Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Kartavenko M.V.
Для понимания. Давно - это сколько? Минимум, в среднем и максимум.

В методологии http://www.anti-malware.ru/node/9129 указаны названия всех эксплойтов. Если есть необходимость - можете посмотреть, когда каждая уязвимость была обнаружена.

Специально не высчитывали данные даты. На вскидку максимум несколько лет, минимум - до полугода.

Если будет подобный запрос, мы можем высчитать времена, но это дело не одного часа.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Kartavenko M.V. спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Поскольку тест был IS комплексов (вместе с активирусами), то в Comodo использовали стандартные настройки и накручивали до максимума в конфигурации Internet Security.

В конфигурации Proactive Security в Comodo при неиспользовании антивируса IPS (Защита+) защищает побольше (защищенные разделы: реестр и тп.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Как уже написал Kartavenko M.V., продукты после установки "замораживались", т.е. обновиться они не могли. Этим мы минимизировали возможные злоупотребления и заточку под тест со стороные вендоров, для которых список эксплойтов был доступен. Конечно, если у кого-то работало облако, то эти продукты находились в более выигрышной ситуации (теоретически могли что-то добавить). Но я все же полагаю, что в облаке они и так должны были информацию о всех этих эксплойтах иметь.

Хочу сразу обратить внимание на одну вещь. Кто-то подумал, а почему в тесте оказались круты Symantec, McAfee и Trend Micro? Неправда ли нетипичная картинка для последних наших тестов (смотрим историю награждений). А просто у этих компаний как раз есть больше компетенции в предмете и больш -е сигнатур атак чисто за счет корпоративных IPS.

Norton на стандартных настройках справился со всеми системными Code Execution. Аналогичные атаки на стороннее ПО у Symantec явно не в приоритете - подзабили они. Иначе было бы под 100%.

McAfee - прямо аналогичная ситуация. Есть только обидный минус на SMB Relay. Атаки на стороннее - тот же ноль.

Trend Micro - тоже самое! Один прокол на NETAPI. Атаки на стороннее - тот же ноль.

Это уже система, на эксплойты RCE для Windows сигнатуры исправно накладывают, а на все остальное внимание не обращаются.

А Stuxnet, Shell LNK, SMB Relay отловили даже отсталые слои, было бы уж совсем стыдно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

А с KIS то что? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

На мой взгляд, немаловажно знать статистику временных интервалов, через сколько по факту были закрыты конкретные уязвимости после их известности самими производителями конкретного программного обеспечения: MS и прочими?

Поскольку вопрос о том, должны ли стремиться во всем антивирусные компании предотвращать угрозы через чужие известные уязвимости: на опережение и вообще в принципе, уже поднимался на некоторых форумах.

Философский вопрос: неправа ли антималварная компания, если этим не занимается в случаях, когда заплатки и так выпущены и оперативно самими производителями этого ПО?

Ну а когда дыры известны, но еще не закрыты в этих случаях самими разработчиками, уж долг защищать не отменялся.

Насколько понялт, откаты делались на полгода назад или на несколько лет эти упомянутые? Под каждый тест разные сроки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Vsevolod, если знаете о существовании какие-то еще эксплойтов, то напишите. Их не так много вообще оказалось. Часть из них под другие ОС, что исключило их использовании в этот раз.

Мы об этом говорим?

http://technet.microsoft.com/ru-ru/security/

http://blogs.technet.com/b/rutechnews/arch...10/3497144.aspx и далее

http://secunia.com/resources/factsheets/2011_vendor/

http://secunia.com/resources/factsheets/2010_vendor/

http://www.adobe.com/support/security/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Предполагаю и даже уверен, что функционал и степень распространения защиты со стороны облаков у разных продуктов разный. Соответственно, со старыми базами у одних облака работают лучше, опять таки в определенных областях, у других хуже в одних областях или лучше в других. У некоторых, может, облака вообще нет.

Поэтому ощущение, что условия все же неравные. Производители программ защитных писали свои программы на свой вкус и под свое видение защиты, и под реалии условий со свежими базами, и не могли предусмотреть и не рассчитывали на именно этот тест и его условия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
На мой взгляд, немаловажно знать статистику временных интервалов, через сколько по факту были закрыты конкретные уязвимости после их известности самими производителями конкретного программного обеспечения: MS и прочими?

Это не составит больших проблем. Уязвимости, которые мы использоволи, нельзя назвать свежими. Например, MS08-067 Microsoft официально признал ее 23 октября 2008, MS10-061 - 14 Сентября 2010. Патчи можно посмотреть точно когда вышли, но там разрыв небольшой. Аналогичная картинка со остальныеми тоже. Естественно, время патчинга для более мелких вендоров (для стороннего ПО) обычно больше. Можно поднять точные цифры, надо гуглить.

Т.е. уязвимости были опубликованы и закрыты довольно давно. Но, все знают, что совсем не гарантирует, что они закрыты у большинства пользователей. Во-первых многие просто не заморачиваются апдейтами, другие используют пиратские версии Windows или левые сборки.

Поскольку вопрос о том, должны ли стремиться во всем антивирусные компании предотвращать угрозы через чужие известные уязвимости: на опережение и вообще в принципе, уже поднимался на некоторых форумах.

Я думаю тут пути два. Первый - заставлять обновляться, расставлять приоритеты по степени критичности. Второй - закрывать дырки самому через Virtual Patching. Причем эти оба пути не исключают друг друга, скорее дополняют. Ну не поставил человек своевременно патч, бывает, могут быть причины (то же пиратство), но при этом он купил защитное ПО и надеется на него. Если говорить о корпоративе, то там иногда очень непросто перегрузить систему, которая работает 24х7. А если их много? Поэтому здесь выручает Virtual Patching.

По результатам этого теста мы видим, что непропатченная система остается уязвимой и сторонняя защита тут не помогает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Поэтому ощущение, что условия все же неравные. Производители программ защитных писали свои программы на свой вкус и под свое видение защиты, и под реалии условий со свежими базами, и не могли предусмотреть и не рассчитывали на именно этот тест и его условия.

Не соглашусь. Если бы речь шла о 0-day, которую только недавно нашли, то тут можно было бы говорить о неравных условиях. Но тут уязвимости 2008-2010 году в основном. Иногда вообще 2006. Я думаю, что в продукте защиты от их эксплуатации давным давно нет, то и ждать внезапных чудес от облака не стоит :)

А с KIS то что?

А чего с KIS ... он оказался крутой в этом плане. Еще бы еще Battlefield закрыл, то была бы и вовсе платиновая медаль. Поэтому можно только поздравить Лабораторию Касперского. Отличная работа!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Дата баз угроз и версий у защитных программ в тестах какая?

И все же, неужели из приведенной мною выше ссылок под SP3 набирается только органиченное тестом число эксплойтов? Очень сомнительно.

По MS заплаток каждый месяц или чаще: десяток-2 +-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Т.е. уязвимости были опубликованы и закрыты довольно давно. Но, все знают, что совсем не гарантирует, что они закрыты у большинства пользователей. Во-первых многие просто не заморачиваются апдейтами, другие используют пиратские версии Windows или левые сборки.

Исходя из прочитанного на форумах: масса информации, что прекрасно обновляется левое использование. Только некоторые ленятся или отключают, не меньше чем обладатели лицензий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
По MS заплаток каждый месяц или чаще: десяток-2 +-

Уязвимостей много, но они нам не подходят по условиям тестирования. Дело в том, что мы искали уязвимости и эксплойты к ним, которые позволяют атаковать пассивный компьютер. Большинство же уязвимостей подразумевают, что пользователь попадает на зараженный веб-сайт, октрывает специальным образом подготоволенный файл и т.п. Это все не подходило по условиям методологии.

Дата баз угроз и версий у защитных программ в тестах какая?

20.04.2012

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Уязвимостей много, но они нам не подходят по условиям тестирования. Дело в том, что мы искали уязвимости и эксплойты к ним, которые позволяют атаковать пассивный компьютер. Большинство же уязвимостей подразумевают, что пользователь попадает на зараженный веб-сайт, октрывает специальным образом подготоволенный файл и т.п. Это все не подходило по условиям методологии.

По ряду мнений и статистике последнего времени, самым уязвимым даже при наличии всех обновлений считается Adobe Flash Player.

В тестирования не попал. Жаль. Пишут, что часто используются бреши в нем при заходе на зараженные сайты.

Думается, чаще, чем атаки на пассивный мало кому интересный неизвестно чей частный компьютер с динамическим айпи, как уже было написано по ссылке выше - из внутридомовых сетей за НАТом провайдера.

В название теста нужно добавить про отсутствие сетевой деятельности по инициативе пользователя на атакуемом компьютере в адреса атакующих. Иначе необъективное название.

Нужны, просто необходимы тесты по схожим методам с Флешплеером, чем больше, тем лучше. И с отключенными облаками, методом выдергивания кабеля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Думается, чаще, чем атаки на пассивный мало кому интересный неизвестно чей частный компьютер с динамическим айпи, как уже было написано по ссылке выше - из внутридомовых сетей за НАТом провайдера.

Это не комплексный тест. Мне, например, он интересен, не думаю, что я один. Естественно комплексный тест будет выглядеть интереснее, но это лучше чем совсем ничего. С чего-то нужно начинать.

P.S. Сергей Ильин, Kartavenko M.V. и всех тестировщиков благодарю за проделанную работу. С этого и нужно было начинать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Нужны, просто необходимы тест по схожим методам с Флешплеером, чем больше, тем лучше. И с отключенными облаками, методом выдергивания кабеля.

Мне вчера подкинули идею доработки этого теста до "боевого варианта", когда на комп. будет попытка загрузки вредоносного файла и его дальнейшей установки. Вот эту идею можно было бы заточить и под эксплойты для активного режима.

P.S. Сергей Ильин, Kartavenko M.V. и всех тестировщиков благодарю за проделанную работу. С этого и нужно было начинать.

Спасибо! Будем стараться развивать это направление тестов в будущем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
.......

Нужны, просто необходимы тесты по схожим методам с Флешплеером, чем больше, тем лучше. И с отключенными облаками, методом выдергивания кабеля.

Сами себе противоречите, атака на флешплеер, который и нужен то только для работы в сети интернет, для просмотра контента на флеше. Ну и при этом же предлагаете кабель из компа выдернуть ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Сами себе противоречите, атака на флешплеер, который и нужен то только для работы в сети интернет, для просмотра контента на флеше. Ну и при этом же предлагаете кабель из компа выдернуть ;)

Внимательно методу изучите: 1 атакуемый, 2 атакующих (или решайте сколько достаточно). Все по локалке.

При тестах изолировать от интернета, от облака соответственно.

Выдернуть кабель интернета, потому что кое-кто позволяет взаимодействие с облаком при формальном отключении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Мне вчера подкинули идею доработки этого теста до "боевого варианта", когда на комп. будет попытка загрузки вредоносного файла и его дальнейшей установки.

А это уже, фактически, динамический тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
А это уже, фактически, динамический тест.

Поэтому, чтобы было то, что требуется, это надо тестировать только IPS в авто или ручном режиме, абстрагироваться от антивируса.

А также тестировать на последующие утечки фаерволом, если внедрение кода удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А это уже, фактически, динамический тест.
Поэтому, чтобы было то, что требуется, это надо тестировать только IPS в авто или ручном режиме, абстрагироваться от антивируса.

Это был бы уже не тест сетевого IPS, а тест HIPS. Т.е. как правильно заметил Илья, это будет ближе к динамике, но с синтетической академичностью (если загрузчик и концепт вредоноса специально писать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

К размышлению: у некоторых заявлена возможность эмуляции и анализа поведения в облаке, у некоторых этого нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Воздержались, не рады результатам.

Нас больше интересует тест именно фаерволов на защиту от внешних атак, включая ARP-атаки (перехват данных), производительность при сетевой нагрузке, и т.п. - за что, собственно фаервол как фаервол и выбирают.

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

Дмитрий К. не разработчик, а бета-тестер продукта. Про низкий уровень тревоги отмечено верно.

В целом, допиливанием "Детектора атак" под устаревшие морально системы/уязвимости заниматься малоинтересно - мы не ставим своей целью отбивать редкие эксплойты на уровне IDS, если HIPS отменно справляется - или даже тупо пугает эксплойт своим именем, как А. выше написал :)

PS: Когда нужно было закрыть уязвимость, эксплуатирумую Stuxnet, билд был выпущен через день после Sophos, релизнувших утилиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

У Касперского компонентом Защита от сетевых атак подразумевается то, что исследовалось в этом тесте, или большее? Ну кроме понятной роли сетевого экрана.

Со справочной статьей ознакомлен, ссылку не надо, надо пояснения.

Или еще здесь защита от атак через известные уязвимости при посещении несущих угрозы сайтов?

Или для еще чего-то кроме упомянутого предназначается данный компонент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×