Сравнение HIPS на предотвращение проникновения в ядро Microsoft Windows
Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы. В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов, сетевых экранов и специализированных продуктов с функциями HIPS (Host Intrusion Prevention Systems) на возможность предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows.
Краткое содержание:
•Введение
•Методология тестирования
•Результаты тестирования
Введение
Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.
Согласно устройству операционной системы, если программа получила доступ к работе в ядре ОС (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0), то эта программа имеет неограниченные привилегии и может выполнять любые действия в системе. Соответственно если такие привилегии получает вредоносная программа, то защитная программа уже не может ничего сделать. Отсюда следует вывод, что защитной программе нужно выявить угрозу ещё на стадии проникновения в Ring 0. Для этого служат, так называемые HIPS (Host Intrusion Prevention Systems).
В этом уже втором по счет сравнительном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, а также специализированных HIPS-продуктов, на возможность предотвращения проникновения вредоносных программ в Ring 0 операционной системы Microsoft Windows XP SP3. Так же мы провели аналогичное исследование на операционной системе Microsoft Windows 7.
Методика тестирования
Для тестирования были отобраны методы, наиболее часто используемые вредоносными программами, для проникновения в ядро операционной системы Windows:
•ChangeDrvPath - данный тест пытается добавить параметр ImagePath с путем к своему драйверу у системного сервиса beep с помощью функции ChangeServiceConfigA.
•DriverSupersede - данный тест подменяет файл beep.sys на свой драйвер и загружает его в память с помощью функции StartServiceW.
•LoadAndCallImage - данный тест использует функцию ZwSetSystemInformation с целью загрузки своего драйвера в память.
•services - данный тест создает ключи в реестре с помощью функции RtlWriteRegistryValue, которые позволят загружать драйвер.
•DebugControl - данный тест использует функцию ZwSystemDebugControl с параметром SysDbgReadPhysical.
•PhysicalMemory - данный тест использует доступ с правами на запись к секции \Device\PhysicalMemory.
•RawDisk - данный тест использует открытие диска с правами на запись (\\.\PhysicalDrive0)
Важно отметить, что это, естественно, далеко не все из известных методов проникновения в ядро операционной системы Microsoft Windows. Этот набор методов является всего лишь минимальной (качественной) проверкой реализации в функционала HIPS.
Тестирование проводилось под управлением VMware Workstation 7.1. Для простоты в этот раз мы производили тестирования при помощи набора специальных утилит, которые моделируют описанные выше методы проникновения в ядро операционной системы.
Для теста в ходе открытого обсуждения были отобраны следующие персональные средства антивирусной защиты, сетевые экраны и специализированные HIPS-продукты:
•AVG Internet Security 2011 10.0.1136
•Avira Premium Security Suite 10 9.0.0.92
•Comodo Internet Security 5.0.163652.1142
•DefenseWall Personal Firewall 3.07
•GeSWall 2.9.0
•Jetico Personal Firewall 2.1.0.9.2447
•Kaspersky Internet Security 2011 11.0.2.556
•McAfee Internet Security 2011
•Norton Internet Security 2011 18.1.0.37
•Online Armor ++ Firewall 4.5.0.234
•Online Solutions Security Suite 1.5
•Outpost Security Suite Pro 2010 7.0.4 (3398.519.1243)
•Panda Internet Security 2011 16.00.00
•PC Tools Internet Security 2011 1.0.0.50
•Safe`n`Sec Deluxe 3.5.0.729
•Spyware Terminator 2.8.0.18
•Trend Micro Titanium Internet Security 2011 3.0.1303
•ZoneAlarm Internet Security Suite 9.3.37.0
Стоит пояснить, что из антивирусных продуктов и фаерволов мы брали в тест только те, в которых по информации от разработчиков присутствует функционал HIPS. Из специализированных HIPS-продуктов мы взяли два российских (Safe`n`Sec и DefenseWall) и один иностранный (GeSWall).
Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска тестовых утилит.
Шаги проведения тестирования:
1.Создание снимка чистой виртуальной машины (основной).
2.Установка тестируемого продукта с максимальными настройками.
3.Работа в системе (запуск Process Explorer, инсталляция и запуск Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
4.Отметка количества сообщений со стороны тестируемого продукта.
5.Отключение режима автообучения (если такой имеется).
6.Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
7.Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
8.Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск тестовых утилит каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS
Результаты тестирования
По результатам тестирования оказалось, что в антивирусных продуктах AVG, Norton, Avira, McAfee и Panda по факту отсутствуют HIPS-компоненты. Этими продуктами были провалены все тестовые кейсы, поэтому из итоговых результатов теста они были исключены.
Плюс в таблице означает, что была реакция HIPS на некое событие со стороны тестовой утилиты на проникновение в Ring 0 и была возможность пресечь это действие.
Минус - если тестовая утилиты сумела попасть в Ring 0, либо сумела открыть диск на посекторное чтение и произвести запись.
Таблица 1: Результаты сравнительного тестирования HIPS-компонент на Windows XP
Из всех протестированных продуктов со всеми тестовыми кейсами с настройками по умолчанию справились только: Online Armor ++ Firewall, Online Solutions Security Suite, Outpost Security Suite Pro и Spyware Terminator.
Trend Micro Titanium Internet Security, ZoneAlarm Internet Security Suite и PC Tools Internet Security не прошли тестирование, пропустив проникновение в ядро ОС в большинстве из проверенных нами случаев.
Заслуживают отдельного рассмотрения специализированные HIPS-продукты: DefenseWall Personal Firewall, GeSWall и Safe`n`Sec Deluxe; а также двух комплексных антивирусных решений: Comodo Internet Security и Kaspersky Internet Security. Их результаты в таблице 1 помечены звездочкой (*).
У HIPS-продуктов (тут можно говорить о любой песочнице) недоверие к файлу проистекает не от эвристического механизма, а от того, откуда именно появился и/или был запущен файл. Таким образом, происходит категоризация программ на доверенные и недоверенные. При этом все действия из недоверенной зоны будут анализироваться/блокироваться, а из доверенной зоны разрешаться. Поэтому результаты работы этих программ могут сильно зависеть от предварительных действий пользователя, в таблице 1 они помечены звездочкой.
DefenseWall Personal Firewall пропускает все атаки, если тестовые утилиты запускать как доверенные (когда они не проходили через недоверенный браузер, почтовый клиент или внешний носитель). Если тестовые утилиты, например, уже были на жестком диске до установки DefenseWall Personal Firewall, то они считаются доверенными и не проверяются, в этом случае тест проваливается. Если же запускать тестовые утилиты с внешнего носителя, то все опасные действия будут заблокированы.
В ходе установки Safe`n`Sec Deluxe компьютер проверяется встроенным антивирусным сканером по требованию, поэтому предполагается, что он не содержит вредоносных программ. Также необходимым требованием для работы программы является создание профиля системы (автоматическая настройка), в ходе которой существующие в системе приложения будут классифицированы и получат статус доверенных или ограниченных. В нашем случае если до создания профиля системы тестовые утилиты уже находились на жестком диске, то во всех без исключения случаях тест будет провален. Если же записать утилиту на диск уже после создания профиля или же запускать ее с внешнего носителя, то все попытки проникнуть в Ring 0 будут пресечены.
GeSWall также требует ряда предварительных действий для обеспечения положительного результата. Для этого приходилось вручную запускать тестовые утилиты в его песочнице. Но даже в этом случае нам не удалось добиться положительного результата во всех тестовых случаях.
В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.
Comodo Internet Security при запуске тестового приложения предлагает запустить его в песочнице, если с этим согласиться, то все попытки проникновения в ядро будут пресечены. В обычном режиме, как и в случае с Kaspersky Internet Security во всех случаях тест будет провален.
Таблица 2: Количество оповещений и запросов действий пользователя на Windows XP
Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от использования надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.
Как видно из таблицы 2 многие протестированные продукты сильно надоедают алертами. Больше остальных этим отличались Jetico Personal Firewall и Online Armor ++ Firewall. Наименее надоедливыми оказались AVG Internet Security, DefenseWall Personal Firewall, GeSWall, Kaspersky Internet Security, PC Tools Internet Security, Safe`n`Sec Deluxe, Trend Micro Titanium Internet Security и ZoneAlarm Internet Security Suite.
Что касается теста по Windows 7 x86, то в ходе теста было подтверждено, что эта операционная система способна блокировать отобранные нами методы проникновения в ядро штатными средствами без помощи сторонних программ (UAC, WRP, изоляция сервисов). Это делает такой тест под эту операционную систему бессмысленным.
«Большинство протестированных продуктов с функционалом HIPS показали, что способны отразить попытки проникновения вредоносных программ в Ring 0, но части вендоров ещё нужно работать над этой областью защиты. Так же в ходе теста было выявлено, несколько антивирусных решений способны контролировать активность только при определённых условиях, например, только когда контролируемое приложение запускается со сменного носителя. Это может привести к тому, что если приложение уже находилось в системе на момент установки продукта, он ничего не сможет сделать. Такая логика работы кажется весьма странной», - комментирует Вячеслав Копейцев, инженер по тестированию Anti-Malware.ru.
Источник: Anti-Malware.ru