Защита от sql-инъекций

Сравнение hips на предотвращение проникновения в ядро microsoft windows

использует функцию ZwSetSystemInformation

Сравнение HIPS на предотвращение проникновения в ядро Microsoft Windows


Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы. В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов, сетевых экранов и специализированных продуктов с функциями HIPS (Host Intrusion Prevention Systems) на возможность предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows.


Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода.

Запросы, похожие на «защита от sql-инъекций» и Защита от sql-инъекций

Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.


Согласно устройству операционной системы, если программа получила доступ к работе в ядре ОС (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0), то эта программа имеет неограниченные привилегии и может выполнять любые действия в системе.

 Соответственно если такие привилегии получает вредоносная программа, то защитная программа уже не может ничего сделать. Отсюда следует вывод, что защитной программе нужно выявить угрозу ещё на стадии проникновения в Ring 0.

 Для этого служат, так называемые HIPS (Host Intrusion Prevention Systems).
В этом уже втором по счет сравнительном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, а также специализированных HIPS-продуктов, на возможность предотвращения проникновения вредоносных программ в Ring 0 операционной системы Microsoft Windows XP SP3. сканирование в linux Так же мы провели аналогичное исследование на операционной системе Microsoft Windows 7.


Для тестирования были отобраны методы, наиболее часто используемые вредоносными программами, для проникновения в ядро операционной системы Windows:

    • ChangeDrvPath - данный тест пытается добавить параметр ImagePath с путем к своему драйверу у системного сервиса beep с помощью функции ChangeServiceConfigA.

    • DriverSupersede - данный тест подменяет файл beep.sys на свой драйвер и загружает его в память с помощью функции StartServiceW.

    • LoadAndCallImage - данный тест использует функцию ZwSetSystemInformation с целью загрузки своего драйвера в память.

    • services - данный тест создает ключи в реестре с помощью функции RtlWriteRegistryValue, которые позволят загружать драйвер.

    • DebugControl - данный тест использует функцию ZwSystemDebugControl с параметром SysDbgReadPhysical.

    • PhysicalMemory - данный тест использует доступ с правами на запись к секции \Device\PhysicalMemory.

    • RawDisk - данный тест использует открытие диска с правами на запись (\\.\PhysicalDrive0)



    Важно отметить, что это, естественно, далеко не все из известных методов проникновения в ядро операционной системы Microsoft Windows. Этот набор методов является всего лишь минимальной (качественной) проверкой реализации в функционала HIPS .
    Тестирование проводилось под управлением VMware Workstation 7.1. проверка сайта на безопасность яндекс Для простоты в этот раз мы производили тестирования при помощи набора специальных утилит, которые моделируют описанные выше методы проникновения в ядро операционной системы.
    Для теста в ходе открытого обсуждения были отобраны следующие персональные средства антивирусной защиты, сетевые экраны и специализированные HIPS-продукты:

      • AVG Internet Security 2011 10.0.1136

      • Avira Premium Security Suite 10 9.0.0.92

      • Comodo Internet Security 5.0.163652.1142

      • DefenseWall Personal Firewall 3.07

      • GeSWall 2.9.0

      • Jetico Personal Firewall 2.1.0.9.2447

      • Kaspersky Internet Security 2011 11.0.2.556

      • McAfee Internet Security 2011

      • Norton Internet Security 2011 18.1.0.37

      • Online Armor ++ Firewall 4.5.0.234

      • Online Solutions Security Suite 1.5

      • Outpost Security Suite Pro 2010 7.0.4 (3398.519.1243)

      • Panda Internet Security 2011 16.00.00

      • PC Tools Internet Security 2011 1.0.0.50

      • Safe`n`Sec Deluxe 3.5.0.729

      • Spyware Terminator 2.8.0.18

      • Trend Micro Titanium Internet Security 2011 3.0.1303

      • ZoneAlarm Internet Security Suite 9.3.37.0



      Стоит пояснить, что из антивирусных продуктов и фаерволов мы брали в тест только те, в которых по информации от разработчиков присутствует функционал HIPS. Из специализированных HIPS-продуктов мы взяли два российских (Safe`n`Sec и DefenseWall) и один иностранный (GeSWall).


      Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска тестовых утилит.


      Шаги проведения тестирования:

        • Создание снимка чистой виртуальной машины (основной).

        • Установка тестируемого продукта с максимальными настройками.

        • Работа в системе (запуск Process Explorer, инсталляция и запуск Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).

        • Отметка количества сообщений со стороны тестируемого продукта.

        • Отключение режима автообучения (если такой имеется).

        • Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).

        • Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.

        • Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск тестовых утилит каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.



        По результатам тестирования оказалось, что в антивирусных продуктах AVG, Norton, Avira, McAfee и Panda по факту отсутствуют HIPS-компоненты. сравнение сетевых сканеров безопасности Этими продуктами были провалены все тестовые кейсы, поэтому из итоговых результатов теста они были исключены.


        Плюс в таблице означает, что была реакция HIPS на некое событие со стороны тестовой утилиты на проникновение в Ring 0 и была возможность пресечь это действие.
        Минус - если тестовая утилиты сумела попасть в Ring 0, либо сумела открыть диск на посекторное чтение и произвести запись.


         
        Из всех протестированных продуктов со всеми тестовыми кейсами с настройками по умолчанию справились только: Online Armor ++ Firewall, Online Solutions Security Suite, Outpost Security Suite Pro и Spyware Terminator.
        Trend Micro Titanium Internet Security, ZoneAlarm Internet Security Suite и PC Tools Internet Security не прошли тестирование, пропустив проникновение в ядро ОС в большинстве из проверенных нами случаев.


        Заслуживают отдельного рассмотрения специализированные HIPS-продукты: DefenseWall Personal Firewall, GeSWall и Safe`n`Sec Deluxe; а также двух комплексных антивирусных решений: Comodo Internet Security и Kaspersky Internet Security. человеческий фактор в обеспечении безопасности


        У HIPS-продуктов (тут можно говорить о любой песочнице) недоверие к файлу проистекает не от эвристического механизма, а от того, откуда именно появился и/или был запущен файл. Таким образом, происходит категоризация программ на доверенные и недоверенные. При этом все действия из недоверенной зоны будут анализироваться/блокироваться, а из доверенной зоны разрешаться.

         Поэтому результаты работы этих программ могут сильно зависеть от предварительных действий пользователя


        DefenseWall Personal Firewall пропускает все атаки, если тестовые утилиты запускать как доверенные (когда они не проходили через недоверенный браузер, почтовый клиент или внешний носитель). Если тестовые утилиты, например, уже были на жестком диске до установки DefenseWall Personal Firewall, то они считаются доверенными и не проверяются, в этом случае тест проваливается. Если же запускать тестовые утилиты с внешнего носителя, то все опасные действия будут заблокированы.


        В ходе установки Safe`n`Sec Deluxe компьютер проверяется встроенным антивирусным сканером по требованию, поэтому предполагается, что он не содержит вредоносных программ. проверка почты на взлом Также необходимым требованием для работы программы является создание профиля системы (автоматическая настройка), в ходе которой существующие в системе приложения будут классифицированы и получат статус доверенных или ограниченных.

        В нашем случае если до создания профиля системы тестовые утилиты уже находились на жестком диске, то во всех без исключения случаях тест будет провален. Если же записать утилиту на диск уже после создания профиля или же запускать ее с внешнего носителя, то все попытки проникнуть в Ring 0 будут пресечены.
        GeSWall также требует ряда предварительных действий для обеспечения положительного результата. Для этого приходилось вручную запускать тестовые утилиты в его песочнице. Но даже в этом случае нам не удалось добиться положительного результата во всех тестовых случаях.


        В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.


        Comodo Internet Security при запуске тестового приложения предлагает запустить его в песочнице, если с этим согласиться, то все попытки проникновения в ядро будут пресечены. В обычном режиме, как и в случае с Kaspersky Internet Security во всех случаях тест будет провален.


        Похожие статьи Pentest