Antywirus pod ostrzałem
- 20.10.2009
Skutki udanego ataku na antywirusa mogą być poważniejsze od przełamania zabezpieczenia stacji roboczej.
organizacji nie chroni informacji o używanych antywirusach.
Nagłówki pod lupą
Wiele mogą powiedzieć o firmie nagłówki wiadomości pocztowych. Aby je poznać, wystarczy wysłać e-mail do nieistniejącego adresata i analizować wiadomość zwrotną. Jeszcze lepsze skutki odnosi prośba o odpowiedź, kierowana do użytkownika wewnątrz firmy, wsparta zarchiwizowaną wiadomością e-mail, znalezioną w Internecie.
Przykładowe fragmenty nagłówka - X-IronPort-AV: E=Sophos;i="4.44,431,1249272000" - mówią o tym, że rozwiązanie IronPort wykorzystuje motor firmy Sophos w podanej wersji, cyfry 1249272000 określają datę aktualizacji w formacie UNIX timestamp (co odpowiada 2009-08-02 23:00:00 -0500). Inne programy, takie jak Avast, podają podobne informacje w nagłówkach X-Antivirus (przykładowo VPS 090614-0, 2009-06-14). Dysponując podatnością konkretnych wersji antywirusa, czasami dostępną online, można już zacieśniać krąg wyboru eksploitów.
Podrzucić przynętę
Gdy obie powyższe metody zawodzą, specjaliści rozpoznają motor za pomocą kolejnych przybliżeń, wysyłając załącznik, który powinien wywołać reakcję antywirusa. Analiza odpowiedzi może ujawnić rodzaj i stan aktualności danego motoru. W ten sposób można się dowiedzieć o tym, że w firmie pracuje Proofpoint z motorem F-Secure (X-Proofpoint-Virus-Version), IronPort (X-IronPort-AV), Trend Micro (X-TM-AS-Product-Ver), McAfee (The WebShield(R) e500 Appliance discovered a virus) czy Barracuda (X-Barracuda-Virus-Scanned).
Jeśli nawet to nie przynosi rozstrzygnięcia, napastnicy wykorzystują specjalnie przygotowane próbki znanego złośliwego oprogramowania. Załącznik ten opracowano w ten sposób, że wywołuje reakcję jedynie konkretnego motoru lub co najwyżej kilku z nich. Kilkukrotne próby przeprowadzane tą drogą umożliwiają ograniczenie wyboru do konkretnego motoru w określonym stanie aktualności baz.
Organizacje mówią o sobie zbyt wiele
Podczas testów, które przeprowadzali Jon Oberheide oraz Farnam Jahanian z Uniwersytetu Michigan, wysłanie wiadomości na nieistniejący adres i analiza e-maila zwrotnego ujawnia informacje o ochronie w 137 przypadkach na 483 (28,4%). Drugi eksperyment, polegający na wysłaniu załącznika z testowym pseudowirusem EICAR, dał rezultat w 77,9% badanych przypadków.