Тестирование браузерных расширений: Защита от вредоносных программ

Один из положительных аспектов сотрудничества с разработчиками, которые предоставляют решения безопасности для SOHO и рынка Enterprise — это доступ к информации об атаках и вредоносном ПО. Из полученных данных эксперты лаборатории узнают, что угрозы, отправляющиеся по протоколам HTTP и HTTPS с использованием техники скрытых загрузок, являются очень распространенной в последнее время проблемой. Продукты Avira заблокировали более 3 миллионов вредоносных ссылок за последние 12 месяцев.

С другой стороны, от сообщества “Лаборатории Касперского” специалисты AVLab узнали, что за период с января по октябрь 2018 года, количество атак и вредоносных файлов, заблокированных модулем веб-защиты, встроенным в продукты Касперского насчитывает более половины миллиарда в мире и 18 миллионов в Польше. Статистика связана с анонимными телеметрическими данными, собираемыми с конечных устройств, поэтому чем больше сообщество пользователей, тем более точные данные можно получить.

Статистика угроз в Польше и в мире

Подробная информация по типам атак была предоставлена компанией Check Point. Вендор зарегистрировал 325 и 458 HTTP и HTTPS кибератак, совершающихся каждый день на организации в Польше и в мире, соответственно. В Польше около 68% атак представляют собой заблокированные попытки взаимодействия между вредоносными программами и командными серверами. Каждая третья атака (30%) отвечает за эксплуатацию уязвимости в приложениях или операционной системе. Остальные 2% касаются вредоносных веб-сайтов.

Лаборатория AVLab систематически получает информацию об увеличении числа атак по Интернет протоколам, поэтому было решено провести тестирование расширений, доступных в Интернет-магазине Chrome. Эксперты понимают, что многие пользователи не имеют адекватной защиты или используют продукты без фильтрации вредоносных ссылок в веб-браузерах. В связи с этим, выбор пал на тестирование расширений для веб-браузеров, которые перехватывают и фильтруют весь сетевой трафик, блокируя вредоносный контент и приложения.

Тестируемые решения

Тестирование продолжалось с 10 по 23 октября 2018 года. В течение данного периода времени был проверен уровень защиты следующих расширений в браузере Chrome с помощью тестовой коллекции, состоящей из 1870 уникальных образцов угроз:

• Avast Online Security
• Avira Browser Safety
• Bitdefender TrafficLight
• Check Point SandBlast Agent for Browser*
• Comodo Online Security
• Malwarebytes Browser Extension
• McAfee WebAdvisor
• Panda Safe Web
• uBlock Origin**
• Windows Defender Browser Protection

* Решение “Check Point Sandblast Agent for Browser” доступно в двух вариантах. Бесплатная версия защищает только от фишинг-атак. Коммерческая версия также защищает от загрузки вредоносных файлов за счет использования технологии моделирования угрозы в защищенной среде. Использование Threat Extraction analyzer (TEX) позволяет воссоздать версию файла, который лишен, предположим, вредоносных макрокоманд. Данный файл можно запустить без каких-либо последствий, что гарантирует отличную защиту от угроз нулевого дня.

** Использовались списки: Malvertising filter list by Disconnect, Malware Domain List, Malware domains, Spam404

Бесплатная версия расширения «Check Point Sandblast Agent for Browser» не имеет самой важной функции защиты, так как она не подключена к службе SandBlast

Расширение Check Point Sandblast Agent for Browser должно быть подключено к устройству SandBlast или эквиваленту в облачном пространстве – в сервисах SandBlast Cloud, в которых обрабатываются неизвестные файлы. Подобные файлы представляют потенциальную опасность для организаций. Расширение можно настроить таким образом, чтобы анализируемый файл не скачивался и не запускался в автоматическом режиме или вручную пользователем, пока не будет выполнена его проверка в качестве результата скрытой загрузки. Расширение было специально разработано для интеграции с популярными сервисами Check Point, которые обеспечивают безопасность сети за счет блокировки обнаруженных вредоносных программ. Бесплатная версия расширения не занимается сканированием загруженных угроз, поэтому была протестирована коммерческая версия по просьбе компании-разработчика.

Описание процедуры тестирования

Для тестирования использовался следующий алгоритм.

Задача системы тестирования – автоматизация управления решением безопасности, настроенной рабочей станции и перехват вредоносных образцов с атак на специальные сетевые приманки. Основа проекта построена на базе дистрибутива Ubuntu 16 LTS, а тестовая система под названием PERUN была оснащена различными модулями для анализа образцов вирусов, сопоставления и парсинга собранных журналов, а также управления системами Windows 10. Система PERUN создана с помощью комбинации скриптов на языках программирования NodeJS и Python. Данное решение позволит делегировать самую время затратную работу вычислительным мощностям рабочих станций, позволяя представить результаты антивирусной защиты из двух областей: против угроз в реальном мире и против новых технологий обхода мер безопасности.

Идеальный источник образцов должен предоставлять новые и различные типы вредоносных программ. В данном случае “свежесть” собранных образцов является очень важным фактором, потому что она позволяет получить наиболее релевантную информацию о защите против реальных угроз в сети. Образцы, используемые в тесте, были перехвачены с сетевых приманок, которые являются очень важным инструментом для специалистов по безопасности. Основная задача ловушек для угроз – прикинутся “жертвой” (с точки зрения систем, сервисов и протоколов) и сохранить журналы атак, включая вредоносное ПО. AVLab использует ловушки низкого и высокого уровня интерактивности, которые эмулируют различные службы: SSH, HTTP, HTTPS, SMB, FTP, TFTP, MYSQL и SMTP.

Вредоносные программы, собранные на одной из приманок

Выше приведены локализации приманок, которые использовались для получения образцов вредоносных программ: Канада, США, Бразилия, Великобритания, Нидерланды, Франция, Италия, Чехия, Польша, Россия, Индия, Сингапур, Япония, Австралия, Южная Африка

Тест, который воспроизводит действия реального пользователя, является наилучшим с точки зрения пользователей и разработчиков. Новые коллекции вирусов ежедневно захватываются с помощью приманок. Прежде чем образец будет помещен на тестовую машину, он проходит стадию тщательного анализа. Эксперты должны убедиться, что тестовую коллекцию попадут только 100%-ные зловреды. Ситуация, когда вирус не работает в системе, потому что он запрограммирован для другого региона, никогда не встречается в тестах AVLab. В связи с этим, пользователи и разработчики могут быть уверены, что используемое в тестах вредоносное ПО действительно может серьезно заразить операционную систему, независимо от того, из какой части мира оно поступает.

Прежде, чем потенциально вредоносный объект будет отобран для тестирования, один из компонентов PERUN проверяет, вызывает ли вредоносное ПО нежелательные изменения. Для этого каждая вредоносная программа анализируется в течение 15 минут. Человеческий фактор полностью исключен из теста и не позволяет гарантировать, что зловред не прекратит работу после 60 секунд активности. Поэтому нужно установить порог времени, после которого следует прервать анализ. Экспертам лаборатории хорошо известно, что некоторые вредоносные программы имеют задержку запуска вплоть до нескольких часов. Зловред может прослушивать подключения к командному серверу на так называемом эфемерном порту. Также встречались случаи, когда вредоносная программа была запрограммирована на заражение конкретного приложения или ждала посещения определенного веб-сайта. По этой причине лаборатория прикладывает все усилия, чтобы тесты были максимально приближены к реальности, а образцы, которые являются «небезопасными», не попали в тестовую вирусную базу данных.

После анализа каждого вредоносного приложения, журналы вредоносной активности вводятся в системный журнал событий. Данное решение помогает экспортировать необходимую информацию из системного журнала в файлы CSV. Основываясь на собранных данных, специальные алгоритмы определяют, является ли конкретный образец, злонамеренным. AVLab часто публикует частичную информацию из каждого анализа на веб-сайте CheckLab в удобном для пользователя формате. Детали предоставляются производителям и, по запросу, дистрибьюторам.

Примеры параметров политики аудита. Windows 10 предоставляет доступ к очень подробной информации о системных событиях

Можно с уверенностью установить, смог ли продукт остановить угрозы с помощью сигнатурных или проактивных компонентов защиты. Анализ журналов является очень трудоемким процессом, поэтому разработаны алгоритмы, автоматизирующие данный процесс.

Примеры журналов, собранных программным обеспечением Bitdefender

Примеры журналов, собранных в результате активности шифровальщиков

Журналы событий, содержащие данные об изменении файловой структуры, системного реестра, запланированных заданий, входов в систему и обменных сетевых процессов, а также информацию о сетевых коммуникациях, позволяют предоставить полную информацию об изменениях, внесенных вредоносной программой. Например, если будет запущен зараженный документ Word с несколькими сценариями (visual basic, cmd, powershell), затем будет загружен, сохранен в %TEMP%, а впоследствии запущен вредоносный объект, то соответствующая информация появится в журналах событий. В результате будет зарегистрирована даже малейшая модификация, выполняемая вредоносным программным обеспечением. Является ли это угроза кейлоггером, бэкдором, руткитом, трояном, макровирусом или шифровальщиком уже неважно – журнал системных событий записывает все действия.

В данном тесте алгоритм ограничивался проверкой того, была ли вредоносная программа загружена в систему. Если не была, то это означает, что угроза была заблокирована в браузере тестируемым продуктом.

1. Система PERUN каждое утро запускала рабочие станции с установленными продуктами. Затем выполнялось обновление баз сигнатур и файлов тестируемого решения в течение 30 минут.
2. Убедившись, что рабочие станции с установленными продуктами готовы к тестированию, были сделаны снимки системы.
3. Запускались все операционные системы с установленными продуктами, которые были запущены.
4. Образец вредоносного ПО, отобранный для тестирования, был загружен веб-браузером Google Chrome на всех рабочих станциях.
5. Если вредоносная программа была заблокирована на ранней стадии, она была отмечена в базе данных специальным идентификатором.
6. На последнем этапе система тестирования ожидала завершения анализа на всех рабочих станциях, а затем возвращалась к предыдущим пунктам для анализа следующего образца вируса.

Результаты тестирования

Потребность в бесплатных решениях защиты ПК является очень высокой, поэтому лаборатория AVLab не могла пропустить данный тип средств безопасности. У большинства протестированных решений результат отличался незначительно, что является свидетельством того факта, что многие разработчики делятся информацией об угрозах. Однако, нет сомнений в том, что расширение Check Point SandBlast Agent для браузера заняло лидирующие позиции (напомним, что бесплатная версия защищает только от фишинга).

Сертификаты присваивались в зависимости от полученных баллов:

• 100-98% best+++
• 97-95% best++
• 94-92 good+

Блокировка угроз на уровне 95-100% является очень хорошим результатом, но иная интерпретация результатов показывает другую сторону монеты.

Возьмем для примера Avira Online Security – решение заблокировало 1797 образцов, но проигнорировало 77 потенциальных попыток запуска вредоносного кода. Защита на уровне браузера очень важна, поскольку она позволяет отфильтровать известные типы вирусов и вредоносные веб-приложения, которые загружают дополнительные вредоносные компоненты в операционную систему.

Установленный активный антивирусный агент необходим для защиты от современных векторов распространения вредоносных программ. Важно помнить, что в распространении угроз задействованы не только протоколы HTTP / HTTPS. Большое количество атак совершается на учетные записи протоколов электронной почты (IMAP, POP3), совместное использование файлов, а также сетевые службы IIS для Windows Server, которые можно удаленно атаковать с использованием эксплойтов, введя вредоносную нагрузку в операционную систему.

Обеспечение безопасности всех потенциальных областей в операционной системе имеет решающее значение, поэтому браузерные расширения безопасности являются недостаточными средствами защиты, но в то же время необходимы, если они дополняются локальной защитой.

Полный отчёт доступен на сайте AVLab