Основательный тест защиты от эксплоитов

По мере того, как борьба с уязвимостями и эксплоитами становится все более актуальной задачей, таких тестов будет появляться все больше. Но этот пока наиболее обширный и подробный из виденных.

Тест выполнен китайской консалтинговой компанией PCSL. На самом деле ее специалисты не первый раз занимаются подобными исследованиями, на сайте есть и предыдущие отчеты (большинство на китайском, хотя и в них основные результаты понять можно), но прежде их интересовали соответствующие возможности традиционных защитных средств, которые, по-видимому, популярны в Китае. Нынешний же тест выполнялся по заказу Malwarebytes, которая недавно представила специализированное решение Anti-Exploit, соответственно, в расширенный список участников включили и его, и Microsoft EMET, что, вообще говоря, следовало бы сделать давно.

Разработка методики и отбор эксплоитов были, впрочем, выполнены PCSL самостоятельно. По большей части использовался Metasploit, но также и независимые эксплоиты из «частных источников». В каждом случае испытывалось несколько вариантов функциональной части (payload). Поскольку большинство участников являются комплексными пакетами, в них предварительно отключалась традиционная антивирусная часть, которая вполне способна вылавливать код известных эксплоитов, в том числе, из состава Metasploit. Испытуемой системой была Windows XP SP3, которая, несмотря на завершение своего жизненного цикла, для данной цели подходит отлично, поскольку, во-первых, для нее больше всего эксплоитов, а во-вторых, по сравнению с современными ОС ее защитные механизмы слабы, соответственно, сторонние продукты могут раскрыться наиболее полно.

Таким образом, на базе 21 эксплоита было выполнено 58 различных тестов, вот полный отчет, а вот главные результаты:

Как видно, специалисты PCSL лишь два продукта признали успешными, даже отмеченные желтым середнячки названы ими «недостаточными». Впрочем, к результатам стоит отнестись критично, воспринимая их не как окончательные оценки, а, скорее, как потенциал продуктов. Дело совсем не в том, что победителем стал Malwarebytes Anti-Exploit, это вне всяких сомнений достойный продукт. Просто, в большинстве случаев неизвестно, на что именно среагировала защита – на характерный хакерский прием или на конкретный эксплоит. Поясню.

EMET действительно пресекает определенные программные действия, благодаря чему все чаще оказывается эффективным против вновь обнаруженных угроз. Косвенно это подтверждается тем, что его результаты не зависят от типа функциональной нагрузки эксплоита, чего как раз нельзя сказать о других участниках. Данный эффект был замечен мной еще во время подготовки обзора Malwarebytes Anti-Exploit: при определенных настройках Metasploit экслоит CVE-2013-2465 с функциональной частью Meterpreter оставался незамеченным.

По этому поводу я имел общение с разработчиками Malwarebytes Anti-Exploit, дополнительно протестировал новую бета-версию и даже сделал по их просьбе видеозапись своего теста. В итоге проблему они признали и пообещали исправить в версии 1.5. Поэтому я несколько удивился, увидев полностью успешное прохождение CVE-2013-2465 в тестировании PCSL. Представитель Malwarebytes объяснил это тем, что в данном случае, по-видимому, были использованы другие функциональные нагрузки, а некоторые пропущенные атаки также стали результатом обнаруженного мной эффекта.

В тестировании принимал участие EMET 4.1, хотя уже некоторое время доступна версия 5.0 – но, к сожалению, последняя не работает в Windows XP. Всего EMET пропустил 5 эксплоитов, причем, связанных исключительно с Java и, очевидно, задействовавших браузерные плагины. Это действительно слабое место продукта Microsoft, лишь в последней версии появился механизм ASR, который просто позволяет блокировать потенциально опасные плагины в отдельных зонах безопасности Internet Explorer (кстати, после недавнего августовского обновление Windows 8.1, Internet Explorer будет автоматически запрещать устаревшие Java-плагины). Поэтому, при отказе от Java, полном или хотя бы в Интернете, EMET пока все-таки выглядит наиболее надежным и предпочтительным.