Інтернет Windows Android
Розгорнути
Головна

Crystal Anti-Exploit Protection - утиліта для захисту вашого ПК від Інтернет-загроз. Захист кінцевих пристроїв, або чому антивірус не панацея Потужний захист від exploit

Цієї осені Windows 10 оновилася до версії 1709 з кодовою назвою Fall Creators Update або Redstone 3. Серед безлічі змін нас перш за все зацікавила поліпшений захист від невідомих зловредів. У Microsoft прийняли ряд заходів для протидії троянам-шифрувальник і експлойтів. Наскільки ж вони виявилися успішними?

Старий новий захисник

Все нове - це добре ребрендовані старе. В «осінньому оновленні для дизайнерів» вбудовані компоненти захисту об'єднали в «Центрі безпеки Захисника Windows». Навіть програмний файрвол став називатися «Брандмауер Захисника Windows», але ці зміни - чисто косметичні. Більш істотні стосуються нових функцій, які ми докладніше розглянемо нижче.

Ще один старий-новий компонент, що з'явився в Redstone 3, називається «Захист від експлойтів». Windows Defender Exploit Guard, або просто EG, включається через «Центр безпеки Захисника Windows» в розділі «Управління додатками і браузером».

Технічно Exploit Guard - це колишня службова програма Enhanced Mitigation Experience Toolkit зі злегка виросли набором функцій і новим інтерфейсом. EMET з'явилася ще за часів Windows Vista, Тепер же її підтримка припинена, а Exploit Guard зайняв її місце. Він відноситься до засобів просунутої захисту від загроз (Advanced Threat Protection), поряд з менеджером пристроїв, що підключаються Device Guard і захисником додатків Application Guard. Злі язики подейкують, що в Microsoft спочатку хотіли зробити загальний компонент Advanced System Security Guard, але абревіатура вийшла зовсім немилозвучним.

Захист від експлойтів

Exploit Guard - це всього лише інструмент зниження ризику, він не позбавляє від необхідності закривати уразливості в софті, але ускладнює їх використання. В цілому принцип роботи Exploit Guard полягає в тому, щоб забороняти ті операції, які найчастіше використовуються зловредів.

Проблема в тому, що багато легітимні програми теж їх використовують. Більш того, є старі програми (а точніше, динамічні бібліотеки), які просто перестануть працювати, якщо задіяти в Windows нові функції контролю пам'яті і інші сучасні засоби захисту.

Тому настройка Exploit Guard - це такі ж вила, якими раніше було використання EMET. На моїй пам'яті багато адміністраторів місяцями вникали в тонкощі налаштувань, а потім просто припиняли використовувати обмежувальні функції через численні скарги користувачів.

Якщо ж безпека понад усе і потрібно закрутити гайки тугіше, то найбільш затребуваними функціями Exploit Guard були (з часів EMET) і залишаються:

  • DEP (Data Execution Prevention) - запобігання виконання даних. Не дозволяє запустити на виконання фрагмент коду, який опинився в не призначеної для цього області пам'яті (наприклад, в результаті помилки переповнення стека);
  • випадкове перерозподіл пам'яті - запобігає атаку по відомим адресами;
  • відключення точок розширення - перешкоджає впровадженню DLL в запускаються процеси (див. Про обхід UAC, де цей метод широко використовувався);
  • команда DisallowChildProcessCreation - забороняє зазначеним Додатком створювати дочірні процеси;
  • фільтрація таблиць адрес імпорту (IAF) і експорту (EAF) - не дозволяє (шкідливому) процесу виконувати перебір таблиць адрес і звертатися до сторінці пам'яті системних бібліотек;
  • CallerCheck - перевіряє наявність прав на виклик конфіденційних API;
  • SimExec - імітація виконання. Перевіряє перед реальним виконанням коду, кому повернуться виклики конфіденційних API.

Команди можуть бути передані через PowerShell. Наприклад, заборона створювати дочірні процеси виглядає так:

Set-ProcessMitigation -Name ісполняемий_файл.exe -Enable DisallowChildProcessCreation

Все x86-процесори і чіпсети останніх десяти років випуску підтримують DEP на апаратному рівні, а для зовсім старих доступна програмна реалізація цієї функції. Однак заради сумісності нових версій Windows зі старим софтом Microsoft до цих пір рекомендує включати DEP в режимі «тільки для системних процесів». З тієї ж причини була залишена можливість відключати DEP для будь-якого процесу. Все це успішно використовується в техніках обходу системи запобігання виконання даних.

Тому сенс від використання Exploit Guard буде тільки в тому випадку, якщо є можливість задіяти одразу кілька захисних функцій, не викликаючи збій хоча б в роботі основних додатків. На практиці це рідко вдається. Ось приклад профілю EG, конвертованого з EMET, який взагалі викликає звалювання Windows 10 в BSoD. Колись в «хакери» була рубрика «Западлостроеніе», і Exploit Guard б в неї відмінно вписався.

Продовження доступно тільки учасникам

Варіант 1. Приєднайся до товариства «сайт», щоб читати всі матеріали на сайті

Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score!

На стадії розробки в усі програми і мережі вбудовуються механізми захисту від хакерів за типом замків, покликаних унеможливлювати несанкціоновані посягновении ззовні. Уразливість ж схожа на відкрите вікно, пробратися через яке не складе великих труднощів для зловмисника. У випадку з комп'ютером або мережею зловмисники можуть встановити шкідливе ПЗ, скориставшись вразливістю, з метою отримати контроль або інфікувати систему в своїх корисливих цілях з відповідними наслідками. Найчастіше все це відбувається без відома користувача.

Як виникають експлойти?

Експлойти викликаються помилками в процесі розробки програмного забезпечення, В результаті яких в системі захисту програм виявляються уразливості, які успішно використовуються кіберзлочинцями для отримання необмеженого доступу до самої програми, а через неї далі - до всього комп'ютера. Експлойти класифікуються відповідно до типу вразливості, яка використовується хакером: нульового дня, DoS, спуфинг або XXS. Зрозуміло, розробники програм незабаром випустять оновлення безпеки з метою усунення знайдених дефектів, однак до цього моменту програма є як і раніше вразливою для зловмисників.

Як розпізнати експлойт?

Так як експлойти використовують проломи в механізмах безпеки програм, у рядового користувача практично немає шансів визначити їх наявність. Саме тому надзвичайно важливо підтримувати встановлені програми оновленими, особливо своєчасно встановлювати оновлення безпеки, що випускаються розробниками програм. У разі, якщо розробник ПЗ випустить оновлення безпеки для усунення відомої вразливості в своєму ПО, але користувач не встановить його, то, на жаль, програма не отримає необхідні найостанніші вірусні визначення.

Як усунути експлойт?

З огляду на те, що експлойти є наслідком скоєних недоліків, їх усунення входить в прямі обов'язки розробників, тому саме автори повинні будуть підготувати і розіслати виправлення помилок. Проте, обов'язок підтримувати встановлені програми оновленими і своєчасно встановлювати пакети оновлень, щоб не дати хакерам шансів скористатися уразливими, лежить повністю на користувача програми. Одним з можливих способів не пропустити найсвіжіші оновлення - використовувати менеджер додатків, який подбає про те, щоб всі встановлені програми були оновлені, або - що ще краще - скористатися інструментом автоматичного пошуку і установки оновлень.

Як припинити спроби хакерів скористатися уразливими сторонніх програм
  • Переконайтеся, що ви встановили найсвіжіші оновлення безпеки і патчі для всіх програм
  • Щоб бути в безпеці онлайн і залишатися в курсі подій, встановлюйте всі оновлення відразу після їх випуску
  • Встановіть і використовуйте антивірус класу преміум, який здатний автоматично оновлювати встановлені програми
Захистіть себе від експлойтів

Покладайтеся на здоровий глузд і дотримуйтесь базовими правилами безпечної роботи в Інтернеті. Хакери можуть скористатися вразливістю тільки в тому випадку, якщо їм вдасться отримати доступ до вашого ПК. Не відкривайте вкладення в підозрілих повідомленнях і не завантажуйте файли з невідомих джерел. Підтримуйте встановлені програми оновленими, а також своєчасно встановлюйте оновлення безпеки. Якщо хочете максимально спростити цю задачу, скачайте антивірус Avast, Який не тільки забезпечить надійний захист від всіх типів шкідливого ПО, а й допоможе з установкою найсвіжіших оновлень для сторонніх програм.

Число вірусів-вимагачів за минулий рік потроїлася, а число викупів збільшилася на 266% і в середньому по світу склало 1000 доларів з жертви.

Яків Гродзенский, Керівник напрямку ІБ "Системного софта"

Обсяг кінцевих пристроїв, включаючи мобільні, в мережах підприємств за останні десятиліття зріс в рази. Це зростання проходить на гнітючому ландшафті загроз: по звіту Symantec, Щодня в глобальній мережі з'являється понад мільйон вірусних зразків. Наприклад, число вірусів-вимагачів за минулий рік потроївся, а число викупів збільшилася на 266% і в середньому по світу склало 1000 доларів з жертви.

Схоже, завдання кібербезпеки ендпойнтов сьогодні стала титанічної і навряд чи реалізованої вручну і / або за допомогою одного тільки антивіруса.

І справді, аналітики Gartner відзначають стійкий тренд багаторівневого захисту кінцевих пристроїв, Включаючи створення білих і чорних списків програм, вузлів і додатків і інші інструменти контролю в рамках повного циклу захисту. Що це означає, як гарантувати безпеку підприємства і чи дійсно бізнесу недостатньо старих добрих антивірусів?

Спробуємо розібратися.

Що таке Endpoint Security для компанії і ринку?

Від чого залежить зріла стратегія захисту кінцевих пристроїв, якщо кожен девайс, підключений до вашої корпоративної мережі, По суті являє собою "двері" до цінних персональним і діловим даними?

Перш за все від розуміння, що ІБ-адміністрування - явище комплексне, а кінцеві пристрої - елемент ІТ (і значить, ІБ-) інфраструктури і вичленувати, де закінчується їх захист і починається захист, наприклад, мережі, фактично неможливо і безглуздо.

Тобто політики адміністрування і сам протокол безпеки повинні охоплювати захист всіх елементів ІТ-інфраструктури. А сучасна мережа підприємства з'єднує безліч кінцевих пристроїв, включаючи ПК, ноутбуки, смартфони, планшети, POS-термінали ... і кожне таке пристрій повинен відповідати вимогам доступу до мережі. А це означає, що їх кіберзахист повинна бути як мінімум автоматизована. Більш того, дотримання політик безпеки ендпойнтов з урахуванням зростаючого числа загроз сьогодні вимагає використовувати як мінімум:

  1. файрволи для різних типів пристроїв;
  2. антивіруси для електронної пошти;
  3. моніторинг, фільтрацію і захист веб-трафіку;
  4. управління безпекою і захисні рішення для мобільних пристроїв;
  5. контроль роботи додатків;
  6. шифрування даних;
  7. засоби виявлення вторгнень.

При цьому ринок пропонує три основні рішення захисту кінцевих пристроїв і їх комбінації:

1. Традиційні антивіруси, засновані на сигнатурах. Дають стабільний результат - але лише в межах бази сигнатур. В силу неймовірно великої кількості шкідливих зразків вона не може бути актуальною на 100% в кожен момент часу, плюс користувач здатний відключити антивірус на своїй машині.
2. Endpoint Detection and Response (EDR) або виявлення і реагування на інциденти. Такі рішення, наприклад, KEDR від «Лабораторії Касперського», розпізнають індикатори компрометації на кінцевому пристрої і блокують і / або лікують його. Зазвичай ці системи працюють тільки за фактом злому (вторгнення) на пристрій або в корпоративну мережу.
3. Advanced Endpoint Protection (AEP) або просунуту захист кінцевих пристроїв, яка включає превентивні методи захисту від експлойтів і шкідливого ПО, контроль пристроїв і портів, персональні файрволи та так далі. Тобто АЄР-рішення бореться з погрозами: загроза розпізнається і знищується ще до злому, як, наприклад, в Palo Alto Networks Traps, Check Point SandBlast Agent (це рішення при виявленні підозрілих активностей робить резервні копії) або Forticlient.

Але хоч би вендора або комбінацію сервісів ви не вибрали, спочатку варто знати базові правила оцінки таких рішень і побудови ефективної стратегії кіберзахисту кінцевих пристроїв у вашій мережі.

Сім основних правил Endpoint-кіберзахистуи

Правило перше. Захист повинна знешкоджувати весь ланцюжок атак.

На думку аналітиків і представників ринку кіберзахисту, мислити «вірусами і антивірусами» - провальна стратегія для підприємства, яке хоче захистити свій бізнес. Зараження і саме вірусне ПО - лише одна ланка в куди більш довгому ланцюжку, що веде до злому корпоративних мереж.

І починається вона з спроби вторгнення у вашу інфраструктуру. Відповідно, ефективний захист від вторгнень сьогодні містить:

  1. кошти ретельної перевірки поштових додатків (Електронна пошта, як і раніше лідирує як «інструмент доставки зловредів» на пристрої користувачів);
  2. засоби захисту від завантаження небажаних програм з інтернету - 76% сайтів містять неприємні уразливості. Тут допоможе технологія, що аналізує весь вхідний і вихідний трафік і пропонує захист браузера, щоб блокувати подібні загрози до їх запуску на кінцевому пристрої;
  3. потужний захист самих кінцевих пристроїв, тобто сервіс з контролем і додатків, і самого девайса.
  1. аналіз репутації файлів і визначення їх ключових атрибутів (початкове місце розташування файлу і число його завантажень). В ідеалі система відстежує і вивчає сотні посилань і мільярди зв'язків між користувачами, сайтами і файлами, щоб відстежити поширення і мутацію зловреда і запобігти атаці;
  2. просунуті елементи машинного навчання. Тобто дійсно робоча бессігнатурная технологія, здатна аналізувати трильйони файлів в глобальній мережі, самостійно відрізняти «хороші» файли від «поганих» і блокувати шкідливий ПО до його спрацьовування;
  3. захист від експлойтів, особливо вразливостей нульового дня і атак читання пам'яті;
  4. поведінковий моніторинг, тобто визначення «небезпечного» поведінки скриптів, додатків, пристроїв і вузлів в мережі - і усунення такої загрози;
  5. якісну емуляцію, або швидке створення «Пісочниці» для виявлення та блокування шкідливого ПО на пристрої.

Правило друге. Endpoint Detection and Response (EDR) або розслідування і реакція на інциденти повинні працювати на результат.

Проблема полягає в тому, що 82% сьогоднішніх кіберзлочинців за статистикою здатні викрасти цінні дані підприємства «за хвилину або менше», тоді як 75% компаній не реагують на інциденти як мінімум тижнями. Такий розрив говорить про дійсно високі ризики в зоні безпеки кінцевих пристроїв.

Просунуті EDR-рішення можуть ізолювати ваше кінцеве пристрій для ефективного розслідування злому, зупинити поширення вірусу і відновити пристрій через його незараженную копію даних.

правило третє. Система не повинна заважати бізнесу, а значить:

а) Не менш важливі продуктивність і масштабованість ваших систем захисту. Тобто, ваша захист не повинна перешкоджати оперативності бізнес-процесів і швидкий обмін даними в мережі. Плюс, важливо швидко розгорнути систему кібербезпеки на нових робочих місцях, наприклад, в регіональному або закордонній філії.

б) Сукупна вартість її впровадження і використання повинна бути оптимальною.

правило четверте. Централізоване управління кібербезпекою. Розрізнені, керовані вручну з різних точок захисні рішення збільшують число помилок, надлишкових сповіщень і помилкових спрацьовувань, не кажучи вже про зайві тимчасових і фінансових витратах на адміністрування цього «зоопарку».

Правило п'яте. Безшовна інтеграція з софтверними і апаратними рішеннями на кожній ділянці мережі для ефективної роботи всій ІБ-інфраструктури, від захисту шлюзів до SIEM-систем. Важливо, щоб рішення для захисту кінцевих точок були інтегровані з контролем доступу до мережі (Network Access Control, NAC), щоб при певному рівні ризику можна було ізолювати комп'ютер. Також важливо, щоб Endpoint-продукти працювали в зв'язці з шлюзовими ІБ-рішеннями, які підтримують глибокий аналіз пакетів і інспекцію SSL-трафіку.

Правило шосте. Охоплення всіх можливих ОС, включаючи серверні і мобільні - пам'ятайте про безліч «різношерстих» пристроїв, які співробітники приносять з собою або вибирають для роботи в офісі.

правило сьоме. посилений захист даних. Нехай цей момент і не пов'язаний безпосередньо з захистом кінцевих пристроїв, але без нього в принципі неможливо розробити ефективну ІБ-стратегію. На захист даних входять:

  1. шифрування;
  2. сегрегація (поділ) ділянок і вузлів мережі, груп користувачів в мережі;
  3. захист від втрати даних, засоби відновлення;
  4. моніторинг цілісності файлів і файлової системи.

... і три додаткових

перше. Особлива увага до усунення кіберзагроз на мобільних пристроях. Концепції BYOD / CYOD / COPE стають тільки популярнішим, а число мобільних пристроїв в корпоративних мережах тільки зростає.
До них потрібна особлива увага, адже зазвичай такі пристрої використовуються не тільки для роботи і не тільки в офісі, а значить ризик зараження корпоративної мережі через них дуже високий.

В ідеалі, стратегія «мобільного ІБ-менеджменту» може включати:

  1. мобільні VPS;
  2. посилену аутентифікацію пристроїв в корпоративній мережі;
  3. контроль і моніторинг стороннього контента;
  4. контейнеризацію додатків.

Друге. Аналіз своїх KPI зрілості захисту кінцевих пристроїв.

Аналітики Forrester Research розрізняють п'ять (з урахуванням нульової шість) стадій зрілості ІБ-стратегії підприємства:

Нульова або відсутня - немає потреби, немає розуміння, немає формалізованих вимог.

AdHoc або стихійна - потреба в кіберзахисту виникає час від часу, ні планування ІБ-ресурсів, процеси не задокументовані.

вимушена - інтуїтивна, недокументированная, застосовується несистемно, в разі потреби.

усвідомлена - процеси задокументовані, сама стратегія зрозумілі і передбачувана, але оцінка дій і ресурсів проводиться від випадку до випадку.

вивірена - впроваджені якісні інструменти управління, хороший рівень формалізації і (нерідко) автоматизації процедур, регулярна оцінка дій, процесів і інвестицій.

оптимізована - процеси і рівні захисту зазвичай автоматизовані, а сама стратегія збудована з урахуванням довгострокової, ефективної і проективної захисту бізнесу. Високий рівень інтеграції ІБ-сервісів і систем.

Відповідно, дешевше і безпечніше перебувати на останніх трьох стадіях. З цієї градацією також простіше ставити цілі поліпшення ІБ-стратегії, якщо ви перебуваєте на перших трьох.

третє. І нарешті, ваші користувачі кінцевих пристроїв знають, що таке кіберзахист, і постійно нарощують свої ІБ-знання та навички. Найбільш руйнівний чинник - людський, і без грамотного персоналу будь-яка навіть сама просунута захист виявиться провальною. Протистояти людського фактору без шкоди для оперативної роботи бізнесу ще ніхто не навчився. Тому простіше і набагато дешевше вчасно навчати людей азам безпечної поведінки та використання своїх гаджетів.

Експлойти вдають із себе особливий вид шкідливого ПО, яке використовується зловмисниками для установки різних троянських програм або бекдор на комп'ютер користувача. Така операція установки з використанням експлойтів здійснюється непомітно для користувача, що дає зловмисникам незаперечні переваги. Експлойт намагається використовувати уразливість в тому чи іншому компоненті ОС для проведення подібної операції.

Для користувача найбільш небезпечним сценарієм є використання зловмисниками експлойта, який дозволяє віддалено встановити код в ОС. У такому випадку людині досить відвідати скомпрометований веб-ресурс для зараження шкідливим кодом (drive-by). Якщо на вашому комп'ютері встановлена \u200b\u200bвразлива версія ПО: браузера або плагінів до нього, то ймовірність того, що ви зможете заразитися шкідливим кодом дуже висока.

Оновлювати ОС, а також встановлене ПЗ є хорошою практикою оскільки виробники регулярно закривають знову з'являються в ньому уразливості. До числа компонентів, через які користувач піддається особливому ризику, можна віднести наступні:

У разі особливих націлених атак або атак типу «watering hole», зловмисники можуть використовувати 0day уразливості в ПЗ і ОС. Подібну назву носять уразливості, які на момент використання їх зловмисниками ще не були закриті вендором.

Антивірусні продукти вміють виявляти експлойти по сигнатурам. Таким чином він дозволяє захистити користувача від шкідливого контенту на льоту, заблокувавши відповідну веб-сторінку з шкідливим вмістом.

сучасні випуски Microsoft Windows: Windows 7, 8 і 8.1 мають вбудовані механізми, які дозволяють захистити користувача від деструктивних дій експлойтів. До таких можливостей відносяться:

  • Механізми DEP & ASLR, Які значно ускладнюють можливість експлуатування тієї або іншої уразливості в ПЗ і ОС за рахунок накладення обмежень на використання пам'яті не підлягає виконанню та розміщення програм в пам'яті по довільним адресами. DEP & ASLR на Windows 7 + використовуються на максимально можливому рівні.
  • User Account Control, UAC, Який був доопрацьований починаючи з Windows 7 і вимагає підтвердження від користувача на запуск програм, яким необхідна зміна системних налаштувань і створення файлів в системних каталогах.
  • Фільтр SmartScreen для ОС (Починаючи з Windows 8 для ОС), який допомагає запобігти завантаження шкідливого ПО користувачем з інтернету на основі його репутації інформації Microsoft.
  • Спеціальний «розширений захищений режим» (Enhanced Protected Mode) для браузера Internet Explorer (починаючи з IE 10). На Windows 8 дозволяє запускати вкладки браузера в контексті ізольованих процесів, які обмежені у виконанні певних дій. Для Windows 7 x64 дозволяє запускати вкладки браузера як окремі 64-бітові процеси.

PDF-файли

Файли, призначені для відкриття в програмах Adobe Reader, Acrobat мають формат PDF і є досить небезпечними, особливо, якщо отримані з неблагонадійних джерел. Adobe розширили PDF до маскімально можливого рівня, дозволяючи вбудовувати туди всіляке вміст. Одним з основних переваг використання документів в формату PDF є кроссплатформенность за умови доступності рідера (Adobe Reader) для необхідної вам платформи.

У багатьох випадках зловмисники використовують саме шкідливі PDF-файли для доставки шкідливих програм користувачеві. У разі якщо використовувана версія Adobe Reader є вразливою, існує висока ймовірність зараження комп'ютера.

З причини високих ризиків використання PDF-документів з небезпечних джерел, а також з огляду на нерозторопність користувачів в питаннях безпеки, сучасні версії Adobe Reader мають спеціальний «Захищений режим» перегляду документів або «sandboxing» (Захист в ізольованій програмному середовищі). При використанні такого режиму, коду з PDF файлу повністю забороняється виконання певних потенційно небезпечних функцій.


Мал. Налаштування режиму «sandbox» в Adobe Reader.

За замовчуванням захищений режим знаходиться в отлюченном стані. Незважаючи на активну галочку «Включити захищений режим при запуску», він вимкнений оскільки опція використання цього режиму знаходиться в стані «Відключений». Відповідно після установки програми вкрай рекомендується перенести цю настройку в режим «Для файлів з потенційно небезпечних джерел» або «Все файли».

Зверніть увагу, що при включенні захищеного режиму, Adobe Reader відключає ряд функцій, які можуть бути використані в PDF-файлах. Тому при відкритті файлу ви можете отримати наступне повідомлення.

Мал. Підказка, яка вказує на активний захищений режим перегляду.

У разі якщо ви впевнені в походженні цього файл, ви можете активувати всі його функції натиснувши відповідну кнопку.

Adobe Flash Player

Зловмисники дуже люблять Adobe Flash Player. Оскільки його плагіни для програвання вмісту використовуються у всіх браузерах, пошук вразливостей в ньому і последующеее їх використання у шкідливих цілях є вкрай пріоритетним завданням у зловмисників.

Як і інше програмне забезпечення від Adobe, Flash Player регулярно оновлюється в рамках випускаються компанією серій оновлень (Adobe Security Bulletins). Більшість з цих вразливостей мають тип Remote Code Execution, це говорить про те, що зловмисники можуть використовувати ту чи іншу уразливість для віддаленого виконання коду.

Виробники веб-браузерів як і Adobe не сидять на місці і вбудовують спеціальні механізми захисту від експлойтів, які використовують плагіни Flash Player. Такі браузери як MS Internet Explorer (v10 на Windows 8), Google Chrome і Safari OS X (новітньої версії) запускають програвач Flash Player в контексті sandbox-процесу (т. Е. Пісочниці), обмежуючи доступ цього процесу до багатьох системних ресурсів, місць в файлової системи і роботі з мережею.

дуже важливою функцією є своєчасне оновлення плагіна Flash Player для браузера. Такі браузери як Google Chrome і Internet Explorer 10 автоматично оновлюються з виходом нової версії Flash Player, таким чином програвач для них буде оновлено автоматично.

Для перевірки вашої версії Adobe Flash Player скористайтеся офіц. джерелом Adobe.

Крім цього, браузери підтримують можливість повного відключення плагіна Flash Player, для заборони браузеру програвати подібне вміст. Ми вже писали розгорнуту статтю про проблеми використання плагіна Java в браузерах. Відключення плагіна Flash Player проводиться аналогічним чином.

Для Google Chrome.

«Налаштування» -\u003e «Показати додаткові налаштування» -\u003e «Налаштування контенту» -\u003e «Вимкнути окремі плагіни».

Для Internet Explorer.

«Сервіс» -\u003e «Налаштувати надбудови».

ESET Exploit Blocker

Є надбудовою над проактивним захистом в новітніх версіях антивірусних продуктів сьомого покоління ESET Smart Security і ESET NOD32 Antivirus. На відміну від звичайного статичного виявлення по сигнатурам, модуль Exploit Blocker аналізує поведінку додатки на предмет вчинення ним підозрілих дій і прийомів, якими користуються експлойти. Після виявлення подібних дій, вони піддаються аналізу і шкідливий процес негайно блокується. Деякі подібні дії піддаються додатковому аналізу в нашому хмарі, що надає додаткові можливості щодо захисту користувачів від націлених атак і атак із застосуванням 0day експлойтів.

MS Internet Explorer і Google Chrome

Ми вже писали на початку нашого матеріалу, що найкращим методом атаки на користувачів для зловмисників є віддалене виконання коду через браузер (drive-by download). Так чи інакше, незалежно від встановлених плагінів сам браузер може містити і, потенційно, містить певну кількість вразливостей. Якщо вразливість вже досліджена розробниками і для неї випущено оновлення, користувач може встановити оновлення і не турбуватися, що зловмисники скомпрометують його ОС. З іншого боку, якщо зловмисники використовують ще невідому вразливість, т. Е. Ту, яка не була закрита (0day), ситуація для користувача ускладнюється.

Багато сучасних веб-браузери і ОС мають в своєму складі технологію ізоляції процесу додатки, не допускаючи таким чином виконання будь-яких дій, які браузеру виконувати не положено. У загальному випадку така техніка називається sandboxing і дозволяє накладати обмеження на дії, що виконуються процесом. Одним із прикладів такої ізоляції є той факт, що сучасні браузери (напр. Internet Explorer і Chrome) виконують свої вкладки як окремі процеси в ОС, дозволяючи таким чином задавати дозвіл на виконання тих чи інших дій конкретної вкладці, а також забезпечуючи стабільність роботи самого браузера . У разі, якщо одна з вкладок зависне, користувач може завершити її завершувати інші.

У сучасних версіях браузера MS Internet Explorer (IE10 & 11) є спеціальна технологія sandboxing, яка називається «Enhanced Protected Mode» (Розширений Захищений Режим). Цей режим дозволяє обмежувати дії процесу вкладки або плагіна і таким чином ускладнювати можливості експлуатації браузера для зловмисників.


Мал. Режим sandboxing для Internet Explorer, який став доступний починаючи з 10-ї версії.

Enhanced Protected Mode (EPM) був доопрацьований для Windows 8. Якщо ви використовуєте EPM в Windows 7 x64, то ця можливість забезпечує запуск вкладок браузера як 64-бітових процесів (за замовчуванням IE запускає свої вкладки як 32-бітові процеси). Зауважте, що за умовчанням EPM вимкнений.


Мал. Демонстрація роботи EPM на Windows 7 x64 [з використанням MS Process Explorer]. З включеною опцією, процеси вкладок браузера запускаються як 64-бітові, що ускладнює їх можливість експлуатації для установки шкідливого коду.

Починаючи з Windows 8, Microsoft ввели підтримку ізоляції дій процесу (sandboxing) на рівні ОС. Технологія отримала назву «AppContainer» і дозволяє максимально можливо використовувати переваги такого режиму для EPM. Процеси вкладок Internet Explorer з активною функцією EPM працюють в режимі AppContainer. Крім цього, в Windows 8 режим EPM включений за замовчуванням.

Мал. Демонстрація роботи EPM на Windows 8, для вкладок включений AppContainer (aka sandboxing).


Мал. Відмінності в роботі EPM на Windows 7 & 8.

Google Chrome як і IE також має спеціальні можливості щодо запобігання атак типу drive-by download. Але на відміну від нього, режим sandboxing для Chrome працює постійно і не вимагає додаткових дій щодо його включення з боку користувача.

Режим sandboxing для Chrome означає, що процеси вкладок запускаються із зниженими привілеями, що не дозволяє їм виконувати різні системні дії.


Мал. Режим sandboxing як він реалізований в Google Chrome. Майже всі ідентифікатори безпеки користувачів груп SID в маркері доступу мають статус Deny, що забороняє процесу виконувати важливі системні функції, дозволені цим групам.


Мал. Chrome використовує спеціальний об'єкт завдання, до якого включаються всі процеси браузера. Об'єкт дозволяє обмежувати дії додатка по відношенню до ресурсів ОС, перешкоджаючи експлуатування браузера зловмисниками.

Крім цього режиму, Google Chrome має можливості по блокуванню шкідливих URL-адрес або сайтів, які були занесені в чорний список Google як поширюють шкідливе ПЗ (Google Safe Browsing). Така можливість схожа на базу URL в Internet Explorer SmartScreen.


Мал. Google Safe Browsing в Google Chrome в дії.

По відношенню до браузеру і ОС представляє з себе віртуальну машину (або середу JRE) для виконання додатків Java. Платформна незалежність таких додатків робить Java дуже популярною у використанні, на сьогоднішній день її використовують на більш ніж трьох млрд. Пристроїв.

Як і інші плагіни до браузера, плагін Java є досить привабливим для використання для зловмисників, а з огляду на попередній досвід використання ними вразливостей можна сказати, що Java вдає із себе найбільш небезпечний компонент з усіх інших плагінів браузера.

У нашому раніше опублікованому матеріалі про проблеми використання Java на вашій системі ми писали яким чином можна відключити цей плагін для різних браузерів в разі, якщо ви не користуєтеся додатками Java і не хочете наражати себе на небезпеку.

Коли ви використовуєте Java на Windows, то настройки безпеки цієї програми можна регулювати з використанням аплету на панелі управління. Крім цього, новітні її версії дозволяють налаштовувати параметри безпеки більш детально, що дозволяє запускати тільки довірені додатки.


Мал. Налаштування оновлень для Java. Перевірка оновлень включена за замовчуванням, користувач повідомляється перед операцією їх завантаження.

Для повного відключення Java у всіх використовуваних в системі браузерах слід зняти настройку «Enable Java content in the browser» в апплете Java.


Мал. Зняття галочки «Enable Java content in browser» повністю відключає можливість використання плагінів в встановлених браузерах.

Компанія Microsoft випускає безкоштовний інструмент для користувачів, який допоможе захистити ОС від методів атак, які застосовуються в експлойтів.


Мал. Інтерфейс EMET.

Інструмент Enhanced Mitigation Experience Toolkit (EMET) використовує превентивні методи по блокуванню різних дій експлойтів для захисту додатків від атак. Незважаючи на те, що сучасні Windows 7 і Windows 8 мають вбудовані, включені за замовчуванням, можливості DEP і ASLR, спрямовані на пом'якшення (mitigation) наслідків експлуатування, EMET дозволяє ввести нові можливості блокування дій експлойтів, а також включити DEP або ASLR примусово для потрібних процесів (Посилити захист системи на більш старих версіях ОС).

EMET налаштовується окремо для кожної програми, т. Е. Щоб захистити додаток через цей інструмент вам потрібно задати його у відповідному списку. Крім цього є список програм, для яких EMET включений за замовчуванням, наприклад, браузер Internet Explorer, Java, програми пакети Microsoft Office.

Більш детальну інформацію про використання EMET і огляд його можливостей см. На нашому корпоративному блозі.

Деякі компоненти Windows, яким ми не приділяли особливу увагу вище, також можуть використовуватися зловмисниками для віддаленого виконання коду або підвищення привілеїв.


Мал. Статистика виправлень різних компонентів Windows в рамках місячних оновлень patch tuesday. Рейтинг показує компоненти, які оновлювалися частіше за інших за перше півріччя 2013 року.

На наведеному вище рейтингу видно, що для браузера Internet Explorer закривалося найбільша кількість вразливостей, в рамках дванадцяти оновлень було закрито понад п'ятдесят вразливостей, причому шість з них мали статус is-being-exploited-in-the-wild на момент закриття, т. е. перебували в активній експлуатації зловмисниками.

Другим найбільш виправляти компонентом є відомий драйвер підсистеми windows - win32k.sys, який забезпечує роботу графічної системи ОС в режимі ядра. Уразливості в цьому компоненті використовуються зловмисниками для підвищення привілеїв в системі, напр. обходу обмежень, що накладаються UAC.

Зверніть увагу, що за замовчуванням в Windows 7 & 8 є можливість автоматичної доставки оновлень користувачеві. Перевірити оновлення можна також через панель управління.

The Security Architecture of the Chromium Browser link
Understanding IE Enhanced Protected Mode link

Теги: Додати теги

Намагається виявити активність, характерну для шкідливого ПО, блокуючи будь-які дії, які здаються підозрілими.

Більшість антивірусних програм ідентифікують шкідливі файли з метою запобігти їх завантаження і виконання на підзахисним ПК. Це працює, але тільки до тих пір, поки не з'явиться новий вірус, для якого немає точних визначальних ознак. Пакет CAEP (Crystal Anti-Exploit Protection) пропонує додаткові заходи захисту - він не виконує сканування комп'ютера, не використовує базу сигнатур: замість цього використовується спеціальна система розпізнавання. Головним завданням цієї системи є виявлення та блокування будь-якої потенційно шкідливої \u200b\u200bактивності на ПК.

Наприклад, так звані «попутні завантаження» (Drive-by download), які найчастіше призводять до потрапляння вірусу на комп'ютер, зазвичай є результатом виконання якогось коду з неперевірених джерел. Щоб впоратися з цією загрозою, пакет CAEP може заборонити будь-якій програмі виконання коду з тимчасових папок, з папки завантажень і інших місць. Якщо спроби зробити це все-таки з'являться, користувач отримує попередження - якщо ви не дозволите виконання файлу, то, швидше за все, уникнете зараження.

Модель контролю підключень Connection Monitor дозволяє перевіряти всі вхідні і вихідні підключення, застосовуючи безліч готових і призначених для користувача фільтрів, щоб вирішити, які підключення можна дозволити, а які не можна. Модуль Memory Monitor забезпечує захист оперативної пам'яті від відомих експлойтів, ознаками яких є різка зміна виділеної додатків пам'яті, несподіване включення механізму DEP (Data Execution Prevention - захист від виконання сторонніх даних) для процесів, очищення «купи» і так далі. Ще один модуль COM / ActiveX Monitor допомагає знаходити ActiveX-компоненти тих чи інших додатків, заносячи їх в білі або чорні списки.

Пакет CAEP здебільшого орієнтований на технічно підкованих користувачів. Звичайно, ви можете просто запустити програму і не вдаватися в усі технічні деталі. Проте, щоб отримати максимальну віддачу, вам дуже знадобляться знання про низкоуровневом пристрої системи Windows. Ще одне обмеження пакета CAEP полягає в тому, що на даний момент підтримується моніторинг тільки 32-бітових процесів, хоча сама утиліта успішно працює і в 32-х, і в 64-бітових версіях Windows.

Варто згадати також, що пакет CAEP часто просить підтвердження запуску для надбудов, а не тільки основний цикл прання. Так, при запуску клієнта Outlook 2010 із надбудовами вам доведеться підтверджувати запуск і основного пакету, і всіх надбудов, щоб може бути кілька виснажливим. Взагалі при використанні пакета CAEP слід дотримуватися певної обережності, оскільки ця програма може перешкодити роботі цілком благонадійних компонентів, включаючи системні оновлення, так що вам просто необхідно забезпечити надійне резервне копіювання своєї системи.

Якщо не брати до уваги перерахованих вище проблем, утиліта Crystal Anti-Exploit Protection являє собою вкрай цікавий і потужний інструмент для запобігання вторгнень, за допомогою якого можна сформувати додатковий рівень захисту для будь-якого ПК. Крім того, до пакету додається докладний посібник, з допомогою якого досвідчений користувач зможе повністю налаштувати програму під свої вимоги, наприклад, вимкнути непотрібні попередження. Детальніше дізнатися про продукт і

Чи не знайшли відповідь на своє питання? Подивіться тут
Держпослуги особистий кабінетДержпослуги особистий кабінет
Госуслугі- особистий кабінет-вхід по СНІЛС і телефонуГосуслугі- особистий кабінет-вхід по СНІЛС і телефону
Єдиний телефон служби порятунку в російській федераціїЄдиний телефон служби порятунку в російській федерації