Обзор: Превентивная защита от эксплойтов в Norton Security

Фото @richiejmason. По материалам Symantec

Пользователи Norton Security (все те, кто использует клиент Norton для Windows версии 22.5.4 и выше) получат ключевые преимущества от внедрения новой технологии защиты под названием Превентивная Защита от Эксплойтов (Proactive Exploit Protection, PEP), которая предназначена для расширенной защиты устройств Windows от так называемых “атак нулевого дня”.

Атаки нулевого дня - виды атак, который пытаются эксплуатировать неизвестные и неисправленные уязвимости в приложениях Windows или в самой операционной системе. PEP включает три мощные техники защиты, которые остановят несколько видов распространенных атак нулевого дня.

Эффективная защита от мира ‘zero-day’ угроз

Очень часто исследователи безопасности или добропорядочные хакеры обнаруживают уязвимость в программном обеспечении, которое они изучают. Очень часто они оповещают разработчика об обнаруженной ошибке и помогают создавать патч, который устраняет найденную уязвимость. Если, тем не менее, уязвимость впервые обнаружена киберпреступниками, они могут написать вредоносный код, которые будет эксплуатировать уязвимость в надежде получить несанкционированный доступ к устройствам, в которых запущено уязвимое ПО.

За последние несколько лет специалисты Symantec обнаружили существенное увеличение количество эксплойтов нулевого дня, которые используются в Интернет-атаках. Существует большое количество факторов, из-за которых наблюдается данный скачок, но среди исследователей принято считать, что данная картина сложилась из-за роста уровня кооперации и профессионализма в среде хакеров, которые стремятся эксплуатировать уязвимости для получения прибыли.

Атаки нулевого дня: Увеличение частоты и воздействия

Количество уязвимостей нулевого дня

Источник: Доклад ISTR об Интернет угрозах, Symantec 2015

Сколько времени требуется для выявления уязвимостей?

Исследования Symantec показывают, что для пяти самых распространенных в 2014 году атак вендорам понадобилось в среднем 59 дней, чтобы выпустить патч для пользователей. Эта цифра не включает время, когда уязвимости оставались неизвестными (обычно от нескольких месяцев до нескольких лет) и дополнительное время, которое требуется пользователям чтобы установить обновления безопасности.

Среднее время для устранения 5 уязвимостей нулевого дня

Среднее время для устранения 5 уязвимостей нулевого дня в 2014 году - 59 дней.

Как может PEP защитить от атак нулевого дня?

Технология Превентивной Защиты от Эксплойтов от Norton позволяет обнаруживать широкий спектр шаблонов вредоносного поведения, которые являются главными признаками угроз нулевого дня и блокирует только те программы, которые выполняют подозрительную активность. Одним из ключевых аспектов данного подхода заключается в предоставление защиты от уязвимого ПО в момент его развертывания, а не во время обнаружения или эксплуатирования дыры в безопасности. Это очень важно, потому что большинство зловредов нулевого дня нацелены на уязвимости, которые существовали месяцами и в некоторых случаях, когда еще не были публично обнаружены.

Как может PEP улучшить защиту в реальных условиях?

Давайте приведем пример недавней атаки нулевого дня под названием “Operation Pawn Storm”, которая распространилась в 2015 году и была нацелена на эксплуатирование критической уязвимости в популярной программной среде Java.

Чтобы достичь своей цели атака Operation Pawn Storm эксплуатировала уязвимость в Java для отключения компонента, известного как Менеджер Безопасности Java (Java Security Manager). В то время как пользователи Norton относительно быстро оказались защищенными от данной угрозы, остальные пользователи, которые использовали Java должны были подождать еще пару дней до тех пор, пока компания Oracle не пропатчила Java от Operation Pawn Storm. К сожалению, многие пользователи Java оставались незащищенными в течение месяцев после обнаружения опасности из-за проблем с установкой программных обновлений.

Технология PEP по защите Java предназначена не только для устранения каких-либо задержек в защите, но также обеспечивает полноценную защиту от эксплуатирования уязвимостей Java атаками нулевого дня, которые пытаются отключить Java Security Manager, независимо от того какие типы уязвимостей будут обнаруживаться киберпреступниками в будущем.

Хронология событий Operation Pawn Storm

Heap Spray и обработчики структурных исключений

Кроме Java атак, за последние два года авторы вредоносного ПО концентрировались также на еще двух категориях атак. Термин Heap spraying относится к атакам, которые пытаются внедрить вредоносный код в предопределенные участки памяти в надежде, что он будет исполнен с помощью уязвимого приложения (обычно веб-браузер или плагины для браузера). Соответственно PEP включает модуль предотвращения Heap spraying, который по сути заранее заполняет определенные ячейки памяти доброкачественных кодом, эффективно блокируя подобные виды атак.

PEP включает также уникальную технологию под названием Structured Exception Handler Overwrite Protection (SEHOP, защита от перезаписи обработчика структурных исключений). Как следует из названия PEP будет предотвращать попытки перезапись вредоносным кодом специальных процедур системы Windows под названием обработчики структурных исключений, которые разработаны для того, чтобы сообщать машине Windows, что нужно делать в случае исключения (или неожиданного события), которое возникает при запуске приложения. Исключение может быть вызвано большим количеством нерегулярных вхождений, например, попытки деления на ноль или попытки доступа по недействительному адресу в памяти. Windows поддерживает уникальный набор обработчиков в каждой категории. К сожалению, предприимчивые киберпреступники обнаружили несколько способов взлома механизма обработки исключений, используя три шага:

1. Запись вредоносного кода в ячейку памяти
2. Перезапись процедуры структурного обработчика исключений для конкретного исключения (например, нарушение прав доступа), чтобы он указывал на вредоносный код
3. Вызов соответствующего исключения таким образом, чтобы Windows обращался к перезаписанной процедуре обработчика исключений для исполнения вредоносного кода

Таким образом, злоумышленники могут получить полный удаленный контроль над устройством, а от пользователя только требуется посетить взломанный или вредоносный веб-сайт. Стратегия защиты PEP очень проста: мониторинг и предотвращение попыток перезаписи обработчика структурных исключений со стороны приложений. Благодаря данному методу, PEP позволяет защитить компьютер от большого количества угроз нулевого дня, применяющих данный подход.

Обещания эффективности Proactive Exploit Protection

PEP является надежной новой технологией защиты, которая обеспечивает ключевые преимущества для клиентов Norton, позволяя им получить моментальную превентивную защиту за счет виртуального исправления уязвимостей еще до того, как они будут обнаружены. Лежащие в основе технологии методы поведенческого анализа остаются высокоэффективными, несмотря на отсутствие необходимости в обновлениях сигнатурных определений. В мире, когда уязвимости остаются неизвестными и не пропатченным на протяжении месяцев и даже лет, а атаки нулевого дня постоянно развиваются, PEP является важным уровнем защиты, который будет иметь значительный положительный эффект на цифровую жизнь пользователей решений Norton.

Скачать Norton Security с превентивной защитой от эксплойтов можно на нашем сайте.