Эксперты проанализировали способность антивирусов к самозащите

image

Теги: антивирус, атака, защита

Исследователи применили к антивирусным продуктам доступные универсальные техники атак.

По мере развития антивирусных технологий совершенствуется и вредоносное ПО. Злоумышленники оснащают его новым функционалом, позволяющим обходить, отключать и деактивировать антивирусные решения. В связи с этим инструменты для обнаружения вредоносного ПО должны иметь механизм самозащиты.

В то время, как при анализе антивирусных продуктов большинство исследователей обращают внимание на их производительность и эффективность, эксперты из Digital Security решили выяснить , следят ли разработчики антивирусного ПО за тенденциями и модифицируют ли свои продукты в соответствии с новыми угрозами.

«Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот прием часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом», - сообщается в отчете Digital Security.

Под самозащитой антивируса исследователи подразумевают обеспечение безопасности собственных файлов, директорий, интерфейсов, конфигурационных данных в реестре и процессов. Для анализа эксперты отобрали ряд самых популярных решений – McAfee, ESET, Symantec, AVG, Avira, Dr. Web, Kaspersky, Panda и Avast.

В ходе проверки продуктов использовалась специальная программа, которая получает на вход в качестве параметров данные о технике и цели, и применялись доступные универсальные методы, не нацеленные на конкретный продукт и не использующие их архитектурные слабости. В общей сложности исследователи применили шесть видов атак – Proxy Inject, Duplicate Handle, Shim engine, PageFile, RegSafe (RegStore) и Reparse-Point. За каждую отраженную атаку антивирусный продукт получал по баллу.

Наилучшие результаты (6 баллов из 6) продемонстрировал Kaspersky Internet Security 15. На втором месте расположился AVAST Free Antivirus (5 баллов из 6), которому не удалось отразить атаку RegSafe (RegStore). Немного хуже оказался результат DrWeb 10 (4,5 балла из 6) – антивирус не отразил атаку RegSafe (RegStore) и проактивно отразил Proxy Inject. Наихудшие показатели продемонстрировали McAfee Total Security 2015, AVG Internet Security 2015, Trend Micro Antivirus+ 2015 и Panda Internet Security 2015, заработавшие только по 2 балла.

«Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры. […] И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.», - сделали вывод исследователи из Digital Security.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.