Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Dr.Web – перехватчик эксплойтов

Прочитали: 3518 Комментариев: 75 Рейтинг: 110

18 октября 2017

В выпуске «Максимум ущерба при минимуме усилий» проект «Антивирусная правДА!» рассказывал об одной опасной уязвимости. И у читателей возник вопрос: защищает ли Антивирус Dr.Web от ее злонамеренного использования? Напомним, о чем именно шла речь:

Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft.NET Framework. В результате эксплуатации уязвимости злоумышленник получает пользовательские права на уязвимой системе.

1) эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;

2) для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;

3) код эксполойта для данной уязвимости опубликован в открытом доступе в сети Интернет, и это означает, что данной уязвимостью может воспользоваться любой пользователь сети.

Возможные векторы атаки: рассылка целевого фишинга с вложением документа Microsoft Office (doc, rtf и др.) с целью установки троянской программы FINSPY (FinFisher).

https://habrahabr.ru/company/infosecurity/blog/338256

Начнем с того, что такое уязвимость. На вход некоей функции определенного приложения поступают данные, которые обрабатываются не так, как предполагалось разработчиками. В результате злоумышленник может выполнить действие, которое не было предусмотрено создателями программы или было недоступно обычным пользователям.

То есть в данном случае:

1) есть уязвимость – функция программы, недостаточно защищенная от киберхулиганов;

2) есть некая последовательность действий (назовем это инструкцией по эксплуатации уязвимости), с помощью которых злоумышленник может эту уязвимость использовать;

3) есть вредоносный код, внедряемый злоумышленником путем выполнения инструкции.

Важно понимать, что инструкция не равна вредоносному коду. Разберем этот тонкий момент подробнее.

Для использования уязвимости злоумышленнику необходимо выполнить ряд действий. В данном случае – специальным образом сформировать документ и разослать его предполагаемым жертвам. В связи с тем, что документ сформирован некорректно (не так, как предполагает программа, его обрабатывающая), в момент его открытия, получения или иной обработки возникает ошибка. Поскольку данная ошибка не была предусмотрена создателями программы, то она не обрабатывается, и злоумышленник получает возможность внедрить некий вредоносный код (или запустить его). То есть путем использования одной уязвимости и одной и той же инструкции можно внедрять разные вредоносные коды. Этим и отличаются понятия уязвимости и ее реализации. Уязвимость – одна, а реализаций может быть много.

Соответственно, возникают вопросы.

  1. Может ли антивирус защитить от выполнения инструкции (использования уязвимости, обращения к ней)?
  2. Может ли антивирус защитить от выполнения вредоносного кода, внедряемого в ходе эксплуатации уязвимости?

Защититься от использования уязвимости можно. Для этого нужен некий аналог динамического анализатора кода (специальной программы, отслеживающей слабые места в приложениях), который будет перехватывать все обращения ко всем функциям программы, а также все передаваемые в функции данные.

Даже закрыв глаза на то, что мы не знаем списка функций всех программ и описания ограничений на данные, которые им передаются, и не говоря о том, что будут жуткие «тормоза», это тупиковый путь. С его помощью можно предотвратить эксплуатацию только известных уязвимостей.

А как же Превентивная защита и ее аналоги? Данные механизмы отслеживают обращения программы к внешним ресурсам. Здесь же происходит изменение кода программы внутри нее самой.

А вот отследить внедряемые путем использования уязвимости вредоносные программы мы можем. И отслеживаем!

#уязвимость #эксплойт #обновления_безопасности

Антивирусная правДА! рекомендует

  1. Cамый правильный способ защиты от уязвимостей – установка обновлений. Специализированные решения для анализа кода на уязвимости на лету существуют, но обычно они не универсальны. В качестве примера можно привести Web Application Firewall (WAF). К сожалению, все это – решения не для простых пользователей, а для имеющих квалификации специалистов по безопасности.
  2. Антивирус Dr.Web обеспечивает защиту от злонамеренного использования уязвимостей – он может опознавать эксплойты (вредоносный код, внедряемый в программу). При этом по сравнению со многими другими средствами защиты, Антивирус Dr.Web имеет ряд преимуществ:

    А. Он по возможности проверяет все данные, передаваемые в защищаемую систему, до их получения той или иной программой (например, MS Office). Соответственно, вредоносный код будет перехвачен до своего исполнения и уж точно до того, как пользователь попытается открыть полученный документ. Этот функционал реализуется веб-антивирусом SpIDer Gate и почтовым монитором SpIDer Mail.

    Б. Для ряда программ Антивирус Dr.Web непосредственно отслеживает попытки внедрения эксплойтов путем контроля изменения кода программ.

Ну и чтобы всех окончательно успокоить: используемые злоумышленниками компоненты для эксплуатации уязвимости, описанной в выпуске «Максимум ущерба при минимуме усилий», мы детектируем как Trojan.Inject2.58114 и Exploit.CVE-2017-8759.5.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: