Невидимая броня от эксплойтов

Кухня

добавить в избранное

Невидимая броня от эксплойтов

Прочитали: 9691 Комментариев: 87 Рейтинг: 311

2 марта 2017

Чтобы нанести ущерб, вирусописателям мало создать вирус (троянца, adware и т. п.) – нужно еще произвести некие манипуляции на атакуемом компьютере.

Внедряемая злоумышленником программа совершенно не обязательно должна быть вредоносной. Скажем, для хищения денег у компании вполне достаточно поставить клавиатурного шпиона – легальную программу, предназначенную для фиксации действий определенных групп сотрудников, или программу удаленного управления, также легальную, обычно используемую системными администраторами. Есть легальные программы для блокирования экрана, шифрования (более того, это сервис операционной системы), майнинга (добычи) биткойнов и для многого другого.

Но что делать злоумышленнику, если в атакуемой системе запрещена установка нового ПО? Оказывается, выход есть и здесь. Злоумышленники могут использовать возвратно-ориентированное программирование (return oriented programming, ROP).

Суть данного метода состоит в том, что атакующему вообще не нужно внедрять вредоносное ПО – в атакуемой системе уже есть все необходимое. Злоумышленнику достаточно лишь знать о наличии определенных кусков кода в атакуемой программе или используемой ею библиотеке – и организовать последовательное выполнение этих кусков кода.

Возвратно-ориентированное программирование — это усовершенствованная версия атаки на переполнение буфера. Для такой атаки используется уязвимость в атакуемой программе, когда некая функция программы не проверяет корректно записываемые в нее данные. В итоге атакующий может передать больше данных, чем ожидает программа, и они при записи перекроют области данных за пределами выделенного буфера. В результате атакующий может перезаписать адрес возврата некоей функции, и в определенный момент будет вызван код, записанный в программу злоумышленником.

Этот тип атак известен очень давно, и сегодня операционные системы уже умеют от них защищаться. Например, можно запретить исполнение кода из областей программы, где заведомо могут находиться лишь данные.

Мало кто знает, но данное ограничение мешает работе антивирусов по причине наличия в них вирусных баз. Первые антивирусы были монолитными – в одном файле программа содержала и сам антивирус, и сигнатуры для обнаружения вирусов. Но это неудобно в связи с необходимостью обновления баз – их объем велик, и скачивать каждый раз целиком все базы – неудобно. Поэтому сейчас вирусные базы находятся в отдельных файлах и загружаются при старте антивируса в область данных программы. А поскольку базы содержат не только сигнатуры, но и исполняемый код, то для того, чтобы обходить ограничения операционных систем, приходится предпринимать определенные усилия.

Предотвращение выполнения кода, размещенного в области данных, не позволяет атаковать методом переполнения буфера. Но зачем размещать код, если он уже есть в программе или библиотеках системы? Атакующему нужно лишь подменить адреса возврата из определенных функций – и программа приобретет новый функционал.

Защититься от таких атак существенно сложнее. В возвратно-ориентированном программировании для атаки функции атакуемой программы используются не полностью – задействованы лишь небольшие последовательности инструкций, заканчивающиеся инструкцией возврата, так называемые «гаджеты». Проще всего выделить такие гаджеты, если нужный злоумышленнику код находится в конце определенной функции. Поэтому, чтобы не допустить атаки, необходимо контролировать все переходы между функциями программы, отсекая подозрительные, а также контролировать «опасность» кода определенных функций, обращения к такому коду извне.

Построение такой системы защиты возможно, но, увы, недоступно большинству пользователей, так как требует высокой квалификации.

#Dr.Web_ShellGuard #DDoS-атака #безопасность #взлом #терминология #уязвимость

Антивирусная правДА! рекомендует

Может ли защитить от подобной атаки антивирус – зачастую единственное средство защиты, которым располагает пользователь?

Атакующий модифицирует уже запущенную программу – области данных процесса в оперативной памяти. Поэтому файловый антивирус вполне может не заметить угрозы: ведь новых файлов в системе не появилось. Безопасность может обеспечить только контроль за изменением процессов изнутри. В Dr.Web за это отвечают технологии защиты от эксплойтов Dr.Web ShellGuard (в составе Dr.Web Security Space 11.0).

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sergey
19:30:30 2020-03-19

С эксплойтами пока не сталкивался. Хочется верить, что защита Dr.Web в этой части не подкачает.

Денисенко Павел Андреевич
14:39:36 2018-07-26

ShellGuard хорошая технология)

alex-diesel
18:51:39 2018-04-03

какие то уже запредельные уровни угроз и атак.
чувствуешь свою беззащитность и полную зависимость от антивирусных программ.

vasvet
15:36:58 2018-04-01

Dr.Web предусматривает много возможных вариантов атак, чем и дорог.

Toma
18:05:38 2018-03-20

Dr.Web содержит в себе много замечательных технологий!

AntonIT
13:29:21 2017-03-04

Все ясно и понятно разжевано! Автору жирный +

sania2186
16:41:14 2017-03-03

Атакующий модифицирует уже запущенную программу

Ruslan
14:36:06 2017-03-03

Спасибо за полезную и интересную статью!

Беломойкин
11:43:21 2017-03-03

@angspb, вы бы видели мою систему. Что дома, что на работе. :(

А в голову мне, когда я прочитал ваши сообщения, пришло вот что - скорее всего, все дело в перегреве процессора!
По простому говоря:
Когда вы заходите на, так-сказать - тяжелые сайты, или при антивирусной проверке, увеличивается нагрузка на процессор (а также мосты и GPU). Что вызывает увеличенный выброс тепла этими микросхемами. При нагреве процессора, (именно процессора), компьютер увеличивает обороты вентилятора, чтобы увеличить охлаждение процессора, но это - не помогает. И когда процессор нагревается выше критической отметки, происходит аварийное выключение питания.

Нужно проверить, не отвалился ли радиатор от процессора, а еще лучше, заменить везде термопасту на свежую. Скорее всего, она уже высохла, и тепло уже не проводит.

Всех участников сообщества, прошу прощения за флуд. ;о)

Неуёмный Обыватель
02:16:46 2017-03-03

"Первые антивирусы были монолитными – в одном файле программа содержала и сам антивирус, и сигнатуры для обнаружения вирусов." Как раз вчера доставал из архива и рассматривал aidstest от 1997 года. Всего один файл размером 173 Кб. Эх, были времена! И вот прошло 20 лет и вирусные базы весят уже чуть ли не в 500 раз больше. Да и технологии ушли далеко вперед, как атакующих, так и защищающихся. Один из примеров: Dr.Web ShellGuard. Спасибо DrWeb за надежную защиту!

Andromeda
23:24:25 2017-03-02

Нам остаётся надеяться на защиту Dr. Web.

Альфа
23:03:54 2017-03-02

Сложновато. Завтра на свежую голову перечитаю ещё раз.

Kam-i-kadze
23:02:19 2017-03-02

очень интересно и доступно

razgen
22:55:01 2017-03-02

Б...м
22:25:58 2017-03-02

можно и прочитать 2 раза

Ещё раз на ночь глядя внимательно прочитал, изучил, сложновато для понимания простого обывателя. Согласно заключения выпуска сделал вывод для себя, что при опасностях такого вида рядовому пользователю необходимо защищаться с помощью Dr.Web Security Space 11.0.

eaglebuk
22:31:54 2017-03-02

есть защита!

Б...м
22:25:58 2017-03-02

можно и прочитать 2 раза

Б...а
22:16:24 2017-03-02

все возможно

Dvakota
22:07:22 2017-03-02

Dr.Web на защите .

aleks_ku
22:07:19 2017-03-02

Броня крепка

Геральт
21:23:07 2017-03-02

С нашим Доктором Вебом никакие угрозы не страшны.

В...а
21:11:10 2017-03-02

Борьба идет

Viktoria
21:09:18 2017-03-02

Правильные рекомендации.

orw_mikle
20:52:10 2017-03-02

Спасибо, пользуемся данным компонентом.

НинаК
20:43:12 2017-03-02

тема очень запутанная

Сергей
20:29:53 2017-03-02

Правильные рекомендации.

ek
20:26:49 2017-03-02

под защитой все равно

kva-kva
20:07:19 2017-03-02

хитрый метод

mariana
20:00:32 2017-03-02

и правда сложно

mk.insta
19:54:53 2017-03-02

некие манипуляции?

Ovod
19:26:50 2017-03-02

технологии защиты от эксплойтов Dr.Web ShellGuard

Dzhetrou
19:21:23 2017-03-02

Хорошо, спасибо!

Неуёмный Обыватель
19:13:04 2017-03-02

@Шалтай_Александр_Болтай, не я суров, таковы правила. Но кое-кому правила не писаны, вон уже и расправой угрожают :)

Шалтай Александр Болтай
19:10:08 2017-03-02

@Неуёмный_Обыватель, ну ты суров! Ничего лишнего не скажи.

Неуёмный Обыватель
19:01:34 2017-03-02

@razgen, теперь по существу.
Сколько раз можно вам подсказывать, что "Антивирусная правда" не очень подходит для обсуждения посторонних вопросов по другим проектам. То у вас проблемы с твиттингом, то с размерами шрифтов в ВебIQметре, то началом продаж коробки, то девиц каких-то поздравляете. Какое всё это имеет отношение к возвратно-ориентированному программированию? Неважно, когда ваша вожделенная коробка появится в продаже. К программированию это не имеет никакого отношения.
Вы вроде давно уже не мальчик, а ведете себя как незрелый юнец. Зачем воспринимать указание на неточности и ошибки в ваших сообщениях как личное оскорбление? Больше никто тут не страдает маниакальным желанием оторваться на собеседнике по полной и хотя бы заблокировать за то, что по твоему комменту возникли вопросы. Если вам охота почесать языком, зачем засорять эфир, велком в почту,я уже не раз вам предлагал выговориться. Повторю еще раз: boltun.m+r@yandex.ru

Ребята, давайте жить дружно и не писать не имеющие к обсуждаемой теме вещи.
Если кто-то еще не знаком с правилами комментирования на сайте, то можно ознакомиться: https://www.drweb.ru/user/rules/news/
Особо обратите внимание на:
п.2 "Запрещается использование нецензурных выражений и ругательств, которые могут оскорбить третье лицо и/или группу лиц..." (Это вам, уважаемый razgen к слову "бот" )
п.5 "Запрещается публикация сообщения (сообщений) вне темы обсуждения, не допускаются флейм, спам, флуд и иные формы недобросовестного поведения в интернет-пространстве." (а это ко всем остальным сообщениям, которые к теме выпуска не имеют никакого отношения)

Миру- мир!

Неуёмный Обыватель
18:38:24 2017-03-02

@razgen, какой высокий слог )))

razgen
18:27:40 2017-03-02

@Неуёмный_Обыватель,<< @razgen, коробки Dr.Web Security Space на 25 месяцев для двух ПК продаются уже более недели. Как говорится: "требуйте в магазинах вашего города!". Торопитесь, а то разберут все коробки, т.к. тираж ограничен. На вопрос, где можно купить, ответили еще 8 дней назад в той же новости, где сообщили о выпуске ограниченного тиража коробок.>>
__________

Теперь по существу вопроса. Ну если не знаешь помолчи, где ты видел их в продаже, да ещё более недели, через неделю только будет опубликован список магазинов. Где ты видел чтобы ограниченный спец тираж широко продавался. Опять пустой трёп. Как я говорил лишь, бы что нибудь ляпнуть. Я связывался с партнёрами Доктор Веб и вот только что получил можно сказать официальную информацию, которой делюсь со всеми.

"Список магазинов, в которых будет можно приобрести акционную коробку,
будет опубликован на сайте drweb.ru после 10.03.2017 года."

razgen
18:13:54 2017-03-02

@Неуёмный_Обыватель, Бот, ты меня уже достал, я тебя скоро заблокирую.
Какое отношение имеет, твои повторяющиеся комментарии о сайте РБК, к возвратно-ориентированному программированию?

razgen
17:45:29 2017-03-02

@angspb, браузер Google Chrome.

Железо: 3 GB RAM; Core2Duo E6300 1.86Ghz; NVIDIA GeForce GT 610 - далеко не супер, а устаревшее.

Открываю РБК, слева в верхнем углу онлайн телевизионная картинка, всё нормально причём кроме этого сайта специально пересчитал открыты 33 вкладки других сайтов.

iAFC
17:06:50 2017-03-02

Установил антивирус и живешь спокойно.

iiwanc
16:44:34 2017-03-02

Бросился проверять Dr.Web ShellGuard в своем dr. Web :-)

Hazal
16:27:19 2017-03-02

Ознакомилась для общего развития.

DrKV
16:20:46 2017-03-02

А сколько ещё скрытых шпионских технологий не доступно ни широкой публике, ни борцам с этими технологиями! Можно только догадываться.

angspb
14:19:27 2017-03-02

Возможно, дело не в браузерах и сайтах. Только что запустил выборочную проверку с помощью Dr.Web и эффект повторился. Вероятно, некоторые сайты так нагружают антивирус работой, которой и без них хватает, что только самые современные процессоры способны с ней справиться, а 4 GB RAM, Intel Core2 Extreme CPU X9000 @ 2.8GHz, NVIDIA Quadro FX 1600 не хватает.

Неуёмный Обыватель
14:18:10 2017-03-02

@angspb, посмотрел приведенные вами сайты. Это просто кошмар, сколько там обновляющихся постоянно элементов. В основном- рекламы. И в fontanka.ru и в emls.ru в коде страниц задана периодичность обновления элементов страниц. Естественно, это всё грузит систему, даже если вы просто открыли страницу и просто читаете её. Притом, не поможет даже отключение автообновления в настройках браузера. А на компьютерах не первой свежести нагрузка будет чувствоваться. Если вы не используете Dr.Web Link Checker, то рекомендую поставить. Удивитесь насколько разительно отличается внешний вид перечисленных вами сайтов с включенным чекером и без. И режимом: Реклама- запретить по умолчанию. Сами функции, вызывающие обновление элементов в коде страницы, конечно, остаются. Их можно только отрубить только использованием скриптов в браузере. Но тога, боюсь, ваши любимые сайты вообще перестанут отображаться :)

Damir
13:52:37 2017-03-02

Очень интересный выпуск.

forrus
13:51:50 2017-03-02

возьмём на заметку.

Azat.N
13:50:03 2017-03-02

Спасибо за информацию)

angspb
13:27:48 2017-03-02

Сайт rbc.ru привёл для примера. Могу назвать ещё fontanka.ru, emls.ru и несколько других. Не зависит об браузера, пробовал chrom, edge, internet explorer, yandex,- эффект одинаков. Но происходит это только в вечернее время и слабо зависит от числа открытых вкладок, скорее - от времени,- чем позже, тем вероятнее. Может это было бы и не так заметно, но компьютер не молод.

Вячeслaв
13:06:40 2017-03-02

@npzarikov, естественно некий начальный код должен попасть в систему. Скажем это может быть скрипт, выполняющийся на стороне клиента в браузере, запущенный по ссылке файл и тд. То есть начальное заражение ничем не отличается от типичного. Тут важнее не метод заражения, а возможность детектирования заражения. По идее при таком подходе начальный инициирующий вирус не содержит вредоносного кода, а значит не может быть детектирован по сигнатуре. Соответственно для защиты от таких угроз нужно использовать не только антивирусное ядро, но и поведенческий анализатор + ограничение прав пользователя на запуск программ. Но очень многие антивирусы, относящиеся, имеющие названия Free, Antivirus (показывать пальцем не имеем права) и тд - не имеют такого функционала - там только антивирусное ядро. Продвинутый функционал есть только в продуктах класса Security Space. Но очень многие пользователи считают, что навороты им не нужны, в антивирусе достаточно антивирусного ядра - и для них такие вирусы как раз и создаются.

Неуёмный Обыватель
12:55:57 2017-03-02

@razgen, коробки Dr.Web Security Space на 25 месяцев для двух ПК продаются уже более недели. Как говорится: "требуйте в магазинах вашего города!". Торопитесь, а то разберут все коробки, т.к. тираж ограничен. На вопрос, где можно купить, ответили еще 8 дней назад в той же новости, где сообщили о выпуске ограниченного тиража коробок.
P.S. Какое отношение имеет ваш вопрос к возвратно-ориентированному программированию? Антивирусная правда не занимается продажей коробок. Коробочные продукты Dr.Web реализуются через сеть партнёров компании «Доктор Веб». https://partners.drweb.ru/retail/

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Невидимая броня от эксплойтов

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей