MRG Effitas: Тестирование защиты от руткитов

2015-07-28 16653 комментарии
В 3-ем квартале 2015 года британская лаборатория MRG Effitas по запросу Zemana Ltd провела сравнительное тестирование ряда продуктов на противодействие руткитам

MRG Effitas: Тестирование защиты от руткитов

Общая информация

Руткиты - скрытый тип преимущественно вредоносного программного обеспечения, предназначенного для скрытия существования отдельных процессов или программ и противостояния стандартным методам обнаружения. Таким образом, руткиты обеспечивают злоумышленникам постоянный привилегированный доступ к компьютеру жертвы.

Если система уже заражена руткитом, обнаружить и удалить зловред будет совсем непросто. Обычно руткиты проникают глубоко в системные зоны, и процесс их удаления нетривиален. Далеко не все вредоносные программы имеют возможности руткитов, но стандартная стратегия киберпреступников заключается в предварительной установке руткитов, посредством которых на инфицированную систему доставляются угрозы.

Обнаружение и очистка руткитов требует от вендоров титанических затрат, потому что данные угрозы используют многочисленные техники маскировки. Среди разновидностей руткитов можно выделить: руткиты системного ядра, руткиты пользовательского режима, инфекции записей загрузочного раздела диска, инфеции записей загрузочного тома, вредоносное ПО, использующее инструментарий управления WIndows или Powershell и т.д.

Среди участников тестирования были антируткиты, сканеры дополнительной защиты и инструменты восстановления системы:

MRG Effitas решила комплексно проверить все стадии работы с руткитами. Каждый продукт проверялся на противодействие 8 различным руткитам, которые были реально представлены в сети за последние 3-4 года. Первоначально тестовая система была заражена руткитами, а после их успешной установки выполнялось полное сканирование системы и последующая очистка. Затем применялись профессиональные средства для оценки эффективности удаления руткитов. Итоговый результат продукта зависел от уровня обнаружения и уничтожения угроз.

При проведении тестирования в лаборатории пытались имитировать реальные условия использования компьютера обычным пользователем. Это означает, что уделялось особое внимание всем всплывающим оповещениям и запросам со стороны программ безопасности. Все тесты выполнялись на комбинации виртуальных и реальных машин с 32-битной версией Windows 7 с установленными последними обновлениями. Физические машины использовались, когда “сбрасыватели” руткитов отказывались устанавливаться в виртуализированное пространство. Тестирование выполнялось с 29 июня по 21 июля 2015 года.

Методика тестирования

Для корректного проведения испытания приоритетное значение имеет подбор образцов. В MRG Effitas придерживались трех основных критериев: широкая распространенность, использование инновационных техник и возможности руткитов по скрытию присутствия от пользователя и антивирусного ПО.

Количество различных методов руткитов ограниченно, поэтому использование новейших руткитов нулевого дня не имело большого смысла. Кроме того, достать подобные образцы действительно сложно.

Так называемый “сбрасыватель” руткитов запускался с полными привилегиями администратора устройства. Это довольно реалистичный сценарий, ведь на компьютерах реальных пользователей контроль учетных записей может быть либо отключен, либо из-за недостаточной компетенции пользователь может предоставить повышенные права неизвестной программе.

Если вредоносная программа смогла установиться, исследователи в течение 6 минут ждали перезагрузки руткита. Если это не происходило, тестовая машина вручную перезагружалась. После перезагрузки для выявления наличия руткитов использовалось специализированное ПО. Применялись следующие техники обнаружения:

  • Сравнение размеров MBR и VBR с чистыми копиями;
  • Проверка на предмет хуков режима ядра и режима пользователя;
  • Поиск ключей реестра, характерных для руткита;
  • Сканирование файловой системы (с прямым доступом к диску в обход функций скрытия руткита).

После того, как работоспособность руткита была подтверждена, специалисты MRG Effitas устанавливали антивирусный сканер / инструмент восстановления, обновленный до последней версии и запускали стандартное или умное сканирование. При обнаружении угрозы выбиралось рекомендуемое действие - добавление в карантин или удаление. Если для проведения очистки требовалась перезагрузка компьютера, она выполнялась.

Небольшое количество тестовых образцов (8 экземпляров) объясняется невозможностью автоматического проведения тестирования. Кроме того, для оценки эффективности восстановления применялся анализ сторонним ПО, что также требует много времени.

Методика начисления баллов

Для оценки эффективности восстановления тестовой машины использовалась балльная система. Каждый продукт получал:

  • 0 баллов, если заражение не было обнаружено. Обнаружение “сбрасывателя” не входило в тестовую методологию;
  • 1 балл, если заражение было обнаружено, но продукт не справился с удалением угрозы;
  • 3 балла, если продукт смог удалить руткит, что привело к потере функциональности, но в системе остались следы, которые снижали общий уровень безопасности. Среди таких следов могли быть: главные исполняемые файлы (в файловой системе или реестре), ключи реестра в разделе автозагрузки, исполняемые файлы, изменения файла HOSTS и т.д. Не учитывались: зашифрованные конфигурационные файлы, пустые папки, файлы во временных директориях и зашифрованные виртуальные файловые системы.
  • 4 балла, если руткит был обнаружен, полностью удален вместе со всеми опасными следами.

Предупреждение: после установки руткита вредоносные операторы могут выполнить индивидуальные изменения уровня безопасности на компьютере (специфичные для данного компьютера). Данные изменения не могут быть обнаружены антивирусным ПО, поэтому после очистки активных заражений рекомендуется самостоятельная проверка компонентов системы. Например, вредоносные операторы могут устанавливать новые корневые центры сертификации, отключать контроль учетных записей, фаервол, сканер и т.д.

Результаты тестирования

MRG Effitas: Тестирование на блокировку руткитов: Результаты тестирования

С полным отчетом вы можете ознакомиться по этой ссылке (pdf, английский).

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте