AV-Test 2015: Тестирование самозащиты антивирусов

2015-10-27 12679 комментарии
Насколько эффективно антивирусные решения противостоят прямым атакам, нацеленным на них самих? Независимая лаборатория AV-Test в 2015 году провела проверку технологий самозащиты антивирусов

Еще в 2014 году AV-Test проверила антивирусные продукты на предмет использования простых технологий самозащиты, таких как DEP и ASLR. Недавно был проведен аналогичный тест, который проверял 31 антивирусное решение и содержал больше усложненных испытаний. В то время как некоторые разработчики успешно внедрили дополнительную защиту своих продуктов, полученные результаты говорят об откровенно слабых местах определенных решений.

Никто не будет спорить, что хорошие антивирусные решения эффективно защищают пользователя от рисков и атак из Интернета. Но как хорошо они сами защищены от угроз?  AV-Test уже задавалась этим вопросом в ноябре 2014 года, проведя тестирования самозащиты продуктов. Лаборатория проверяла, используют ли разработчики доступные инструменты защиты DEP и ASLR для программного кода. Данные функции обычно включены в компилятор и их просто нужно активировать. Объем кода и работоспособность программы не изменяются из-за применения данных технологий.

Результаты прошлогоднего тестирования стали тревожным звонком для некоторых разработчиков. Испытание выявило небрежное отношение к самозащите в определенных решениях. Многие вендоры пообещали, что они улучшат защиту своих продуктов.

300 дней спустя...

Все разработчики имели достаточное количество времени, чтобы внести изменения и сдержать свои обещания. Как теперь выглядит ситуация на сегодняшний день? В программу тестирования AV-Test было включено 21 антивирусов для конечных пользователей и 10 решений для корпоративных потребителей. В новом тесте проверялось взаимодействие DEP и ASLR c переносимыми исполняемыми файлами (Portable Executable, PE) в 32- и 64-битных версиях антивирусных программ. Кроме того, в новом испытании проверялось наличие подписи файлов действительным сертификатом.

Самозащита в потребительских антивирусах
Самозащита в потребительских антивирусах: Многие вендоры улучшили самозащиту по сравнению с прошлогодней (2014) сессией тестирования

В прошлом году только одно решение для обычных пользователей продемонстрировало 100-процентную защиту с DEP и ASLR. На этот раз сразу 5 продуктов от Avira, Bullguard, ESET, Kaspersky, McAfee и Symantec показали 100-процентное покрытие. Еще два продукта достигли показателей в 99.4 и 99.5 процентов - это F-Secure и G Data соответственно. Самый низкий результат равняется 25,9 процентам.

DEP и ASLR в потребительских продуктах
DEP и ASLR в потребительских продуктах: использование технологий защиты в 64-битных файлах действительно выше, но это не закономерность

Значительно улучшена защита корпоративных решений

Большие успехи были достигнуты среди продуктов для корпоративных пользователей. 3 из 10 решений использую DEP и ASLR на 100 процентов: Kaspersky Small Office Security и Kaspersky Endpoint Security, а также решение Symantec. Еще 6 продуктов показали результаты от 95,7 до 90,5 процентов. И лишь только программный пакет от Seqrite показал низкий уровень защиты - 29,8 процентов.

Самозащита в корпоративных решениях
Самозащита в корпоративных решениях: вендоры серьезно поработали и улучшили показатели по сравнению с тестом 2014 года

В целом, корпоративные решения показали самый лучший прирост результатов. Например, Kaspersky Lab доукомплектовала свои версии до 100%, а Trend Micro значительно улучшил показатели с критического уровня в 18.7 процентов в прошлогоднем тесте до 95.5 процентов.

DEP и ASLR в корпоративных решениях
DEP и ASLR в корпоративных решениях: уровень защиты существенно выше по сравнению с потребительскими продуктами

Примечание: еще после теста 2014 года некоторые вендоры заявили, что они никогда не смогут достичь 100 процентного покрытия. Причина заключается в использовании собственных технологий защиты, несовместимых с DEP и ASLR. Тем не менее, разработчики не разглашают, какие именно проприетарные технологии применяются.

Дополнительная проверка: имеют ли файлы цифровую подпись?

В 2014 году основные переносимые исполняемые файлы проверяли только на предмет развертывания DEP и ASLR. В новом тесте PE-файлы были протестированы на предмет наличия цифровой подписи и использования действительного сертификата. В конце концов, разработчики антивирусного ПО требуют от других вендоров программных решений применения подписей и сертификатов для своих файлов для идентификации разработчика. Конечно, неподписанные файлы не являются серьезной проблемой безопасности, но потенциальный риск все же существует. С помощью самозащиты антивирус должен определять подлинность и целостность собственных файлов. Цифровые подписи с действительными сертификатами и хэш-суммы очень помогают выполнить эту задачу. Данных мер недостаточно для полной защиты файлов. Как же разработчики антивирусов выполняют данные задачи? Как показывают результаты тестирования, в некоторых случаях весьма посредственно.

Что касается корпоративных решений, то 50 процентов продуктов имеют набор неподписанных файлов. Если для некоторых вендоров подпись отсутствует лишь у единичных файлов, то некоторые решения содержат от 20 до 30 процентов неподписанных переносимых исполняемых файлов. По крайне мере, все подписанные файлы имеют действительные сертификаты. 

Файлы без подписи в корпоративных решениях
Файлы без подписи в корпоративных решениях: файлы без подписи и без сертификата представляют потенциальный риск безопасности

Среди продуктов для конечных пользователей были зафиксированы более низкие результаты. Около 60 процентов антивирусов используют неподписанные PE-файлы. В половине случаев количество неподписанных файлов ниже 10. В большинстве случае неподписанными оказалось от 20 до 60 файлов, а ThreatTrack имеет 411 неподписанный файл из 602. Что еще хуже, некоторые файлы Avast, Check Point и ThreatTrack имеют недействительный сертификат.

Подписанные файлы в потребительских продуктах
Подписанные файлы в потребительских продуктах: слишком большое количество неподписанных файлов представляет серьезный риск безопасности

Антивирусы с потенциальными уязвимостями

Разработчики антивирусного ПО на самом деле должны быть образцом для подражания и должны использовать всевозможные технологии для повышения защиты собственных продуктов до максимальных уровней. Если сравнить текущую таблицу результатов с аналогичными показателями 2014 года, то становится очевидно, что некоторым вендорам предстоит серьезная работа над своими продуктами. Многие компании серьезно поработали после прошлогоднего испытания, но некоторые сидели сложа руки.

Что касается продуктов для конечных пользователей, то Avira, Bullguard, ESET, Kaspersky Lab, McAfee и Symantec используют технологии DEP и ASLR на 100%. С точки зрения цифровых подписей файлов, ESET, McAfee и Symantec проделали эффективную работу. Avira, Bullguard и Kaspersky по-прежнему содержат неподписанные файлы, хотя их количество небольшое.

Что касается решений для корпоративных пользователей, технологии DEP и ASLR имеют покрытие 100 процентов в двух продуктах Kaspersky Lab, а также в антивирусе от Symantec. Относительно проверки неподписанных файлов, только Symantec может не волноваться. В продуктах Kaspersky Lab лаборатория обнаружила несколько неподписанных файлов.

Дополнительная проверка сертификатов подписанных файлов открывает новые зоны улучшения для новых разработчиков. Они срочно должны исправить уязвимости, потому что это довольно тривиальная задача.

Как и в прошлом году, полученные результаты были отправлены вендорам. Последующие тестирования самозащиты должны выявить результаты работы разработчиков.

Комментарий эксперта

Подробная информация о ASLR, DEP и файловых подписях от директора подразделения по исследованию вредоносных программ AV-Test Ульфа Леше (Ulf Losche)

Директор подразделения по исследованию вредоносных программ AV-Test Ульф Леш (Ulf Losche)

Неспециалисты, во-первых, должны понимать, какие файлы являются переносимыми исполняемыми и что означают ASLR, DEP и подписи. Ниже приведем простые определения, которые доступно обозначают суть данных терминов.

Только так называемые “переносимые исполняемые файлы пользовательского режима” для 32-битных и 64-битных версий очень важны для оценки. Все остальные файлы, включая так называемые нативные PE-файлы являются нерелевантными для теста. Среди устанавливаемых антивирусом файлов, от 5 до 45 процентов являются портативными исполняемыми файлами. PE-файлы включают:

  • .exe или “исполняемая” программа или модуль;
  • .dll или “динамическая библиотека ссылок”, программная библиотека;
  • .sys или “система”, системное ПО;
  • .drv или “драйвер”, драйвер устройства.

Под загадочными названиями DEP и ASLR скрывается следующее:

Address space layout randomization (ASLR) - технология, отвечающая за перераспределение секторов памяти, что снижает вероятность эксплуатации некоторых видов уязвимостей. При использовании ASLR адреса стека случайным образом распределяются для приложений. Данный механизм предназначен для предотвращения атак переполнения буфера.

Data Execution Prevention (DEP) - технология предотвращения выполнения данных тесто связана с NX-Bit. Данная защита основана на базе аппаратных средств. Производители чипов AMD и Intel успешно реализуют данную технологию на протяжении 10 лет в своих процессорах под запатентованных названиями EVP и XD-Bit. DEP предназначена для предотвращения выполнения случайных данных от программы и, следовательно, запуска вредоносного кода.

Если программист использует DEP и ASLR в качестве меры поддержки, то снижается риск эксплуатации уязвимостей. Если приложение не поддерживает DEP и ASLR, это не означает, что оно небезопасно. Если исходный код программы не имеет ни единой ошибки, уровень безопасности не может быть увеличен за счет этих средств. Таким образом, DEP и ASLR являются дополнительными мерами предосторожности, без которых разработчик и программист не должен обходиться. Реализация предельно проста: она включает существующие функции в компиляторе, которые просто нужно активировать. Технология не имеет негативного эффекта на размер кода и на работоспособность программы.

Подписи файлов с действительными сертификатами очень легко реализуются. Каждый разработчик несомненно имеет постоянно обновляемые сертификаты, получаемые от официальных органов по сертификации. Сертификат является копией цифрового фирменного знака, предоставляемого независимыми организациями. Доступные инструменты позволяют программистам очень просто добавлять подписи, содержащие сертификаты к файлам. Платформа подписи Microsoft Authenticode Signing является промышленным стандартом, а сама технология имеет важное значения для любого публикуемого файла.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте