Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Antywirus pod ostrzałem

Antywirus pod ostrzałem

Skutki udanego ataku na antywirusa mogą być poważniejsze od przełamania zabezpieczenia stacji roboczej.

78%

organizacji nie chroni informacji o używanych antywirusach.

Pierwszym etapem ataku jest zazwyczaj rozpoznanie stosowanej ochrony. Wbrew pozorom, identyfikacja wykorzystywanego oprogramowania antywirusowego jest bardzo prosta. Ze względów marketingowych, niektóre produkty umieszczają w treści maila informacje o swojej wersji przy domyślnych ustawieniach, podając przy tym stan aktualności bazy sygnatur i programu (robi tak np. ESET NOD32). Jest to jeden z błędów w strategii bezpieczeństwa firmy, dlatego takie "dodatki reklamowe" należy bezwzględnie wyłączać, nie warto chwalić się oprogramowaniem antywirusowym na serwerze poczty.

Nagłówki pod lupą

Wiele mogą powiedzieć o firmie nagłówki wiadomości pocztowych. Aby je poznać, wystarczy wysłać e-mail do nieistniejącego adresata i analizować wiadomość zwrotną. Jeszcze lepsze skutki odnosi prośba o odpowiedź, kierowana do użytkownika wewnątrz firmy, wsparta zarchiwizowaną wiadomością e-mail, znalezioną w Internecie.

Przykładowe fragmenty nagłówka - X-IronPort-AV: E=Sophos;i="4.44,431,1249272000" - mówią o tym, że rozwiązanie IronPort wykorzystuje motor firmy Sophos w podanej wersji, cyfry 1249272000 określają datę aktualizacji w formacie UNIX timestamp (co odpowiada 2009-08-02 23:00:00 -0500). Inne programy, takie jak Avast, podają podobne informacje w nagłówkach X-Antivirus (przykładowo VPS 090614-0, 2009-06-14). Dysponując podatnością konkretnych wersji antywirusa, czasami dostępną online, można już zacieśniać krąg wyboru eksploitów.

Podrzucić przynętę

Gdy obie powyższe metody zawodzą, specjaliści rozpoznają motor za pomocą kolejnych przybliżeń, wysyłając załącznik, który powinien wywołać reakcję antywirusa. Analiza odpowiedzi może ujawnić rodzaj i stan aktualności danego motoru. W ten sposób można się dowiedzieć o tym, że w firmie pracuje Proofpoint z motorem F-Secure (X-Proofpoint-Virus-Version), IronPort (X-IronPort-AV), Trend Micro (X-TM-AS-Product-Ver), McAfee (The WebShield(R) e500 Appliance discovered a virus) czy Barracuda (X-Barracuda-Virus-Scanned).

Jeśli nawet to nie przynosi rozstrzygnięcia, napastnicy wykorzystują specjalnie przygotowane próbki znanego złośliwego oprogramowania. Załącznik ten opracowano w ten sposób, że wywołuje reakcję jedynie konkretnego motoru lub co najwyżej kilku z nich. Kilkukrotne próby przeprowadzane tą drogą umożliwiają ograniczenie wyboru do konkretnego motoru w określonym stanie aktualności baz.

Organizacje mówią o sobie zbyt wiele

Podczas testów, które przeprowadzali Jon Oberheide oraz Farnam Jahanian z Uniwersytetu Michigan, wysłanie wiadomości na nieistniejący adres i analiza e-maila zwrotnego ujawnia informacje o ochronie w 137 przypadkach na 483 (28,4%). Drugi eksperyment, polegający na wysłaniu załącznika z testowym pseudowirusem EICAR, dał rezultat w 77,9% badanych przypadków.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas