21.10.2008

Немного об исследованиях, экплойтах и независимости

В этой статье авторы обсуждают исследование антивирусных систем компанией Secunia.

Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.

Суть исследования, призванного проанализировать насколько хорошо современные антивирусные системы (точнее комплекты Internet Security, включающие Antivirus, Personal Firewall и Host Intrusion Prevention System) хорошо справляются с противодействием эксплуатации клиентских уязвимостей (client-side exploits).

Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.

Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней.

В ходе сравнения использовались как "боевые" экплойты, так и код типа POC (proof-of-concept), не вызвавшие реального перехвата управления. Причем исследователи заявляют, что:

"However, if a security product can not detect a PoC it
also can not detect an exploit reliably."

Очень, очень спорное утверждение. Сигнатурный анализ (что зловредов, что экплойтов) это мертвое направление. Гораздо более эффективный метод, на который направлены современные технологии - поиск и предотвращение техник
и последствий эксплуатации, которых гораздо меньше. Что многие современные HIPS делают достаточно эффективно.
Еще один интересный момент - около половины экплойтов анализировались в статике.

Цитирую:

"1. The first group consisted of 144 malicious files (e.g. .gif, .bmp, .mov, and office documents).
....
1. The malicious files were first tested by unpacking a ZIP archive containing the files in order to test
the efficiency of real-time access scanning.
2. Then the folder was scanned manually to ensure that all files were scanned, regardless of any policy
limitations on the real-time scanning."

Т.е. реальной эксплуатации для половины тестов не проводилось. Экплойт не запускался. Это значит, что тестировались сигнатурные возможности. А распространенные техники защиты от эксплуатации уязвимостей, такие как ret-control, маркирование и контроль системных функций средствами защиты не были задействованы в половине случаев (144 из 156).

Таким образом, этот тест можно назвать тестом сигнатур по обнаружению экслойтов, но никак не тестом современных AV/HIPS по противодействию эксплуатации клиентских уязвимостей.

Адекватное тестирование подобного рода должно основываться на боевых экплойтах (причем для одной уязвимости желательно использовать несколько методов экплуатации, если возможно), и подтверждением срабатывания/несрабатывания должна являться только успешная/не успешная эксплуатация. Запустился файл - calc.exe - значит пропустили. В обратном случае - извините.

По нашему опыту тестов на проникновение, до 60% новых экплойтов блокируются системами типа Internet Security. Даже при использовании специальных методов обхода этих средств, ориентированных на конкретную реализацию системы защиты. Причем зачастую просто не существует возможности изменить подход к эксплуатации, поскольку он тесно связан с природой уязвимости.

Естественно, каждую защиту можно обойти, но не так просто. И не всегда.

Оригинал исследования:
http://secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf

А. Циберман, Yag kohha

или введите имя

CAPTCHA
Страницы: 1  2  
1
21-10-2008 15:18:54
не были задействованы в половине случаев (144 из 156) Циберман не умеет считать? Или с сегодняшнего дня 156/2=144?
0 |
1
21-10-2008 17:03:58
Запустился файл - calc.exe - значит пропустили Мысль понятна, но формулировка какая-то странная: если защита мониторит "опасные" срабатывания, то зачем ей запрещать родной, подписанный и проверенный calc.exe?
0 |
21-10-2008 18:02:22
calc.exe - приложение, которое было запущено эксплоитом. Если эксплоит смог запустить любое приложение на системе - значит он сработал и антивирус его пропустил.
0 |
1
21-10-2008 18:21:20
Если эксплоит смог запустить.. Так это получится то же самое, про что автор пишет: IPS ждёт, что кто-то полезет в реестр или там в инет, а тут просто штатное приложение запускается -- за что его давить? Конечно, если уязвимость известная, то надо бы пораньше реагировать, но плоха та система, которая только от известных уязвимостей может защищать.
0 |
21-10-2008 18:56:40
одно дело когда calc.exe вызывается кликом по ярлыку, и совершенно другое если его запускает какая нибудь Opera... Чуешь разницу?! По сути эксплоиту всеравно что запускать, калюкулятоорр может запускаться для наглядности, в бою это будет шэл...
0 |
22-10-2008 23:11:16
Не "чую" я! Ну не "чую" и все(( Может аргументируешь по лучше! Я вот знаю дофига программ которые запускают *.exe даже *.dll и почему-то их не считают дрянью! С чего бы это? И еще - я конечно понимаю, что масдай - это один огромный вирус(пока его антивиры за такового не считают - значит и мы в этом посте не будем), его приложения и компоненты сами запускают кучу *.exe и их тоже почему-то не считают вирами, сплоитами! И, что нам тут "чуть"??
0 |
21-10-2008 19:00:57
к слову если посмотреть таблицу то видно что лучше всего обнаруживаются html-ные атаки... По логике автора атаки обнаруживались именно в результате "ret-control, маркирование и контроль системных функций", тоесть лучше всего ловились атаки именно не известные уязвимости ))
0 |
21-10-2008 18:52:08
2 psycho: просто автор не особо гемороился с цитированием первоисточника и вычиткой своей статьи: тестировались 144 файла и 156 инет страниц. Примерно пополам того и того. Однако файлы "только сканировались" но не запускались/просматривались... Адекватное тестирование...Почему PoC не может дать адекватных результатов? Нет payload? но ведь механизм работает, значит и система обнаружения обязана его зафиксировать... ЗЫ. ИМХО несмотря на замечание о неполноценном тестировании результаты Secunia выглядят достовернее информации "от Цибермана", у той хотябы есть конкретный таблицы с галочками...
0 |
1
21-10-2008 21:07:19
<q>Почему PoC не может дать адекватных результатов?</q> Потому как эксплуатации не происходит. Только триггер. А IPS и многие проактивные фичи (типа DEP и ALSR) очень часто направлены на предотвращение последствий. <q>Нет payload? но ведь механизм работает, значит и система обнаружения обязана его зафиксировать</q> Механизм не работает. Что-то где-то перезаписалось, приложение вывалилось с ошибкой. Где импакт?
0 |
1
21-10-2008 22:43:30
Коллега! Растолкуйте мне, думаю это будет полезно и другим джамшутам от ИТ во первых что такое триггер и что собой представляет ПоК? Если это механизм системы защиты и пок нацелен на его срабатывание, то результаты исследования должны быть 100% по определению. Почему это не так? Имхо пок это собственно механизм реализующий уязвимость, добавляя к нему payload, например шел-код, получаем эксплоит. Да, нет? Во вторых, смею поправить что проактивность предполагает не допущение инцидентов. А борьба с последствиями - реактивная защита. Как вывод hips должен не допускать даже пок. Че за фишки приведены? В третьих, вы представляете механизм функционирования эксплоитов? Само по себе переполнение конечно особо не ИНТЕРЕСНО, но его непосредственный приклад это ДоС. Надо объяснять ценность дос и его практическую ценность? Импакт - нарушение работы приложения.
0 |
1
21-10-2008 23:43:00
Имхо пок это собственно механизм реализующий уязвимость, добавляя к нему payload, например шел-код, получаем эксплоит. Да, нет? Для подтверждения Вашего тезиса предлагаю зайти на милворм, взять первый попавшийся dos/poc и превратить его в боевой ксплоет. С шелкодесом естественно. А потом сделать из него хотябы download & execute который обойдет кафи или kis 9. Как вывод hips должен не допускать даже пок. А зачем,если он ничего не делает? Теоретически, возможно,вы и правы, но реально все хипсы работают на последствиях. Иначе никак Вам шашечки нужны, или ехать ? Пример - IPS не предотвращает сканирование портов - она блокирует сканировавшего (т.е. атака то чуть-чуть проходит). Че за фишки приведены? http://en.wikipedia.org/wiki/Data_Execution_Prevention http://en.wikipedia.org/wiki/Address_space_layout_randomization В третьих, вы представляете механизм функционирования эксплоитов? Ага Надо объяснять ценность дос и его практическую ценность? Будьте добры, проведите мне BIA массового падения IE при заходе "на плохой сайт" с точки зрения бизнеса и выгоду потенциального зловмышленника от него. Буду признателен
0 |
22-10-2008 10:57:07
Ну скажем вот: http://milw0rm.com/exploits/5458 Если я правильно понял, то этот PoC создает файл, открытие которого с помощью xine вызовет переполнение буфера в стеке. Далее по алгоритму: смотрим дампы пямяти, ищем куда удобней всунуть тот самый шеллкод и заменяем "\x41" x 114... Хочешь чтобы я сам это делал? Я из другой команды ... А разработка сценария как этот сплоит будет загружен на жертву и каким образом он будет вызван к исполнению, это уже болше творческий вопрос )) Или другой PoC: http://milw0rm.com/exploits/5349 смотри в каментах, ясно сказано "на его базе может быть сделан сплоит, но автору это делать лень"... ИМХО Атака делится на стадии ( что PoC что Payload это ее составные части ) и чем на раньше будет осуществляться ее обнаружение тем лучше... К слову если конкретная атака из трех шагов споткнулась на шаге 2, то можно пораскинуть мозгами и использовать шаг 1 как базу для другой атаки, на туже самую жертву... Это называется "Дерево атак" или както так, и здесь были статьи на эту тему... Примеры? легко. Скажем если клиенты не смогут заходить на РБК (им будет показываться картинка типа http://upload.wikimedia.org/wikipedia/en/7/7b/Data_Execution_Prevention_blocked_program.png) то и их работа забуксует, и сам сайт РБК не будет вызывать особого доверия... Или скажем если их сервер будет постоянно перегружаться - результат тотже... Щас конечно флуд както более популярен, но всеже...
0 |
1
22-10-2008 13:37:00
IN --> Если я правильно понял, то этот PoC создает файл, открытие которого с помощью xine вызовет переполнение буфера в стеке. Далее по алгоритму: смотрим дампы пямяти, ищем куда удобней всунуть тот самый шеллкод и заменяем "\x41" x 114... Хочешь чтобы я сам это делал? OUT --> если не ты то кто? имхо дампы памяти при девелопы сплоетов лучше не смотреть, лучше юзать дебуггер IN --> Или другой PoC:http://milw0rm.com/exploits/5349 смотри в каментах, ясно сказано "на его базе может быть сделан сплоит, но автору это делать лень"... OUT --> shinnai вообще редко пишет сплойты связанные с переполнением, он больше любит прямой прогруз и исполнение на ActiveX (подмена url на закачке обновлений к примеру). IN --> ИМХО Атака делится на стадии ( что PoC что Payload это ее составные части ) и чем на раньше будет осуществляться ее обнаружение тем лучше... OUT --> Рекомендую срочно внести изменения в архитектуру IA-32/64, в частности выкинуть стек либо сделать его совершенно неисполняемым. IN --> Скажем если клиенты не смогут заходить на РБК (им будет показываться картинка типаhttp://upload.wikimedia.org/wikipedia...rogram.png) то и их работа забуксует, и сам сайт РБК не будет вызывать особого доверия... OUT --> Для этого надо инфектнуть непосредственно сайт РБК, с целью ДОСа на браузеры пользователей ни один злодей этого делать не будет, загрузки софта больше денег дают и возможностей)))) IN --> Или скажем если их сервер будет постоянно перегружаться - результат тотже... OUT --> Милейший, у меня периодически возникает чувство что, Вы путаете software DoS с network DDoS
0 |
22-10-2008 14:44:33
Лапонька, DoS он и а африке DoS, ничего я не путаю, а привожу запрошенные примеры. Для когото бывает сетевой или софтварный, а для когото бывает просто выговор с занесением... Цель - не DoS браузера пользователя. Читай внимательней буквы Я не знаю shinnai и не в курсе чем он там обычно занимается, но ссылка говорит сама за себя. Если не я то ты, тем более что располагаешь дебагером Вопрос был в применимости PoC для разработки сплоита. Они применимы, по сути, без изменений.
0 |
1
22-10-2008 15:28:11
когото бывает просто выговор с занесением Выговор с занесением сотруднику ИБ компании из-за того, что кто-то затроянял сайт РБК. Вы бредите. Цель - не DoS браузера пользователя. Читай внимательней буквы Как client-site exploit может сделать что-то плохое чему-то кроме бравзера пользователя. Я не знаю shinnai и не в курсе чем он там обычно занимается, но ссылка говорит сама за себя. Т.е. в вопросах эксплуатации уязвимостей и защиты от них в клиентских приложениях под win32 вы особо не разбираетесь? Вопрос был в применимости PoC для разработки сплоита Эээээ... Вопрос был в применимости client-side PoC-триггера для тестирования HIPS. Или нет? Если так, то они НЕ ПРИМЕНИМЫ. Потомушта не работают Они применимы, по сути, без изменений. Неа. Не верите мне, почитайте умных людей http://www.securityfocus.com/columnists/472 Цитирую "One issue an exploit developer may notice immediately while reading the paper is that crashing a program is not that same as exploiting it. Even having control of the instruction pointer is not even close to exploiting it in this day and age", что значит - а фиг его знает (ин дженерал) как из POC'а сделать сплоет
0 |
22-10-2008 15:56:10
кто-то затроянял сайт РБК Я имел в виду что менеджера, человека который платит деньги инженерам вроде нас, интересует только работоспособность сервера/сети. И если она вдруг падает, ключевое слово вдруг, его совершенно не интересует был это ДоС или таракан в БП залез. Если он не был заранее уведомлен о рисках, если нет плана востановления работоспособности, то когото будут драть ... ...client-site exploit... Опять, ИТ, само по себе, интересует только инженеров. Представьте, что при заходе на тотже сisco.com ваш браузер начинает говорит о недействительных сертификатах, о том что этот сайт используется дла атак на другие компьютеры и предложит "свалить отсюда нафиг". Кто от этого потеряет и кто приобретет? под win32 вы особо не разбираетесь Есть такое дело, я как-то больше по сетям... Но это не мешает мне знать C/asm/perl и самое главное читать манулы client-side PoC-триггера Если честно я так и не понял что тут понимают под тригером, так что о сути такой сложно конструкции могу только догадываться... http://www.securityfocus.com/columnists/472 Цитата из тойже статьи "Writing a reliable exploit can take a long time even when you know about a vulnerability". Да, PoC это не эксплоит. Но "фиг его знает штука" двоякая. И с другйо стороны на основе PoC может быть построен эксплоит. Да надо провести работу, но это не повод говорить что они "НЕ ПРИМЕНИМЫ, Потомушта не работают :)"
0 |
22-10-2008 16:03:40
ЗЫ. человек может и умный, но ябы не стал так проходиться по институтам...
0 |
1
22-10-2008 16:07:20
IN--> Да, PoC это не эксплоит. Но "фиг его знает штука" двоякая. И с другйо стороны на основе PoC может быть построен эксплоит. Да надо провести работу, но это не повод говорить что они "НЕ ПРИМЕНИМЫ, Потомушта не работают :)" OUT --> доведенный до ума PoC - вещь замечательная. Вот именно доведенной до ума реализацией можно тестировать HIPS. И HIPS должен отловить именно Вашу реализацию с использованием механизмов обнаружения контекстного динамически исполняемого кода (shellcode). Все остальное - ПУСТОЙ ЗВУК. DoS/PoC не может использоваться для тестирования HIPS.
0 |
22-10-2008 16:10:07
DEP и ALSR должны отлавливать PoC
0 |
1
22-10-2008 16:15:01
Не отлавливать POC, а снизить риск исполнения динамики. Существуют вполне эффективные методики обхода и того и другого. Иначе рынок HIPS умер бы уже года эдак 2 назад)))
0 |
22-10-2008 16:58:09
Ну судя по тому что я знаю проблеммы связаны с обратной совместимстью, а не с рынком HIPS )
0 |
1
22-10-2008 20:00:27
Какие проблемы? 0|0 что именно вы имеете ввиду?
0 |
23-10-2008 10:35:33
обхода и того и другого
0 |
1
23-10-2008 10:48:27
Качество реализации решения тех или иных задач зависит только от уровня компетенций того кто их решает.) Собственно считаю вопрос закрытым, имхо чтение лекций в эхе секлаба не входит в перечень моих жизненно важных интересов.
0 |
1
22-10-2008 16:12:09
о том, что кто-то проводил исследования ? или о том, что исследования - говно? так хороши или плохи эти защитные средства? ... если хорошо - нафиг в доказательство давать исследование, показывающее, что они плохи, но проведённое через жопу? ps Автор, убейся
0 |
1
22-10-2008 16:19:08
Радует что народ не остался равнодушным! Проблемы возникновения жизни в крабовидной туманности беспокоят большинство землян.
0 |
22-10-2008 16:21:44
Если интересоваться только едой то жить становится скучно
0 |
1
22-10-2008 16:23:28
Абсолютно согласен с Вами коллега )))
0 |
Страницы: 1  2