Антивирусные программы являются, прежде всего, программным обеспечением, имеющим свои недостатки, как и любые другие виды программ. Программисты могут предпринять простые шаги для того, чтобы существенно снизить подверженность эксплойт-атакам. Тем не менее, последний отчет немецкой лаборатории AV-Test наглядно демонстрирует, как вендоры антивирусного ПО защищают свои продукты от прямых атак.
Простое решение
Отчет лаборатории AV-Test показывает, что даже самые лучшие программы имеют как минимум одну ошибку на 2000 строк кода. Проблема заключается в том, что основная версия антивирусной программы содержит не тысячи, а миллионы строк кода. А это гарантирует большое совокупное количество ошибок. Конечно, не каждая ошибка представляет уязвимость для вредоносных атак, но определенная их часть все же содержит реальную угрозу безопасности.
Для того чтобы атака была успешной, эксплойт должен заставить программу-жертву выполнить вредоносный код. Некоторые зловредные техники предусматривают внедрение вредоносного кода в качестве данных и принудительное его выполнение. В других видах атак используется стэк и зоны оперативной памяти, используемые программами в качестве временного хранилища. Вставка большего количества данных в буфер, чем это позволяет фактический объем памяти (перенаполнение буфера) является еще одним способом выполнить произвольный код в памяти конкретной программы.
Существуют две признанные технологии, которые позволяют помешать большинству эксплойтам. Предотвращение выполнения данных (Data Execution Prevention, DEP) просто блокирует выполнение кода в зонах памяти, размеченных специально для хранения данных. Данная функция сама по себе уже ограничивает возможности эксплойтов.
Рандомизация адресного пространства (Address Space Layout Randomization, ASLR) - еще одна технология, которая случайным образом перераспредлеяет секторы памяти, используемые программой. Таким образом, атакующая программа не может определить местонахождение нужного сектора для выполнения уязвимого кода. Обе методики широко используются ОС Windows. Для большинства современных компиляторов внедрение каждой из этих защитных технологий происходит очень быстро и просто.
Методика тестирования
Исследователи AV-Test собрали 24 антивирусных продукта для домашних пользователей и 8 решений корпоративного уровня. Для каждого продукта специалисты выполняли простые записи. Они перечисляли все исполняемые файлы, библиотеки DLL, драйвера и файлы .sys, ассоциированные с конкретной программы, а также наличие или отсутствие технологий DEP и ASLR. 32-битные и 64-битные программы оценивались раздельно.
Результаты тестирования варьируются в широком диапазоне. ESET NOD32 Smart Security оказался единственным потребительским продуктом со 100-процентных покрытием. Symantec Endpoint Protection стал единственным решением корпоративного уровня с полным внедрением технологий DEP и ALSR. Avira, G Data, McAfee и AVG полностью защищают свои продукт с помощью техник DEP и ALSR. Тем не менее, покрытие 32-битных версии варьируется в диапазоне от 90 до 100 процентов.
На другом конце итоговой таблицы расположился eScan Internet Security с 17,5-процентным покрытием и Kingsoft Antivirus с 19-процентным покрытием. Кроме того, Kingsoft не использует DEP для защиты 64-битных версий продуктов.
Учитывая, что реализацию данных защитных механизмов произвести очень просто на стадии компиляции, странно, что некоторые вендоры игнорируют их. AV-Test получил многочисленные объяснения на этот счет. Некоторые вендоры используют сторонние библиотеки, которые не были компилированы компанией-разработчиком. Другие вендоры сообщили об использовании запатентованных технологий безопасности, которые несовместимы с DEP и ALSR. А представители некоторых компании объяснили, что определенные файлы не используются активно программой, поэтому их защита необязательна.
Защита, Производительность, Юзабилити
Кроме отчета о самозащите антивирусов, AV-Test обнародовала результаты последнего тестирования защиты, производительности и юзабилити. Результаты тестирования Вы можете посмотреть в таблице.
Общее количество баллов, набранных в тестировании защиты, производительности и юзабилити
Kaspersky Internet Security набрал максимальные 18 баллов, повторив свой прошлый результат. Avira Antivirus Pro также присоединилась к Kaspersky и получила на 1,5 балла больше, чем в прошлый раз. Среди падений можно выделить ZoneAlarm и Vipre, которые набрали на 3,5 балла меньше, чем в прошлый раунд тестирования. ZoneAlarm провалил тест на производительность, его показатель в испытании упал с 6 баллов до 2,5. Vipre потерял баллы во всех трех категориях оценки. Итоговый результат в 8,5 баллов не дотягивает до порогового значения в 10 баллов и не позволяет продукту пройти сертификацию.
AV-Test расширяет спектр тестирований, проводя новые испытания, как например, проверка самозащиты антивирусных продуктов. Полученные данные позволят вендорам задуматься о внедрении технологий DEP и ALSR. Возможно, существуют причины пропустить включение механизмов для определенных файлов, но в остальных случаях нужно просто щелкнуть переключателем!
Перевод Comss.ru. По материалам блога SecurityWatch
Последние обзоры и тесты
• AV-Test: Тестирование 26 антивирусов для Windows против шифровальщиков и ПО для кражи данных
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2025: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров в Windows 11
• AV-Comparatives 2024: ESET — «Антивирус года», Avast, AVG, Bitdefender и Kaspersky — «Лучшие антивирусы»
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак