Защита от угроз атак на уязвимости системных программных средств
Опять же следуя логике построения КСЗИ «Панцирь+» как эшелонированной системы защиты, далее проведен анализ того, как реализуется защита в предположении о том, что вредоносная программа может быть внедрена в систему правами и может быть запущена с системными правами.
Проведенный анализ защиты КСЗИ «Панцирь+» обрабатываемых данных.
С целью защиты обрабатываемых данных в информационной системе, по полной аналогии с тем, как это делается для учетной записи системного администратора, системному пользователю механизмом контроля доступа к создаваемым файлам может быть предотвращена возможность доступа к данным, обрабатываемым интерактивными пользователями. Поскольку данные, создаваемые системным администратором, во-первых, не представляют собою обрабатываемой конфиденциальной информации, во-вторых, могут использоваться системой, при этом целесообразно создать исключающее правило для учетной записи администратора.
В результате с этой целью должна быть создана разграничительная политика доступа, представленная на рис.90.
Рис.90. Правила запрета системе доступа к файлам, создаваемым интерактивными пользователями
Замечание. Возможность запрета доступа КСЗИ «Панцирь+» системному процессу к любому файловому объекту будет проверена далее.
При реализации правил доступа, представленных на рис.90, системный процесс не сможет осуществить доступ к обрабатываемым в информационной системе данным.
Отметим, что в обязательном порядке системным процессам необходимо запретить возможность прямого доступа к дискам, из интерфейса, представленного на рис.58. Как это делается было рассмотрено ранее.
Вывод. КСЗИ «Панцирь+» обеспечивает защиту обрабатываемых в информационной системе данных от атак со стороны процессов (служб), запускаемых с системными правами.
Основу защиты от атак со стороны системных процессов составляет реализация самозащиты КСЗИ «Панцирь+». Важность эффективного решения данной задачи защиты обусловливается тем, что вредоносному системному процессу разграничиваются права доступа до тех пор, пока КСЗИ «Панцирь+» активна в системе. Естественным будет предположить, что применительно к реализации защиты от целевых атак, особенности которых были рассмотрены ранее, в первую очередь атака будет проведена на КСЗИ «Панцирь+», т.к. в противном случае будет невозможно, даже при наличии системных прав, получить доступ к обрабатываемым данным.
Проведенный анализ технологии реализации самозащиты КСЗИ «Панцирь+».
Применительно к защите от угроз атак на КСЗИ «Панцирь+» со стороны администратора, реализована защита системной службы КСЗИ «Панцирь+», не позволяющая каким либо образом системному администратору на нее воздействовать, в том числе, остановить службу. Проблема же самозащиты службы КСЗИ «Панцирь+» от угроз атак со стороны вредоносных системных процессов, запускаемой также с системными правами, состоит в том, что она будут находиться на том же уровне иерархии работы, что и вредоносная программа (или служба), запущенная с аналогичными системными правами. Известно достаточно много способов реализации атаки системного процесса на системный процесс, например, более десятка подобных способов реализовано в утилите Process Terminator. Понятно, что подобная атака не так просто реализуема на практике, эксклюзивна для конкретного средства защиты, но она потенциально возможна, особенно применительно решению задачи защиты от целевых атак.
Более того, это известные способы, эксплуатирующие известные уязвимости системы, при этом защиту требуется строить в предположении о том, что злоумышленником может быть найдена новая уязвимость в системе (уязвимость нулевого дня), позволяющая реализовать иной, новый способ атаки на системный процесс. Сказанное позволяет сделать вывод о том, что защита от атак на системную службу КСЗИ «Панцирь+» со стороны вредоносных системных процессов не может рассматриваться в качестве возможного решения задачи самозащиты в общем виде.
Проведенный анализ технологии самозащиты КСЗИ «Панцирь+» показал, что она основана на реализации следующих положений.
1. Задача самозащиты реализована на уровне ядра ОС – реализуется не системной службой, а системными драйверами из состава КСЗИ «Панцирь+».
2. Драйверы КСЗИ «Панцирь+» выполнены как не выгружаемые из системы, их нельзя выгрузить системным процессом.
3. В драйверах КСЗИ «Панцирь+» механизм ввода-вывода на основе IRP_MJ_DEVICE_CONTROL не используется механизмами защиты для проверки запросов к ресурсам системы, а служит лишь для уведомления драйверов об изменении режима работы или сбора журналов и статистической информации.
4. Именованные объекты устройств, созданные драйверами, доступны для открытия только определенным приложениям из состава КСЗИ «Панцирь+», что исключает использование DeviceIoControl по отношению к драйверам КСЗИ «Панцирь+» со стороны любых других приложений, запущенных с системными правами.
5. Для обмена информацией с приложениями используются только коды IOCTL предполагающие буферизацию входных и выходных данных средствами менеджера ввода-вывода ОС (METHOD_BUFFERED), таким образом, в драйверы КСЗИ «Панцирь+» никогда не попадают блоки памяти, расположенные в пользовательском адресном пространстве или на выгружаемых страницах памяти. В связи с этим контроля возможности доступа к памяти указанной в параметрах IRP пакета не производится.
6. В структуре передаваемых данных полностью исключены какие-либо описатели (хендлы) или указатели - передаются только идентификаторы или собственно данные в виде массивов байт, поэтому исключено обращение по адресам блоков памяти переданных не менеджером ввода-вывода, а инициатором обмена.
Вывод. Атака на драйверы КСЗИ «Панцирь+» вредоносным системным процессом возможна исключительно при условии возникновения соответствующих уязвимостей непосредственно в драйверах КСЗИ «Панцирь+», а не в системе.
7. Драйверы КСЗИ «Панцирь+» в обязательном порядке проверяют длины входных и выходных буферов данных для исключения возможности выхода за пределы этих буферов.
8. Несанкционированное воздействие на системную службу КСЗИ «Панцирь+», в частности ее останов, не приведет к прекращению действия разграничительной политики доступа, в том числе, к файловым объектам (к обрабатываемым данным) и к объектам реестра ОС, реализуемой соответствующими драйверами.
9. Главный драйвер КСЗИ «Панцирь+» контролирует активность службы КСЗИ «Панцирь+», и при ее останове, через заданный соответствующей настройкой администратором безопасности интервал времени, автоматически перезапускает службу (это реализуется правилом запуска службы, которое хранится в соответствующем разделе реестра ОС, защищаемом КСЗИ «Панцирь+»..
10. Соответствующие драйверы реализуют разграничительную политику доступа ко всем объектам КСЗИ «Панцирь+», включая исполнимые файлы, системные настройки, хранящиеся в файловой системе и в объектах реестра ОСЮ файлы журналов аудита, предотвращая возможность доступа к ним с системными правами.
Вывод. Самозащита КСЗИ «Панцирь+» реализуется в общем виде, не предоставляя возможности осуществления успешной атаки на систему защиты вредоносным системным процессом, эксплуатирующим уязвимости ОС.
Проведенный анализ корректности правил доступа, используемых в рамках реализации самозащиты КСЗИ «Панцирь+», и возможности воздействия на них с системными правами.
Проведена проверка корректности разграничительной политики доступа к объектам КСЗИ «Панцирь+», которые хранятся как в файловой системе, так и в реестре ОС, на предмет возможности их модификации, в том числе с системными правами.
Созданные для реализации разграничительной политики доступа защищаемые файловые объекты КСЗИ «Панцирь+» представлены на рис.91.
Рис.91. Защищаемые системные файловые объекты КСЗИ «Панцирь+»
В папке %ARMOUR_ROOT% содержатся все исполнимые файлы, настройки и журналы аудита КСЗИ «Панцирь+». В качестве отдельных объектов созданы папки КСЗИ «Панцирь+», в которых хранятся необходимые данные для автоматического обновления КСЗИ «Панцирь+», в том числе, с целью сохранения ее текущих настроек при обновлении %ARMOUR_ROOT%\tmp, настройки КСЗИ «Панцирь+» - папка %ARMOUR_ROOT%\etc, журналы аудита папка %ARMOUR_ROOT%\log. Соответствующим образом в качестве защищаемых объектов созданы и исполнимые файлы КСЗИ «Панцирь+», установленные на системном диске.
Созданные субъекты доступа приведены на рис.92.
Рис.92. Субъекты доступа
Субъекты доступа упорядочены по точности их описателя сверху вниз.
Созданные правила доступа субъектов к объектам представлены на рис.93.
Рис.93. Правила доступа
Данные правила являются частью общей разграничительной политики доступа.
Проверка корректности правил самозащиты. Службы и процессы КСЗИ «Панцирь+» имеют неограниченное право доступа к объектам системы защиты. Системе разрешается полный доступ к папке %ARMOUR_ROOT%\tmp для обеспечения соответствующей возможности по автоматическому обновлению системы защиты. Чтение (не запись или модификация) папки %ARMOUR_ROOT%, что не может повлиять на самозащиту КСЗИ «Панцирь+», разрешается из тех соображений, что в противном случае будет очень много отказов в доступе, что проиллюстрировано на рис.94.
Рис.94. Иллюстрация аудита доступа
В том случае, если система обратится к иным папкам из %ARMOUR_ROOT%, для нее будут действовать те же правила, что и для любого иного субъекта доступа, для которых запрещена возможность модификации системных объектов КСЗИ «Панцирь+», а также чтения настроек и журналов аудита системы защиты, см. рис. 93.
Замечание. Заданные рассмотренным правилом права доступа для субъекта доступа Система к файловым объектам КСЗИ «Панцирь+» приведет к множественной регистрации событий отклонения системных запросов доступа на чтение и исполнение. Поэтому целесообразно изменить эти правила, так, как показано на рис.95, что не приведет регистрации событий, не являющихся потенциально опасными для системы.
Рис.95. Модифицированные правила доступа к файловым объектам КСЗИ «Панцирь+» для субъекта доступа Система
По полной аналогии реализована разграничительная политика доступа к объектам реестра ОС, используемым КСЗИ «Панцирь+». Созданные объекты доступа приведены на рис.96, созданные правила доступа – на рис.97.
Рис.96. Защищаемые объекты реестра, используемые КСЗИ «Панцирь+»
Рис.97. Правила доступа
Вывод. Реализуемая средствами КСЗИ «Панцирь+» разграничительная политика доступа не позволяет осуществить несанкционированный доступ к исполнимым и системным объектам КСЗИ «Панцирь+» ни с правами интерактивного, ни с правами системного пользователя, в том числе ею предотвращается воздействие на эти объекты антивирусными средствами защиты, при их использовании совместно с КСЗИ «Панцирь+».
Проведена проверка корректности реализации защиты исполнимых и системных объектов КСЗИ «Панцирь+» от атак со стороны системных процессов, в рамках которой были проведены следующее испытания.
Сначала была проведена проверка в отношении статичных файловых объектов. В рамках проведенного испытания было создано тестовое правило доступа, запрещающее доступ системе к папке, хранящей исполнимые файлы и настройки КСЗИ «Панцирь+», см. рис.98.
Рис.98. Тестовое правило запрета доступа
С использованием последовательности команд, приведенной на рис.99.а, был запрошен доступ к соответствующему защищаемому файловому объекту КСЗИ «Панцирь+» с системными правами, в котором было отказано, запись об этом появилась в соответствующем журнале аудита, см. рис.99.б.
