Ай Ком Сервис Тест HIPS на предотвращение проникновения (октябрь) - 12 Ноября 2010 - Ай Ком Сервис
Главная » 2010 » Ноябрь » 12 » Тест HIPS на предотвращение проникновения (октябрь)
02:01
Тест HIPS на предотвращение проникновения (октябрь)
VMware опубликовала очередной тест антивирусных продуктов, на этот раз в области способности последних предотвратить проникновение в ядро Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы. В этом сравнительном тестировании в VMware проводили анализ популярных персональных антивирусов, сетевых экранов и специализированных продуктов с функциями HIPS (Host Intrusion Prevention Systems) на возможность предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.



Согласно устройству операционной системы, если программа получила доступ к работе в ядре ОС (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0), то эта программа имеет неограниченные привилегии и может выполнять любые действия в системе. Соответственно если такие привилегии получает вредоносная программа, то защитная программа уже не может ничего сделать. Отсюда следует вывод, что защитной программе нужно выявить угрозу ещё на стадии проникновения в Ring 0. Для этого служат, так называемые HIPS (Host Intrusion Prevention Systems). В этом уже втором по счет сравнительном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, а также специализированных HIPS-продуктов, на возможность предотвращения проникновения вредоносных программ в Ring 0 операционной системы Microsoft Windows XP SP3. Так же мы провели аналогичное исследование на операционной системе Microsoft Windows 7.

Методика тестирования

Для тестирования были отобраны методы, наиболее часто используемые вредоносными программами, для проникновения в ядро операционной системы Windows:

  • ChangeDrvPath - данный тест пытается добавить параметр ImagePath с путем к своему драйверу у системного сервиса beep с помощью функции ChangeServiceConfigA.
  • DriverSupersede - данный тест подменяет файл beep.sys на свой драйвер и загружает его в память с помощью функции StartServiceW.
  • LoadAndCallImage - данный тест использует функцию ZwSetSystemInformation с целью загрузки своего драйвера в память.
  • services - данный тест создает ключи в реестре с помощью функции RtlWriteRegistryValue, которые позволят загружать драйвер.
  • DebugControl - данный тест использует функцию ZwSystemDebugControl с параметром SysDbgReadPhysical.
  • PhysicalMemory - данный тест использует доступ с правами на запись к секции \Device\PhysicalMemory.
  • RawDisk - данный тест использует открытие диска с правами на запись (\\.\PhysicalDrive0)

Важно отметить, что это, естественно, далеко не все из известных методов проникновения в ядро операционной системы Microsoft Windows. Этот набор методов является всего лишь минимальной (качественной) проверкой реализации в функционала HIPS . Тестирование проводилось под управлением VMware Workstation 7.1. Для простоты в этот раз мы производили тестирования при помощи набора специальных утилит, которые моделируют описанные выше методы проникновения в ядро операционной системы. Для теста в ходе открытого обсуждения были отобраны следующие персональные средства антивирусной защиты, сетевые экраны и специализированные HIPS-продукты:

  1. AVG Internet Security 2011 10.0.1136
  2. Avira Premium Security Suite 10 9.0.0.92
  3. Comodo Internet Security 5.0.163652.1142
  4. DefenseWall Personal Firewall 3.07
  5. GeSWall 2.9.0
  6. Jetico Personal Firewall 2.1.0.9.2447
  7. Kaspersky Internet Security 2011 11.0.2.556
  8. McAfee Internet Security 2011
  9. Norton Internet Security 2011 18.1.0.37
  10. Online Armor ++ Firewall 4.5.0.234
  11. Online Solutions Security Suite 1.5
  12. Outpost Security Suite Pro 2010 7.0.4 (3398.519.1243)
  13. Panda Internet Security 2011 16.00.00
  14. PC Tools Internet Security 2011 1.0.0.50
  15. Safe`n`Sec Deluxe 3.5.0.729
  16. Spyware Terminator 2.8.0.18
  17. Trend Micro Titanium Internet Security 2011 3.0.1303
  18. ZoneAlarm Internet Security Suite 9.3.37.0

Стоит пояснить, что из антивирусных продуктов и фаерволов мы брали в тест только те, в которых по информации от разработчиков присутствует функционал HIPS. Из специализированных HIPS-продуктов мы взяли два российских (Safe`n`Sec и DefenseWall) и один иностранный (GeSWall). Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска тестовых утилит.

Шаги проведения тестирования:

  1. Создание снимка чистой виртуальной машины (основной).
  2. Установка тестируемого продукта с максимальными настройками.
  3. Работа в системе (запуск Process Explorer, инсталляция и запуск Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
  4. Отметка количества сообщений со стороны тестируемого продукта.
  5. Отключение режима автообучения (если такой имеется).
  6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
  7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
  8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск тестовых утилит каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты тестирования

По результатам тестирования оказалось, что в антивирусных продуктах AVG, Norton, Avira, McAfee и Panda по факту отсутствуют HIPS-компоненты. Этими продуктами были провалены все тестовые кейсы, поэтому из итоговых результатов теста они были исключены.

Плюс в таблице означает, что была реакция HIPS на некое событие со стороны тестовой утилиты на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если тестовая утилиты сумела попасть в Ring 0, либо сумела открыть диск на посекторное чтение и произвести запись.

 

Таблица 1: Результаты сравнительного тестирования HIPS-компонент на Windows XP 

Защитная программа /
Метод проникновения
в Ring 0 		 Change
DrvPath		 Driver
Supersede		 LoadAnd
CallImage		 Services Debug
Control		 Physical
Memory		 RawDisk



Comodo +* +* +* +* +* +* +*
DefenseWall +* +* +* +* +* +* +*
GeSWall +* +* - +* - +* +*
Jetico + + + + + + -
Kaspersky +* +* +* +* +* +* +*
Online Armor + + + + + + +
Online Solutions + + + + + + +
Outpost + + + + + + +
PC Tools + + - + - - -
Safe`n`Sec +* +* +* +* +* +* +*
Spyware Terminator + + + + + + +
Trend Micro - + - - - - -
ZoneAlarm - + - - - - -

Из всех протестированных продуктов со всеми тестовыми кейсами с настройками по умолчанию справились только: Online Armor ++ Firewall, Online Solutions Security Suite, Outpost Security Suite Pro и Spyware Terminator...Читать дальше


Категория: Аналитика, исследования, обзоры | Просмотров: 470 | Добавил: Administrator | Теги: анализ антивирусов, скачать антивирус, Антивирусы, тест антивирусов, лучшие антивирусы, защита компьютера | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]