Dr.Web – перехватчик эксплойтов
18 октября 2017
В выпуске «Максимум ущерба при минимуме усилий» проект «Антивирусная правДА!» рассказывал об одной опасной уязвимости. И у читателей возник вопрос: защищает ли Антивирус Dr.Web от ее злонамеренного использования? Напомним, о чем именно шла речь:
Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft.NET Framework. В результате эксплуатации уязвимости злоумышленник получает пользовательские права на уязвимой системе.
1) эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;
2) для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;
3) код эксполойта для данной уязвимости опубликован в открытом доступе в сети Интернет, и это означает, что данной уязвимостью может воспользоваться любой пользователь сети.
Возможные векторы атаки: рассылка целевого фишинга с вложением документа Microsoft Office (doc, rtf и др.) с целью установки троянской программы FINSPY (FinFisher).
Начнем с того, что такое уязвимость. На вход некоей функции определенного приложения поступают данные, которые обрабатываются не так, как предполагалось разработчиками. В результате злоумышленник может выполнить действие, которое не было предусмотрено создателями программы или было недоступно обычным пользователям.
То есть в данном случае:
1) есть уязвимость – функция программы, недостаточно защищенная от киберхулиганов;
2) есть некая последовательность действий (назовем это инструкцией по эксплуатации уязвимости), с помощью которых злоумышленник может эту уязвимость использовать;
3) есть вредоносный код, внедряемый злоумышленником путем выполнения инструкции.
Важно понимать, что инструкция не равна вредоносному коду. Разберем этот тонкий момент подробнее.
Для использования уязвимости злоумышленнику необходимо выполнить ряд действий. В данном случае – специальным образом сформировать документ и разослать его предполагаемым жертвам. В связи с тем, что документ сформирован некорректно (не так, как предполагает программа, его обрабатывающая), в момент его открытия, получения или иной обработки возникает ошибка. Поскольку данная ошибка не была предусмотрена создателями программы, то она не обрабатывается, и злоумышленник получает возможность внедрить некий вредоносный код (или запустить его). То есть путем использования одной уязвимости и одной и той же инструкции можно внедрять разные вредоносные коды. Этим и отличаются понятия уязвимости и ее реализации. Уязвимость – одна, а реализаций может быть много.
Соответственно, возникают вопросы.
- Может ли антивирус защитить от выполнения инструкции (использования уязвимости, обращения к ней)?
- Может ли антивирус защитить от выполнения вредоносного кода, внедряемого в ходе эксплуатации уязвимости?
Защититься от использования уязвимости можно. Для этого нужен некий аналог динамического анализатора кода (специальной программы, отслеживающей слабые места в приложениях), который будет перехватывать все обращения ко всем функциям программы, а также все передаваемые в функции данные.
Даже закрыв глаза на то, что мы не знаем списка функций всех программ и описания ограничений на данные, которые им передаются, и не говоря о том, что будут жуткие «тормоза», это тупиковый путь. С его помощью можно предотвратить эксплуатацию только известных уязвимостей.
А как же Превентивная защита и ее аналоги? Данные механизмы отслеживают обращения программы к внешним ресурсам. Здесь же происходит изменение кода программы внутри нее самой.
А вот отследить внедряемые путем использования уязвимости вредоносные программы мы можем. И отслеживаем!
#уязвимость #эксплойт #обновления_безопасностиАнтивирусная правДА! рекомендует
- Cамый правильный способ защиты от уязвимостей – установка обновлений. Специализированные решения для анализа кода на уязвимости на лету существуют, но обычно они не универсальны. В качестве примера можно привести Web Application Firewall (WAF). К сожалению, все это – решения не для простых пользователей, а для имеющих квалификации специалистов по безопасности.
- Антивирус Dr.Web обеспечивает защиту от злонамеренного использования уязвимостей – он может опознавать эксплойты (вредоносный код, внедряемый в программу). При этом по сравнению со многими другими средствами защиты, Антивирус Dr.Web имеет ряд преимуществ:
А. Он по возможности проверяет все данные, передаваемые в защищаемую систему, до их получения той или иной программой (например, MS Office). Соответственно, вредоносный код будет перехвачен до своего исполнения и уж точно до того, как пользователь попытается открыть полученный документ. Этот функционал реализуется веб-антивирусом SpIDer Gate и почтовым монитором SpIDer Mail.
Б. Для ряда программ Антивирус Dr.Web непосредственно отслеживает попытки внедрения эксплойтов путем контроля изменения кода программ.
Ну и чтобы всех окончательно успокоить: используемые злоумышленниками компоненты для эксплуатации уязвимости, описанной в выпуске «Максимум ущерба при минимуме усилий», мы детектируем как Trojan.Inject2.58114 и Exploit.CVE-2017-8759.5.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
16:55:18 2020-03-14
еще раз убеждаюсь что Drweb хороший антивирус.
Денисенко Павел Андреевич
21:37:28 2018-08-05
Неуёмный Обыватель
22:42:11 2018-06-21
vasvet
16:44:43 2018-04-08
Александр
20:28:19 2017-11-15
Пaвeл
13:59:21 2017-10-20
"В РФ введут полный запрет на госзакупки зарубежных антивирусов"
Подробнее: http://www.securitylab.ru/news/489230.php
AxooxA
12:29:45 2017-10-19
Если бы...
Находишься во вчерашнем выпуске, жмешь наверху кнопку логина, авторизуешься, всё отлично. Переходишь на сегодняшний выпуск, читаешь его, доходишь до низа и видишь, что и коммент не можешь отправить и проголосовать нельзя.
Никакого "в течение часа". Даже 10 секунд не проходит. Ну не всегда конечно. Раз на раз не приходится.
Вот сейчас логинился на этой же странице, показало об успешной авторизации (промелькнула страница с приветствием) и тут же произошло разлогинивание. Пришолсь снова заходить.
Александр
00:37:36 2017-10-19
razgen
00:07:52 2017-10-19
Разлогинивание происходит если в течении одного часа пользователь не производит ни каких действий.
razgen
23:56:18 2017-10-18
Согласен в отношении различного другого ПО, но только кроме DrWeb. После обновлений Dr.Web Security Space проблем не бывает.
Lia00
23:49:25 2017-10-18
Ruslan
23:10:07 2017-10-18
vla_va
22:44:57 2017-10-18
В...а
22:04:01 2017-10-18
НинаК
21:49:02 2017-10-18
Марина
21:28:39 2017-10-18
Littlefish
21:16:18 2017-10-18
Littlefish
21:15:14 2017-10-18
ek
20:53:02 2017-10-18
orw_mikle
20:52:43 2017-10-18
kozinka.ru
20:50:22 2017-10-18
Сергей
20:05:41 2017-10-18
marisha-san
19:46:00 2017-10-18
kva-kva
19:25:09 2017-10-18
Геральт
19:23:48 2017-10-18
Шалтай Александр Болтай
19:13:24 2017-10-18
Анатолий
18:46:09 2017-10-18
Toma
18:39:55 2017-10-18
Alex_1774
18:38:18 2017-10-18
Спасибо за отличный продукт!
mk.insta
17:46:49 2017-10-18
Damir
16:54:51 2017-10-18
La folle
15:49:10 2017-10-18
Masha
14:54:40 2017-10-18
Dmur
14:11:34 2017-10-18
Дмитрий
13:42:33 2017-10-18
Dvakota
12:49:33 2017-10-18
vinnetou
12:37:25 2017-10-18
Alexander
12:24:20 2017-10-18
Злоумышленник обнаружил скрытый вероятный вход в систему (уязвимость). За найденной "дырой" оказался сложный лабиринт, который ему как-то удалось пройти и составить карту (инструкция). И вот он внутри и выбирает, какую же "шутку" здесь оставить (эксплоит). Большой неожиданностью и неприятностью для этого "проходчика" станет присутствие команды защитников Dr.Web. "Жаль, а как все удачно начиналось", - только и успел подумать любитель наживы перед своей кончиной. Как-то так ...
Приятно осознавать, что я сделал правильный выбор, Dr.Web Security Space качественно делает свою работу, охраняя меня в то время, когда я делаю свою.
@Вячeслaв, сдается мне, что Вы тоже участвовали в подготовке этой статьи. Спасибо.
Oleg
12:18:20 2017-10-18
Татьяна
12:16:51 2017-10-18
duduka
12:13:03 2017-10-18
AxooxA
11:49:32 2017-10-18
Maat
11:40:55 2017-10-18
Andromeda
11:38:09 2017-10-18
SGES
11:36:07 2017-10-18
Альфа
11:20:10 2017-10-18
Yra.Ka.
11:15:24 2017-10-18
sapfira
10:59:16 2017-10-18
user
10:38:08 2017-10-18
Сергей
10:29:38 2017-10-18