Антивирусы для Windows 10: Тестирование защиты против скрытых загрузок (drive-by)

Атаки, которые используют уязвимости в программном обеспечении обычно очень сложно обнаружить. Процесс еще больше усложняются, если злоумышленники пытаются получить контроль над компьютером жертвы с помощью так называемых FUD-угроз или уязвимостей “нулевого дня”, которые часто распространяются среди небольшой группы пользователей. Действия данного типа угроз являются очень опасными, особенно когда жертва сталкивается с ATP (Advanced Persistent Threat, “развитыми устойчивыми угрозами”), которые используются для проведения сложных технологичных атак. Очень часто для проведения целевой кибератаки используются приемы социальной инженерии и тактика “watering hole”, при которой киберпреступники заражают специфичный для конкретного предприятия или отрасли ресурс.

Один из распространенных способов исполнения вредоносного кода - отправка сообщения с опасным вложением. Данный метод не является точным, но рано или поздно грамотные приемы социальной инженерии вынудят пользователь открыть вложение. Вредоносный код может быть невосприимчив для диагностического ПО, используемого конкретной жертвой или другими потребителями в атакуемом географическом регионе.

В данном тестировании эксперты из AVLab сосредоточились на распространенном сценарии - они проверили, может ли эксплуатация уязвимости в браузере Firefox привести к получению доступа к удаленной машине и сможет ли хакер получить содержимое папок и дисков, воровать файлы, снимать скриншоты, загружать другие вредоносные файлы с помощью PowerShell и изменять настройки безопасности.

Антивирусы, которые имеют встроенный фаервол и систему предотвращения вторжений (HIPS) могут сканировать входящий и исходящий трафик и таким образом оказались в более выгодном положении по сравнению с продуктами, которые обеспечивают только базовую антивирусную защиту. По этой причине лаборатория предоставила отдельные рекомендации для решения с брандмауэром и для продуктов, которые лишены этой функциональности.

Тестируемые антивирусы для Windows 10

Антивирусы для дома

• 360 Total Security (9.0.0.11.46)
• Arcabit Home Security (2017.04.07)
• Avast Free Antivirus 2017 (17.03.2291)
• Avast Premier 2017 (17.03.2291)
• AVG Free Antivirus 2017 (17.03.3011)
• AVG Internet Security 2017 (17.03.3011)
• Avira Free Antivirus 2017 (15.025.172)
• Avira Internet Security Suite 2017 (15.025.172)
• Bitdefender Total Security 2017 (21.0.24.62)
• Comodo Cloud Antivirus (1.10.413855.478)
• Comodo Internet Security Pro 10 (10.0.1.6209)
• Dr.Web Space Security 11 (11.0.5.04031)
• ESET NOD32 Smart Security 10 (10.0.390.0)
• F-Secure SAFE (2.76.212.0)
• ForClient Free 5 (5.4.3.0870)
• G DATA Total Protection (25.03.03)
• Kaspersky Total Security 2017 (17.0.0.611)
• Malwarebytes AntiMalware Premium (3.0.6.1469)
• McAfee LiveSafe (8.0.1210.13)
• Norton Security (22.9.1.12)
• Panda Free Antivirus 2017 (18.01.00.0000)
• Panda Internet Security 2017 (17.00.01.0000)
• Quick Heal Total Security (17.00)
• SecureAPlus (4.5.2)
• Sophos HOME (1.1.1.3)
• Trend Micro Internet Security 2017 (11.00)
• Webroot SecureAnywhere Complete (9.0.15.50)
• Windows Defender (4.10.14393.953)
• Zemana Antimalware Premium (2.72.2.388)
• ZoneAlarm Internet Security 2017 (15.1.501.17249)

Антивирусы для малого и среднего бизнеса

• Arcabit Endpoint Security (2017.04.07)
• Bitdefender GravityZone (6.2.19.894)
• Comodo ONE (8.3.0.5263)
• ESET Endpoint Security (6.5.2094.1)
• F-Secure Protection Service for Business (12. 0.1)
• G DATA Client Security Business (14.01.122)
• Kaspersky Endpoint Security 10 (10.2.5.3201)
• Kaspersky Small Office Security (17.0.0.611)
• Panda Endpoint Protection (7.65.00.0000)
• Seqrite Endpoint Security (7.2)
• Trend Micro Worry&Free Business (19.0.3144)
• Webroot SecureAnywhere Endpoint (9.0.15.50)

Методика тестирования

Тестирование проходило в апреле 2017 года. В качестве тестовой среды использовалась виртуальная машина Windows 10 64-битная, установленной на физической машине в Польше. Контролируемые атаки организовывались с помощью компьютера, расположенного во Франции.

Для проведения тестирования использовались следующие инструменты:

• Вредоносная программа, которая не обнаруживала большинством антивирусов.
• Эксплойт для веб-браузера Mozilla Firefox (CVE 2016-9079).
• Инструмент Metasploit, который позволил организовать процедуру атаки (проникновение в систему, кража файлов, загрузка дополнительных вредоносных файлов, изменение системного реестра с помощью интерпретатора PowerShell)

Примечание: URL-адрес, ссылающийся на эксплойт мог проникнуть на компьютер жертвы с помощью приемов социальной инженерии. Во время тестирования ссылка на вредоносный сайт открывалась вручную тестировщиком.

Процедура атаки делится на 2 категории:

Первая атака:

Автоматическое размещение полезной нагрузки и установка удаленного подключения. Если атака блокировалась модулей защиты от эксплойтов, применялась вторая атака с приемом социальной инженерии.

Тем не менее, если атак не предотвращалась в браузере, тестировщик получал удаленный доступ к рабочей станции жертвы. Используя интерпретатор PowerShell выполнялась проверка обнаружения вредоносных объектов, загружаемых доверенным системным процессом powershell.exe и идентифицировался способ блокировки -- с помощью сигнатур, эвристического анализа или посредством фаервола и системы защиты от вторжения (IDS/IPS).

Процедура:

В веб-браузере Mozilla Firefox, содержащий уязвимость CVE 2016-9079, открывался URL-адрес, после чего автоматически использовался эксплойт и запускалась полезная нагрузка.

1. Если антивирус предотвратил атаку, запускалась вторая атака.
2. Получение доступа к интерпретатору PowerShell и загрузка 5 файлов с удаленного сервера (EXE, BAT, EXE, DOCX, ODT).
3. Последующий запуск файлов и регистрация реакции антивируса

Вторая атака:

Открытие сайта пользователем. В данном сценарии веб-сайт, содержащий обфусцированный код JavaScript перенаправлял жертву на другую страницу, где тестировщик загружал файл и запускал вирус.

На первый взгляд, различия между первой и второй атакой неочевидны. Эксперты хотели проверить, имеют ли антивирус достаточные права, чтобы обнаруживать вредоносные файлы, загруженные легитимным системным процессом - интерпретатором PowerShell, который часто используется для запуска вредоносных скриптов.

Процедура:

Открывался URL-адрес, после чего происходило перенаправление на целевой сайт с вирусом и выполнялась загрузка вредоносного файла.

1. Запуск файла и проверка эффективности тестируемых продуктов.
2. Сохранение результатом и повторение процедуры.

Лучшие антивирусы

Данный тест показывает эффективность антивирусов, предлагающих обычно платные модули защиты, и характеризуются так называемой комплексной защитой. По итогам тестирования выяснилось, что большинство антивирусов не подходит для защиты компьютеров от атак, организованных с помощью скрытых drive-by загрузок. К счастью, есть исключения из этого правила - это антивирусы, которые получили сертификацию “BEST +++”.

Список отсортирован по алфавиту.

• Arcabit: Arcabit Internet Security, Arcabit Endpoint Security
• Bitdefender: Bitdefender Total Security Multi-Device 2017, Bitdefender GravityZone
• ESET: ESET NOD32 Smart Security 10, ESET Endpoint Security
• Kaspersky Lab: Kaspersky Total Security 2017, Kaspersky Endpoint for Windows 10, Kaspersky Small Office Security
• Quick Heal: Quick Heal Total Security 17.00, Seqrite Endpoint Security 7.2
• SecureAge Technology: SecureAPlus
• Symantec: Norton Security 2017

Тест был очень трудным для всех антивирусных продуктов. Тестовые машины подвергались атакам с использованием методов, которые ежедневно используются киберпреступниками. Только антивирусы нескольких вендоров смогли остановить все попытки обхода механизмов безопасности.

С полным отчетом вы можете ознакомиться по этой ссылке (pdf, на английском языке).