Защита не перестала быть надежной

Недавно на Wikileaks был опубликован отчет, в котором, среди прочего, были раскрыты инструменты и тактики, якобы используемые госструктурами для проникновения в компьютеры пользователей и обхода установленных средств защиты.

В список скомпрометированных продуктов попали решения практически всех компаний, занимающихся информационной безопасностью, – отчет касается всей индустрии в целом. Помимо прочего, в нем описывается ряд уязвимостей в программных продуктах, которые позволяют нейтрализовать защиту и могут поставить безопасность пользователя под угрозу.

Безопасность клиентов – главный приоритет «Лаборатории Касперского». Мы пристальнейшим образом изучаем любую информацию, касающуюся безопасности наших пользователей, и очень серьезно и тщательно анализируем данные обо всех известных уязвимостях.

Итак, отчет содержит описание двух уже закрытых уязвимостей в продуктах «Лаборатории Касперского», а также многочисленные отсылки к технологиям нашей компании и опубликованным нами отчетам об APT-атаках. Я бы хотел воспользоваться возможностью и ответить на возможные вопросы и сомнения обеспокоенных клиентов, прочитавших отчет, а также показать, что на данный момент ни один из современных продуктов «Лаборатории Касперского» не содержит известных уязвимостей.

Уязвимости в ИБ-решениях

В первую очередь хочу еще раз подчеркнуть, что упомянутые в отчете уязвимости в продуктах «Лаборатории Касперского» содержались исключительно в старых версиях наших решений. Ранее они были обнародованы и устранены. Текущие версии наших продуктов не содержат этих уязвимостей – их нельзя обойти при помощи инструментов и тактик, которые, если верить отчету, якобы способны обманывать средства защиты.

Уязвимость «heapgrd», предполагающая возможность внедрения вредоносного кода через DLL-библиотеки, была обнаружена и закрыта еще в 2009 году. Она позволяла злоумышленнику загружать сторонние DLL-библиотеки вместо WHEAPGRD.dll и таким образом компрометировать средства защиты. Однако эта брешь закрыта в версиях Kaspersky Internet Security начиная с девятой версии и в Kaspersky Antivirus for Workstations MP4. Продукты, содержащие уязвимость и описанные в отчете (Kaspersky Internet Security 7, 8 и Kaspersky Antivirus for Workstations MP3), являются устаревшими и более не поддерживаются. Все актуальные решения «Лаборатории Касперского» подлежат обязательному тестированию на наличие этих уязвимостей до выхода на рынок.

Уязвимость внедрения сторонней DLL-библиотеки в TDSS Killer, также упомянутая в отчете Wikileaks, была закрыта в 2015 году.

Подробности о поведении продуктов

Также в отчете говорится, что продукты «Лаборатории Касперского» не блокируют DLL-инъекции в процессы пользователя и svchost.exe.

На самом деле мы защищаем от подобных атак, но более умным и элегантным способом, в котором высокая степень защиты сочетается с удобством для пользователя.

Сегодня вполне обычные, легитимные приложения нередко встраивают свой код в процессы пользователей. Чтобы различать легитимные и вредоносные приложения, отслеживать изменения в процессах и откатывать назад нежелательное воздействия приложения на работу системы, с 2011 года в продуктах «Лаборатории Касперского» реализован компонент System Watcher. System Watcher осуществляет мониторинг всех процессов на устройстве, в том числе svchost.exe, а также выявляет вредоносное поведение процесса, блокирует его и откатывает назад все произведенные им вредоносные изменения.

В дополнение к уязвимостям в отчете описан ряд инструментов и вредоносных программ для сбора данных и проникновения в компьютер пользователя. Однако все они нейтрализуются продуктами «Лаборатории Касперского». Разберем угрозы подробнее.

Во-первых, бесфайловый троянец RickyBobby, якобы не детектируемый продуктами «Лаборатории Касперского», на самом деле распознается всеми нашими решениями для конечных пользователей и организаций. Более того, наши продукты не только детектируют этот зловред, но и помогают избежать заражения и даже дезинфицировать систему в случае, если троянец проник в компьютер, защищенный другим антивирусом или устаревшей версией продукта «Лаборатории Касперского».

Во-вторых, в отчете упоминаются другие зловреды (Fine Dining и Grasshopper), которые также якобы не распознаются продуктами «Лаборатории Касперского». Однако в отчете нет никаких подробностей об этих вредоносных программах. Мы продолжим расследование этого вопроса и сообщим о результатах, как только это будет возможно.

Однако не очень-то верится в то, что эти зловреды способны обойти защиту, потому что, например, Fine Dining использует вышеупомянутую уязвимость TDSS Killer, дающую возможность скомпрометировать DLL-библиотеку, но эта брешь уже закрыта. Также стоит отметить, что в продуктах «Лаборатории Касперского» есть сразу несколько уровней защиты: эмуляция, эвристика, вышеупомянутый System Watcher и система автоматической защиты от эксплойтов; плюс многие из компонентов полагаются на машинное обучение. Эти технологии способны проактивно детектировать киберугрозы на основе поведенческих характеристик, и они постоянно совершенствуются, чтобы защищать от новых вредоносных техник. Мы проанализировали отчет и считаем, что наши клиенты хорошо защищены от Fine Dining и Grasshopper.

В-третьих, в отчете говорится о зловредах HammerDrill, API Memcry и Trojan Upclicker, которые используют разнообразные техники, чтобы избежать распознавания решениями на базе технологий эмуляции.

Наш эмулятор имеет длинную историю, его разработка началась еще в 90-х, а его совершенствование продолжается до сих пор. Способность определять технику, с помощью которой пытается прятаться Trojan Upclicker, реализована в нашем эмуляторе уже более года. Остальные два зловреда нейтрализуются благодаря многоуровневой защите в продуктах «Лаборатории Касперского».

В-четвертых, в отчете описан компонент MBR File Handle, способный обойти защиту и внедрить зловред в главную загрузочную запись ОС. На самом деле для противодействия этой технике в продуктах «Лаборатории Касперского» имеется технология нейтрализации руткитов, благодаря которой можно детектировать и нейтрализовывать даже самые сложные буткиты.

В-пятых, в отчете содержится информация о приложении Bartender, которая собирает сведения об установленных программах. Эта функциональность де-факто не является вредоносной и используется многими легитимными приложениями. Однако продукты «Лаборатории Касперского» могут обеспечить защиту и от таких программ, если в настройках выбрать высокий уровень защиты.

Забавные факты

Оставшиеся два упоминания «Лаборатории Касперского» в отчете Wikileaks в контексте создания вредоносных программ звучат довольно забавно.

Во-первых, инструмент под названием DriftingShadows проверяет компьютер на наличие установленных продуктов «Лаборатории Касперского», и, если они есть, он… не делает вообще ничего. Получается, что вирусописатели попытались обойти нашу защиту, но не смогли, так что они предпочли попросту избегать устройств, защищенных нашими продуктами, чтобы не обнаружить себя.

В-вторых, в документах описана своего рода игра под названием «Bonus: Capture the Flag» («Бонус: захват флага»), в которую играют вирусописатели. Задача игры: создать зловред, способный обойти защиту «Лаборатории Касперского». Звучит довольно лестно: выходит, что они считают наши решения своего рода эталоном кибербезопасности.

Заключение

Внимательно изучив отчет на Wikileaks, мы обнаружили сведения о двух уязвимостях, а также несколько упоминаний «Лаборатории Касперского», в том числе в контексте наших исследований APT-кампаний Duqu 2.0 и Equation. Обе описанные уязвимости уже давно закрыты и не представляют опасности для клиентов. Что касается остальных вредоносных инструментов и техник, они детектируются нашими продуктами.

Однако мы продолжим внимательно следить за ситуацией по мере того как Wikileaks будет публиковать более подробные сведения. В любом случае, мы хотели бы заверить клиентов, что мы проанализируем новые возможные уязвимости в приоритетном порядке.

Любой программный продукт может содержать изъяны, так как при разработке нельзя гарантировать 100% неуязвимость продукта. Мы постоянно совершенствуем процесс разработки, но также мы стараемся максимально оптимизировать процесс исправления обнаруженных уязвимостей. В конце концов, важно прежде всего то, насколько быстро и эффективно вендор способен исправить недостатки продукта.