Эксплойты, зеродеи, их опасность и её профилактика.
Интернет, конечно, штука интересная и мега-полезная. Но обратная сторона его открытости и неконтролируемости - зоопарк всякой гадости, нечисти и подлости, поджидающей пользователей не только на сомнительных «порно-варезных» ресурсах, но и вполне себе легитимных «бело-пушистых» сайтах. Действительно, уже много лет как Интернет прочно и безальтернативно оккупировал место в списке главных источников кибер-заразы: по нашим данным в 2012г. на 33% пользователей хотя бы раз совершалась атака через веб.
Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:
В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе - можно сразу сюда. Остальным - ниже микро-ликбез.
Софт делается людьми, а людям свойственно забывать и ошибаться, плюс до сих пор не изобретено абсолютной, идеальной методики программирования. В итоге практически любая программа содержит уязвимости - ошибки в коде, из-за которых атакующий может получить управление над системой, нарушить её работу и т.д. Код, который атакует уязвимости в программах и называется эксплойтом.
Какие программы чаще всего атакуют эксплойты? Наша статистика за 2011г.:
Уязвимости могут иметь, а могут и не иметь эксплойты - это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны кибер-негодяев. Типичный пример - недавняя эпидемия Мак-трояна Flashback. Уязвимость в Java, которую атаковал этот зловред нашли аж в начале года, но эксплойт для Мака появился только спустя месяц. Важно: если уязвимостей в конкретной программе не обнаружено - это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она нафиг никому не нужна, чтобы в ней специально копались в поиске таких ошибок.
Самая неприятная разновидность эксплойтов - т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить «заплатку». Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) тянет с выпуском «заплатки» и, в итоге, эксплойт опережает её появление. Эксплойт, для которого нет «заплатки» и называется зеродеем.
А вот интересные данные по географии источников веб-атак, большинство из которых как раз и используют эксплойты:
Впрочем, вы догадываетесь, что расположение атакующего сайта отнюдь не свидетельствует о национальности автора атаки. У кибер-негодяев всегда есть возможность зарегистрировать сайт на подставную компанию/лицо за рубежом и оттуда уже вести вредоносную деятельность.
Два самых распространённых метода атаки через эксплойты:
Но волков бояться - в лес не ходить. С эксплойтами мы тоже боремся давно и тоже успешно. Уже давно в наших продуктах есть выделенная база данных, которая содержит описания известных эксплойтов и вредоносные URLы, с которых эта зараза загружается, а также специальные эвристические и проактивные технологии обнаружения этого вида угроз. В случае обнаружения такого кода программа блокируется, пользователю и сисадмину поступает предупреждение, действия атаки откатываются. Плюс есть сканирование системы на наличие уязвимостей:
А теперь немного инсайда, так сказать по секрету всему свету - спойлер одной очень вкусной фичи грядущей версии KIS/KAV. С релизом новой версии нашего Endpoint Security в 1кв. следующего года она также будет доступной и корпоративным заказчикам. Как вы догадались, фича эта тоже имеет отношение к защите против эксплойтов. Точнее - против неизвестных эксплойтов, т.е. тех самых зеродеев!
Вообще, мне часто задают вопрос - а как вообще можно защититься от того, что неизвестно? Ну, во-первых, мы тут не в носу ковыряем. У нас около тысячи человек в R&D по всему миру только и делает, что моделирует угрозы, исследует тенденции и всячески думает о завтрашнем дне вашего компьютера. У нас один из самых продвинутых многоуровневых арсеналов для борьбы с будущими угрозами - эмулятор, эвристика, HIPS,поведенческие блокираторы, репутационные облачные сервисы, вайтлистинг, application control, целый спектр проактивных технологий… А во-вторых, «неизвестное» в компьютерной вирусологии не так иррационально как в реальной жизни.
Да, разумеется, всегда остаётся вероятность появления какой-то абсолютно новой заразы, которую и предугадать сложно и тем более проактивно защититься. Но в большинстве случаев вредоносы действуют в рамках неких шаблонов поведения и используют определённый инструментарий. И вот за это самое их и можно ловить! И как показывает практика довольно успешно.
Итак, что же будет такого вкусного для защиты против неизвестных эксплойтов в KIS/KAV 2013?
А вот что: мы существенно «прокачаем» модуль мониторинга активности программ System Watcher за счёт новой технологии Automatic Exploit Prevention (AEP). Её суть понятна, но реализация требует подробностей.
На самом деле AEP - «зонтичный бренд» для целого спектра анти-эксплойтовых фичей. Во-первых, мы добавили в базу данных специальные шаблоны поведения эксплойтов. System Watcher использует эти шаблоны для контроля над действиями приложений (например, браузеров), выявления подозрительной активности и её блокировки. Во-вторых, система отслеживает источники файлов и противодействует drive-by загрузкам. В дополнение к этому мы интегрируемся с сервисом Attachment Execution Service (AES) и отличаем файлы, созданные с и без ведома пользователя. В-третьих, для наиболее критичных программ и дополнительных модулей (например, плагинов для браузеров) мы будем принудительно использовать технологию ASLR, которая каждый раз случайным образом изменяет структуру адресного пространства атакуемой программы. В результате, даже если эксплойт «пробьёт» уязвимость, он не сможет запустить вредоносный код на выполнение, поскольку не будет знать его точного местонахождения!
Сейчас AEP проходит тестовые испытания и показывает впечатляющие результаты. Мы прогнали через неё целую кучу эксплойтов для Flash Player, QuickTime, Adobe Reader, Java и других программ - 100% результат детекта! Особенно порадовал успешный детект эксплойта для недавно нашумевшей уязвимости в Windows Media Player - эксплойт позволял заражать компьютер через специально созданный MIDI-файл и работал на всех версиях Windows, начиная с XP. И, что важно, благодаря AEP мы ловим 100% эксплойтов эксплойт-кита Blackhole, при том, что средний показатель среди десятки лучших антивирусов мира - около 94% (sic!).
Ну и в заключение ещё к вопросу о профилактике - в дополнение к описанной выше технологии.
Как говорится, на антивирус надейся, да сам не плошай. И тут как нельзя кстати правило - «мой руки перед едой». Вероятность получить атаку малварой или эксплойтом на порядок выше на всяких сомнительных сайтах. Подумайте несколько раз, прежде чем зайти на какой-нибудь «порно-варезный» ресурс - стоит ли овчинка выделки? Ну и конечно, одно из главных правил компьютерной гигиены - ни в коем случае не открывать подозрительных аттачей!
Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:
В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе - можно сразу сюда. Остальным - ниже микро-ликбез.
Софт делается людьми, а людям свойственно забывать и ошибаться, плюс до сих пор не изобретено абсолютной, идеальной методики программирования. В итоге практически любая программа содержит уязвимости - ошибки в коде, из-за которых атакующий может получить управление над системой, нарушить её работу и т.д. Код, который атакует уязвимости в программах и называется эксплойтом.
Какие программы чаще всего атакуют эксплойты? Наша статистика за 2011г.:
Уязвимости могут иметь, а могут и не иметь эксплойты - это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны кибер-негодяев. Типичный пример - недавняя эпидемия Мак-трояна Flashback. Уязвимость в Java, которую атаковал этот зловред нашли аж в начале года, но эксплойт для Мака появился только спустя месяц. Важно: если уязвимостей в конкретной программе не обнаружено - это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она нафиг никому не нужна, чтобы в ней специально копались в поиске таких ошибок.
Самая неприятная разновидность эксплойтов - т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить «заплатку». Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) тянет с выпуском «заплатки» и, в итоге, эксплойт опережает её появление. Эксплойт, для которого нет «заплатки» и называется зеродеем.
А вот интересные данные по географии источников веб-атак, большинство из которых как раз и используют эксплойты:
Впрочем, вы догадываетесь, что расположение атакующего сайта отнюдь не свидетельствует о национальности автора атаки. У кибер-негодяев всегда есть возможность зарегистрировать сайт на подставную компанию/лицо за рубежом и оттуда уже вести вредоносную деятельность.
Два самых распространённых метода атаки через эксплойты:
- Drive-by загрузка (85% всех атак через Интернет) вас завлекают на некий сайт, откуда при помощи эксплойт-кита сканируют браузер на предмет уязвимостей и, в случае нахождения оных незаметно заражают компьютер. Этот метод широко применяется при массовых атаках для достижения максимального эффекта поражения. Примерно в трети случаев атакующий сайт оказывается легитимным вебсайтом какой-нибудь уважаемой организации, который взломали и внедрили специальный вредоносный код.
- Пользователь запускает зараженный файл (например, PDF), который сканирует установленное ПО (в данном случае Adobe Reader) на предмет уязвимостей и заражает через них компьютер. Сам файл может быть доставлен самыми разными путями - e-mail, файловый архив на сайте, флэшки и т.д. Этот метод чаще всего применяется для т.н. «целевых атак» (они же APT) на конкретных людей и организации и отличается применением продвинутой социальной инженерии.
Но волков бояться - в лес не ходить. С эксплойтами мы тоже боремся давно и тоже успешно. Уже давно в наших продуктах есть выделенная база данных, которая содержит описания известных эксплойтов и вредоносные URLы, с которых эта зараза загружается, а также специальные эвристические и проактивные технологии обнаружения этого вида угроз. В случае обнаружения такого кода программа блокируется, пользователю и сисадмину поступает предупреждение, действия атаки откатываются. Плюс есть сканирование системы на наличие уязвимостей:
А теперь немного инсайда, так сказать по секрету всему свету - спойлер одной очень вкусной фичи грядущей версии KIS/KAV. С релизом новой версии нашего Endpoint Security в 1кв. следующего года она также будет доступной и корпоративным заказчикам. Как вы догадались, фича эта тоже имеет отношение к защите против эксплойтов. Точнее - против неизвестных эксплойтов, т.е. тех самых зеродеев!
Вообще, мне часто задают вопрос - а как вообще можно защититься от того, что неизвестно? Ну, во-первых, мы тут не в носу ковыряем. У нас около тысячи человек в R&D по всему миру только и делает, что моделирует угрозы, исследует тенденции и всячески думает о завтрашнем дне вашего компьютера. У нас один из самых продвинутых многоуровневых арсеналов для борьбы с будущими угрозами - эмулятор, эвристика, HIPS,поведенческие блокираторы, репутационные облачные сервисы, вайтлистинг, application control, целый спектр проактивных технологий… А во-вторых, «неизвестное» в компьютерной вирусологии не так иррационально как в реальной жизни.
Да, разумеется, всегда остаётся вероятность появления какой-то абсолютно новой заразы, которую и предугадать сложно и тем более проактивно защититься. Но в большинстве случаев вредоносы действуют в рамках неких шаблонов поведения и используют определённый инструментарий. И вот за это самое их и можно ловить! И как показывает практика довольно успешно.
Итак, что же будет такого вкусного для защиты против неизвестных эксплойтов в KIS/KAV 2013?
А вот что: мы существенно «прокачаем» модуль мониторинга активности программ System Watcher за счёт новой технологии Automatic Exploit Prevention (AEP). Её суть понятна, но реализация требует подробностей.
На самом деле AEP - «зонтичный бренд» для целого спектра анти-эксплойтовых фичей. Во-первых, мы добавили в базу данных специальные шаблоны поведения эксплойтов. System Watcher использует эти шаблоны для контроля над действиями приложений (например, браузеров), выявления подозрительной активности и её блокировки. Во-вторых, система отслеживает источники файлов и противодействует drive-by загрузкам. В дополнение к этому мы интегрируемся с сервисом Attachment Execution Service (AES) и отличаем файлы, созданные с и без ведома пользователя. В-третьих, для наиболее критичных программ и дополнительных модулей (например, плагинов для браузеров) мы будем принудительно использовать технологию ASLR, которая каждый раз случайным образом изменяет структуру адресного пространства атакуемой программы. В результате, даже если эксплойт «пробьёт» уязвимость, он не сможет запустить вредоносный код на выполнение, поскольку не будет знать его точного местонахождения!
Сейчас AEP проходит тестовые испытания и показывает впечатляющие результаты. Мы прогнали через неё целую кучу эксплойтов для Flash Player, QuickTime, Adobe Reader, Java и других программ - 100% результат детекта! Особенно порадовал успешный детект эксплойта для недавно нашумевшей уязвимости в Windows Media Player - эксплойт позволял заражать компьютер через специально созданный MIDI-файл и работал на всех версиях Windows, начиная с XP. И, что важно, благодаря AEP мы ловим 100% эксплойтов эксплойт-кита Blackhole, при том, что средний показатель среди десятки лучших антивирусов мира - около 94% (sic!).
Ну и в заключение ещё к вопросу о профилактике - в дополнение к описанной выше технологии.
Как говорится, на антивирус надейся, да сам не плошай. И тут как нельзя кстати правило - «мой руки перед едой». Вероятность получить атаку малварой или эксплойтом на порядок выше на всяких сомнительных сайтах. Подумайте несколько раз, прежде чем зайти на какой-нибудь «порно-варезный» ресурс - стоит ли овчинка выделки? Ну и конечно, одно из главных правил компьютерной гигиены - ни в коем случае не открывать подозрительных аттачей!