AVLab Test antywirusowej ochrony przed atakami drive-by download
#1
Ciekawy test....
Cytat:Test był bardzo trudny dla wszystkich producentów. Na komputery chronione oprogramowaniem antywirusowym przeprowadzono rzeczywiste ataki z użyciem technik, którymi na co dzień posługują się cyberprzestępcy. Tylko sześciu dostawców aplikacji ochronnych zdołało zatrzymać wszystkie próby ominięcia zabezpieczeń.

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#2
Może i ciekawy ale tak zagmatwany i niejasno wytłumaczony, że pewnie z 90% czytelników nie przebrnie przez pierwszą stronę opisu sobie daruje czytanie. Czy dobrze rozumiem, że jeśli mam najnowszą wersję Firefoxa, to mechanizm ataku, który jest opisany w tekście mnie na dzień dzisiejszy nie dotyczy? Czy dotyczy? Tak się atakuje masowo (tysiące maili z linkami), czy to atak skierowany na kogoś konkretnego?
Odpowiedz
#3
Wykorzystano podatność CVE 2016‐9079 która załatana została już w listopadzie 2016 roku.
Odpowiedz
#4
Czyli test ma charakter rozważań akademickich i przy aktualnej przeglądarce nie ma się co nim przejmować? Takie testowanie skuteczności wykrywania wirusów DOSowych? Smile Dobrze rozumuję?
Odpowiedz
#5
Nie do końca rozumiem ten test miało być driveby a potem autor wyjaśnia że jeśli atak został powstrzymany już na poziomie przeglądarki to po prostu pobierał i ręcznie uruchamiał zainfekowane pliki.
Odpowiedz
#6
Witajcie użytkownicy SG. Jako autor tego badania, wyjaśniam kwestie, które są niejasne:

(25.06.2017, 10:12)karola napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Może i ciekawy ale tak zagmatwany i niejasno wytłumaczony, że pewnie z 90% czytelników nie przebrnie przez pierwszą stronę opisu sobie daruje czytanie. Czy dobrze rozumiem, że jeśli mam najnowszą wersję Firefoxa, to mechanizm ataku, który jest opisany w tekście mnie na dzień dzisiejszy nie dotyczy? Czy dotyczy? Tak się atakuje masowo (tysiące maili z linkami), czy to atak skierowany na kogoś konkretnego?

Niektórych rzeczy nie da się wyjaśnić wprost. Trzeba zrozumieć pewne kwestie techniczne. W każdym razie uwagę przyjmuję na przyszłość. Co do przeglądarki - chociaż exploit był wykorzystany z grudnia i dotyczył wszystkich wersji FF do 51.0, to wykorzystanie exploita 0-day, który również pozwoli na RCE, da takie same rezultaty albo i jeszcze gorsze z punktu widzenia antywirusów.

(25.06.2017, 11:07)karola napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czyli test ma charakter rozważań akademickich i przy aktualnej przeglądarce nie ma się co nim przejmować? Takie testowanie skuteczności wykrywania wirusów DOSowych? Smile Dobrze rozumuję?

Jesteś bezpieczny, ale pod warunkiem, że nie przytrafi Ci się atak, gdzie ktoś zastosuje exploita 0-day. Wtedy najlepiej zdać się na programy zabezpieczające, które chronią przed takimi atakami i posiadają wielowarstwową ochronę.

(25.06.2017, 12:02)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie do końca rozumiem ten test miało być driveby a potem autor wyjaśnia że jeśli atak został powstrzymany już na poziomie przeglądarki to po prostu pobierał i ręcznie uruchamiał zainfekowane pliki.

Jeśli atak był powstrzymany na poziomie przeglądarki np. [F] 1/-/-/-, to zastosowano drugi scenariusz ataku [S], gdzie te same wirusy znajdowały się na złośliwej stronie, do której użytkownik trafi, jeśli jakaś strona zostanie zhackowana i będzie zawierać szkodliwy redirect:

zaufana strona -> przejęcie kontroli nad stroną przez hakerów -> umieszczenie w kodzie strony przekierowania -> użytkownik jest przekierowywany do zainfekowanej strony.

W przypadku scenariusza drugiego, [S], chcieliśmy sprawdzić, czy jest jakaś różnica w ochronie pomiędzy wirusem, który zostanie pobrany przez przeglądarkę i uruchomiony, i tym sam wirusem, który zostanie pobrany na zainfekowaną maszynę i uruchomiony w wyniku uzyskania dostępu do powershella. I okazuje się, że różnice są znaczne.

W przypadku pierwszego ataku [F], gdzie dostęp zdalny do maszyny uzyskiwano poprzez zastosowanie exploita i przeniesienia payloadu (tutaj mamy faktycznie do czynienia z drive-by download), dostęp do interpretera powershell daje przestępcy ogromne możliwości. I większość popularnych antywirusów nie radzi sobie z tym.
Odpowiedz
#7
Można wiedzieć na podstawie czego szkodliwe przekierowanie zostało wykryte jako szkodliwe ?
Odpowiedz
#8
(25.06.2017, 13:10)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Można wiedzieć na podstawie czego szkodliwe przekierowanie zostało wykryte jako szkodliwe ?

W drugim ataku [S], gdzie malware było pobierane manualnie, w kodzie HTML testowej strony znajdował się zobfuskowany kod JavaScript, który przekierowywał do

[Aby zobaczyć linki, zarejestruj się tutaj]

, /malware2.bat, itd. Niektóre antywirusy bez problemu radzą sobie z zaciemnionym kodem, a niektóre blokowały stronę przed zapisaniem malware na dysku (skanowanie w trakcie pobierania).

W skrócie, w pierwszym ataku [F] tam gdzie jest w tabelkach wynik "1/-/-/-", zadziałało albo aktywne skanowanie WWW, więc zagrożenie zostało zatrzymane w przeglądarce, albo też zadziałał moduł do ochrony przed exploitami lub IPS / IDS. Jeśli program antywirusowy posiadał taki moduł, było to doskonale widać w raportach. Załączam dwa pliki. Pierwszy z nich pokazuje Bitdefendera i jego ochronę przed explitami, drugi Eseta i zatrzymanie zagrożenia w przeglądarce.

W drugim ataku [S] mówimy o ochronie WWW, gdzie przed zapisaniem, skanowane są pliki lub popularność adresów IP. Chociaż tutaj kolektywna ochrona na podstawie reputacji nie mogła zadziałać, ponieważ były to adresy IP serwerów wykorzystanych tylko na czas testów.

Dodaję jeszcze skrócony raport detekcji zagrożenia modułem IPS / IDS w oprogramowaniu Quick Heal:

Kod:
Report For - Total Security Intrusion Detection & Prevention
...
Total Security Version - 17.00
........

--------------------------------------------------------------------
Action Taken: Blocked
Vulnerability detected: VID-02008
Description: Mozilla Firefox 'nsSMILTimeContainer::NotifyTimeChange' Use After Free Remote Code Execution
.....


Załączone pliki Miniatury
       
Odpowiedz
#9
Akurat adres z przykładu znajduje się na kilku blacklistach co mogło zaważyć na wyniku.
Odpowiedz
#10
(25.06.2017, 13:49)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Akurat adres z przykładu znajduje się na kilku blacklistach co mogło zaważyć na wyniku.

Znajduje się, bo został tam dodany po znalezieniu malware. To chyba oczywiste. Jest to całkowicie normalne. Ten IP pozostanie na BL przez jakiś czas.
Odpowiedz
#11
Test nie jest jakoś bardzo popularny więc pewnie nie zwróciłabym na niego uwagi ale musimy odpowiedzieć na oficjalne pismo od klienta, któremu sprzedaliśmy produkt, który... nie zdobył najwyższego wyróżnienia, a na pewno nie zasługuje na "potępienie". Stąd moje pytanie. Oczywiście różne portale mają prawo wymyślać sobie dowolne tematy, w końcu z tego żyją. Ale jednak takie publikacje 'ad hoc' wyrwane z kontekstu to sztuka dla sztuki - raczej jako temat na zaliczenie przedmiotu na uczelni Smile
Odpowiedz
#12
(25.06.2017, 16:04)karola napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Test nie jest jakoś bardzo popularny więc pewnie nie zwróciłabym na niego uwagi ale musimy odpowiedzieć na oficjalne pismo od klienta, któremu sprzedaliśmy produkt, który... nie zdobył najwyższego wyróżnienia, a na pewno nie zasługuje na "potępienie". Stąd moje pytanie. Oczywiście różne portale mają prawo wymyślać sobie dowolne tematy, w końcu z tego żyją. Ale jednak takie publikacje 'ad hoc' wyrwane z kontekstu to sztuka dla sztuki - raczej jako temat na zaliczenie przedmiotu na uczelni Smile

AVLab jako jedyny w Polsce testuje oprogramowanie zabezpieczające. Naszymi rekomendacjami chwalą się producenci z całego świata na swoich oficjalnych kanałach. Twoja opinia jest niesprawiedliwa. A fakt, że nie ma pod testem tysięcy komentarzy, nie świadczy o niskiej popularności testu. Poprzedni popularny test dotarł łącznie do 6-cyfrowej liczby użytkowników. Natomiast to, że wasz klient jest niezadowolony i wam to nie pasuje (jako dystrybutorowi lub kimkolwiek jesteście) -- będę dosłowny -- nie bardzo nas to interesuje. Zrobiliśmy swoje - przygotowaliśmy unikalny test na skalę międzynarodową, pomogliśmy kilkunastu producentom w poprawie bezpieczeństwa ich produktów przekazując szczegółowe informacje z badania i użytkownicy końcowi są dzięki temu bardziej bezpieczni. Jeśli jesteście niezadowoleni z tego faktu, skierujcie klienta z pytaniami do nas. Odpowiemy szczegółowo, dlaczego "produkt, który sprzedaliście klientowi wypadł niezadowalająco" i co można zrobić lepiej. Zastanowiłaś się nad tym? Może faktycznie coś nie tak z tym produktem? Ale to AVLab jest teram zły, bo produkt X dostał w kość i pewnie wy jako sprzedawca, nie będziecie mieć przedłużenia licencji z tego tytułu. A guzik nas to obchodzi Smile

(25.06.2017, 16:04)karola napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ale jednak takie publikacje 'ad hoc' wyrwane z kontekstu to sztuka dla sztuki - raczej jako temat na zaliczenie przedmiotu na uczelni

Sądzę, że marketingowa paplanina niektórych producentów jest właśnie takim gadaniem na zaliczanie przedmiotu na uczelni, która jest przekazywana z samej góry do szarego klienta końcowego, który uwierzy w takie zapewnienia bez przekonania się na własnej skórze.
Odpowiedz
#13
Test idealny dla czytelników Komputer Świata.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#14
(25.06.2017, 17:13)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Test idealny dla czytelników Komputer Świata.
Dla mnie to zdawkowe stwierdzenie to zwyczajny spam - ta opinia nic nie znaczy i nic nie wnosi. Nawet nie kumam, czy chodzi o dokopanie czytelnikom "KomputerŚwiat", czy AVLab.  Zresztą to i tak mało istotne.
Moim zdaniem test jest ciekawy, bo bada rzadko testowany wycinek ochrony. Metodologia wytłumaczona i doceniam fakt, że autor zadał sobie nieco trudu, aby napisać tutaj i nam ją przybliżyć. Z mojej strony dzięki i plusik leci... Smile
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#15
Dla Ciebie może tak, ale wielu starszych doświadczeniem użytkowników forum wie, jaką marką są testy Komputer Świata, dla kogo i przez kogo są przeprowadzane.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#16
O masz, jakie emocje! Smile Moim zamiarem nie było obrażanie kogokolwiek, sprawianie przykrości albo zniechęcanie do działania. Test sprawia na mnie wrażanie amatorskie (nie tylko na mnie, zdanie naszych informatyków też takie jest) ale być może dlatego, że jest trochę chaotyczny i zawiły. Co nie wyklucza tego, że może być ciekawy. To jest subiektywne wrażenie i tyle. To co jest jednak istotne, to brak wyraźnego wskazania zarówno w teście, jak i w samym portalu (ja przynajmniej nie znalazłam) wyraźniego zaplecza kompetencyjnego (zarówno merytorycznego jak i formalno-prawnego) uwiarygadniającego głoszone opinie i mogące stanowić argument w ewentualnych postępowaniach - krótko mówiąc, nie wiadomo kim jesteście, poza informacjami nie odbiegającymi od, cytuję: "AVLab skupia w jednym miejscu miłośników oprogramowania antywirusowego oraz bezpieczeństwa w Internecie". Na tym etapie przydałoby się więcej informacji o Waszych kompetencjach.
Odpowiedz
#17
(26.06.2017, 05:59)karola napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

O masz, jakie emocje!
Żadne emocje. Chłodna odpowiedź. Uważam także, że wasza odpowiedź dla klienta powinna być skonsultowana z AVLab. Tym bardziej, że kontakt jest po polsku. To u samego źródła powinniście zasięgnąć opinii na temat wyników osiągniętych przez konkretny program antywirusowy (i dlaczego wyniki są takie a nie inne) i na tej podstawie wypracować oficjalną odpowiedź dla klienta. Oczywiście takiego zapytania nikt nie skierował, więc wasza opinia będzie opierała się na domniemaniach i będzie tylko jednostronna, będzie przedstawiać wasze stanowisko oraz interesy - czyli będzie bojkotować test, "bo coś tam". To jest oczywiste.

Rozumiem falę krytyki. To zrozumiałe, że fani konkretnej firmy nie przyjmują do wiadomości słabego rezultatu, tym bardziej, że wyniki w różnych testach AVLab różnią się diametralnie od rezultatów osiągniętych w labach AV-Comparatives lub AV-Test, gdzie większość testowanych programów zdobywa ocenę ochrony na poziomie 100-98%. Mam duże doświadczenie jeśli chodzi o testy i mógłbym wiele argumentów przytoczyć, co jest nie tak z testami AV-C i AV-T i dlaczego nie są one przystosowane do współczesnych wymagań producentów w sposób, w jaki powinny być. Aczkolwiek branża to akceptuje, ponieważ wysokie wyniki przekładają się na marketing (ale nie na realną ochronę) i są dla tego labu oraz producentów korzystne. Niemniej jednak, zachęcam do pytań dotyczących testu, jeśli jeszcze jakieś się pojawią.

(25.06.2017, 17:13)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Test idealny dla czytelników Komputer Świata.
(25.06.2017, 23:15)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dla Ciebie może tak, ale wielu starszych doświadczeniem użytkowników forum wie, jaką marką są testy Komputer Świata, dla kogo i przez kogo są przeprowadzane.

Trzymajmy się faktów. KŚ nie przeprowadza żadnych testów. Są to przedruki testów AV-C i AV-T zebrane w całość.
Odpowiedz
#18
(26.06.2017, 06:51)adrian.sc napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Uważam także, że wasza odpowiedź dla klienta powinna być skonsultowana z AVLab [...] Mam duże doświadczenie jeśli chodzi o testy i mógłbym wiele argumentów przytoczyć...

Obawiam się, że takie samopotwierdzenie może okazać się niewystarczające. Nadal nie wiadomo, kim właściwie są ludzie (człowiek?) z AVLab, a taka wiedza jest niezbędna do konsultacji w poważnej sprawie.
Odpowiedz
#19
Jeszcze raz zachęcam do kontaktu. To forum nie jest pośrednikiem od załatwiania takich spraw.
Odpowiedz
#20
(26.06.2017, 07:23)adrian.sc napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeszcze raz zachęcam do kontaktu. To forum nie jest pośrednikiem od załatwiania takich spraw.

To prawda. Decyzję o kontakcie na aktualnym etapie postępowania będzie już podejmowała reprezentująca nas kancelaria.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości