22.10.2021

Эксплоиты в системах Windows

Bitdefender > Статьи > Эксплоиты в системах Windows

Основным аспектом безопасности облачной инфраструктуры является то, что облачные рабочие нагрузки выполняются на серверах в локальном центре обработки данных или во внешнем центре обработки данных. Например, в общедоступной облачной инфраструктуре как услуге или других размещенных службах.

Облачные рабочие нагрузки часто имеют прямой доступ к конфиденциальным данным и занимают место «один ко многим». Многие пользователи используют решения, которые обеспечивают эти рабочие нагрузки, и нарушение облачной рабочей структуры (кража данных, бесфайловая атака или программа-вымогатель) существенно влияет на организацию.

Именно поэтому защита серверов является неотъемлемой частью комплексной стратегии безопасности облачных рабочих нагрузок.

Уязвимости, эксплойты и атаки

Уязвимости — это сбои в программном стеке (операционной системе или приложениях), которые дают злоумышленнику возможность получить доступ к системе.

Эксплойт – это метод использования уязвимости для получения доступа к системе.

Атака — это использование эксплойта против уязвимых систем для достижения желаемого результата, такого как захват данных или шифрование ценной информации для хранения с целью выкупа.

Например, EternalBlue — это набор эксплойтов, разработанный для использования уязвимости нулевого дня Windows SMB. Набор эксплойтов EternalBlue якобы был разработан американской разведкой. Хотя исправления для уязвимости были разработаны быстро, злоумышленники использовали набор эксплойтов для распространения вредоносных программ быстрее, чем организации исправляли свои системы.

Чрезвычайно важны инструменты для предотвращения использования уязвимостей, ведь организациям сложно установить исправления на наиболее важные ресурсы прежде, чем злоумышленники воспользуются преимуществом.

Что искать для защиты?

  • Полный стек предотвращения, управляемый с единой консоли.
  • Применимость в мульти-гибридном облаке, конечных пользователях и серверах.
  • Защита в режиме ядра и в пользовательском режиме, включая инфраструктуру виртуальных рабочих столов (полный сеанс, узлы служб терминалов, протокол удаленного рабочего стола).
  • Защита памяти ядра для остановки повышения привилегий и утечек LSASS.
  • Защита памяти пользователя для устранения наиболее распространенных источников риска, таких как веб-браузеры и плагины, инструменты и утилиты повышения производительности, а также другие часто используемые приложения.

Bitdefender Windows Anti-Exploit

Возможности Bitdefender для защиты от эксплойтов Windows сосредоточены на предотвращении. Мы понимаем, что полезная нагрузка вредоносного ПО является признаком нарушения, а не причиной.

В идеале остановить атаку до того, как будет достигнута точка опоры. Независимо от того, успешна атака или нет, исследователям требуется прямая информация и подробные инструменты для навигации по цепочке атаки и определения первопричины.

Различные методы безопасности (рандомизация адресного пространства, белый список и пр.) приносят пользу, но не покрывают спектр рисков.

Уязвимости в операционных системах Windows (серверах и конечных пользователях) и приложениях, которые они запускают, представляют серьезный риск, и надежное приложение может выйти из строя.

Методы защиты от эксплойтов Bitdefender используют широкий спектр возможностей обнаружения и устранения уязвимостей. Ниже приводится список средств предотвращения и обнаружения Bitdefender, который всегда расширяется на основе нашей передовой аналитики угроз.

Покрытие серверных платформ

Технология защиты от эксплойтов Bitdefender Windows Server доступна всем клиентам GravityZone, которые размещают облачные рабочие нагрузки в следующих операционных системах:

  • Windows Server 2019
  • Windows Server 2019 Core
  • Windows Server 2016
  • Windows Server 2016 Core
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Small Business Server (SBS) 2011 г.
  • Windows Server 2008 R2

Обнаружение пользовательского режима

  • CVE-2016–4117 – эксплойт нулевого дня Flash, используемый в целевых атаках.
  • CVE-2018-8174 – эксплойт нулевого дня VBScript, используемый в целевых атаках и получивший название «Double Kill».
  • CVE-2021-1732 – эксплойт нулевого дня Win32k «Повышение уровня привилегий», используемый BITTER APT в целевых атаках.
  • Создание исполняемых страниц памяти для данных.
  • Взлом потока кода с использованием техники ROP путем: проверки целей вызова, местоположения стека, проверки выравнивания адреса стека.
  • Выполнение кода непосредственно в стеке с использованием техники ROP путем проверки диапазона адресов возврата.
  • Повреждение стека с помощью техники ROP путем проверки защиты страницы стека.
  • Попытки использования Flash Player.
  • Выполнение вредоносного кода в Flash Player путем сканирования Flash-объектов в памяти.
  • Попытки использования VBScript.
  • Создание новых процессов или загрузка файлов с использованием шелл-кода.
  • Выполнение кода по сетевым путям с использованием шелл-кода.
  • Обход проверок безопасности для создания новых процессов.
  • Доступ к чувствительным системным функциям из экспорта DLL.
  • Внедрение вредоносного кода путем проверки вновь созданных потоков.
  • Создание обратной оболочки путем сканирования исполняемых страниц памяти.
  • Создание новых процессов с использованием устаревших технологий.
  • Взлом потока кода с использованием техники ROP путем проверки выполнения внутри редактора формул.
  • Выполнение кода через удаленно связанные моникеры через офисные макросы.
  • Попытки вредоносного кода получить доступ к чувствительным системным функциям из импорта DLL.
  • Выполнение важных системных функций путем злоупотребления виртуальными таблицами объектов.

Другие возможности

Смягчение в пользовательском режиме:

  • Принудительное предотвращение выполнения данных (DEP), чтобы заблокировать запуск кода со страниц данных.

Обнаружение режима ядра:

  • Предотвращение получения процессами несанкционированных привилегий и доступа к ресурсам.

Смягчение в режиме ядра:

  • Запретить процессам читать память процесса lsass.exe и получать учетные данные для использования для бокового перемещения в другие системы в организации.

Обратите внимание, что отдельные обнаружения можно настроить на включение, отключение или только для отчетов, что обеспечивает гибкость при развертывании анти-эксплойта Bitdefender.

Выводы

В современных стеках рабочих нагрузок, от базового оборудования до контейнеров, уязвимости неизбежны. И может возникнуть ощущение, что злоумышленники контролируют ситуацию. Однако действующие механизмы безопасности для предотвращения эксплуатации уязвимостей находятся в вашем распоряжении.

При поиске средств защиты от эксплойтов спросите своего поставщика, созданы ли их средства защиты для серверов и систем конечных пользователей, и узнайте, как и почему.

Ваши облачные рабочие нагрузки, локальные или размещенные, являются наиболее важными активами в вашей среде. Они заслуживают всесторонней защиты.

Bitdefender создал решения для защиты от эксплойтов для защиты ваших рабочих нагрузок, где бы они ни выполнялись, для предотвращения атак и предоставления вашим командам информации и контроля.

Статьи
28.10.2021
Что такое MSP и MSSP, и как они могут увеличить свой доход?
22.10.2021
Эксплоиты в системах Windows
29.03.2021
MITRE ATT & CK Framework в жизни платформы безопасности