Еще одна мировая киберугроза раскрыта экспертами Лаборатории Касперского. На этот раз речь идёт о целевой атаке, а точнее обширной сети кибершпионажа против дипломатических и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран.
Этому событию предшествовало расследование Red October, которое началось в октябре 2012 года, когда по просьбе одного из наших партнеров мы провели анализ атаки и вредоносных модулей на тот момент еще неизвестного вредоносного кода. Это помогло нам определить истинные размеры кампании, которая, как оказалось, охватывает около 20 стран мира.
Расследование показало использование как минимум четырех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), CVE-2011-3544 (Java). Эксплойты используются в документах, рассылаемых в ходе целевых фишинговых атак. После открытия такого файла загружается основной модуль вредоносного кода, который выполняет функцию 'точки входа' в систему и позволяет загрузить дополнительные модули для следующих стадий атаки.
На сегодняшний день мы выявили около 1000 вредоносных файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года.
Сейчас наши антивирусные продукты, включая мобильные под Windows, детектируют файлы этого зловреда сигнатурами как Backdoor.Win32.Sputnik. А эксплойты как Trojan-Dropper.MSWord.Agent.ga, Exploit.MSWord.CVE-2010-3333.bw, Exploit.Win32.CVE-2012-0158.j и Exploit.Java.CVE-2011-3544.l эвристическим способом. Эвристические детектирование – технология, которая дает возможность одной сигнатурой детектировать множество вредоносных файлов, в том числе и ранее неизвестные модификации вредоносного ПО, одновременно позволяя добиться повышения качества детектирования и уменьшения размера антивирусных баз.
Чрезвычайно интересным остается вопрос, детектировался ли этот вредоносный код до октября?
Как показывают данные Kaspersky Security Network (KSN), часть вредоносных файлов Red October уже блокировались нашими продуктами, до октября 2012. Компоненты (dll, exe) блокировались сигнатурами, которые мы наложили на файлы, полученные из наших стандартных источников (KSN, вирусные коллекции, почта и т.д.). Вердикты носили имя, например: Trojan.Win32.Monzat.ac, Trojan.Win32.Genome.afykf, Trojan.Win32.Agent2.fhqq, Net-Worm.Win32.Kolab.baih.
Анализ атаки позволил систематизировать имеющиеся знания, собрать недостающую информацию и объединить существующие и новые экземпляры вредоносных файлов под одним именем: Backdoor.Win32.Sputnik.
Эксплойты, использовавшиеся для заражения, блокировались технологией Automatic Exploit Prevention (АЕР) под именем PDM:Exploit.Win32.Generic, которое является общим для всех типов эксплойтов, если они не специально не выделены нашими аналитиками. Прототип технологии АЕР был реализован в Kaspersky Internet Security 2012 и Kaspersky Endpoint Security 8, а полная версия включена в состав в состав Kaspersky Internet Security 2013 и Kaspersky Endpoint Security 10.
Для того чтобы понять каким образом Automatic Exploit Prevention обнаружил эти угрозы, давайте рассмотрим принцип работы технологии.
Automatic Exploit Prevention (АЕР) является обширным набором технологий, препятствующих срабатыванию эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.
В основе технологии лежит анализ поведения эксплойтов, а также сведения о приложениях, которые чаще других подвергаются атакам злоумышленников, например Adobe Acrobat, Java, Windows компоненты, Internet Exprorer и другие. За такими программами устанавливается особый контроль — как только одна из них пытается запустить подозрительный программный код, процедура прерывается и начинается проверка.
Рис. 1 Принцип работы технологии Automatic Exploit Prevention
Довольно часто эксплойты перед непосредственным заражением системы осуществляют предварительную загрузку файлов. АЕР отслеживает обращение к программ к сети и анализирует источник файлов. Технология может также различать файлы, созданные при участии пользователя, и новые, неавторизованные. Соответственно, попытка запустить файл, загруженный из подозрительного источника и без ведома пользователя, также будет заблокирована.
Еще один используемый в АЕР метод основан на технологии Address Space Layout Randomization (ASLR). Поддержка подобной технологии встроена в операционную систему Windows (начиная с Vista) и обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование злоумышленниками некоторых уязвимостей. Технология предлагает пользователю функцию Forced Address Space Layout Randomization, которая выполняет те же операции и способна работать в тех случаях, когда аналогичная система в Windows бессильна. В частности, Forced ASLR может работать и в Windows XP.
Поставщиком информации о событиях, происходящих на компьютере пользователя, для АЕР является компонент System Watcher, который входит в состав KAV, KIS, Pure, Endpoint 10. System Watcher в масштабе реального времени анализирует действия всех установленных на компьютере программ и системных сервисов и в случае подозрительной активности блокирует исполнение. Производит он это на основе так называемых BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестный экземпляр вредоносного кода.
Рис. 2 Определение эксплойта технологией Automatic Exploit Prevention
Подход к защите на основе поведенческого анализа является крайне эффективным против часто меняющихся вредоносных программ. Если что-то не могут детектировать статические методы обнаружения или облачные технологии, вредоносное ПО будет определяться технологиями на основе поведенческого анализа, даже если речь идет о неизвестном ранее эксплойте, использующем уязвимость «нулевого дня».
Именно такой подход позволил блокировать эксплойты, которые впоследствии оказались частью атаки Red October.
Информация о другом громком инциденте, на этот раз связанным с использованием 0-day уязвимости CVE 2013-0422 в 1.7 и 10 версии Java приложения, стала доступна общественности 10 января 2013 года из публикации Disable Java plugin Now. С помощью этой уязвимости злоумышленники могут запустить на атакуемом компьютере произвольный программный код.
Кампания по распространению эксплойта для этой уязвимости имеет огромные масштабы. При нажатии на рекламные баннеры, в многочисленном количестве размещенные в разных странах на легальных сайтах, к примеру, новостных, сайтах погоды или сайтах с контентом для взрослых, посетители попадают на веб-ресурс, содержащий экслоиты одной из самых популярных связок эксплойтов Blackhole, в том числе этот Java 0-day.
Согласно статистике, опубликованной владельцами Blackhole эффективность этого эксплойта более 83%.
Рис. 3 Эффективность эксплойта 0 day Java
Специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США рекомендуют пользователям отключить надстройку Java в веб-браузерах для защиты от атак злоумышленников, которые используют ранее неизвестную уязвимость в программной платформе Java.
Как же обстоят дела с защитой от этого эксплойта? Согласно статистике Kaspersky Security Network, проникновение этого эксплойта на компьютер пользователя блокировалось продуктами Лаборатории Касперского, а именно технологией АЕР, еще до того, как инцидент получил публичную огласку. Блокировка осуществлялась при помощи поведенческого анализа, т.е. проактивно.
Рис. 4 Данные KSN о срабатывании технологии АЕР
Впервые этот эксплойт был опознан технологией АЕР в начале декабря, т.е. пользователи наших продуктов были защищены еще до того, как он стал активно использоваться вирусописателями.
Большинство независимых тестовых лабораторий на сегодняшний день проверяют три ключевых параметра антивирусной защиты: качество обнаружения зловредного кода, ложные срабатывания и производительность. Лишь некоторые из них тестируют более специализированные направления, в том числе качество обнаружения эксплойтов.
Один из таких тестов был проведен компанией MRG в 2012 году.
Методология проведения тестирования заключалась в использовании Metasploit Framework и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора. Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.
Рис. 5 Результаты тестирования MRG
Результаты теста демонстрируют преимущество продуктов Лаборатории Касперского в качестве защиты от различных типов эксплойтов.
На сегодняшний день эксплойты являются наиболее распространенным способом проникновения зловредного кода на компьютер пользователя. Они применяются как в целевых атаках, таких как Red October, так и в массовых заражениях через связки эксплойтов, например Blackhole.
Для надежной защиты пользователя производители продуктов endpoint security должны уделять особое внимание борьбе с этим типом угроз. Традиционных сигнатурных способов недостаточно, поскольку они способны блокировать лишь известные эксплойты. Поэтому наиболее эффективным способом защиты являются технологии, основанные на поведенческом анализе.
У Лаборатории Касперского набор технологий для защиты от эксплойтов называется Automatic Exploit Prevention (АЕР), он реализован в продуктах KAV, KIS, Pure, Endpoint. АЕР блокирует исполнение эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.
Успешное блокирование зловредного кода, использующегося в Red October, эксплойтов Java 0-day, а также результаты независимых тестов, доказывают, что АЕР действительно эффективен в борьбе с неизвестными уязвимостями, в том числе 0-day уязвимостями.
В то же время мы считаем, что не существует одной технологии, способной защитить пользователя от всех типов угроз. А последние проценты в защите даются наиболее тяжело. Поэтому мы, как компания, движимая технологической разработкой, продолжаем биться за последние проценты в защите пользователя и регулярно выпускаем новые технологии, такие как Whitelist, Application Control, Default Deny, Safe Money. Это позволяет продуктам Лаборатории Касперского обеспечивать надежную комплексную защиту от компьютерных угроз, в том числе новых и ранее неизвестных.
С результатами тестирования этих технологий также можно ознакомиться.
• Тест технологии Whitelist компанией, организованный компанией West Coast Labs
• Сравнительный тест технологий Application Control, организованный компанией West Coast Labs
• Сравнительный тест технологии Safe Money, организованный компанией Matousec.com
Этому событию предшествовало расследование Red October, которое началось в октябре 2012 года, когда по просьбе одного из наших партнеров мы провели анализ атаки и вредоносных модулей на тот момент еще неизвестного вредоносного кода. Это помогло нам определить истинные размеры кампании, которая, как оказалось, охватывает около 20 стран мира.
Расследование показало использование как минимум четырех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), CVE-2011-3544 (Java). Эксплойты используются в документах, рассылаемых в ходе целевых фишинговых атак. После открытия такого файла загружается основной модуль вредоносного кода, который выполняет функцию 'точки входа' в систему и позволяет загрузить дополнительные модули для следующих стадий атаки.
На сегодняшний день мы выявили около 1000 вредоносных файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года.
Сейчас наши антивирусные продукты, включая мобильные под Windows, детектируют файлы этого зловреда сигнатурами как Backdoor.Win32.Sputnik. А эксплойты как Trojan-Dropper.MSWord.Agent.ga, Exploit.MSWord.CVE-2010-3333.bw, Exploit.Win32.CVE-2012-0158.j и Exploit.Java.CVE-2011-3544.l эвристическим способом. Эвристические детектирование – технология, которая дает возможность одной сигнатурой детектировать множество вредоносных файлов, в том числе и ранее неизвестные модификации вредоносного ПО, одновременно позволяя добиться повышения качества детектирования и уменьшения размера антивирусных баз.
Чрезвычайно интересным остается вопрос, детектировался ли этот вредоносный код до октября?
Как показывают данные Kaspersky Security Network (KSN), часть вредоносных файлов Red October уже блокировались нашими продуктами, до октября 2012. Компоненты (dll, exe) блокировались сигнатурами, которые мы наложили на файлы, полученные из наших стандартных источников (KSN, вирусные коллекции, почта и т.д.). Вердикты носили имя, например: Trojan.Win32.Monzat.ac, Trojan.Win32.Genome.afykf, Trojan.Win32.Agent2.fhqq, Net-Worm.Win32.Kolab.baih.
Анализ атаки позволил систематизировать имеющиеся знания, собрать недостающую информацию и объединить существующие и новые экземпляры вредоносных файлов под одним именем: Backdoor.Win32.Sputnik.
Эксплойты, использовавшиеся для заражения, блокировались технологией Automatic Exploit Prevention (АЕР) под именем PDM:Exploit.Win32.Generic, которое является общим для всех типов эксплойтов, если они не специально не выделены нашими аналитиками. Прототип технологии АЕР был реализован в Kaspersky Internet Security 2012 и Kaspersky Endpoint Security 8, а полная версия включена в состав в состав Kaspersky Internet Security 2013 и Kaspersky Endpoint Security 10.
Для того чтобы понять каким образом Automatic Exploit Prevention обнаружил эти угрозы, давайте рассмотрим принцип работы технологии.
Технология Automatic Exploit Prevention
Automatic Exploit Prevention (АЕР) является обширным набором технологий, препятствующих срабатыванию эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.
В основе технологии лежит анализ поведения эксплойтов, а также сведения о приложениях, которые чаще других подвергаются атакам злоумышленников, например Adobe Acrobat, Java, Windows компоненты, Internet Exprorer и другие. За такими программами устанавливается особый контроль — как только одна из них пытается запустить подозрительный программный код, процедура прерывается и начинается проверка.
Рис. 1 Принцип работы технологии Automatic Exploit Prevention
Довольно часто эксплойты перед непосредственным заражением системы осуществляют предварительную загрузку файлов. АЕР отслеживает обращение к программ к сети и анализирует источник файлов. Технология может также различать файлы, созданные при участии пользователя, и новые, неавторизованные. Соответственно, попытка запустить файл, загруженный из подозрительного источника и без ведома пользователя, также будет заблокирована.
Еще один используемый в АЕР метод основан на технологии Address Space Layout Randomization (ASLR). Поддержка подобной технологии встроена в операционную систему Windows (начиная с Vista) и обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование злоумышленниками некоторых уязвимостей. Технология предлагает пользователю функцию Forced Address Space Layout Randomization, которая выполняет те же операции и способна работать в тех случаях, когда аналогичная система в Windows бессильна. В частности, Forced ASLR может работать и в Windows XP.
Поставщиком информации о событиях, происходящих на компьютере пользователя, для АЕР является компонент System Watcher, который входит в состав KAV, KIS, Pure, Endpoint 10. System Watcher в масштабе реального времени анализирует действия всех установленных на компьютере программ и системных сервисов и в случае подозрительной активности блокирует исполнение. Производит он это на основе так называемых BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестный экземпляр вредоносного кода.
Рис. 2 Определение эксплойта технологией Automatic Exploit Prevention
Подход к защите на основе поведенческого анализа является крайне эффективным против часто меняющихся вредоносных программ. Если что-то не могут детектировать статические методы обнаружения или облачные технологии, вредоносное ПО будет определяться технологиями на основе поведенческого анализа, даже если речь идет о неизвестном ранее эксплойте, использующем уязвимость «нулевого дня».
Именно такой подход позволил блокировать эксплойты, которые впоследствии оказались частью атаки Red October.
Технология борьбы с 0-day уязвимостями
Информация о другом громком инциденте, на этот раз связанным с использованием 0-day уязвимости CVE 2013-0422 в 1.7 и 10 версии Java приложения, стала доступна общественности 10 января 2013 года из публикации Disable Java plugin Now. С помощью этой уязвимости злоумышленники могут запустить на атакуемом компьютере произвольный программный код.
Кампания по распространению эксплойта для этой уязвимости имеет огромные масштабы. При нажатии на рекламные баннеры, в многочисленном количестве размещенные в разных странах на легальных сайтах, к примеру, новостных, сайтах погоды или сайтах с контентом для взрослых, посетители попадают на веб-ресурс, содержащий экслоиты одной из самых популярных связок эксплойтов Blackhole, в том числе этот Java 0-day.
Согласно статистике, опубликованной владельцами Blackhole эффективность этого эксплойта более 83%.
Рис. 3 Эффективность эксплойта 0 day Java
Специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США рекомендуют пользователям отключить надстройку Java в веб-браузерах для защиты от атак злоумышленников, которые используют ранее неизвестную уязвимость в программной платформе Java.
Как же обстоят дела с защитой от этого эксплойта? Согласно статистике Kaspersky Security Network, проникновение этого эксплойта на компьютер пользователя блокировалось продуктами Лаборатории Касперского, а именно технологией АЕР, еще до того, как инцидент получил публичную огласку. Блокировка осуществлялась при помощи поведенческого анализа, т.е. проактивно.
Рис. 4 Данные KSN о срабатывании технологии АЕР
Впервые этот эксплойт был опознан технологией АЕР в начале декабря, т.е. пользователи наших продуктов были защищены еще до того, как он стал активно использоваться вирусописателями.
Результаты независимых тестов
Большинство независимых тестовых лабораторий на сегодняшний день проверяют три ключевых параметра антивирусной защиты: качество обнаружения зловредного кода, ложные срабатывания и производительность. Лишь некоторые из них тестируют более специализированные направления, в том числе качество обнаружения эксплойтов.
Один из таких тестов был проведен компанией MRG в 2012 году.
Методология проведения тестирования заключалась в использовании Metasploit Framework и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора. Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.
Рис. 5 Результаты тестирования MRG
Результаты теста демонстрируют преимущество продуктов Лаборатории Касперского в качестве защиты от различных типов эксплойтов.
Заключение
На сегодняшний день эксплойты являются наиболее распространенным способом проникновения зловредного кода на компьютер пользователя. Они применяются как в целевых атаках, таких как Red October, так и в массовых заражениях через связки эксплойтов, например Blackhole.
Для надежной защиты пользователя производители продуктов endpoint security должны уделять особое внимание борьбе с этим типом угроз. Традиционных сигнатурных способов недостаточно, поскольку они способны блокировать лишь известные эксплойты. Поэтому наиболее эффективным способом защиты являются технологии, основанные на поведенческом анализе.
У Лаборатории Касперского набор технологий для защиты от эксплойтов называется Automatic Exploit Prevention (АЕР), он реализован в продуктах KAV, KIS, Pure, Endpoint. АЕР блокирует исполнение эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.
Успешное блокирование зловредного кода, использующегося в Red October, эксплойтов Java 0-day, а также результаты независимых тестов, доказывают, что АЕР действительно эффективен в борьбе с неизвестными уязвимостями, в том числе 0-day уязвимостями.
В то же время мы считаем, что не существует одной технологии, способной защитить пользователя от всех типов угроз. А последние проценты в защите даются наиболее тяжело. Поэтому мы, как компания, движимая технологической разработкой, продолжаем биться за последние проценты в защите пользователя и регулярно выпускаем новые технологии, такие как Whitelist, Application Control, Default Deny, Safe Money. Это позволяет продуктам Лаборатории Касперского обеспечивать надежную комплексную защиту от компьютерных угроз, в том числе новых и ранее неизвестных.
С результатами тестирования этих технологий также можно ознакомиться.
• Тест технологии Whitelist компанией, организованный компанией West Coast Labs
• Сравнительный тест технологий Application Control, организованный компанией West Coast Labs
• Сравнительный тест технологии Safe Money, организованный компанией Matousec.com
