Администратор ИБ
0,2
рейтинг
7 июля 2015 в 06:46

Разработка → Сравнительный тест популярных антивирусов от разработчика кибероружия Hacking Team

Буквально на днях были взломаны внутренние сети известного в определенных кругах производителя кибероружия, компании Hacking Team, о чем уже подробно писали на Хабре. В результате утечки в сеть попало порядка 400ГБ файлов, включающих архивы электронной почты, финансовую документацию, исходные коды вредоносных модулей и многое другое. Была слита и так называемая база знаний компании (Knowledge Base), в которой разработчики шпионских программ накапливали полезную информацию, в том числе и о качестве детекта своих творений различными антивирусами. Учитывая ситуацию, похоже, что данный тест можно в полной мере назвать «независимым», т.к. исследования проводились в собственных интересах.




Тестируются 3 типа вредоносной нагрузки — Silent (вредоносный агент в чистом виде), Melt (вредонос в инсталляторе другого приложения, например, Firefox или uTorrent) и Exploit (эксплоит внутри офисного или иного документа). Тестирование проводилось на Windows 7, 64bit. Данные по дескотопным антивирусам имеют 82 правки и актуальны на 16 июня 2015:



Зеленый — антивирус никак не реагирует на запуск агента.
Желтый — агент устанавливает соединение с сервером, но иногда могут появляться предупреждения антивируса, или же антивирус имеет нестандартную конфигурацию (т.е. фаервол отключен).
Черный — агент не может установить соединение с сервером, но нет и предупреждений антивируса, или же агент находится в черном списке антивируса.
Красный — агент не может установить соединение с сервером, появляются предупреждения антивируса (агент детектируется как вредоносный).

Soliderстандартная версия агента.
Eliteпродвинутая версия.

Также, тестируются антивирусы под OSX и Android:

Александр @Akr0n
карма
87,7
рейтинг 0,2
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (45)

  • 0
    Только непонятно почему не тестировались просто фаерволы с контролем любой подозрительной активности типа аутпоста, джетико или онлайн-армора. Наверняка бы результаты были бы лучше в разы.
    • 0
      онлайн-армор он тут Emsisoft
      • +4
        А зачем им было тестировать экзотические фаерволы, которые стоят у несущественно малого процента жертв? Ничего плохого о перечисленных фаерволах не думаю — просто констатирую факт: они редкость, «точиться» под них просто нет особого смысла.
        • 0
          А как же целевые атаки, заказчики и т.д.?
          • 0
            Я тоже про это думал, но пришел к выводу, что им не ставилось ТЗ вида «у жертвы N фаервол — нужно обойти», видно, что все что нужно было вот так обходить — описано в их вики. Там есть описание VBA32 — экзотика еще та — значит был заказ против «клиента» с ним на борту, а кто не описан в вики — против тех не точились и не исследовали ибо пофиг.
        • 0
          Скорее всего данная табличка использовалась не только для внутренних целей, но и для продаж продукта. С помощью малоизвестных антивирусов просто увеличили общий процент эффективности.
    • 0
      Кстати да — посоветуйте какой-нить фаервол (из триал или бесплатного). Надо задетектить подозрительную активность.
      Антивирусы ничего не кажут.
      • 0
        все эти антивирусы и фаерволы по сути своей костыли :) 4 правила спасут лучше
        • 0
          Таки да, согласен, при условии, что это личная машина.
          А это не моя, одного из 2х юзеров, с которых есть подозрительная активность (машин пару сотен).
          Почему-то каждый день при включении Каспер с этих 2х IP детектит попытку доступа на произвольные порты.
          После этого ничего нет.
          Комп и лайв CD прогонял, и так. Вроде ничего. Не понимаю. Просто внутренний параноик, и 2 крипто-атаки за пару месяцев не оставляют сей факт без внимания.
        • 0
          Ага, спасут.
          Только в случае, когда в системе нет никаких дыр. Тогда да, все это будет работать.
          А так есть и повышение прав, и софт которому просто необходимо работать в AppData и вообще много всяких «не в лоб» решений. Достаточно пройтись по ресурсам посвященным бехопасности и ужаснуться, какие бывают хитрости в различных зловредах.
          • 0
            Ну не знаю :) В моей вселенной весь софт который пытается запуститься из AppData сразу отправляется в сад. А по поводу srp все многократно обсуждено, заспиртовано и отправлено в архив — ни одного сценария преодоления ограничений политики никто все еще в реальной жизни пока не видел. Если есть на примете что-то преодолевающее закон 4-х правил — показывайте, а иначе опять получится беспредметное обсуждение особенностей размножения сферических коней в.
            • +1
              Ну у вас просто подход страуса к жизни — если я чего-то не вижу, значит оно не существует.
              А в целом, нельзя же быть на столько наивным.
              Во всех операционках постоянно находят дыры и способы различных несанкционированных действий.
              На этом делаются очень большие деньги. Никто в здравом уме не публикует их массово. Так, отдельные эпизоды всплывают.
              Или вы правда думаете, что только ради каких-то каментов на хабре, кто-то выложит в паблик такие вещи? Ну-ну))

              P.S. Просто пройдитесь по сайтам посвещенным безопасности. Ну или хотя бы в гугле поиском.
              И попрбуйте додумать такую простую мысль. Все дыры что там описаны как закрытые и непробиваемые при наличии последних обновлений, когда-то были неизвестными и не закрытыми.
            • 0
              Ну хорошо, Вот вам реальный пример:
              У нас достаточно большая организация, несколько доменов, администрируемых разными админами. Когда мы настраивали свой — политика защиты была похлеще ваших 4х правил. Юзер полностью ограничен и имеет права на запуск только конкретного списка разрешенных программ, флэшки, cd/dvd — закрыты, обмен только через общие папки с мин.необходимыми правами, на всех компах антивирус. Казалось бы куда уж круче… И все жили долго и счастливо, по моему до 2008 или 2009, пока однажды не приходит к нам админ из соседнего отдела и не спрашивает у вас с сеткой все норм? Мы ну конечно, норм… а у нас говорит он коллапс наступил в сетевом окружении ни к одному компу подключиться нельзя, все тормозит по страшному. Мы думаем, ну вот видимо они не такие параноики в безопасности как мы, наверняка вирусняк пропустили. Проходит минут эдак 5 после его визита, и где-то с интервалом 30 сек на всех наших компах в комнате поочередно вересчит каспер… Что за фигня? Оказалось — пришел к нам в гости злобный Кидо (ну у него куча и др имен). Вирь, который через дырку в windows заражает комп через сеть и живет в памяти — заражает в сети другие компы. Каспер верещит — но виря не видит, видит хрень, которую тот подкачивает из инета и все… Сеть в ступоре была, пока заплатку на винду всех компов не поставили.
              А Вы говорите… 4е правила :)
              • 0
                А в «похлеще» входил запрет выполнения из папок %temp%, windows/temp и windows/system32/spool? А каким способом организовывался запрет на выполнение неразрешенных программ? Неужели srp? Но в любом случае у меня в 2008-2009-х в сетке из 35 компов ни одного случая заражения конфискером не было. А админил я там «приходяще» (раз в пару месяцев) и апдейты, закрывающие виндовую уязвимость были установлены намного позже — уже летом, когда эпидемия во всю шла. Может конечно и повезло, но по-моему там все-таки обламывалось первоначальное внедрение в процесс svchost из-за того что созданный вирусом файл находился в какой-либо папке вне списка разрешенных.
                • 0
                  У нас в локальной сетке, более 500 компов, и для некоторых доменов (которые администрируем не мы) были открыты usb. Оттуда он к нам и залез.

                  > А в «похлеще» входил запрет выполнения из папок %temp%, windows/temp и windows/system32/spool?
                  А зачем? ведь кроме разрешенного списка файлов (драйвера и офисные программы) больше в системе ничего, ниоткуда запустить нельзя. Устанавливается это в групповой политике домена (Конфигурация пользователя\Административные шаблоны\Система\Выполнять только указанные приложения Windows).

                  > Может конечно и повезло, но по-моему там все-таки обламывалось первоначальное внедрение в процесс svchost из-за того что созданный вирусом файл находился в какой-либо папке вне списка разрешенных.

                  Фишка именно в дыре Windows — вирус заражает через сеть и живет в памяти даже не копируя себя на hdd (дырявый svchost — запускает его код переданный по сети, и на диске ему для работы ничего не нужно, он только подгружает всякую дрянь видимо из инет-сервера если есть выход, со всякими haсk-утилями типа rdp, которые в нашем случае уже были в БД антивиря). После выключения/включения вирус исчезает, но комп снова заражается от других компов в сети. Бухгалтерию так и спасали — вырубили все компы их отдела и отключили свитч к остальной локалке, а в их внутренней уже вируса не было.
      • +1
        Комод.
        • 0
          Благодарю. Но пишут, что: Comodo Firewall и Antivirus — теперь Comodo Internet Security
          Интересовал только фаервол.
          • 0
            Раньше там при установке выбирался состав и антивирусняк можно было не ставить (он был дико тормознутым, но не как кошмарский, он просто всё долго делал). Наверняка так и осталось.
            • 0
              Нормальный сейчас антивирус. Если еще настроить HIPS и фаервол на ручной режим, так вообще не пробить.
              • 0
                В такой же режим можно настроить хипсофаервол практически у любого современного ав-комплекса, теперь многие позволяют копаться в тонких нутрах и настраивать оповещения/правила на чтение||запись в/из определенных ключей/файлов/папок, межпроцессовое взаимодействие, исполнение и т.д. Т.е кому какой продукт нравится, тот его и настраивает как душе угодно, но выходит обычно у всех примерно одно и тоже, только другой интерфейс и логотипчик.
                • 0
                  Вот только Comodo, ко всему прочему, бесплатен.
                  • 0
                    Из других бесплатных со схожими возможностями настройки/философии могу вспомнить Privatefirewall, Outpost, ZoneAlarm, Malware Defender.
                    Я же говорю — на вкус и цвет. Предлагаю не переходить к дискуссии какой из них удобнее, и на полтора байта больше ssdt поправил.
              • +1
                При том раньше это был единственный известный мне антивирус, бесплатное использование которого было разрешено в коммерческих организациях. Как дела обстоят сейчас, увы, не знаю.
  • –2
    Касперский ужасен, а Нортон работает.
    • +4
      Это только для одного зловреда.
      А их даже не тысячи.
      Всегда можно найти зловреды, с которыми все будет с точностью до наоборот.
  • +4
    Avast, ESET и Norton показали лучшие результаты?
    • +1
      Интересный однако результат.
  • 0
    Я так понимаю все у кого чёрный цвет и занесли в Blacklist — имеют доступ к программе или есть свой человек в Hacking Team?
    • 0
      Я так понимаю все у кого чёрный цвет и занесли в Blacklist — имеют доступ к программе или есть свой человек в Hacking Team?

      Вряд ли. Вот тут пишут, что Софос вообще не тестировали.

  • 0
    Внутренний конспиролог во мне говорит, что это может быть специальным вбросом, как и сама новость об атаке на них. Вроде как мы сейчас все ломонемся ставить защищенные с их точки зрения антивирусы, тут-то они нас и накроют. А может и нет.
    • +3
      Ага-ага, и 0day-эксплоит под Flash, который работает на распоследнем Chrome, тоже вброс.
      • +1
        Flash?

        А что это?
        • +1
          Да-да, я тоже им не пользуюсь уже года два, но у огромного количества народа он установлен в системе.
      • 0
        А это они специально. Наверное.
  • +1
    Akr0n, а белый цвет что обозначает? Не подскажете?
    • 0
      По белому цвету все индивидуально, смотреть нужно конкретно по каждому, но в основном это не тестили || недотестили || хз что такое.
      Вот, например, IOBit, а вот spybot
  • +2
    По-моему это не сравнительный тест антивирусов в классическом представлении, а результаты внутреннего тестирования реакции эвристики на поделки HT. Учитывая, какие методы использовали разработчики, подстраиваясь под антивирусы, сложно однозначно винить в чем-либо антивирусные лаборатории. Пройдет какое-то время, и эти поделки так же попадут в антивирусные базы.
    • +2
      В том-то и проблема, что так рекламируемые АВ компаниями «эвристики» — в целом набор шаблонов, а никакие не интеллектуальные системы. Т.е.: кто-то заразился -> исследовали зловред -> добавили шаблон для него. Эвристика для того и нужна, чтобы обнаружить угрозу, которой нету в базе. А по итогу получаем, что уже годы, как в антивирусах реализован эвристический анализ, но по большому счету это пшик.
      • +1
        Согласен. Есть слабая надежда, что эвристика в итоге разовьется во что-то более приличное. Этому также препятствует скорость работы, которая и по шаблонам то ощутимо снижает комфортность работы с компьютером. Что же будет, когда они врубят реальную эвристику… думаю, что компьютеры пока к этому не готовы, и антивирусные лаборатории идут на компромиссы (в т.ч. KSN и т.п.)
    • 0
      Согласен, и я бы даже добавил, что разработчики зловредов тоже составляют план тестирования своей продукции — где «тест пройден — это когда зловред не обнаруживается антивирусом». А стало быть они начинают тестировать с самых распространенных в целевой аудитории зловреда антивирусов (например, бесплатных) и заканчивают наименее распространенными, а какие то не тестируют вовсе — и тогда у такой антивирус остается невзломанным.

      То есть можно сказать, что вышеприведенный список просто отражает «рейтинг» заинтересованности разработчиков малвары во взломе тех или иных антивирусов.
      • 0
        в обходе
  • –5
    и чо кто победил?
  • 0
    С Avira Free и Full понятно. А вот с AVG странно :)
  • 0
    Много лет пользуюсь Symantec Endpoint Protection, неуправляемый клиент. Его почему-то всегда, во всех тестах упускают как вариант для сравнения. Но я не особо огорчаюсь — не знаю с ним проблем, особенно после выхода 12 версии.
    • 0
      К слову Symantec Endpoint Protection имеет долю рынка в 2 раза больше чем Касперский, и в 5 раз больше чем представленный в этом сравнении Panda. Слабо верится, что его «упустили» из сравнения случайно.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.