Сервис Stackhackr: протестируйте защиту компьютера, создав свой вариант вредоносной программы

2018-04-16 | Автор | комментарии
Stackhackr - бесплатный симулятор вредоносных программ, разработанный для тестирования корпоративных систем компьютерной безопасности. Вы также можете проверить защиту домашнего компьютера, ноутбука или планшета на базе Windows

Сервис Stackhackr: протестируйте защиту компьютера, создав собственную вредоносную программу

Проверьте защиту компютера - создайте свой вирус

Stackhackr позволяет создавать и изменять свои собственные проверочные вредоносные программы, которые симулируют вредоносное поведение, но не причиняют вред вашей системе. Это быстрый и безопасный способ проверить, являются ли ваши компьютеры уязвимыми для реальных атак.

Всего за пару минут вы можете создать и настроить собственную проверочную вредоносную программу и посмотреть, как ваша антивирусная защита отреагируют на наиболее распространенные и опасные типы кибератак - атаки шифровальщиками или кража учетных данных.

Может ли антивирус противодействовать безфайловым зловредам?

В современных реалиях обычного статического тестирования антивирусов недостаточно для оценки их реальной эффективности. Это связано с тем, что большинство вредоносных программ научились обходить классические методы обнаружения. Фактически, большинство зловредов разрабатываются для исполнения без использования файлов.

Чтобы убедиться, защищен ли ваш компьютер от уклончивых безфайловых вредоносных программ нужно понимать, как система безопасности реагирует не только на вредоносные объекты в файловой системе, но и на вредоносное поведение в целом.

Это важно знать еще до того, как вы столкнетесь с реальной атакой.

Stackhackr покажет, сможет ли ваш антивирус обнаружить вредоносное поведение, связанное с двумя самыми распространенными видами кибератак - атаки шифровальщиками и кража персональных данных.

Как работает Stackhackr

Не терпится узнать, как работает сервис Stackhackr? Давайте приведем пошаговый сценарий использования сервиса.

Перейдите на страницу сервиса stackhackr.barkly.com/builder.

Как работает Stackhackr

Stackhackr работает в операционных системах Windows 7, 8.1 и 10. В системе также должен быть установлен Microsoft .NET Framework 4.

Чтобы продолжить, нажмите Build your malware.

Шаг 1: выберите вектор атаки

На первом шаге нужно выбрать вектор атаки. Это способ размещения тестового исполняемого файла на локальной машине. Данный этап напоминает, что существует много разных способов распространения вредоносных программ.

Шаг 1: выберите вектор атаки

Пользователь может выбрать один из трех векторов атаки:

  • Drive-by download (скрытая загрузка)
  • Phishing (фишинг-атака)
  • Malvertising (вредоносная реклама)

Для нашего примера выберем Malvertising. Это означает, что при запуске теста в браузере сначала откроется страница с фальшивым сайтом и вредоносным рекламным объявлением, чей полезной нагрузкой является наш имитирующий зловред.

Шаг 2: выберите полезную нагрузку

Полезная нагрузка (payload) определяет, какой тип эмулируемого вредоносного поведения будет пытаться выполниться на устройстве.

Шаг 2: выберите полезную нагрузку

На данный момент доступно две опции:

  • Ransomware (программа-шифровальщик): полезная нагрузка симулирует удаление копий теневого тома, создавая скрытый скрипт в директории для временных файлов (temp). Затем этот скрипт запускает исполняемый файл для симуляции удаления теневого тома. Данный паттерн поведения обычно используется программами-вымогателями, которые уничтожают теневой раздел, чтобы предотвратить восстановление зашифрованных файлов.
  • Кража учетных данных: полезная нагрузка имитирует другое вредоносное поведение, характерное для кибератак - перехват паролей, хранящихся на компьютерах Windows в памяти сервиса проверки подлинности локальной системы безопасности (LSASS.exe).

Также доступны модификации полезной нагрузки. Например, можно изменить экран шифровальщика или уведомление о кражи учетных данных.

Настроенный экран шифровальщика

Если антивирусная защита не заблокирует угрозу, и симуляция успешно запустится, то вы увидите настроенный экран шифровальщика.

Шаг 3: запустите тест

После того, как мы выбрали вектор атаки и полезную нагрузку, осталось ознакомиться с инструкциями по тестированию.

Шаг 3: запустите тест

Теперь все готово к запуску теста. Просто нажми кнопку Launch vector, после чего откроется окно браузера с поддельным сайтом под названием “The Funyun” с заметной рекламой, мотивирующей нас щелкнуть по ней.

Stackhackr

Конечно, в реальной жизни мы бы вряд ли выбрали такую очевидную приманку. В настоящих сценариях атаки киберпреступники используют различные приемы для захвата вашего внимания и обмана.

Итак, нажимаем кнопку Download Now, и вредоносная нагрузка уже устремилась на тестовое устройство.

Stackhackr

После короткого уведомления “Building your mock malware” (“создаем тестовое вредоносное ПО”), мы можем заметить, что файл “launcher.exe” успешно скачался. Данная программа запускает симуляцию вредоносного поведения.

Stackhackr

Примечание: если антивирус блокирует файл launcher.exe, он должен быть разрешен для запуска. Файл launcher не является частью самого теста. Он должен выполняться для запуска симуляции.

Внимание: реакция SmartScreen Защитника Windows

Пользователи Windows 10 могут увидеть, что фильтр SmartScreen Защитника Windows может воспринимать launcher.exe как нераспознанное приложение. Это происходит не потому, что он обнаружил что-то злонамеренное (в файле launcher нет ничего злонамеренного), это происходит потому, что программа является новой и еще неизвестной.

Чтобы запустить launcher нам нужно нажать “Подробнее” и “Выполнить в любом случае”.

реакция SmartScreen Защитника Windows

реакция SmartScreen Защитника Windows

После этого запуститься симуляция. Откроется окно командной строки с подробным описанием активности и прогресса моделирования.

Запуск вредорносной симуляции

Дальнейшее развитие ситуации будет зависеть от того, блокирует ли ваш антивирус проверочную вредоносную программу или нет.

Результаты проверки: система защиты прошла тест

Результаты проверки: система защиты прошла тест

Если ваш антивирус успешно заблокирует угрозу, вы увидите соответствующее оповещение.

Результаты проверки: система защиты не прошла тест

Результаты проверки: система защиты не прошла тест

Если антивирусная защита не смогла заблокировать угрозу, вы увидите настроенный вами экран шифровальщика. Если бы имела место быть реальная атака программой-вымогателям, ваш компьютер был бы заражен, и вы могли потерять ваши данные.

За экраном шифровальщика будет показываться сообщения с информацией об успешном завершении симуляции и о провале защиты.

Если вы увидите данное сообщение, ваша система является уязвимой для реальных атак. Если проверочная угроза смогла обойти систему защиты, то реальная вредоносная программа сможет это повторить.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества