Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ochrona nadal jest bezpieczna

Dodany 19 kwietnia 2017, 09:57 CEST

Niedawno WikiLeaks opublikował raport, który, jak twierdzą jego autorzy, ujawnia narzędzia i taktyki stosowane przez sponsorowaną przez rząd organizację w celu włamywania się do komputerów użytkowników i obchodzenia zainstalowanych rozwiązań bezpieczeństwa.

Lista produktów bezpieczeństwa, w których złamano zabezpieczenia, obejmuje dziesiątki producentów i dotyczy całej branży cyberbezpieczeństwa. Opublikowany raport zawiera opis luk w zabezpieczeniach produktów bezpieczeństwa, które mogą zostać wykorzystane w celu obejścia ochrony i zagrożenia bezpieczeństwu użytkowników.   

Bezpieczeństwo klientów stanowi najwyższy priorytet dla firmy Kaspersky Lab, dlatego wszelkie informacje, które dotyczą ochrony użytkowników, traktujemy bardzo poważnie. Wszystkie zgłoszone luki w zabezpieczeniach są przez nas dokładnie badane.  

Opublikowany raport zawiera opisy dwóch luk w zabezpieczeniach produktów firmy Kaspersky Lab, które zostały już usunięte. Zawiera również kilka wzmianek dotyczących technologii firmy oraz wcześniejszego badania dot. Zaawansowanych długotrwałych zagrożeń (APT). Chciałbym skorzystać z okazji i odnieść się do potencjalnych obaw dotyczących tego raportu oraz przedstawić wiarygodne informacje z pierwszej ręki świadczące o tym, że żadne z obecnych produktów i technologii firmy Kaspersky Lab nie są podatne na ataki.    

Luki w zabezpieczeniach rozwiązań bezpieczeństwa

Przede wszystkim, chciałbym podkreślić, że wymienione w raporcie luki w zabezpieczeniach produktów firmy Kaspersky Lab dotyczą starszych wersji produktów i zostały ujawnione i usunięte już jakiś czas temu. Aktualne wersje naszych produktów nie są podatne na wykorzystanie przez wspomniane narzędzia i taktyki.     

Luka “heapgrd” DLL inject została wykryta i usunięta w produktach firmy Kaspersky Lab jeszcze w 2009 roku. Luka ta umożliwiała szkodliwemu użytkownikowi załadowanie biblioteki DLL osoby trzeciej zamiast pliku WHEAPGRD.dll, a tym samym obejście ochrony. Została załatana począwszy od produktu Kaspersky Internet Security 9 oraz Kaspersky Antivirus for Workstations MP4. Produkty wymienione w związku ze wspomnianymi lukami (Kaspersky Internet Security 7 i 8 oraz Kaspersky Antivirus for Workstations MP3) są przestarzałe i nie są już wspierane. Wszystkie obecne rozwiązania firmy Kaspersky Lab podlegają przed wydaniem obowiązkowym testom pod kątem tych luk.       

Wspomniana w raporcie WikiLeaks luka TDSS Killer's DLL inject została załatana w 2015 roku.

Charakterystyka zachowania produktu

Z raportu wynika również, że rozwiązania bezpieczeństwa firmy Kaspersky Lab nie blokują wstrzykiwania DLL do procesów użytkowników oraz svchost.exe. W rzeczywistości, zapewniamy ochronę przed tego rodzaju atakami – w inteligentniejszy sposób, który elegancko łączy ochronę z większą wygodą użytkownika.

Obecnie dość powszechną praktyką jest wstrzykiwanie kodu do procesów użytkownika przez legalne aplikacje. W celu skutecznego odróżnienia legalnych działań od szkodliwych, śledzenia zmian oraz odtwarzania niechcianych modyfikacji dokonanych przez aplikację w systemie produkty firmy Kaspersky Lab zawierają od 2011 roku komponent Kontroli systemu. Kontrola systemu monitoruje wszystkie procesy na urządzeniu, w tym svchost.exe, i potrafi wykrywać szkodliwe zachowanie, blokując je oraz cofając szkodliwe zmiany.

Raport opisuje również kilka narzędzi i szkodliwych programów, które zostały wykorzystane do gromadzenia danych i przeniknięcia do komputerów użytkowników. Jednak wszystkie z nich mogą zostać zneutralizowane przy użyciu produktów firmy Kaspersky Lab. Przyjrzyjmy się im bliżej.  

Po pierwsze, bezplikowy trojan RickyBobby rzekomo nie jest wykrywany przez produkty firmy Kaspersky Lab - co nie jest zgodne z prawdą. Wszystkie produkty dla użytkowników indywidualnych i przedsiębiorstw potrafią wykrywać tego trojana, zapobiegać infekcji i leczyć system chroniony przy pomocy rozwiązania bezpieczeństwa, które jest przestarzałe lub dostarczane przez osobę trzecią.    

Po drugie, w raporcie wspomniano o dwóch innych próbkach szkodliwego oprogramowania (Fine Dining oraz Grasshopper), które rzekomo nie są wykrywane przez produkty firmy Kaspersky Lab. Nie podano jednak dalszych szczegółów dotyczących tych szkodników. Zbadamy tę sprawę i poinformujemy o wynikach, jak tylko będą dostępne jakieś szczegóły.  

Poza tym, mamy pewne wątpliwości: z raportu wynika, że Fine Dining opiera się na wspomnianej wcześniej luce umożliwiającej wstrzykiwanie DLL w TDSS Killer, która została już załatana. Warto również wspomnieć, że produkty firmy Kaspersky Lab zapewniają wiele poziomów ochrony, takich jak emulacja, heurystyka, Kontrola systemu czy Automatyczne zapobieganie exploitom, w tym wspieranych przez wiodące w branży systemy uczące się. Technologie te potrafią wykrywać cyberzagrożenia w sposób proaktywny w oparciu o ich zachowanie i są nieustannie udoskonalane w celu przeciwdziałania nowym technikom stosowanym przez szkodliwych użytkowników. Analiza raportu pozwala nam wierzyć, że nasi klienci są już chronieni przed takimi zagrożeniami jak Fine Dining czy Grasshopper.  

Po trzecie, raport wymienia HammerDrill, API Memcry oraz trojana Upclicker, które wykorzystują różne techniki w celu uniknięcia wykrycia przy użyciu technologii emulatora. 

Historia emulatora firmy Kaspersky Lab sięga początku lat 90. Jest on oceniany jako jeden z najlepszych w branży cyberbezpieczeństwa i nieustannie udoskonalany. Przykładowo, funkcja umożliwiająca zwalczanie metody maskowania stosowanej przez opisywanego trojana Upclicker została włączona do emulatora ponad rok temu. Z pozostałymi dwoma narzędziami skutecznie poradzi sobie wielopoziomowa ochrona dostępna w produktach firmy Kaspersky Lab przeznaczonych zarówno dla użytkowników indywidualnych jak i korporacyjnych.    

Po czwarte, raport wspomina o komponencie MBR File Handle, który potrafi obejść sterowniki rozwiązań bezpieczeństwa, a tym samym zainstalować szkodliwe oprogramowanie w głównym rekordzie rozruchowym systemu operacyjnego.

W rzeczywistości, sztuczkę tą udaremnia technologia antyrootkitowa stosowana w produktach firmy Kaspersky Lab, która umożliwia niezawodne wykrywanie i usuwanie infekcji – nawet najbardziej zaawansowanych bootkitów.

Po piąte, kolejnym narzędziem wymienionym w raporcie jest program Bartender, który gromadzi dane dotyczące zainstalowanego oprogramowania. Funkcjonalność ta nie jest szkodliwa i można ją znaleźć w wielu legalnych aplikacjach. Jednak produkty firmy Kaspersky Lab zapewniają ochronę przed taką aktywnością, jeśli użytkownik wybierze ustawienie wysoki poziom bezpieczeństwahttp://support.kaspersky.com/pl/6309.   

Ciekawostki

Pozostałe dwie wzmianki o Kaspersky Lab w kontekście tworzenia szkodliwego oprogramowania należą do kategorii ciekawostek.

Pierwsza z nich dotyczy narzędzia o nazwie DriftingShadows, które sprawdza, czy na urządzeniu są zainstalowane produkty firmy Kaspersky Lab, i jeśli je znajdzie… - nie robi nic. To oznacza, że twórcom tego szkodnika nie udało się obejść naszych produktów. W efekcie unikają zabezpieczonych urządzeń, aby ich szkodnik nie został złapany.      

Druga dotyczy gry o nazwie Bonus: Capture the Flag, w którą grają twórcy szkodliwego oprogramowania. Próbują oni stworzyć próbkę szkodliwego oprogramowania, która potrafi obejść ochronę firmy Kaspersky Lab. Innymi słowy, szkodliwi użytkownicy uważają nasze produkty za standard cyberbezpieczeństwa.  

Podsumowanie

Podczas dokładnej analizy wspominanego raportu znaleźliśmy dwie luki w zabezpieczeniach i kilka innych wzmianek dotyczących Kaspersky Lab, w tym rozważania odnośnie naszych raportów poświęconych kampaniom cyberszpiegowskim Duqu 2.0 i Equation. Obie luki w zabezpieczeniach zostały załatane dość dawno temu i nie stanowią zagrożenia dla naszych klientów. To samo dotyczy pozostałych wspomnianych w raporcie narzędzi i technik.    

Niezależnie od tego, zachowujemy czujność i nieustannie monitorujemy sytuację. WikiLeaks może opublikować dalsze szczegóły. W każdym razie chcielibyśmy zapewnić klientów, że każdą ewentualną lukę będziemy traktowali jako najwyższy priorytet.

Żaden proces rozwoju nie gwarantuje natychmiastowej, idealnej i stale niezawodnej ochrony. Jesteśmy nastawieni na ciągłe doskonalenie procesu rozwoju i wkładamy wiele wysiłku w usprawnianie procesu łatania nowo wykrytych luk w zabezpieczeniach.