Ausbeuten(vom Wort Exploit) ist ein Programm oder Code, der benötigt wird, um den Betrieb des Systems durch verschiedene Schwachstellen zu stören. Natürlich kann man sie nicht als vollwertige Viren bezeichnen, aber die von ihnen ausgehende Gefahr ist recht hoch. Der Zweck des Exploits besteht darin, eine Schwachstelle zu finden, dann volle Administratorrechte zu erlangen und damit zu beginnen, Malware und Viren in das System einzuschleusen – Trojaner, Würmer usw.

Malwarebytes Anti-Exploit ist genau das, was Sie brauchen

Ein Antivirenprogramm, das nach Exploits sucht, muss über ein leistungsstarkes Verhaltensanalysemodul verfügen. Nur so können sie erkannt werden. In diesem Artikel analysieren wir ein spezielles Dienstprogramm zum Suchen und Zerstören von Exploits – Malwarebytes Anti-Exploit. Natürlich gibt es auch andere ähnliche Produkte.

Wir lesen:

Dieses Programm verfügt über eine Zero-Day-Schwachstellenfunktion, die dazu dient, das Betriebssystem vor Malware zu schützen. Malwarebytes Anti-Exploit muss nicht einmal ständig aktualisiert werden, da das Dienstprogramm Exploits anhand von Signaturen und anderen Einstellungen selbstständig identifiziert.

Mit Anti-Exploit können Sie Komponenten für einige Anwendungen installieren, beispielsweise für Browser. Der Sinn der Arbeit besteht darin, dass Sie beim Besuch von Internetseiten keine Angst haben müssen, dass ein Exploit auf Ihren Computer gelangt. Die Premium-Version des Dienstprogramms bietet noch mehr Funktionen. PDF-Reader, Player, Microsoft Office-Dokumente und vieles mehr.

Was kann man sonst noch über das Exploit-Schutz-Dienstprogramm sagen? Sie können es zusammen mit einem anderen Antivirenprogramm verwenden, d. h. es entsteht kein Konflikt. Es verbraucht nur minimale Computerressourcen, sodass Sie sich darüber keine Sorgen machen müssen. In der Taskleiste wird ein Programmsymbol angezeigt, das Sie jedoch in keiner Weise stört, außer dass Benachrichtigungen über die Erkennung eines Exploits angezeigt werden.

Wenn Sie die Premium-Version nicht kaufen möchten, ist das kein Problem. Kostenloser Schutz reicht zum Schutz aus.

Exploit-Schutz (Exploit Guard) ist eine neue Funktion in Windows Defender in Windows 10 1709, einer konsolidierten und verbesserten Version des EMET-Tools von Microsoft. Exploit Guard wurde entwickelt, um Ihren Computer vor Exploits und einer Infektion Ihres Systems mit Malware zu schützen. Es ist nicht erforderlich, den Exploit-Schutz ausdrücklich zu aktivieren; dies geschieht automatisch, sondern nur, wenn Windows Defender aktiviert ist.

Sie können die Standardeinstellungen für Exploit Guard im Windows Defender Security Center ändern.

Es gibt zwei Hauptkategorien zum Ändern der Konfigurationen auf einem Computer. Schauen wir uns jeden von ihnen genauer an.

Dadurch wird eine Liste der Windows-Sicherheitsmechanismen angezeigt, die dem Benutzer zur Verfügung stehen. Daneben wird der Status angezeigt – aktiviert, deaktiviert. Verfügbar:

1. C.F.G. Schützen Sie den Kontrollfluss und stellen Sie seine Integrität für indirekte Aufrufe sicher (standardmäßig aktiviert).
2. SEHOP. Ausnahmeketten prüfen und deren Integrität beim Versand sicherstellen.
3. DEP. Datenausführungsverhinderung (standardmäßig aktiviert).
4. Obligatorisches ASLR. Randomisierung für Bilder erzwingen, die nicht mit /DYNAMICBASE übereinstimmen (standardmäßig deaktiviert).
5. Niedrige ASLR. Zufällige Verteilung der Speicherzuordnung. (standardmäßig aktiviert).
6. Überprüfung der Integrität des Heaps. Wird ein Schaden festgestellt, endet der Vorgang automatisch. (standardmäßig aktiviert).

Der Benutzer kann sie unabhängig voneinander deaktivieren.

In diesem Abschnitt können Sie zusätzliche Schutzeinstellungen für jede ausführbare Datei separat bearbeiten und zur Ausschlussliste hinzufügen. Sollte die Software mit einem in den Systemparametern aktivierten Modul in Konflikt geraten, kann es deaktiviert werden. Die Einstellungen anderer Programme bleiben jedoch gleich.

Die Option funktioniert nach dem gleichen Prinzip wie Ausnahmen im EMET-Tool von Microsoft. Standardmäßig befinden sich hier bereits einige Standard-Windows-Programme.

Sie können hier eine neue ausführbare Datei zur Liste hinzufügen, indem Sie auf die Schaltfläche „Programm für individuelle Einstellungen hinzufügen“ klicken. Geben Sie dazu den Namen des Programms oder den genauen Pfad dazu an. Danach erscheint es in der Liste.

Der Benutzer kann Parameter für jedes einzelne Programm bearbeiten. Wählen Sie dazu die gewünschte Option aus der Liste aus, klicken Sie auf „Bearbeiten“ und deaktivieren/aktivieren Sie dann zwangsweise die gewünschte Option. Auf Wunsch kann das Programm aus der Ausschlussliste entfernt werden.

Zur Bearbeitung stehen nur die Parameter zur Verfügung, die nicht über die Kategorie „System“ konfiguriert werden können. Für einige Optionen steht der Wert „Audit“ zur Verfügung. Nach der Aktivierung zeichnet Windows Ereignisse im Systemprotokoll auf, was für die weitere Analyse praktisch ist.

Import- und Exporteinstellungen

Sie können Ihre aktuellen Exploit Guard-Einstellungen über das Windows Defender Security Center exportieren. Klicken Sie dazu einfach auf die entsprechende Schaltfläche und speichern Sie die Datei im XML-Format.

Sie können Einstellungen auch über die Windows PowerShell-Befehlszeile exportieren. Dafür gibt es einen Befehl:

Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

Zum Importieren müssen Sie das Cmdlet ersetzen Erhalten An Satz und geben Sie analog zum Beispiel den Namen und den Pfad zur Datei an.

Sie können eine vorhandene XML-Datei mit Einstellungen über den lokalen Gruppenrichtlinien-Editor gpedit.msc installieren:

1. Gehen Sie auf der linken Seite des Bildschirms zum Editorzweig Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender Exploit Guard -> Exploit-Schutz. Öffnen Sie die Richtlinie „Gemeinsamen Satz von Exploit-Schutzeinstellungen verwenden“.
2. Ändern Sie den Wert in „Aktiviert“ und geben Sie im angezeigten Feld den Pfad oder die URL zu Ihrer vorhandenen XML-Konfigurationsdatei ein.

Speichern Sie Ihre Änderungen, indem Sie auf „Übernehmen“ klicken. Die Einstellungen werden sofort wirksam, sodass kein Neustart Ihres PCs erforderlich ist.

Exploit Guard mit PowerShell einrichten

Sie können die Liste der Schutzmodule über die Windows PowerShell-Befehlszeile bearbeiten.

Folgende Befehle stehen hier zur Verfügung:

1. Get-ProcessMitigation -Name iexplore.exe – Ruft eine Liste aller Schutzmaßnahmen für den ausgewählten Prozess ab. In diesem Beispiel ist es iexplore.exe, Sie können eine beliebige andere angeben. Anstelle des Programmnamens können Sie auch den genauen Pfad angeben.
2. Zustand NICHT EINGESTELLT(nicht gesetzt) ​​für die Systemparameterkategorie bedeutet, dass für die Programmkategorie Standardwerte festgelegt sind. Hier sollten Sie den Parameter eingeben, dem Schutzmaßnahmen zugewiesen werden.
3. —Satz mit zusätzlichem Befehl Prozessminderung Wird verwendet, um jeden einzelnen Wert zu bearbeiten. Um SEHOP für eine bestimmte ausführbare Datei (test.exe in unserem Beispiel) unter C:\Users\Alex\Desktop\test.exe zu aktivieren, verwenden Sie den Befehl in PowerShell: Set-ProcessMitigation -Name C:\Users\Alex\Desktop\ test .exe - SEHOP aktivieren
4. Um diese Maßnahme auf alle Dateien und nicht auf ein bestimmtes Programm anzuwenden, verwenden Sie den Befehl: Set-Processmitigation -System -Enable SEHOP
5. -Aktivieren- anmachen, - Deaktivieren- deaktivieren.
6. Cmdlet - Entfernen wird zum Wiederherstellen der Standardeinstellungen verwendet und unmittelbar nach − angegeben Name.
7. -Aktivieren oder - Deaktivieren AuditDynamicCode- Auditing aktivieren oder deaktivieren.

Beachten Sie bei der Eingabe von Befehlen, dass jeder einzelne Kennzahlparameter durch ein Komma getrennt werden muss. Sie können ihre Liste hier in PowerShell anzeigen. Sie werden angezeigt, nachdem Sie den Befehl Get-ProcessMitigation -Name Prozessname.exe eingegeben haben.

Die Zahl der Ransomware-Viren hat sich im vergangenen Jahr verdreifacht, und die Zahl der Lösegelder ist um 266 % gestiegen und liegt weltweit bei durchschnittlich 1.000 US-Dollar pro Opfer.

JakowGrodzensky, Leiter der Informationssicherheitsabteilung „Systemsoftware“

Das Volumen der Endgeräte, auch mobiler Geräte, in Unternehmensnetzwerken ist in den letzten Jahrzehnten exponentiell gewachsen. Dieses Wachstum findet vor dem Hintergrund einer düsteren Bedrohungslandschaft statt: Symantec-Bericht Täglich erscheinen über eine Million Virenproben im globalen Netzwerk. Beispielsweise hat sich die Zahl der Ransomware-Viren im vergangenen Jahr verdreifacht, und die Zahl der Lösegelder stieg um 266 % und belief sich weltweit auf durchschnittlich 1.000 US-Dollar pro Opfer.

Es scheint, dass die Aufgabe der Endpunkt-Cybersicherheit heutzutage gigantisch geworden ist und sich wahrscheinlich nicht manuell und/oder mithilfe eines Antivirenprogramms allein umsetzen lässt.

Und in der Tat, Die Analysten von Gartner stellen einen stetigen Trend zum mehrstufigen Schutz von Endgeräten fest, einschließlich der Erstellung von White- und Blacklists von Programmen, Hosts und Anwendungen sowie anderen Kontrolltools als Teil des vollständigen Schutzzyklus. Was bedeutet das, wie kann die Sicherheit eines Unternehmens gewährleistet werden, und reicht das gute alte Antivirenprogramm für Unternehmen wirklich nicht aus?

Versuchen wir es herauszufinden.

Was ist Endpoint Security für das Unternehmen und den Markt?

Wovon hängt eine ausgereifte Endpunktsicherheitsstrategie ab, wenn jedes mit Ihrem Unternehmensnetzwerk verbundene Gerät im Wesentlichen ein „Eingangstor“ zu wertvollen persönlichen und geschäftlichen Daten ist?

Erstens, ausgehend von der Erkenntnis, dass die Verwaltung der Informationssicherheit ein komplexes Phänomen ist und Endgeräte ein Element der IT-Infrastruktur (und damit der Informationssicherheit) sind und es praktisch unmöglich und sinnlos ist, zu isolieren, wo ihr Schutz endet und der Schutz von, Beispielsweise entsteht ein Netzwerk.

Das heißt, dass Verwaltungsrichtlinien und das Sicherheitsprotokoll selbst den Schutz aller Elemente der IT-Infrastruktur abdecken müssen. Und ein modernes Unternehmensnetzwerk verbindet viele Endgeräte, darunter PCs, Laptops, Smartphones, Tablets, POS-Terminals ... und jedes dieser Geräte muss Netzwerkzugriffsanforderungen erfüllen. Das bedeutet, dass ihr Cyberschutz zumindest automatisiert sein muss. Darüber hinaus erfordert die Einhaltung von Endpunkt-Sicherheitsrichtlinien angesichts der wachsenden Anzahl von Bedrohungen heute den Einsatz von mindestens:

1. Firewalls für verschiedene Gerätetypen;
2. Antivirenprogramme für E-Mail;
3. Überwachung, Filterung und Schutz des Webverkehrs;
4. Sicherheitsmanagement- und Schutzlösungen für mobile Geräte;
5. Kontrolle des Anwendungsbetriebs;
6. Datenverschlüsselung;
7. Tools zur Einbruchserkennung.

Gleichzeitig bietet der Markt drei Hauptlösungen zum Schutz von Endgeräten und deren Kombinationen:

1. Herkömmliche Antivirenprogramme, die auf Signaturen basieren. Sie liefern ein stabiles Ergebnis – allerdings nur innerhalb der Signaturdatenbank. Aufgrund der unglaublich großen Anzahl schädlicher Beispiele kann es nicht immer 100 % aktuell sein, außerdem kann der Benutzer das Antivirenprogramm auf seinem Computer deaktivieren.
2. Endpoint Detection and Response (EDR) oder Erkennung und Reaktion auf Vorfälle. Solche Lösungen, beispielsweise KEDR von Kaspersky Lab, erkennen Indikatoren Gefährden Sie das Endgerät und blockieren und/oder desinfizieren Sie es. Normalerweise funktionieren diese Systeme nur, wenn ein Gerät oder ein Unternehmensnetzwerk gehackt (eingebrochen) wurde.
3. Advanced Endpoint Protection (AEP) oder erweiterter Endpunktschutz, der präventive Methoden zum Schutz vor Exploits und Malware, Geräte- und Portkontrolle, persönliche Firewalls usw. umfasst. Das heißt, eine AEP-Lösung bekämpft Bedrohungen: Die Bedrohung wird bereits vor dem Hacken erkannt und zerstört, wie zum Beispiel bei Palo Alto Networks Traps, Check Point SandBlast Agent (diese Lösung erstellt Sicherungskopien, wenn verdächtige Aktivitäten erkannt werden) oder Forticlient.

Unabhängig davon, für welchen Anbieter oder welche Kombination von Diensten Sie sich entscheiden, lohnt es sich jedoch, zunächst die Grundregeln für die Bewertung solcher Lösungen zu kennen und eine wirksame Cybersicherheitsstrategie für Endpunkte in Ihrem Netzwerk zu entwickeln.

Sieben Grundregeln der Endpunkt-CyberverteidigungS

Regel eins. Die Verteidigung muss die gesamte Angriffskette neutralisieren.

Laut Analysten und Vertretern des Cybersicherheitsmarktes ist das Denken „in Viren und Antivirenprogrammen“ eine gescheiterte Strategie für ein Unternehmen, das sein Geschäft schützen möchte. Infektionen und die Virensoftware selbst sind nur ein Glied in einer viel längeren Kette, die zum Hacken von Unternehmensnetzwerken führt.

Und es beginnt mit dem Versuch, in Ihre Infrastruktur einzudringen. Dementsprechend umfasst ein wirksamer Einbruchschutz heute:

1. Mittel zur gründlichen Überprüfung von E-Mail-Anwendungen (E-Mail ist immer noch führend als „Tool zur Übermittlung von Malware“ an Benutzergeräte);
2. Mittel zum Schutz vor dem Herunterladen unerwünschter Anwendungen aus dem Internet – 76 % der Websites enthalten unangenehme Schwachstellen. Hier kann Technologie helfen, indem sie den gesamten ein- und ausgehenden Datenverkehr analysiert und einen Browserschutz bietet, der solche Bedrohungen blockiert, bevor sie auf dem Endgerät ausgeführt werden.
3. leistungsstarker Schutz der Endgeräte selbst, also ein Dienst mit Kontrolle sowohl über Anwendungen als auch über das Gerät selbst.

1. Analyse der Reputation von Dateien und Bestimmung ihrer Schlüsselattribute (ursprünglicher Speicherort der Datei und Anzahl der Downloads). Im Idealfall überwacht und untersucht das System Hunderte von Links und Milliarden von Verbindungen zwischen Benutzern, Websites und Dateien, um die Ausbreitung und Mutation der Malware zu verfolgen und einen Angriff zu verhindern;
2. fortgeschrittene Elemente des maschinellen Lernens. Das heißt, eine wirklich funktionierende signaturfreie Technologie, die in der Lage ist, Billionen von Dateien im globalen Netzwerk zu analysieren, selbstständig „gute“ Dateien von „schlechten“ zu unterscheiden und Schadsoftware zu blockieren, bevor sie ausgelöst wird;
3. Schutz vor Exploits, insbesondere Zero-Day-Schwachstellen und Speicherleseangriffen;
4. Verhaltensüberwachung, d. h. Ermittlung des „gefährlichen“ Verhaltens von Skripten, Anwendungen, Geräten und Knoten im Netzwerk – und Beseitigung einer solchen Bedrohung;
5. hochwertige Emulation oder schnelle Erstellung einer „Sandbox“, um Schadsoftware auf dem Gerät zu identifizieren und zu blockieren.

Regel zwei. Endpoint Detection and Response (EDR) oder die Untersuchung und Reaktion auf Vorfälle sollten zu Ergebnissen führen.

Das Problem ist, dass 82 % der heutigen Cyberkriminellen laut Statistik in der Lage, wertvolle Unternehmensdaten „in einer Minute oder weniger“ zu stehlen, während 75 % der Unternehmen mindestens Wochen lang nicht auf Vorfälle reagieren. Eine solche Lücke weist auf wirklich hohe Risiken im Sicherheitsbereich von Endgeräten hin.

Fortschrittliche EDR-Lösungen können Ihr Endpunktgerät für eine effektive Untersuchung von Verstößen isolieren, die Ausbreitung des Virus stoppen und das Gerät durch seine nicht infizierte Kopie der Daten wiederherstellen.

Regel drei. Das System sollte das Geschäft nicht beeinträchtigen, was bedeutet:

a) Ebenso wichtig ist die Leistung und Skalierbarkeit Ihrer Sicherheitssysteme. Das heißt, Ihr Schutz sollte die Effizienz von Geschäftsprozessen und den schnellen Datenaustausch im Netzwerk nicht beeinträchtigen. Darüber hinaus ist es wichtig, an neuen Arbeitsplätzen, beispielsweise in einer regionalen oder ausländischen Niederlassung, schnell ein Cybersicherheitssystem bereitzustellen.

b) Die Gesamtkosten seiner Implementierung und Nutzung sollten optimal sein.

Regel vier. Zentralisiertes Cybersicherheitsmanagement. Unterschiedliche Sicherheitslösungen, die manuell von verschiedenen Punkten aus verwaltet werden, erhöhen die Anzahl von Fehlern, redundanten Warnungen und Fehlalarmen, ganz zu schweigen vom unnötigen Zeit- und Finanzaufwand für die Verwaltung dieses „Zoos“.

Regel fünf. Nahtlose Integration mit Software- und Hardwarelösungen in jedem Teil des Netzwerks für den effizienten Betrieb der gesamten Informationssicherheitsinfrastruktur, vom Gateway-Schutz bis hin zu SIEM-Systemen. Es ist wichtig, dass Endpoint-Sicherheitslösungen in Network Access Control (NAC) integriert sind, damit ein Computer bei einem bestimmten Risikograd isoliert werden kann. Es ist außerdem wichtig, dass Endpoint-Produkte mit Gateway-Informationssicherheitslösungen zusammenarbeiten, die eine umfassende Paketanalyse und Inspektion des SSL-Verkehrs unterstützen.

Regel sechs. Abdeckung aller möglichen Betriebssysteme, einschließlich Server und Mobilgeräte – denken Sie an die vielen „verschiedenen“ Geräte, die Mitarbeiter mitbringen oder im Büro arbeiten.

Regel sieben. Verbesserter Datenschutz. Obwohl dieser Punkt nicht direkt mit dem Schutz von Endgeräten zusammenhängt, ist es ohne ihn grundsätzlich unmöglich, eine wirksame Informationssicherheitsstrategie zu entwickeln. Zum Datenschutz gehört:

1. Verschlüsselung;
2. Segregation (Trennung) von Netzwerkabschnitten und Knoten, Benutzergruppen im Netzwerk;
3. Schutz vor Datenverlust, Wiederherstellungstools;
4. Überwachung der Integrität von Dateien und des Dateisystems.

...und drei weitere

Erste. Besonderes Augenmerk liegt auf der Beseitigung von Cyber-Bedrohungen auf mobilen Geräten. BYOD/CYOD/COPE-Konzepte Sie werden immer beliebter und die Zahl mobiler Geräte in Unternehmensnetzwerken nimmt ständig zu.
Sie erfordern besondere Aufmerksamkeit, da solche Geräte in der Regel nicht nur für die Arbeit und nicht nur im Büro verwendet werden und daher das Risiko, ein Unternehmensnetzwerk über sie zu infizieren, sehr hoch ist.

Im Idealfall könnte eine „Mobile Information Security Management“-Strategie Folgendes umfassen:

1. mobiles VPS;
2. verbesserte Authentifizierung von Geräten im Unternehmensnetzwerk;
3. Kontrolle und Überwachung von Inhalten Dritter;
4. Containerisierung von Anwendungen.

Zweite. Analyse Ihrer KPIs für den Endpoint Protection-Reifegrad.

Die Analysten von Forrester Research unterscheiden fünf (einschließlich null sechs) Reifestadien der Informationssicherheitsstrategie eines Unternehmens:

Null oder fehlt- kein Bedarf, kein Verständnis, keine formalisierten Anforderungen.

AdHoc oder spontan- Der Bedarf an Cyberschutz ergibt sich von Fall zu Fall, es gibt keine Planung von Informationssicherheitsressourcen, Prozesse werden nicht dokumentiert.

Gezwungen- intuitiv, undokumentiert, unsystematisch angewendet, je nach Bedarf.

Bewusst- Die Prozesse sind dokumentiert, die Strategie selbst ist verständlich und vorhersehbar, die Bewertung von Maßnahmen und Ressourcen erfolgt jedoch fallweise.

Verifiziert- Es wurden hochwertige Managementinstrumente eingeführt, ein gutes Maß an Formalisierung und (häufig) Automatisierung der Verfahren, regelmäßige Bewertung von Maßnahmen, Prozessen und Investitionen.

Optimiert- Prozesse und Schutzniveaus sind in der Regel automatisiert und die Strategie selbst wird unter Berücksichtigung eines langfristigen, wirksamen und projektiven Unternehmensschutzes entwickelt. Hohes Maß an Integration von Informationssicherheitsdiensten und -systemen.

Dementsprechend günstiger und sicherer ist es, sich in den letzten drei Etappen aufzuhalten. Mit dieser Abstufung ist es auch einfacher, Ziele zur Verbesserung Ihrer Informationssicherheitsstrategie festzulegen, wenn Sie sich auf den ersten drei Ebenen befinden.

Dritte. Schließlich wissen Ihre Endpunktbenutzer, was Cybersicherheit ist, und erweitern ständig ihre Kenntnisse und Fähigkeiten im Bereich Cybersicherheit. Der zerstörerischste Faktor ist der Mensch, und ohne kompetentes Personal wird selbst die fortschrittlichste Verteidigung scheitern. Noch hat niemand gelernt, dem menschlichen Faktor zu widerstehen, ohne die betriebliche Funktionsweise eines Unternehmens zu gefährden. Daher ist es einfacher und viel kostengünstiger, Menschen rechtzeitig in den Grundlagen des sicheren Verhaltens und der sicheren Nutzung ihrer Geräte zu schulen.

Die Ausnutzung von Softwareschwachstellen auf Endbenutzerseite ist zu einem der Haupttrends auf dem Schwarzmarkt geworden. Analyseunternehmen prognostizieren einen stabilen Anstieg der Einnahmen von Cyberkriminellen aus Diensten, die Mittel zur Kompromittierung bereitstellen. Werfen wir einen Blick auf den Virenschutz aus der Perspektive des Besitzers einer Reihe erstklassiger Exploits.

Für diejenigen, die es nicht beherrschen: eine Zusammenfassung

Wir haben das neueste Blackhole gemietet (wir mussten Geld ausgeben, aber was kann man im Interesse der Wissenschaft tun), die neuesten Versionen der besten Antivirenprogramme installiert und geprüft, welche davon im Kampf gegen die neuesten Exploits was wert sind. Dank der Tatsache, dass wir sowohl die Exploit-Pack-Konsole als auch einen funktionierenden Computer mit einem Antivirenprogramm in unseren Händen hatten, konnten wir die Wirksamkeit des Anti-Exploits absolut zuverlässig beurteilen. Zu dieser ganzen Sache haben wir auch ein Video gemacht. Kurz gesagt, lesen Sie, seien Sie nicht faul!

Testmethodik

Blackhole gehört derzeit zu den Top-Exploit-Paketen auf dem Schwarzmarkt. Wir haben bereits in einer der vorherigen Ausgaben darüber geschrieben, und der Erfolg dieses Produkts wird in erster Linie durch seine „Ausgereiftheit“ und die Fülle verschiedener Technologien zur Bekämpfung von Antivirensoftware, einem flexiblen System zur Verkehrsumleitung (dem sogenannten TDS), bestimmt ) und eine Schnittstelle zur Konsolidierung und Anzeige statistischer Informationen. Es handelt sich um die neueste Version (zum Zeitpunkt des Verfassens dieses Artikels) dieses Verderbpakets, die wir zum Testen der an der Überprüfung teilnehmenden Antivirenlösungen verwenden werden.
Marktmatrix für Cyberkriminalität

Der Prüfstand wird eine durchschnittliche Konfiguration einer Benutzer-Workstation mit vorinstalliertem Windows 7 Ultimate Edition (Standardsicherheitseinstellungen) und vorinstallierter Software sein: Adobe Flash Player 10.x (nicht die neueste Version, aber die gebräuchlichste), Java JDK/JRE 1.6.0.25, Adobe Acrobat 10.x., Internet Explorer 8.0.x.

Die Testmethode ist einfach: Wir folgen einem bösartigen Link, der das Exploit-Paket Blackhole v 2.0.1 enthält, und beobachten das Ergebnis. Wenn der Bundle-Dropper unsere Datei „notepad.exe“ erfolgreich geladen hat, ist das System gefährdet, und wenn das Fenster „Notepad“ nicht angezeigt wird, führen wir eine Nachbesprechung durch (ob das Antivirenprogramm den Benutzer benachrichtigt hat usw.) und ziehen dann Schlussfolgerungen.

Kaspersky Internet Security

Während Microsoft nach universellen Möglichkeiten zur Bekämpfung von Exploits auf Betriebssystemebene sucht (ASLR- und DEP-Technologien erwiesen sich als unzureichend ausgereift) und Gebühren für Entwickler ankündigt, geht Kaspersky Lab einen eigenen Weg in diese Richtung und kündigt die Technologie des „automatisierten Schutzes“ an gegen Exploits“, die nach den Tests des MRG Effitas-Labors ordentliche Ergebnisse zeigt. Die Methodik für diese Tests bestand darin, das Metasploit-Framework und die von ihm bereitgestellten Exploits zu verwenden, basierend auf Schwachstellen, für die es zu diesem Zeitpunkt keinen Patch vom offiziellen Anbieter gab („Zero-Day-Schwachstellen“). Das System galt als sicher, wenn die Initialisierung seiner Nutzlast während des Starts des Exploits blockiert wurde.

Die Automatic Exploit Protection (AEP)-Technologie basiert auf einer Verhaltensanalyse bereits bekannter Instanzen dieser Art von Malware sowie auf Daten zum aktuellen Status gefährdeter Anwendungen, die große Aufmerksamkeit von Angreifern erhalten. AEP erweitert außerdem die integrierten ASLR-Funktionen (Address Space Randomization) des Windows-Betriebssystems. In Kombination mit herkömmlichen Schutzmethoden (Signaturanalyse, Inhaltsfilterung und Cloud-Dienste) hat diese Technologie unter realen Bedingungen ein großes Potenzial, Angriffe abzuwehren, die auf der Ausnutzung von Schwachstellen in Software von Drittanbietern basieren.

Es ist schwierig, diesen Test als völlig unabhängig zu bezeichnen, da er von Kaspersky Lab initiiert wurde, was bedeutet, dass es zum Zeitpunkt der Tests aus offensichtlichen vorübergehenden Gründen keine Analogien für die Innovation gab. Sehen wir uns an, wie der benutzerdefinierte Schutz „Kaspersky Internet Security 2013“ aus Sicht des Angreifers aussieht. Wir senden den Browser des Benutzers, dessen Workstation unter dem aktiven Schutz dieses Produkts steht, an einen bösartigen Link, an dem sich unser Link befindet. Der Downloadvorgang wird sofort durch eine Meldung über ein schädliches Objekt unterbrochen. Fazit: 1day und andere Schwachstellen aus der Blackhole-Exploit-Kit-Datenbank wurden nicht bestanden, die Ausnutzung der Schwachstelle wurde aufgrund der verbesserten Randomisierung des Adressraums gestoppt und der Bundle-Dropper wurde einfach nicht initialisiert.

ESET Smart Security

Der zweitgrößte Vertreter der Antivirenbranche in Russland macht keine direkten Aussagen zum Kampf gegen Exploits, sondern verteilt diese hochspezialisierte Funktion auf die Technologien ESET Live Grid, ESET ThreatSense und ESET ThreatSense.Net. Das erste ist ein verteiltes Analysezentrum, das Daten über die Betriebsparameter des Zielinformationssystems und darin ablaufende verdächtige Prozesse sammelt und das Risiko jeder laufenden Anwendung basierend auf dem Reputationssystem bewertet.

Die ThreatSense-Technologie ist eine fortschrittliche heuristische Technologie, die die Initialisierung der Nutzlast beim Ausnutzen einer Schwachstelle direkt bekämpft. Anhand der Ergebnisse heuristischer Methoden in Kombination mit den Ergebnissen der Emulation (Sandboxing) und Signaturmethoden zur Erkennung von Schadcode ermittelt Antivirensoftware, ob Infektionsversuche vorliegen. Die Wirksamkeit von ThreatSense und fortschrittlichen Heuristiken wird durch Zertifizierungsberichte des unabhängigen IT-Sicherheitsinstituts AV-TEST belegt: im Abschnitt „Schutz“ (dieser Abschnitt des Berichts bestimmt die Fähigkeit eines Softwareprodukts, einen Arbeitsplatz von der Anfangsphase an zu schützen). des Malware-Lebenszyklus) identifizierte das Antivirenprogramm erfolgreich 90 % der Exploit-Instanzen, die „Zero-Day-Schwachstellen“ nutzten. Bemerkenswert ist, dass die Antivirenlösung von Kaspersky Lab, die im gleichen Zeitraum (September bis Oktober 2012) von AV-TEST zertifiziert wurde, 98 % der Fälle einer ähnlichen Reihe von Exploits erfolgreich identifizierte. Es ist jedoch bekannt, dass die ehrlichsten Tests von Antivirenprogrammen in unserem Hacker-Labor stattfinden. Reden wir also nicht mehr über die Ergebnisse anderer, sondern schauen wir uns unsere eigenen an.

Das Klicken auf einen schädlichen Link für eine ESET-Antivirenlösung löst keine sichtbare Reaktion aus – es gibt keine Benachrichtigungen oder Einträge in den Protokolldateien, dass ein Versuch, eine Schwachstelle auszunutzen, erkannt wurde. Die ausführbare Notepad-Datei wird jedoch nicht geladen, was darauf hindeutet, dass die Antivirensoftware die Funktion des Exploits nicht zulässt.

Norton Internet Security

Symantec ist ein Pionier in der Technologie der Nutzung der Cloud-Infrastruktur zum Schutz vor Virenbedrohungen. Der sogenannte SONAR-Schutz (Symantec Online Network for Advanced Response) soll die Folgen der Ausnutzung von 0-Day-Schwachstellen verhindern, indem er eine Verhaltensanalyse der Zielanwendungen und ein Bewertungssystem zur Bewertung des Gefahrenniveaus nutzt. Einer der Schlüsselfaktoren bei der Implementierung dieser Technologie ist der Community-Vertrauensindikator (Norton Community Watch). Die Antivirenanwendung entscheidet anhand der Ergebnisse statistischer Daten, die aus einer einzelnen Benutzer-Wissensdatenbank, Norton Community Watch, stammen, ob eine Datei zu einer schädlichen Umgebung gehört.

Der AV-TEST-Zertifizierungsbericht für die neueste Version von Symantec Norton Internet Security 2013 zeigt, dass der Schutz von SONAR Version 4.0 gegen 96 % der Zero-Day-Angriffe wirksam ist, die auf bösartige Webanwendungen und E-Mails abzielen. Die im Abschnitt „Schutz“ des Berichts enthaltenen Daten lassen auch den Schluss zu, dass Informationen über neue Beispiele von Schadcode in der Cloud-Wissensdatenbank schnell aktualisiert werden: Keines der im russischen Segment konkurrierenden Produkte zeigte einen hundertprozentigen Schutz davor bekannte Fälle von Schadsoftware, die in den letzten zwei bis drei Monaten entdeckt wurden. Bemerkenswert ist auch, dass die SONAR-Cloud-Infrastruktur im Hinblick auf die Produktivität im Kampf gegen Exploits, der von MRG Effitas organisiert wurde, den zweiten Platz belegte und nach der AEP-Technologie von Kaspersky Lab das zweite Testergebnis zeigte.

Über einen bösartigen Link mit einem Exploit-Pack gesendet, bittet der Browser des Benutzers um Erlaubnis für das veraltete Plugin, Java-Code auszuführen. Nach einer positiven Antwort beobachten wir seine Funktionsweise: Das Bundle nutzt die Schwachstelle erfolgreich aus und ist ein Indikator für seine erfolgreiche Funktionsweise , leitet uns zur Weiterleitungsseite weiter. Wo war Norton Internet Security die ganze Zeit? Keine einzige Benachrichtigung über verdächtige Aktivitäten, keine Reaktion auf Ausbeutung. Allerdings startet der Bundle-Dropper unsere notepad.exe nicht. Die Gründe dafür liegen irgendwo in den Tiefen des „stillen“ Produkts von Symantec. Das Statistikfenster von Blackhole teilt uns mit, dass unsere Datei erfolgreich auf das Opfer hochgeladen wurde.

Weitere Branchenvertreter

Weniger als 13 % des Marktes für Virenschutz in Russland wird von Anbietern wie Doctor Web, Trend Micro, McAfee und anderen Akteuren geteilt. Im vergangenen Jahr gab es in den Medien keine direkten Aussagen oder Ankündigungen zu Anti-Exploit-Technologien dieser Unternehmen, wohl aber das Produkt Panda Cloud Antivirus, dessen Verkaufsvolumen im russischen Segment nicht einmal einen Bruchteil des Fehlers erreicht Anti-Exploit-Mechanismen sind ab Version 2.1 für diese Art von Bedrohung verfügbar.

Eine cloudbasierte Wissensdatenbank, zu der jeder Benutzer beitragen kann, erinnert an die oben beschriebene SONAR-Infrastruktur von Symantec. Die auf einer verteilten Umgebung basierende Technologie von Panda Security demonstriert laut AV-TEST-Berichten derzeit ihre Fähigkeit, 0-Day-Exploits bei durchschnittlich nur 80–85 % der Angriffe zu erkennen, abhängig von der Version ihres Produkts. Möglicherweise hängen diese Zahlen mit der kleinen, aber stetig wachsenden Basis an Benutzersensoren zusammen, auf die diese Technologie angewiesen ist.

Zusammenfassung

Integrierte Windows-Tools zur Bekämpfung der Ausnutzung von Zero-Day-Schwachstellen kommen mit aktuellen Versionen von Schadcode, der von erfahrenen Angreifern geschrieben wurde, nicht zurecht. Techniken zur Umgehung der Schutzmaßnahmen DEP (Data Execution Prevention) und ASLR (Address Space Randomization) werden erfolgreich bei neuen Arten von Exploits eingesetzt.

Kaspersky Internet Security 2013 demonstrierte seine Technologie perfekt in Aktion, indem es verhinderte, dass das Exploit-Paket eine Schwachstelle auf Seiten des Benutzers ausnutzt, und diesen über das Vorhandensein schädlicher Inhalte informierte. Norton Internet Security wiederum erlaubte dem Exploit, zu funktionieren und den Dropper zu laden, aber die Initialisierung des Schadcodes (in unserem Fall war es die ausführbare Datei „notepad.exe“) schlug fehl, der Grund dafür blieb für den Benutzer ein Rätsel – Das Produkt zeigte keine Benachrichtigungen an und berichtete nicht über seine Aktionen. Das Gleiche gilt für das ESET-Produkt, das „leise“, aber im Gegensatz zu Norton Internet Security, den Download einer schädlichen Datei auf die Seite des Opfers stoppte.

Denis Makrushin, führender Spezialist bei Cload.ru, defec.ru

Das Windows Defender Protection Center in Windows 10 v1709 führt jetzt eine neue Schutzfunktion namens ein Exploit-Schutz, das Ihren Windows-Computer oder Laptop vor Malware schützt, die Ihr System infiziert. Es umfasst Abhilfemaßnahmen, die auf Betriebssystemebene oder Anwendungsebene angewendet werden können. Mit der Einführung dieser Funktion müssen Windows 10-Benutzer das Enhanced Mitigation Experience Toolkit (EMET) nicht mehr installieren. Tatsächlich wird EMET während des Windows 10 Fall Creators Update-Prozesses selbst entfernt.

Exploit-Schutz in Windows 10

Exploit-Schutz ist Teil der Funktion Exploit Guard im Windows Defender. Um auf diese Funktion zuzugreifen, öffnen Sie „ Windows Defender-Schutzcenter" > "Anwendungs- und Browserverwaltung" > "Exploit-Schutzeinstellungen". Es öffnet sich ein neues Panel. Scrollen Sie ein wenig nach unten und Sie sehen hier die Nutzungsschutzoptionen. Die Einstellungen sind in zwei Registerkarten unterteilt:

• A) Systemparameter.
• B) Programmparameter.

Im Kapitel " Systemparameter" Sie sehen die folgenden Optionen:

1. Kontrollflusswächter (CFG).
2. Datenausführungsverhinderung (DEP).
3. Erzwungene Zufallsverteilung für Bilder. (Standardmäßig ist diese Funktion deaktiviert.)
4. Zufällige Speicherzuweisung.
5. Ausnahmeketten prüfen (SEHOP).
6. Überprüfung der Integrität des Heaps.

Im Kapitel " Programmeinstellungen" Sie sehen die Option zum Hinzufügen eines Programms. Drücken Sie die Taste " Fügen Sie ein Programm hinzufür Einstellungen" bietet zwei Optionen:

• Nach Namen hinzufügen
• Wählen Sie den genauen Dateipfad aus.

Sie können auch unten in der vorab ausgefüllten Liste auf ein Programm klicken, um es hinzuzufügen. Es gibt eine Funktion zum Exportieren von Einstellungen in eine XML-Datei, sodass Sie die Einstellungen speichern können. Verwenden Sie dazu den Link „ Exportoptionen".