Zlepšení ochrany klientů pro systém Windows proti útokům poškozujícím paměť pomocí zásady omezení zneužití paměti

Jak chrání Omezení zneužití paměti aplikace?
Od verze 14
Symantec Endpoint Protection
obsahuje Omezení zneužití paměti, které používá množství metod omezení rizika k zastavení útoků na slabiny softwaru. Například když uživatel klienta spustí aplikaci jako Internet Explorer, útočník může namísto toho spustit jinou aplikaci obsahující škodlivý kód.
Aby mohl zastavit zneužití, omezení zneužití paměti dodá chráněné aplikaci DLL knihovnu. Po zjištění pokusu o zneužití, omezení zneužití paměti ho buď zablokuje nebo ukonči ohroženou aplikaci.
Symantec Endpoint Protection
Zobrazí oznámení uživateli počítače klienta o detekci, a zapíše tuto událost do protokolu zabezpečení.
Zobrazí se například následující oznámení:
Symantec Endpoint Protection: útok: zjištěno přepsání manipulační rutiny strukturované výjimky. Aplikace Symantec Endpoint Protection ukončí aplikaci
<název aplikace>
aplikace
Omezení zneužití paměti bude pokračovat v blokování zneužití nebo ukončení aplikace, dokud klientský počítač nespustí verzi softwaru, ve které je toto zranitelné místo opraveno.
Ve verzi 14 MPx mělo omezení zneužití paměti název Základní ochrana před neoprávněným využitím.
Typy ochrany proti zneužití
Omezení zneužití paměti používá tůzné metody k zamezení zneužití, záleží na tom, která metoda je nejvhodnější pro daný typ aplikace. Například metoda StackPvt i metoda RopHeap obě blokují zneužití zaměřená na Internet Explorer.
Pokud je na vašich počítačích aktivována funkce Microsoft App-V, omezení zneužití paměti neochraňuje procesy Microsoft Office chráněné funkcí App-V.
Požadavky Omezení zneužití paměti
Omezení zneužití paměti je k dispozici pouze v případě, že jste nainstalovali prevenci narušení. Funkce Omezení zneužití paměti používá vlastní sadu samostatných signatur, které se stahují spolu s definicemi prevence narušení. Prevenci narušení a základní ochranu před neoprávněným využitím můžete povolit nebo zakázat nezávisle na sobě.
Od verze 14.0.1 má omezení zneužití paměti vlastní zásadu. Ve vydáních 14MPx je součástí zásady prevence narušení; pokud zásadu prevence narušení zakážete na kartě
Přehled
, zakážete tím omezení zneužití paměti.
K tomu musíte alespoň jednou spustit službu LiveUpdate pro zobrazení seznamu aplikací v zásadě omezení zneužití paměti. Ve výchozím nastavení je ochrana povolena pro všechny aplikace uvedené v zásadě.
Oprava a předcházení falešným poplachům
Omezení zneužití paměti může čas od času ukončit aplikaci na počítači klienta. Pokud určíte že je chování aplikace legitimní a nebylo zneužito, byl detekován falešný poplach. V připadě falešných poplachů zakažte ochranu dokud Symantec Security Response nezmění chování Omezení zneužití paměti.
Následující tabulka ukazuje kroky pro řešení falešných poplachů.
Kroky pro nalezení a odstranění falešného poplachu
Úlohy
Krok 1: Zjistěte, které aplikace jsou počítačích klienta nečekaně ukončovány.
Které aplikace byly ukončeny můžete zjistit následujícími způsoby:
  • Uživatel počítače klienta vám oznámí že aplikace není spuštěna.
  • Otevřte protokol nebo hlášení Omezení zneužití paměti které popisuje která metoda omezení ukončila aplikaci na počítači klienta.
Občas metody omezení nevytvářejí protokoly z podstaty zneužití.
Krok 2: Zakažte ochranu a prověřte metody, které ukončily aplikaci.
Zakažte ochranu na nejnižší možné úrovni tak, aby zůstaly ostatní procesy chráněny. Nevypínejte Omezení zneužití paměti, což dovolí spuštění aplikací, dokud nevyzkoušíte všechny ostatní metody.
Po vykonání následujícíh podúkolů, přejděte na Krok 3.
  1. Nejprve prověřte ochranu aplikace, která byla ukončena metodou omezení.
    Například pokud byla ukončena Mozilla Firefox, nejdříve vypněte buď metodu SEHOP nebo metodu HeapSpray. Metody omezení občas nevytvářejí protokoly událostí z podstaty zneužití, takže si nemůžete být jistí která metoda omezení ukončila danou aplikaci. V takovém případě zakažte ochranné metody aplikace jednu po druhé dokud nezjistíte která metoda aplikaci ukončila.
  2. Prověřte ochranu pro všechny aplikace které chrání pouze jedna metoda omezení.
  3. Prověřte ochranu všech aplikací, bez ohledu na metodu. Tato možnost je podobná zakázání omezení zneužití paměti, ale zde server správy sbírá protokoly událostí pro detekce. Použijte tuto možnost pro zkontrolování falešných poplachů ve starších verzích klientů 14 MPx.
Krok 3: Aktualizujte zásadu v klientském počítači a aplikaci spusťte znovu.
  • Pokud aplikace funguje správně, byl danou metodou omezení detekován falešný poplach.
  • Pokud aplikace nefunguje tak, jak má, byl nález pozitivní.
  • Pokud se aplikace přesto ukončí, proveďte prověrku na omezené úrovni. Například prověřte jinou metodu omezení nebo všechny aplikace které metoda ochraňuje.
Krok 4: Nahlaste falešné poplachy a znovu povolte ochranu pro pozitivní nálezy.
Pro falešné poplachy:
  1. Upozorněte tým společnosti Symantec, že zjištění bylo falešný poplach. Viz: Symantec Insider Tip: Úspěšné odeslání!
  2. Pro ukončenou aplikaci nechte ochranu vypnutou nastavením akce každé metody na
    Ne
    .
  3. Po vyřešení problému Security Response, znovu povolte ochranu změnou akce metody na
    Ano
    .
Pro pozitivní nálezy:
  1. Znovu povolte ochranu změněním akce pravidlo pro danou metodu omezení zpět na
    Ano
    .
  2. Zkontrolujte jestli je k dispozici opravená verze nebo novější vydání infikované aplikace, které opravilo současné slabé místo. Po nainstalování opravené aplikace ji znovu spusťte na počítači klienta a zkontrolujte jestli ji omezení zneužití paměti stále neukončuje.
Nalezení protokolů a hlášení pro události omezení zneužití paměti
Pro nalezení aplikací ukončených omezením zneužití paměti musíte projít protokoly a spustit rychlá hlášení.
  1. V konzole proveďte jednu z následujících akcí:
    • Pro protokolu klikněte na
      Monitory
      >
      Protokoly
      > typ protokolu
      Ochrana před neoprávněným využitím sítě a hostitele
      > obsah protokolu
      Omezení zneužití paměti
      >
      Zobrazit protokol
      .
      Hledejte typ události
      Událost blokování omezením zneužití paměti
      . Sloupek
      Typ události
      zobrazuje metodu omezení a sloupek
      Akce
      zobrazuje jestli byla aplikace ve sloupku
      Název aplikace
      zablokována. Například tento následující protokol značí útok Stack Pivot:
      Útok: ROM změnilo Stack Pointer
    • Pro rychlá hlášení klikněte na
      Hlášení
      >
      Rychlá hlášení
      > typ hlášení
      Ochrana před neoprávněným využitím sítě a hostitele
      > hlášení
      Detekce zmírňování zneužití paměti
      >
      Vytvořit hlášení
      .
      Hledejte blokovaná zjištění omezení zneužití paměti.
  2. Prověřte ochranu ukončené aplikace
    Při testování falešných poplachů změňte chování omezení zneužití paměti tak, aby prověřilo nálezy, ale nechalo aplikaci běžet. V tomto případě nebude omezení zneužití paměti aplikaci chránit.
    Pro prověření ochrany ukončené aplikace
  3. V konzoli klikněte na možnost
    Zásady
    >
    Omezení zneužití paměti
    >
    Omezení zneužití paměti
    .
  4. Na kartě
    Metody omezení
    vedle karty
    Zvolit metodu omezení
    zvolte metodu která ukončila aplikaci, jako například
    StackPvt
    .
  5. Pod sloupcem
    Chráněno
    označte ukončenou aplikace pak změňte možnost
    Výchozí nastavení (Ano)
    na
    Pouze protokol
    .
    Změňte akci na
    Ne
    po ověření že je zjištění opravdu falešný poplach. Obě možnosti
    Pouze protokol
    a
    Ne
    povolí možné zneužití, ale zároveň neukončí aplikaci.
    Některé aplikace mají několik metod omezení které zablokují zneužití; tento krok následujte pro každou metodu individuálně.
  6. (Volitelné) Proveďte jeden z následujících kroků a poté klikněte na tlačítko
    OK
    :
    • Pokud si nejste jistí, která metoda ukončila aplikaci, klikněte na možnost
      Vybrat ochrannou akci pro všechny aplikace pro tuto metodu
      . Tato možnost potlačí nastavení pro všechny metody.
    • Pokud máte mix 14.0.1 klientů a starších klientů verze 14 MPx a chcete otestovat pouze klienty 14.0.1, klikněte na možnost
      Nastavit ochrannou akci pro všechny metody pouze záznam do protokolu
      .
  7. (Volitelné) Pro otestování aplikace bez ohledu na metodu, na kartě
    Pravidla Aplikací
    ve sloupci
    Chráněno
    odklikněte ukončenou aplikaci a poté klikněte na tlačítko
    OK
    .
    Starší verze klientů 14 MPx mají pouze tuto možnost. Po vylepšení na verzi klientů 14.0.1 znovu umožněte ochranu proveďte detailnější ladění. Otevřete protokol
    Stav počítače
    pro zjištění, které klienty běží na které verzi.
  8. V konzoli klikněte na možnost
    Zásady
    >
    Omezení zneužití paměti
    .
  9. Odklikněte políčko
    Povolit Omezení zneužití paměti
    .
  10. Klikněte na tlačítko
    OK
    .
  11. V aplikaci
    Symantec Endpoint Protection Manager
    zkontrolujte, zda je povolena funkce Symantec Insight. Funkce Insight je ve výchozím nastavení povolena.
  12. Do klientského počítače si stáhněte nástroj SymDiag a spusťte jej. Viz: Stažení nástroje SymDiag pro zjištění problémů s produkty
  13. Na
    domovské stránce
    nástroje SymDiag klikněte na možnost
    Collect Data for Support (Shromáždit údaje pro podporu)
    a v části
    Debug logging (Protokolování ladění)
    >
    Advanced (Rozšířené)
    nastavte položku
    WPP Debug (Ladění WPP)
    >
    Trace Level (Úroveň sledování)
    na možnost
    Verbose (Podrobné)
    .
  14. Reprodukujte zjištění falešného poplachu.
  15. Po dokončení shromažďování protokolů odešlete soubor
    .sdbz
    do otevřením nového případu nebo aktualizací stávajícího případu těmito novými informacemi.
  16. Odešlete zjištěnou aplikaci na web SymSubmit a proveďte následující úlohy:
    • Vyberte, kdy ke zjištění došlo, vyberte produkt
      B2 Symantec Endpoint Protection 14.x
      a klikněte na událost
      C5 - IPS
      .
    • V poznámkách k odeslaným informacím uveďte číslo případu technické podpory z předchozího kroku, aplikaci, která zjišťování omezení zneužití paměti aktivovala, a podrobnosti o číslu verze aplikace.
      Můžete přidat například následující: "
      "Zablokovaný útok: útok Return Oriented Programming na vyvolání rozhraní API proti souboru C:\Program Files\VideoLAN\VLC\vlc.exe"
      , verze souboru vlc.exe je 2.2.0-git-20131212-0038. This is not the latest available version but it is the version that our organization is required to use.
  17. V klientském počítači zkomprimujte kopii složky k odeslání, kterou najdete zde:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Tuto složku odešlete technické podpoře a uveďte číslo pro sledování případu falešného poplachu, který jste otevřeli v předchozím kroku. Technická podpora zajistí, aby všechny potřebné protokoly a materiály zůstaly neporušeny a aby byly přiřazeny k příslušnému prošetřování falešného poplachu.