PCSL: Тестирование защиты от атак эксплойтов

Тестируемые программы безопасности

• avast! Internet Security (AVAST) 2014.9.0.2021
• AVG Internet Security (AVG) 14.0.0.4744
• Bitdefender Internet Security (Bitdefender) 17.28.0.1191
• Enhanced Mitigation Experience Toolkit (Microsoft) 4.1.5228.513*
• ESET Smart Security (ESET) 7.0.317.4
• HitmanPro.Alert3 (SurfRight) 3.0.12.73
• Kaspersky Internet Security (Kaspersky Lab) 14.0.0.4651(g)
• Malwarebytes Anti-Exploit Premium (Malwarebytes) 1.04.1.1006
• McAfee Internet Security (McAfee) 12.8.958
• Norton Internet Security (Symantec) 21.4.0.13
• Panda Internet Security (Panda) 19.01.01
• Trend Micro Titanium Maximum Security (Trend Micro) 7.0.1255

* Использовался EMET 4.1, так как EMET 5.0 не поддерживает Windows XP.

Введение

Наборы эксплойтов и таргетированные атаки на домашних пользователей и компании в настоящее время ориентированы на эксплуатацию уязвимостей таких приложений, как веб-браузеры, браузерные дополнения Flash и Silverlight, а также Java, Acrobat Reader, Microsoft Office Word, Excel, PowerPoint, медиа-плееры и другое популярное ПО.

Цель таких атак состоит в том, чтобы удаленно выполнить код, незаметно для пользователя и не полагаясь на его действия, для того, чтобы заразить машину скрытой угрозой. Это сравнительное тестирование показывает эффективность различных проактивных технологий, включенных в популярные антивирусные программы, и специализированных инструментов защищать от эксплойтов.

Есть несколько методов, чтобы блокировать вредоносные заражения, которые используют эксплойты к уязвимостям. Один из методов - установка последних патчей безопасности, другой - установка инструментов безопасности, которые включают определенные технологии защиты от эксплойтов.

Для того чтобы проверить возможности блокировки эксплойтов, в лаборатории PCSL использовали Windows XP SP3 с веб-браузером Internet Explorer 8 и популярные приложения, которые уязвимы для ряда эксплойтов. Даже при том, что тестирование проводилось под Windows XP SP3, стоит отметить, что используемые приложения могут быть подвержены уязвимостям в более современных операционных системах, таких как Windows 7 и Windows 8. На самом деле большинство из эксплойтов в тесте, предназначены для уязвимостей, обнаруженных в последние два (2) года.

Данный тест проверял только возможность блокировки атак с использованием эксплойтов, а не общий уровень защиты для тестируемых продуктов.

Этот тест был выполнен по заказу компании Malwarebytes для сравнительного тестирования возможности различных продуктов безопасности блокировать эксплойты к соответствующим уязвимостям (т.е. уязвимым приложениям, которые обычно являются объектами таргетированных атак и наборов эксплойтов). Лаборатория PCSL разработала собственную методологию исследования, а также выбрала эксплойты (CVE) для тестирования. Образцы эксплойтов не были предоставлены Malwarebytes.

Методика тестирования

• Большинство эксплойтов были настроены с помощью инструмента Metasploit, некоторые были взяты из частных источников.

• Эксплойты выбирались, исходя из широкой распространенности в различных наборах Exploit Kits и актуальности (не старше двух лет).

• Каждый эксплойт был проверен с помощью различных конфигураций полезной нагрузки. Полезная нагрузка включает в себя: выполнение, загрузка и выполнение, использование "reverse shells" и другие варианты, найденные в Metasploit.

• Закрывался доступ к обнаружению файла, если антивирус определял его как вредоносный с помощью сигнатур. Таким образом можно было проверить возможности обнаружения непосредственно эксплойта. Так как эксплойты и варианты их выполнения могут быть легко изменены, чтобы обойти сигнатурное обнаружение, это является допустимым действием в методологии для проверки возможностей блокировки эксплойтов.

• Успешной блокировкой считалось, если продукт полностью предотвращал выполнение полезной нагрузки, или, если он выключал backdoor-связь после выполнения полезной нагрузки.

• Все тесты выполняются в операционной системе Windows XP SP3 на английском языке, без каких-либо дополнительных патчей.

• Все тестируемые продукты безопасности были скачаны с их официальных сайтов.

Результаты тестирования

Результаты тестирования представлены сайтом Comss.ru. С полным отчетом вы можете ознакомиться по этой ссылке.