвимостей, как переполнение буфера.

На данный момент, Единственный способ исправить эту проблему - отключить Control Flow Guard . Вот как это можно сделать.

Ускорение пользовательского интерфейса в Windows 10, избавляемся от задержек.

  1. Откройте Центр безопасности Защитника Windows . Вы можете открыть Центр безопасности защитника Windows из меню «Пуск» или с помощью приложения «Параметры» , нажав сочетание клавиш Win + I и перейдя Обновление и безопасность → Защитник Windows → Открыть центр безопасности защитника Windows.
  1. Нажмите «Управление приложениями и браузером» .

  1. Прокрутите вниз до «Защита от Эксплойтов» и нажмите на ссылку «Параметры защиты от эксплойтов» .

  1. На следующей странице, используя раскрывающийся список, установите опцию «Защита потока управления (CFG)» в положение «Выкл. по умолчанию» .

  1. Перезагрузите Windows 10.

Windows 10 Disable Control Flow Guard CFG

Это должно устранить все проблемы связанные с медленной работой графического интерфейса увеличив быстродействие Windows 10 Fall Creators Update.

Что вы думаете об этом регрессе? Многие из функций безопасности в Windows 10 хороши, но поскольку они появились совсем недавно, они не были хорошо протестированы. Теперь обычный пользователь является тестером.

На стадии разработки во все программы и сети встраиваются механизмы защиты от хакеров по типу замков, предупреждающих несанкционированные посягновения извне. Уязвимость же похожа на открытое окно, пробраться через которое не составит большого труда для злоумышленника. В случае с компьютером или сетью злоумышленники могут установить вредоносное ПО, воспользовавшись уязвимостью, с целью получить контроль или инфицировать систему в своих корыстных целях с соответствующими последствиями. Чаше всего все это происходит без ведома пользователя.

Как возникают эксплойты?

Эксплойты вызываются ошибками в процессе разработки программного обеспечения, в результате которых в системе защиты программ оказываются уязвимости, которые успешно используются киберпреступниками для получения неограниченного доступа к самой программе, а через нее дальше - ко всему компьютеру. Эксплойты классифицируются в соответствии с типом уязвимости, которая используется хакером: нулевого дня, DoS, спуфинг или XXS. Разумеется, разработчики программ в скором времени выпустят обновления безопасности с целью устранения найденных дефектов, однако до этого момента программа является по-прежнему уязвимой для злоумышленников.

Как распознать эксплойт?

Так как эксплойты используют бреши в механизмах безопасности программ, у рядового пользователя практически нет шансов определить их наличие. Именно поэтому чрезвычайно важно поддерживать установленные программы обновленными, в особенности своевременно устанавливать обновления безопасности, выпускаемые разработчиками программ. В случае, если разработчик ПО выпустит обновление безопасности для устранения известной уязвимости в своем ПО, но пользователь не установит его, то, к сожалению, программа не получит необходимые самые последние вирусные определения.

Как устранить эксплойт?

Ввиду того, что эксплойты являются последствием совершенных недочетов, их устранение входит в прямые обязанности разработчиков, поэтому именно авторы должны будут подготовить и разослать исправление ошибок. Тем не менее, обязанность поддерживать установленные программы обновленными и своевременно устанавливать пакеты обновлений, чтобы не дать хакерам шансов воспользоваться уязвимостями, лежит полностью на пользователе программы. Одним из возможных способов не пропустить самые свежие обновления - использовать менеджер приложений, который позаботится о том, чтобы все установленные программы были обновлены, или - что еще лучше - воспользоваться инструментом автоматического поиска и установки обновлений.

Как пресечь попытки хакеров воспользоваться уязвимостями сторонних программ
  • Убедитесь, что вы установили самые свежие обновления безопасности и патчи для всех программ
  • Чтобы быть в безопасности онлайн и оставаться в курсе событий, устанавливайте все обновления сразу после их выпуска
  • Установите и используйте антивирус класса премиум, который способен автоматически обновлять установленные программы
Обезопасьте себя от эксплойтов

Полагайтесь на здравый смысл и следуйте базовым правилам безопасной работы в Интернете. Хакеры могут воспользоваться уязвимостью только в том случае, если им удастся получить доступ к вашему ПК. Не открывайте вложения в подозрительных сообщениях и не загружайте файлы из неизвестных источников. Поддерживайте установленные программы обновленными, а также своевременно устанавливайте обновления безопасности. Если хотите максимально упростить эту задачу, скачайте антивирус Avast, который не только обеспечит надежную защиту от всех типов вредоносного ПО, но и поможет с установкой самых свежих обновлений для сторонних программ.

Число вирусов-вымогателей за прошлый год утроилось, а число выкупов увеличилось на 266% и в среднем по миру составило 1000 долларов с жертвы.

Яков Гродзенский , руководитель направления ИБ "Системного софта"

Объем конечных устройств, включая мобильные, в сетях предприятий за последние десятилетия вырос в разы. Этот рост проходит на удручающем ландшафте угроз: по отчету Symantec , ежедневно в глобальной сети появляется свыше миллиона вирусных образцов. Например, число вирусов-вымогателей за прошлый год утроилось, а число выкупов увеличилось на 266% и в среднем по миру составило 1000 долларов с жертвы.

Похоже, задача кибербезопасности эндпойнтов сегодня стала титанической и вряд ли реализуемой вручную и/или с помощью одного только антивируса.

И действительно, аналитики Gartner отмечают устойчивый тренд многоуровневой защиты конечных устройств , включая создание белых и чёрных списков программ, узлов и приложений и другие инструменты контроля в рамках полного цикла защиты. Что это значит, как гарантировать безопасность предприятия и действительно ли бизнесу недостаточно старых добрых антивирусов?

Попробуем разобраться.

Что такое Endpoint Security для компании и рынка?

От чего зависит зрелая стратегия защиты конечных устройств, если каждый девайс, подключенный к вашей корпоративной сети, по сути представляет собой “дверь” к ценным персональным и деловым данным?

Прежде всего от понимания, что ИБ-администрирование - явление комплексное, а конечные устройства - элемент ИТ- (и значит, ИБ-) инфраструктуры и вычленить, где заканчивается их защита и начинается защита, например, сети, фактически невозможно и бессмысленно.

То есть политики администрирования и сам протокол безопасности должны охватывать защиту всех элементов ИТ-инфраструктуры. А современная сеть предприятия соединяет множество конечных устройств, включая ПК, ноутбуки, смартфоны, планшеты, POS-терминалы… и каждое такое устройство должно отвечать требованиям доступа к сети. А это значит, что их киберзащита должна быть как минимум автоматизирована. Более того, соблюдение политик безопасности эндпойнтов с учетом растущего числа угроз сегодня требует использовать как минимум:

  1. файрволы для разных типов устройств;
  2. антивирусы для электронной почты;
  3. мониторинг, фильтрацию и защиту веб-трафика;
  4. управление безопасностью и защитные решения для мобильных устройств;
  5. контроль работы приложений;
  6. шифрование данных;
  7. средства обнаружения вторжений.

При этом рынок предлагает три основных решения защиты конечных устройств и их комбинации:

1. Традиционные антивирусы, основанные на сигнатурах. Дают стабильный результат - но лишь в пределах базы сигнатур. В силу невероятно большого числа вредоносных образцов она не может быть актуальной на 100% в каждый момент времени, плюс пользователь способен отключить антивирус на своей машине.
2. Endpoint Detection and Response (EDR) или обнаружение и реагирование на инциденты. Такие решения, например, KEDR от «Лаборатории Касперского», распознают индикаторы компрометации на конечном устройстве и блокируют и/или лечат его. Обычно эти системы работают только по факту взлома (вторжения) на устройство или в корпоративную сеть.
3. Advanced Endpoint Protection (AEP) или продвинутую защиту конечных устройств, которая включает превентивные методы защиты от эксплойтов и вредоносного ПО, контроль устройств и портов, персональные файрволы и так далее. То есть АЕР-решение борется с угрозами: угроза распознается и уничтожается еще до взлома, как, например, в Palo Alto Networks Traps, Check Point SandBlast Agent (это решение при обнаружении подозрительных активностей делает резервные копии) или Forticlient.

Но какого бы вендора или комбинацию сервисов вы ни выбрали, изначально стоит знать базовые правила оценки таких решений и построения эффективной стратегии киберзащиты конечных устройств в вашей сети.

Семь основных правил Endpoint-киберзащит ы

Правило первое. Защита должна обезвреживать всю цепочку атак.

По мнению аналитиков и представителей рынка киберзащиты, мыслить «вирусами и антивирусами» - провальная стратегия для предприятия, которое хочет защитить свой бизнес. Заражения и само вирусное ПО - лишь одно звено в куда более длинной цепочке, ведущей ко взлому корпоративных сетей.

И начинается она с попытки вторжения в вашу инфраструктуру. Соответственно, эффективная защита от вторжений сегодня содержит:

  1. средства тщательной проверки почтовых приложений (электронная почта по-прежнему лидирует как «инструмент доставки зловредов» на устройства пользователей);
  2. средства защиты от загрузки нежелательных приложений из интернета - 76% сайтов содержат неприятные уязвимости. Здесь поможет технология, анализирующая весь входящий и исходящий трафик и предлагающая защиту браузера, чтобы блокировать подобные угрозы до их запуска на конечном устройстве;
  3. мощную защиту самих конечных устройств, то есть сервис с контролем и приложений, и самого девайса.
  1. анализ репутации файлов и определение их ключевых атрибутов (изначальное местоположение файла и число его скачиваний). В идеале система отслеживает и изучает сотни ссылок и миллиарды связей между пользователями, сайтами и файлами, чтобы отследить распространение и мутацию зловреда и предотвратить атаку;
  2. продвинутые элементы машинного обучения. То есть действительно рабочая бессигнатурная технология, способная анализировать триллионы файлов в глобальной сети, самостоятельно отличать «хорошие» файлы от «плохих» и блокировать зловредное ПО до его срабатывания;
  3. защиту от эксплойтов, особенно уязвимостей нулевого дня и атак чтения памяти;
  4. поведенческий мониторинг, то есть определение «опасного» поведения скриптов, приложений, устройств и узлов в сети - и устранение такой угрозы;
  5. качественную эмуляцию, или быстрое создание «песочницы» для выявления и блокировки зловредного ПО на устройстве.

Правило второе. Endpoint Detection and Response (EDR) или расследование и реакция на инциденты должны работать на результат.

Проблема заключается в том, что 82% сегодняшних киберпреступников по статистике способны похитить ценные данные предприятия «за минуту или меньше», тогда как 75% компаний не реагируют на инциденты как минимум неделями. Такой разрыв говорит о действительно высоких рисках в зоне безопасности конечных устройств.

Продвинутые EDR-решения могут изолировать ваше конечное устройство для эффективного расследования взлома, остановить распространение вируса и восстановить устройство через его незараженную копию данных.

Правило третье . Система не должна мешать бизнесу, а значит:

а) Не менее важны производительность и масштабируемость ваших систем защиты. То есть, ваша защита не должна препятствовать оперативности бизнес-процессов и быстрому обмену данными в сети. Плюс, важно быстро развернуть систему кибербезопасности на новых рабочих местах, например, в региональном или зарубежном филиале.

б) Совокупная стоимость ее внедрения и использования должна быть оптимальной.

Правило четвертое . Централизованное управление кибербезопасностью. Разрозненные, управляемые вручную из разных точек защитные решения увеличивают число ошибок, избыточных оповещений и ложных срабатываний, не говоря уже о лишних временных и финансовых затратах на администрирование этого «зоопарка».

Правило пятое. Бесшовная интеграция с софтверными и аппаратными решениями на каждом участке сети для эффективной работы всей ИБ-инфраструктуры, от защиты шлюзов до SIEM-систем. Важно, чтобы решения для защиты конечных точек были интегрированы с контролем доступа к сети (Network Access Control, NAC), чтобы при определенном уровне риска можно было изолировать компьютер. Также важно, чтобы Endpoint-продукты работали в связке со шлюзовыми ИБ-решениями, которые поддерживают глубокий анализ пакетов и инспекцию SSL-трафика.

Правило шестое. Охват всех возможных ОС, включая серверные и мобильные - помните о множестве «разношёрстных» устройств, которые сотрудники приносят с собой или выбирают для работы в офисе.

Правило седьмое . Усиленная защита данных. Пусть этот момент и не связан напрямую с защитой конечных устройств, но без него в принципе невозможно разработать эффективную ИБ-стратегию. В защиту данных входят:

  1. шифрование;
  2. сегрегация (разделение) участков и узлов сети, групп пользователей в сети;
  3. защита от утери данных, средства восстановления;
  4. мониторинг целостности файлов и файловой системы.

… и три дополнительных

Первое . Особое внимание к устранению киберугроз на мобильных устройствах. Концепции BYOD/CYOD/COPE становятся только популярнее, а число мобильных устройств в корпоративных сетях только растёт.
К ним требуется особое внимание, ведь обычно такие устройства используются не только для работы и не только в офисе, а значит риск заражения корпоративной сети через них очень высок.

В идеале, стратегия «мобильного ИБ-менеджмента» может включать:

  1. мобильные VPS;
  2. усиленную аутентификацию устройств в корпоративной сети;
  3. контроль и мониторинг стороннего контента;
  4. контейнеризацию приложений.

Второе . Анализ своих KPI зрелости защиты конечных устройств.

Аналитики Forrester Research различают пять (с учетом нулевой шесть) стадий зрелости ИБ-стратегии предприятия:

Нулевая или отсутствующая - нет потребности, нет понимания, нет формализованных требований.

AdHoc или стихийная - потребность в киберзащите возникает от случая к случаю, нет планирования ИБ-ресурсов, процессы не документированы.

Вынужденная - интуитивная, недокументированная, применяется несистемно, по необходимости.

Осознанная - процессы задокументированы, сама стратегия понимаема и предсказуема, но оценка действий и ресурсов проводится от случая к случаю.

Выверенная - внедрены качественные инструменты управления, хороший уровень формализации и (нередко) автоматизации процедур, регулярная оценка действий, процессов и инвестиций.

Оптимизированная - процессы и уровни защиты обычно автоматизированы, а сама стратегия выстроена с учетом долгосрочной, эффективной и проективной защиты бизнеса. Высокий уровень интеграции ИБ-сервисов и систем.

Соответственно, дешевле и безопаснее находиться на последних трех стадиях. С этой градацией также проще задавать цели улучшения ИБ-стратегии, если вы находитесь на первых трех.

Третье . И наконец, ваши пользователи конечных устройств знают, что такое киберзащита, и постоянно наращивают свои ИБ-знания и навыки. Самый разрушительный фактор - человеческий, и без грамотного персонала любая даже самая продвинутая защита окажется провальной. Противостоять человеческому фактору без ущерба для оперативной работы бизнеса еще никто не научился. Поэтому проще и гораздо дешевле вовремя обучать людей азам безопасного поведения и использования своих гаджетов.