Давайте немного взглянем на кибепреступность под другим углом. Не с позиции «безопасника» или ресерчера, а с точек зрения непосредственных участников киберпреступления: злоумышленника и его жертвы. Такой взгляд на вещи позволяет немного отойти от «методик» и «лучших практик» и посмотреть на, казалось бы, изученные процессы по-новому.
В своей недавно опубликованной в журнале “Хакер” статье, я попытался изучить один из основных инструментов заражения пользовательских станций. Был проведен экспресс-анализ популярной на черном рынке киберпреступности связки эксплойтов “Blackhole Exploit Kit v2.0.1“, а также изучалось поведение наиболее востребованных на российском рынке платных антивирусных продуктов в контексте вредоносного воздействия данной связки.
Методика тестирования
Использование эксплойт-паков как средства массового заражения является наиболее используемой методикой в кругах злоумышленников. Даже таргетированные атаки плотно опираются на этот вектор попадания вредоносного кода к целевой аудитории. Свойства атак с помощью сплойт-паков: наличие гарантированного «пробива» (соотношение общего числа зашедших на уязвимый ресурс пользователей к числу скомпрометированных), массовость, возможность подбора целевой аудитории за счет размещения лоадера связки на тематических ресурсах (банковские системы, медицинские учреждения и т.п.).
В настоящее время топовым продуктом на рынке кибер-преступности, используемых для заражения пользователей за счет эксплуатирования уязвимостей в его программном обеспечении, является связка эксплойтов “Blackhole Exploit Kit”. Успех этого продукта определяется прежде всего его “навороченностью” и обилием различных технологий борьбы с антивирусным ПО (это объясняется квалификацией команды программистов, которая трудится над “Blackhole”), гибкой системой перенаправления трафика (так называемой TDS), интерфейсом консолидации и вывода статистической информации. Именно последнюю версию (на момент написания статьи) этого сплойт-пака мы и будем использовать для тестирования антивирусных решений, участвующих в обзоре.
Тестовый стенд будет представлять собой среднестатистическую конфигурацию пользовательской рабочей станции с предустановленной ОС Windows 7 Ultimate Edition (дефолтовые настройки безопасности) с предустановленным ПО: Adobe Flash Player 10.x (не самая последняя версия, но наиболее распространенная на текущий момент), Java JDK/JRE 1.6.0.25, Adobe Acrobat 10.x., Internet Explorer 8.0.x.
Методика тестирования простая: заходим по вредоносной ссылке, которая содержит сплойт-пак Blackhole v 2.0.1 и наблюдаем результат – если дроппер связки успешно загрузил наш “notepad.exe”, значит система скомпрометирована, если не появилось окно приложения «Блокнот», то проводим разбор полетов (уведомил ли антивирус пользователя и т.д.), на его основе делаем выводы.
Заметки на полях
Отправляем браузер пользователя, рабочая станция которого находится под активной защитой Kaspersky Internet Security 2013, по вредоносной ссылке, где находится наша связка. Процесс загрузки сразу же прерывается сообщением о вредоносном объекте. Вывод: 1day и прочие уязвимости из базы “Blackhole Exploit Kit” не несут никакой опасности пользователю, чье окружение находится в контексте антивирусной защиты данного продукта, так как эксплуатация уязвимости останавливается за счет усиленной рандомизации адресного пространства, и дроппер связки попросту не инициализируется.
Переход по вредоносной ссылке для антивирусного решения компании ESET не означает какого-либо знаменательного события – нет никаких уведомлений и записей в лог-файлах о том, что была обнаружена попытка эксплуатации уязвимости. Однако исполняемый файл «Блокнота» не загружен, из чего следует предположения, что антивирусное ПО не позволяет сплойту отработать.
В случае с защитным решением от Norton реакция на атаку слишком “мутная”. Отправленный по вредоносной ссылке, содержащий сплойт-пак, браузер пользователя спрашивает разрешение на выполнение Java-кода устаревшим плагином и после положительного ответа, мы наблюдаем его работу: связка благополучно эксплуатирует уязвимость и в качестве показателя своей успешной работы перенаправляет нас на страницу редиректа. Где все это время был «Norton Internet Security»? Ни одного уведомления о какой-либо подозрительной активности, никакой реакции на эксплуатацию. Однако, дроппер связки не запускает наш «notepad.exe». Причины этого потеряны где-то в недрах «молчаливого» продукта от Symantec. Панель статистики Blackhole сообщает нам об успешной загрузке нашего файла жертве.
О технологиях, которые в той или иной мере определили реакцию рассматриваемых антивирусных продуктов на связку эксплойтов, я рассказывал в статье “Антивирусы против эксплойт-пака“.
2 comments
Денис, а вы бы не хотели потестировать EMET против сплойт-пак, ведь у него возможностей предотвратить атаки побольше и результаты могли бы приятно удивить.
Большое спасибо за интересную идею поиграться с технологией EMET. Думаю, что в будущем можно посмотреть, как на те или иные сценарии атаки реагирует Win8 с поддержкой данной защиты от эксплойтов.