- Dołączył
- 14 Luty 2014
- Posty
- 1634
- Reakcje/Polubienia
- 3948
Info:AvLab.plJednym z pozytywnych aspektów współpracy z producentami, którzy dla rynków SOHO i Enterprise dostarczają rozwiązania bezpieczeństwa, jest dostęp do informacji o atakach i szkodliwym oprogramowaniu. Z udostępnionych danych dowiadujemy się, że coraz większym problemem są zagrożenia przesyłane protokołami HTTP i HTTPS z wykorzystaniem ataków drive-by download. Oprogramowanie Avira zablokowało w ostatnich 12 miesiącach ponad 3 miliony złośliwych adresów URL. Z kolei od społeczności produktów Kaspersky Lab wiemy że w okresie od stycznia do października 2018 roku liczba zablokowanych prób ataków i złośliwych plików za pomocą modułu „Ochrona WWW” wbudowanego w produkty tej firmy, to ponad półtora miliarda na świecie i 19 milionów w Polsce. Ze statystykami są ściśle powiązane anonimowe dane przesyłane przez oprogramowanie zainstalowane na urządzeniach końcowych, dlatego im większa społeczność, tym dokładniejsze informacje. Szczegółowe dane z podziałem na konkretny typ ataku dostarczyła nam firma Check Point: cyberataków związanych z protokołami HTTP i HTTPS na organizacje w Polsce i na świecie jest odpowiednio 325 oraz 458 każdego dnia. W naszym kraju aż 68% wszystkich ataków stanowią zablokowane próby komunikacji szkodliwego oprogramowania z serwerami C&C. Co trzeci atak (30%) odpowiada za wykorzystanie luk w aplikacjach bądź systemach. Pozostałe 2% przypisuje się złośliwym stronom internetowym.
Statystyki zagrożeń w Polsce i na świecie.
Systematycznie obserwujemy wzrost ataków za pośrednictwem internetowych protokołów, dlatego chcieliśmy przeprowadzić test dostępnych rozwiązań w Google Web Store. Zdajemy sobie sprawę, że wielu użytkowników nie posiada odpowiedniej ochrony lub korzysta z produktów nieuzupełnionych o filtrowanie złośliwej zawartości w przeglądarkach. Z tego powodu chcieliśmy przeprowadzić test popularnych rozszerzeń dla przeglądarek, które przechwytują i filtrują cały ruch sieciowy, blokując złośliwe treści i szkodliwe oprogramowanie.
Testowane rozwiązania
Badanie zostało przeprowadzone w dniach od 10 do 23 października 2018 roku. W tym czasie sprawdziliśmy ochronę poniższych rozwiązań w przeglądarce Chrome w oparciu o 1870 unikalnych próbek wirusów:
**Wykorzystano następujące listy: Malvertising filter list by Disconnect, Malware Domain List, Malware domains, Spam404.
- Avast Online Security
- Avira Browser Safety
- Bitdefender Trafficlight
- Check Point SandBlast Agent for Browser*
- Comodo Online Security
- Malwarebytes Browser Extension
- McAfee WebAdvisor
- Panda Safe Web
- uBlock Origin**
- Windows Defender Browser Protection
*Rozwiązanie „Check Point Sandblast Agent for Browser” jest dostępne w dwóch wariantach. Wersja bezpłatna chroni wyłącznie przed atakami typu phishing. Wersja komercyjna dodatkowo chroni przed pobieraniem szkodliwych plików, wykorzystując emulowanie zagrożeń w bezpiecznym środowisku. Za pomocą analizatora Threat Extraction (TEX) dostarcza zrekonstruowaną wersję pliku, który jest pozbawiony np. złośliwych poleceń makro. Taki plik może być bez konsekwencji uruchomiony, co przekłada się na doskonałą ochronę przed atakami 0-day.
Rozszerzenie „Check Point Sandblast Agent for Browser” w wersji bezpłatnej nie posiada najważniejszej funkcjonalności, czyli skanowania pobieranych plików.
Rozszerzenie „Check Point Sandblast Agent for Browser” musi być połączone z urządzeniem SandBlast lub odpowiednikiem w chmurze, usługą SandBlast Cloud, gdzie będzie wykonywane skanowanie nieznanych plików, które stwarzają potencjalne zagrożenie dla organizacji. Plugin może być skonfigurowany w taki sposób, by analizowany plik do czasu zakończenia weryfikacji nie był pobrany ani uruchomiony przez pracownika, ani też automatycznie, w wyniku ataku drive-by download. Rozszerzenie zostało opracowane z myślą o integrowaniu się z wiodącą usługą Check Point, które dzięki blokowaniu złośliwego oprogramowania odpornego na wykrycie, zapewnia bezpieczeństwo sieci. Rozszerzenie w wersji bezpłatnej nie spełniało wymagań dotyczących skanowania pobieranych zagrożeń, dlatego na prośbę producenta przetestowaliśmy wersję komercyjną.
Opis procedury postępowania
Testy zostały przeprowadzone na podstawie tego algorytmu.
Zadaniem naszego systemu testującego jest zautomatyzowanie zarządzania rozwiązaniami bezpieczeństwa, skonfigurowanymi maszynami oraz pochwyconymi próbkami szkodliwego oprogramowania z ataków na sieć honeypotów. Rdzeń projektu oparliśmy o dystrybucję Ubuntu 16 LTS, natomiast system testujący PERUN wyposażyliśmy w moduły do analizowania próbek wirusów, korelowania oraz parsowania zebranych logów, a także zarządzania systemami Windows 10. System PERUN to połączenie języków programowania NodeJS oraz Python. Platforma pozwala przenieść najbardziej czasochłonną pracę na barki maszyny, dzięki czemu jesteśmy w stanie szybko oceniać przydatność każdej próbki malware oraz przedstawiać dla niej wyniki antywirusowe z dwóch obszarów: przed zagrożeniami pochwyconymi w świecie rzeczywistym (in the wild) oraz przed nowymi technikami obchodzenia zabezpieczeń.
Idealne źródło próbek to takie, które oferuje najbardziej rozpowszechnione, świeże oraz różnorodne próbki, które są niezależnie od dostawcy oprogramowania antywirusowego. W tym przypadku „świeżość” pobranych próbek jest bardzo ważna, gdyż wpływa na faktyczną ochronę produktu przed zagrożeniami, które można spotkać w świecie realnym. Próbki wykorzystywane w badaniu „Advanced In-The-Wild Malware Test” pochodzą z ataków na naszą sieć honeypotów, czyli pułapek, których zadaniem jest udawanie celu lub prawdziwego systemu i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne, które emulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, MYSQL oraz SMTP.
Zebrane złośliwe oprogramowanie na jednym z honeypotów.
Lokalizacja honeypotów na listopad 2018 (Kanada, USA, Brazylia, Wielka Brytania, Holandia, Francja, Włochy, Czechy, Polska, Rosja, Indie, Singapur, Japonia, Australia, RPA).
Zanim każda próbka trafi do maszyn z zainstalowanymi produktami zabezpieczającymi musi być dokładnie przeanalizowana. Musimy mieć pewność, że tylko „100-procentowe” szkodliwe próbki będą dopuszczone do testów. Sytuacja, kiedy wirus nie będzie działał w systemie, ponieważ został zaprogramowany dla innego regionu geograficznego, nigdy się nie zdarzy w naszych testach. Czytelnicy oraz producenci mają pewność, że malware, które zostało zakwalifikowane do testów, jest w stanie poważnie zainfekować system operacyjny, niezależnie od tego, z której części świata ono pochodzi.
Zanim potencjalnie szkodliwa próbka zostanie zakwalifikowana do testów, jeden z elementów systemu testującego sprawdza, czy złośliwe oprogramowanie na pewno wprowadza niepożądane zmiany. W tym celu każdy wirus jest analizowany przez 15 minut. Wykluczony z testów czynnik ludzki nie daje możliwości upewnienia się, że np. malware po 60 sekundach zakończy swoją aktywność. Musimy ustalić pewien próg czasowy, po którym przerywamy analizę. Zdajemy sobie sprawę, że istnieje takie szkodliwe oprogramowanie, które zanim zostanie aktywowane, może opóźniać swoje uruchomienie nawet do kilkunastu godzin. Może też nasłuchiwać połączenia z serwerem C&C na efemerycznym porcie. Zdarzały się także sytuacje, kiedy złośliwy program został zaprogramowany do infekowania konkretnej aplikacji lub czekał na otworzenie strony internetowej. Z tego powodu dołożyliśmy wszelkich starań, aby nasze testy były maksymalnie zbliżone do rzeczywistości, a próbki, które są „niepewne”, aby nie były dołączane do testowej bazy wirusów.
Po przeanalizowaniu każdej złośliwej próbki i pozyskaniu logów opracowane algorytmy podejmują decyzję, czy konkretna próbka jest bez wątpienia szkodliwa. Cząstkowe informacje z każdej analizy publikujemy na stronie internetowej w przystępnej treści dla użytkowników oraz producentów. Szczegółowe dane przekazywane są producentom i na specjalne życzenie dystrybutorom.
Przykładowe ustawienia polityki audytu. Windows 10 umożliwia wgląd w bardzo szczegółowe informacje o zdarzeniach systemowych.
Możemy ze stuprocentową dokładnością ustalić, czy produkt zatrzymał szkodliwe oprogramowanie sygnaturą lub proaktywnymi składnikami ochrony. Analizowanie logów jest bardzo czasochłonne, dlatego opracowaliśmy algorytmy, które robią to za nas.
Przykładowe zebrane logi z aktywności antywirusa Bitdefender.
Przykładowe zebrane logi z aktywności ransomware.
Zarejestrowane logi m.in. o zmianach w strukturze plików i katalogach, rejestrze systemowym, harmonogramie zadań, logowaniu do systemu i udziałów sieciowych, a także komunikacji sieciowej procesów, dostarczają niezbędnych informacji o dokonanych modyfikacji w systemie przez szkodliwe oprogramowanie. Na przykład, jeśli zainfekowany dokument Word zawierający kilka skryptów (visual basic, cmd, powershell) zostanie uruchomiony, po czym nastąpi akcja pobrania pliku ze strony internetowej i zapisania wirusa w lokalizacji %TEMP%, to włączona inspekcja poszczególnych elementów systemu operacyjnego zapisze takie informacje do logu. W rezultacie każda nawet najmniejsza modyfikacja dokonana przez złośliwe oprogramowanie zostanie zarejestrowana. Niezależnie od tego, czy będzie to keylogger, backdoor, rootkit, trojan, makrowirus czy ransomware.
W przypadku tego testu algorytm postępowania ograniczał się do sprawdzenia, czy szkodliwe oprogramowanie zostało pobrane do systemu. Jeżeli nie, oznacza to, że zostało zablokowane w przeglądarce przez testowany produkt.
1. Codziennie rano system PERUN uruchamiał wszystkie maszyny z zainstalowanymi produktami. W ciągu 30 minut następowała aktualizacja baz sygnatur wirusów lub plików testowanego rozwiązania. Wszystkie maszyny były następnie restartowane i ponownie zamykane.
2. Po upewnieniu się, że maszyny z zainstalowanymi produktami są gotowe do testów były wykonywane migawki wszystkich systemów.
3. Wszystkie systemy z zainstalowanymi produktami ochronnymi były ponownie uruchamiane.
4. We wszystkich maszynach zakwalifikowana do testów próbka złośliwego oprogramowania była pobierana przez przeglądarkę Google Chrome.
5. Jeżeli szkodliwe oprogramowanie zostało zablokowane we wczesnym etapie, to było oznaczone w bazie danych specjalnym identyfikatorem.
6. W ostatnim etapie system testujący czekał na zakończenie analizy we wszystkich maszynach, po czym wracał do punktów poprzednich, aby przeanalizować kolejną próbkę wirusa.
Wyniki i wnioski z testu
Popyt na bezpłatne rozwiązania do ochrony komputerów jest duży, dlatego nie mogliśmy pominąć tej gałęzi narzędzi wspomagających ochronę. Większość z przetestowanych rozwiązań uzyskało nieznacznie różniący się wynik, który w jakimś stopniu odzwierciedla fakt dzielenia się informacjami o zagrożeniach pomiędzy producentami. Jednak bez cienia wątpliwości pozycję lidera zdobyło rozszerzenie Check Point SandBlast Agent for Browser (przypomnijmy, że w wersji bezpłatnej chroni tylko przed phishingiem).
Na podstawie poniższej punktacji przyznano certyfikaty:
Wynikiem bardzo dobrym jest zablokowanie szkodliwego oprogramowania na poziomie 95-100%, ale interpretując uzyskany rezultat inaczej, można dostrzec drugą stronę medalu. Otóż za przykład weźmy rozwiązanie Avira Online Security. Zablokowanych 1797 próbek malware to bardzo dużo, ale to ciągle 77 potencjalnych prób uruchomienia złośliwego kodu. Ochrona na poziomie przeglądarki jest bardzo ważna, ponieważ może odfiltrować znane typy wirusów oraz złośliwych web-aplikacji, które pobierają dodatkowe droppery do systemu. Zainstalowany czynny agent antywirusowy jest niezbędny w zabezpieczeniu się przed współczesnymi wektorami dystrybucji szkodliwego oprogramowania. Pamiętajmy, że nie tylko protokoły HTTP/HTTPS uczestniczą w rozprzestrzenianiu zagrożeń. Dużą część ataków zaliczamy na konto protokołów poczty (IMAP, POP3), współdzielenia plików (SMB), a także usług sieciowych IIS dla Windows Serwer, które mogą zostać zdalnie zaatakowane z użyciem exploitów, dostarczając złośliwy ładunek do systemu. Zabezpieczenie wszystkich potencjalnych obszarów w systemie operacyjnym jest kluczowe, dlatego rozszerzenia do przeglądarek, które filtrują zagrożenia są niewystarczające, ale jednocześnie niezbędne, więc powinny być wspierane przez lokalną ochronę.
- 100-98% BEST+++
- 97-95% BEST++
- 94-92 GOOD+
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Ostatnio edytowane przez moderatora:
.Rozszerzenie do przeglądarki Malwarebytes z którego korzystam na drugim miejscu 
