Немного об исследованиях, экплойтах и независимости

Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.

Суть исследования, призванного проанализировать насколько хорошо современные антивирусные системы (точнее комплекты Internet Security, включающие Antivirus, Personal Firewall и Host Intrusion Prevention System) хорошо справляются с противодействием эксплуатации клиентских уязвимостей (client-side exploits).

Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.

Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней.

В ходе сравнения использовались как "боевые" экплойты, так и код типа POC (proof-of-concept), не вызвавшие реального перехвата управления. Причем исследователи заявляют, что:

"However, if a security product can not detect a PoC it
also can not detect an exploit reliably."

Очень, очень спорное утверждение. Сигнатурный анализ (что зловредов, что экплойтов) это мертвое направление. Гораздо более эффективный метод, на который направлены современные технологии - поиск и предотвращение техник
и последствий эксплуатации, которых гораздо меньше. Что многие современные HIPS делают достаточно эффективно.
Еще один интересный момент - около половины экплойтов анализировались в статике.

Цитирую:

"1. The first group consisted of 144 malicious files (e.g. .gif, .bmp, .mov, and office documents).
....
1. The malicious files were first tested by unpacking a ZIP archive containing the files in order to test
the efficiency of real-time access scanning.
2. Then the folder was scanned manually to ensure that all files were scanned, regardless of any policy
limitations on the real-time scanning."

Т.е. реальной эксплуатации для половины тестов не проводилось. Экплойт не запускался. Это значит, что тестировались сигнатурные возможности. А распространенные техники защиты от эксплуатации уязвимостей, такие как ret-control, маркирование и контроль системных функций средствами защиты не были задействованы в половине случаев (144 из 156).

Таким образом, этот тест можно назвать тестом сигнатур по обнаружению экслойтов, но никак не тестом современных AV/HIPS по противодействию эксплуатации клиентских уязвимостей.

Адекватное тестирование подобного рода должно основываться на боевых экплойтах (причем для одной уязвимости желательно использовать несколько методов экплуатации, если возможно), и подтверждением срабатывания/несрабатывания должна являться только успешная/не успешная эксплуатация. Запустился файл - calc.exe - значит пропустили. В обратном случае - извините.

По нашему опыту тестов на проникновение, до 60% новых экплойтов блокируются системами типа Internet Security. Даже при использовании специальных методов обхода этих средств, ориентированных на конкретную реализацию системы защиты. Причем зачастую просто не существует возможности изменить подход к эксплуатации, поскольку он тесно связан с природой уязвимости.

Естественно, каждую защиту можно обойти, но не так просто. И не всегда.

Оригинал исследования:
http://secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf

А. Циберман, Yag kohha