چکیده‌ی مدیریتی

ماه مِی 2019، شرکت AV-TEST با استفاده از محصولات مختلف امنیت اندپوینت، آزمایشِ حفاظت تهدیدهای بدون‌فایل انجام داد. به طور کلی 33 حمله‌ی مختلف بدون فایل –که به چهار رده‌بندی تقسیم‌شده بودند - برای آزمایش روی 14 محصول مورد استفاده قرار گرفتند. هدف این آزمایش، پرده‌برداری از قدرت محصولات در شناسایی تهدیدهای بدون‌فایل (تا نرخ شناسایی اندازه‌گیری شود) و توانایی‌شان در محافظت و اصلاح تمامی اقدامات مخرب توسط تهدیدهای بدون فایل بود.  

موارد مورد آزمایش با استفاده از فریم‌ورک‌های خوش‌نام و ترفندحمله‌های ثابت‌شده (با هدف پوشش‌دهیِ حتی‌المقدورِ تکنیک‌های بدون فایل) به صورت درون‌‌سازه‌ای ساخته شدند. ترفندهای بکار رفته شامل اجرای بدافزار از ذخیره‌ی WMI و از طریق Task Scheduler، Powershell و سایر اسکریپت‌ها می‌شد. علاوه بر این، یک آزمایش مثبت کاذب نیز صورت گرفت. تمام آزمون‌ها روی ویندوز 10 (با برنامه‌ی آفیسی که نصب‌شده بود) انجام شد. انتظار می‌رفت در طول آزمون محصولات، حملات مختلفی را شناسایی کرده و از اقدامات آلوده جلوگیری یا آن‌ها را اصلاح کرده باشند. بهترین نتایج شناساییِ بدست‌آمده از سوی کسپرسکی بود (یانرخ شناسایی 100%)؛ این درحالیست که میانگین قابلیت شناسایی تمام محصولات 67.75 درصد بود. بهترین نرخ حفاظت نیز 94.12 درصد بود که باری دیگر کسپرسکی آن را بدست آورد. این درحالیست که میانگین سطح حفاظت تمامی محصولات 59.10 درصد شد. از 14 محصول، 11 محصول در نهایت هم در بخش حفاظت و هم شناسایی به مثبت کاذب صفر رسیدند. نتایج این آزمایش نشان می‌دهد امروزه هر فروشنده‌ای نمی‌تواند تهدیدهای بدون‌فایل را شناسایی و از سیستم‌های اندپوینت محافظت کند. در نظر داشته باشید که ترفندهای بدون‌فایل به طور گسترده‌ای مورد استفاده قرار می‌گیرند (از حملات هدف‌دار گرفته تا حمله به کاربران عادی). از همین رو، توصیه‌مان به فروشندگان امنیتی این است که فناوری‌های خود را ارتقا دهند (صرف‌نظر از اینکه بازاریابی‌شان چه چیزی را تضمین می‌دهد). هیچ نتیجه‌ی محصولی از این گزارش حذف نشده است تا نمای امنیتی از این طریق کامل باشد. 

مقدمه

حملات بدون‌فایل، رویه‌ای خطرناکند که همچنان (در چشم‌انداز فعلی تهدید سایبری) رو به افزایش می‌باشند. در طول سال‌های گذشته، چنین تکنیک‌هایی بیشتر برای حملات هدف‌دار (APT) مورد استفاده قرار می‌گرفت؛ اما اکنون اغلب در حملات کالا[1] نیز دیده می‌شوند. متخصصین امنیتی از قبل، استفاده از ترفندهای بدون‌فایل را در انواع مختلف بدافزارهای شایع (شامل خانواده‌های جدید تروجان، باج‌افزارها، کریپتوماینرهای غیرقانونی و حتی آگهی‌افزارها) را لحاظ کرده‌اند. یکی از نمونه‌های بارز PowerGhost است؛ ابزار بدون‌فایل چندگانه هم برای کریپتوماینینگ و هم حملات DDoS که بسیاری از کامپیوترهای سازمانی را آلوده کرد. واضح است که علت محبوبیت بدافزارهای بدون‌فایل، قابلیت آن‌ها در دور زدن فناوری‌های ضد بدافزار می‌باشد. آنچه این حملات را خاص می‌کند، نبودِ اجزای مبتنی بر فایل است. عاملین تهدید می‌توانند از طریق متودهای مختلفی چون حملات درایو‌بای، داکیومنت‌های آلوده با ماکروز یا اکسپلویت کردن آسیب‌پذیری‌ها، پی‌لودهای بدون فایل را وارد دستگاه قربانی کنند. با این وجود، به جای دانلود فایل‌های آلوده در دیسک و اجرای آنها، بدافزار بدون‌فایل کد مخرب را در مموری یا ذخیره‌گاه قانونی سیستم ویندوزی پنهان کرده و از آنجا آن را اجرا می‌کند (سوءاستفاده از کاربردها و قابلیت‌های قانونی). به طور کلی، استفاده از ابزارهای مبتنی بر سیستم برای تهدیدهای بدون‌فایل، به مهاجم این اجازه را می‌دهد تا روی سیستم قربانی جا خشک کند. شناسایی و اصلاح حمله‌ی بدون‌فایل برای بسیاری از راه‌حل‌های امنیتی به چالشی جدی تبدیل شد؛ زیرا مستلزم اجرای مجموعه‌ی کاملی از فناوری‌های جدید و پیچیده‌تر می‌باشد. یک راه‌حل امنیتی برای شناسایی تهدیدهای بدون‌فایل می‌بایست انواع مختلف ذخیره‌های OS (محتوای ویندوز رجیستری، ابزار مدیریتی ویندوز، ابزارهای زمان‌بندی وظایف[2] و غیره) را مورد بازرسی قرار داده و الگوهای اجرای پروسه‌ها را در سیستم (به طور در لحظه) تحلیل کند. یک راه‌حل امنیتی در صورت شناساییِ منفی صحیح، یک راه‌حل امنیتی باید قادر باشد آلودگی و عفونتِ بدون‌فایل پنهان‌شده در اعماق را از سیستم پاک کند؛ درحالیکه دارد با اجرای اقدامات قانونیِ ادمین جلوی مثبت‌های کاذب را نیز می‌گیرد. چنین اقدامات محافظتی‌ای در مقابل بدافزارهای بدون‌فایل نه می‌تواند توسط فناوری‌های ساده‌ی مبتنی بر امضا ارائه شود و نه متودهای پیشرفته‌ی رسیدگی به فایل مبتنی بر یادگیری- فرقی هم ندارد این متودها چطور در بازار مورد استقبال قرار می‌گیرند. ما این آزمون را انجام می‌دهیم تا متوجه شویم چطور بازار حفاظت تهدید بدون‌فایل را به طور کاربردی مؤثر تضمین داده و ادعاهایش در خصوص مزایای باورنکردنی برخی ابزارهای پیشگیرانه را ثابت می‌نماید. همچنین اینکه می‌خواهیم بدانیم شعارهای مختلف تبلیغاتی تا چه میزان با واقعیت همخوانی دارد. هدف این آزمون این است که قابلیت‌های بدافزار بدون‌فایل را نشان داده و بگوید محصولات امنیتی چطور می‌توانند حملات بدون‌فایل را شناسایی، بلاک و اصلاح کنند- صرف‌نظر از آنچه خود فروشنده‌های امنیتی ادعایش را دارند.  

محتوا

چکیده‌ی مدیریتی

مقدمه

متودولوژی آزمون

محصولات آزمایش‌شده

محیط آزمایش‌شده

موارد آزمایشی

آزمایش دسته‌بندی 1: اجرای بدافزار از ذخیره‌ی WMI

آزمایش دسته‌بندی 2: اجرای بدافزار توسط ابزارهای زمانبندی وظایف

آزمایش دسته‌بندی 3: اجرای اسکریپت پاورشل بعد از اجرای اکسپلویت/ماکروز

آزمایش دسته‌بندی 4: رویکردهایی دیگر

آزمون مثبت کاذب

امتیازدهی

نتایج آزمون: شناسایی و حفاظت

نتایج آزمون: مثبت کاذب

خلاصه

متودولوژی آزمون

این آزمون بر طبق اطلاعات زیر انجام شده است.

گزارشات شامل تمامی نتایج محصولاتی می‌شود که از اول در آزمون درخواست داده شدند؛ هیچیک از آن‌ها روی نتایج بدست‌آمده به طور مستقل از گزارش جدا نشدند. برای این آزمون هیچ روند بازخوردی وجود نداشته است. در طول بخش شناسایی این آزمون، ما برای هر راه‌حل امنیتی بررسی کردیم آیا می‌توانستند در برابر اقدامات اجراشده هشدارهایی بدهند یا خیر. در بخش محافظت نیز این موضوع را بررسی کردیم آیا راه‌حل امنیتی قادر بود هر عمل بدافزارای آلوده‌ی این حمله را محافظت کرد و یا آن را اصلاح کند یا خیر.

محصولات آزمایش‌شده

تمام محصولات آزمایش‌شده در تب زیر فهرست شده‌‌اند. محصولات شرکت‌های کاربن بلک، کراداسترایک، پالو آلتو و سنتین‌وان در گروه «فروشنده A» تا «فروشنده B» (در ترتیبی تصادفی) قرار گرفتند- به دلیل محدودیت در انتشار نتایج‌شان. این محصولات در تنظیماتی پیش‌فرض مورد آزمایش قرار گرفتند.

محیط آزمایش‌شده

میزبان مهاجم مبتنی بر KALI LINUX برای آماده‌سازی و انجام حملات مورد استفاده قرار گرفت. میزبان مورد حمله با مایکروسافت آفیس 2013 و همچنین محصول آزمایش‌شده (در حالت نصب) Microsoft Windows 10 RS3  را اجرا می‌کرد. میزبانی که به طور مضاعف مورد حمله قرار گرفته بود (بدون محصول تست‌شده) به منظور اعتبارسنجیِ مفهوم اجرای حمله مورد استفاده قرار گرفت. میزبان‌های مورد حمله آماده شده بودند برای دربرگرفتن فایل رمزی .docx در فولدر c:\users\vtc\Documents\secret.docx.. کانکشن‌های سرور FTP و HTTP روی دستگاه KALI Linux پیش از اجرای آزمون‌ها چک شدند.

سرورهای HTTP و FTP به شرح زیر آماده شدند:

سرور HTTP روی Kali:

• از پایانه
• apache2ctl start|stop|restart|graceful|

سرور FTP روی Kali:

• apt-get install python-pyftpdlib
• run “python -m pyftpdlib -p 21 -w” from the ftp dir

همه‌ی دستگاه‌ها در همه‌ی برهه‌های زمانی به اینترنت دسترسی داشتند و همچنین پایگاه‌های ضدبدافزار نیز آپدیت شده بودند.

موارد آزمایشی

حملات مختلف بکاررفته در این آزمون  به چهار دسته‌بندی زیر تقسیم شدند:

آزمایش دسته‌بندی 1: اجرای بدافزار از ذخیره‌ی WMI

موارد آزمایشیِ این دسته‌بندی با مکانیزم اشتراک WMI در سیستم عامل Microsoft Windows از فناوری معروف مقاومت استفاده می‌کنند. دو عامل اصلی آلودگی مورد آزمایش قرار گرفتند:

• اشتراک WMI بعد از اجرای فرمان پاورشل نصب شد (در فضای غیرآزمایشی این کار می‌تواند بعد از پروسه‌ی اکسپلویت یا اجرای ماکروهای آلوده‌ی آفیس انجام شود).
• اشتراک WMI بعد از اجرای فایل مخرب LNK نصب شد.

در همه‌ی موارد آزمایش‌شده، مرحله‌ی اول اسکریپت پاورشل با استفاده از اشتراک WMI اجرا شد. هدف از مرحله‌ی اول اسکریپت پاورشل، دانلود مرحله‌ی دوم اسکریپت پاورشل از وب‌سرور ریموت است. تکنیک‌های مشابه نیز به طور گسترده‌ای توسط APT‌ها و آگهی‌افزارها استفاده می‌شوند. به طور کلی، چهار مورد آزمایش‌شده تهیه دیده شده و مورد آزمایش قرار گرفتند.

آزمایش دسته‌بندی 2: اجرای بدافزار توسط ابزارهای زمانبندی وظایف

در این دسته‌بندی، Task Scheduler (مؤلفه‌ی قانونی مایکروسافت ویندوز) برای اجرای تکنیک مقاومت و اجرا روی میزبانی قربانی استفاده می‌شود. وظیفه‌ی مخرب Task Scheduler با کمک اجرای فرمان پاورشل یا اکسپلویت مایکروسافت آفیس (CVE-2017-0199) نصب می‌شود. در حملات In-The-Wild، معمولاً بعد از اکسپلویت آسیب‌پذیری، ماکروز آلوده‌ی آفیس یا صرفاً اجرای فایل قابل‌اجرای آلوده پیاده‌سازی می‌شود. قابلیت اصلی Task Scheduler نصب‌شده دانلود و اجرای مرحله‌ی دوم اسکریپت پاورشل از میزبان ریموت است. در این سناریو، راه‌های مختلفی از اجرای مرحله‌ی دوم استفاده شد که عبارتند از:

• اجرای پی‌لود meterpreter
• اجرای پی‌لود meterpreter با کمک تکنیک ReflectivePEInjection
• اجرای پی‌لود آلوده که در منبعی قانونی مانند pastebin ذخیره می‌شود

در کل 10 مورد آزمایشی تهیه و آزمایش شد.

آزمایش دسته‌بندی 3: اجرای اسکریپت پاورشل بعد از اجرای اکسپلویت/ماکروز

در این دسته‌بندی، تکنیک‌ها و متودهای مختلفی برای مقاومت بدون‌فایل در دستگاه قربانی استفاده شد. در همه‌ی موارد نهایتاً از پی‌لود meterpreter استفاده شده است. نمونه‌ حملات:

• داکیومنت آلوده‌ی آفیس با ماکروز که برای اجرای meterpreter از PowerShell و Invoke-ReflectivePEInjection استفاده می‌کند. تمام محتواهای آلوده از میزبانی ریموت مهاجمین دانلود می‌شود.
• داکیومنت آلوده‌ی آفیس که از آسیب‌پذیری برای CVE-2017-0199 استفاده می‌کند. پاورشل و Invoke-ReflectivePEInjection  بعد از اکسپلویت موفقیت‌آمیز برای اجرای meterpreter به کار گرفته می‌شوند.

به طور کلی، دو مورد آزمایشی تهیه و آزمایش شد.

آزمایش دسته‌بندی 4: رویکردهایی دیگر

این دسته‌ از موارد آزماشی شامل ترکیبی از تکنیک‌های مختلف بدون‌فایل ITW می‌شوند که عبارتند از:

• استفاده از پیوندهای فایل برای اجرای بدافزار
• استفاده از آسیب‌پذیری SettingContent-MS File Execution
• اجرای ریموت فایل‌های sct

بعلاوه، قابلیت‌های قانونی در چنین سناریوهایی برای اجرای فرمان‌های ریموت مورد استفاده قرار می‌گیرند. از این قابلیت‌ها در حملات APT برای حرکات جانبی استفاده می‌شود. از اینها گذشته، چنین تکنیک‌هایی توسط بدافزارهای ITW (برای پخش در شبکه‌ی قربانی) استفاده می‌شوند. شرح تکنیکِ بکار رفته:

• PsExec legitimate utility for launching malicious xsl file on victim host (https://github.com/kmkz/Sources/blob/master/wmic-poc.xsl).

به طور کلی، 17 مورد آزمایش تهیه و آزمایش شد.

آزمون مثبت کاذب

ما در این بخش، چندین مورد آزمایشی را که توسط ادمین‌ها در مواردی قانونی مورد استفاده قرار می‌گیرند شامل کردیم ؛ اما عاملین می‌توانند از همان تکنیک‌ها برای آلوده‌سازی دستگاه در شبکه استفاده کنند. نمونه‌ موارد آزماشی:

• استفاده از PsExec برای بازیابی اطلاعات از تاریخچه‌ی ریموت
• استفاده از WMIC برای جمع‌آوری اطلاعات درخصوص فرآیندهای اجرا روی میزبان ریموت
• استفاده از اشتراک WMI برای فعالیت لاگِ سرویس اجرایی در میزبان.

به طور کلی، 3 مورد آزمایشی تهیه و آزمایش شد.

امتیازدهی

انتظار می‌رفت این محصولات، حمله را شناسایی کنند و یا جلوی اقدامات مخرب را بگیرند یا آن را اصلاح کنند. در بخش شناساییِ این آزمون هر نوع شناسایی، برای مثال شناسایی پویا یا ایستا توسط فایروال یا غیره لحاظ شد. از آنجایی که 33 مورد آزمایشی مختلف وجود داشت، ماکسیمم 33 امتیاز می‌شد داد. در بخش محفاظتیِ این تست، تمام اقدامات مختلف آلوده از هر سناریوی تست در دو سطح محافظتی و اصلاح مورد بررسی قرار گرفتند (توسط محصول تحت آزمایش). اگر این محصول با موفقیت، اقدامی را پیشگیری کرده یا آن را اصلاح کرد پس به هر کدام یک امتیاز داده می‌شد. به طور کلی 51 اقدام انجام شد که می‌تواند بالاترین امتیاز ممکن باشد. تست مثبت کاذب شامل سه مورد آزمایشی مختلف بدون‌فایل می‌شد که نباید تشخیص داده می‌شدند. علاوه بر این، در یکی از موارد فایل روی دیسک ساخته شد که نباید (توسط هیچ محصولی) بلاک می‌شد. هر تشخیص غلط یا بلاک‌شده حکم یک مثبت کاذب را داشت.

نتایج آزمون: شناسایی و حفاظت

نتیجه‌ی نرخ کلی تشخیص و حفاظت در نمودارهای زیر به تصویر کشیده شده است: در شکل 1 به درصد و در شکل 2 به میزان دقیق امتیازهای دریافت‌شده. نتایج محصول روی نمودارها توسط ارزش نرخ حفاظت ترتیب‌بندی شده‌اند.

خطوط افقی شکل 2 نشان‌دهنده‌ی بالاترین حد ممکن امتیاز است که یک محصول می‌تواند در دو بخش شناسایی و حفاظت (به طور مستقل) بدان برسد.

تنها کسپرسکی توانست هر 33 حمله را شناسایی کند. معدود محصولات دیگری هم بودند که توانستند تعداد زیادی مورد آزمایشی شناسایی کنند. هیچ محصولی نتوانست کل 51 اقدام صورت‌گرفته در طول اجرای تمامی موارد آزمایشی را تحت پوشش حفاظتی خود قرار دهد. کسپرسکی اما به بالاترین نتیجه‌ی ممکن رسید- 48 امتیاز از 51 امتیاز. نمودارهای زیر، توزیع نرخ شناسایی و حفاظت را در چهار گروه مجزای موارد آزمایشی را نشان می‌دهند.

شکل 3 نشان‌دهنده‌ی توزیع نرخ شناسایی در چهار گروه مجزای موارد آزمایشی می‌باشد که توسط مقدار کل موارد آزمایشیِ شناسایی‌شده مرتب‌سازی شده است. بالاترین امتیاز ممکن برای گروه‌ها هر یک به ترتیب، 4، 10، 2 و 17 می‌باشد. در دسته‌بندی 1# چندین محصول وجود دارد که روی هر 4 مورد آزمایشی هشدار دادند: Bitdefender، Kaspersky، McAfee، Trend Micro، Vendor D و Vendor C. در دسته‌بندی 2# چندین محصول بودند که روی 10 مورد آزمایشی هشدار دادند: Bitdefender، Kaspersky، Trend Micro، Vendor D و Vendor C. دسته‌بندی 3# که تنها دو مورد آزمایشی در آن بود برای بیشتر محصولات دسته‌بندی آسانی بود. در دسته‌بندی 4# تنها محصول کسپرسکی بود که توانست روی 17 مورد آزمایشی هشدار دهد.

شکل 4 نشان‌دهنده‌ی توزیع حفاظت در چهار گروه جداگانه‌ی موارد آزمایشی می‌باشد که بر اساس مقدار کل اقدامات حفاظت‌شده مرتب‌ شده است. بالاترین حد امتیاز به ترتیب 10، 20، 2 و 19 می‌باشند. در دسته‌بندی #1 هیچ محصولی نمی‌تواند جلوی اقدامات مخرب را در موارد آزمایشی بگیرد (به طور کلی 10). کسپرسکی اما بین شرکت‌کنندگان بالاترین امتیاز را دریافت کرد. در دسته‌بندی 2# چندین محصول هستند که می‌توانند جلوی همه‌ی اقدامات آلوده در موارد آزمایشی را بگیرند (به طور کلی 20): Bitdefender، Kaspersky، Trend Micro، Vendor D. در دسته‌بندی 3# با دو مورد آزمایشی هیچ مشکلی برای محصولات ایجاد نکرد (البته برای بیشتر محصولات) و در دسته‌بندی 4# هیچ محصولی نمی‌توانست جلوی اقدامات مخرب بکار رفته در  موارد آزمایشی را یگیرد (به طور کلی 19). Kaspersky و Vendor D از میان شرکت‌کنندگان بالاترین امتیاز را دریافت کردند (18 امتیاز).

نتایج آزمون: مثبت کاذب

بخش نهایی، آزمون منفی صحیح با 3 مورد آزمایشی مختلف بود. انتظار می‌رفت هیچیک از محصولات AV شناسایی نشود و هیچیک از اقدامات بلاک نگردد. تنها سه محصول وجود داشت که در آن‌ها می‌شد چنین تشخیص‌های کاذب یا بلاک‌شده‌ای مشاهده نمود.

خلاصه

نتایج آزمایش، نشان‌دهنده‌ی توانایی واقعی 14 محصول امنیتی موجود در بازار در شناسایی و محافظت در برابر حملات بدون‌فایل است. تنها دو محصول با امتیاز تقریباً کامل به پایان رسید. با این وجود، محصولاتی هم هستند که ظاهراً تمرکز فناوری‌شان روی حفاظت در برابر این ترفندها نیست. فروشنده‌ها ممکن است ترجیح دهند (به جای شناسایی کلی)  برای چنین حملاتی درست زمانی که رخ می‌دهند شناسایی ویژه‌ای اضافه کنند. گرچه شاید این روند در برخی موارد جواب دهد؛ اما ساخت و پیاده‌سازی‌اش زمان می‌برد و در این مدت کاربران نهایی بی‌محافظت می‌مانند. همچنین محصولاتی وجود داشت که گزینه‌هایی برای تنظیمات داشتند (تماماً بلاک کردنِ اجرای اسکریپت‌ها). این به طور مؤثری از برخی حملات بدون‌فایل آزمایش‌شده پیشگیری می‌کند اما در عین حال با منع استفاده‌ی قانونی‌ از تمامیِ اسکریپ‌ها یک سری مثبت کاذب تولید نموده و هزینه‌های آی‌تیِ سنگینی را در بخش حفظ تنظیمات محرومیت موجب می‌شود. بنابراین، این گزینه‌ها برای این آزمون فعالسازی نشده‌اند.

فناوری یکپارچه‌ی Adaptive Anomaly Control کسپرسکی، به آخرین نسخه‌ی خود به روز شده است و می‌تواند به طور خودکار و به صورت گزینشی بلاکِ اقداماتی را که احتمال دارد آلوده باشند (شامل اسکریپت‌هایی روی میزبان‌ها که لازم است بدون مثبت‌های کاذب باشد) فعال می‌کند. این گزینه مشمول ارزیابی فعلی نشد بنابراین تمام محصولات باقیمانده در همان شرایط ماندند. با این وجود، کسپرسکی اندپوینت سکیوریتی کار خود را با بالاترین امتیاز در شناسایی (100%) و حفاظت (94.12%) از میان همه‌ی شرکت‌کننده‌ها تمام کرد.

[1] Commodity attacks

[2] Windows Task Scheduler

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.