Ochrona klientów z systemem Windows przed atakami na pamięć przy użyciu funkcji Ograniczenie ataków na pamięć

W jaki sposób funkcja Ograniczenie ataków na pamięć chroni aplikacje?
Począwszy od wersji 14, program
Symantec Endpoint Protection
jest wyposażony w funkcję Ograniczenie ataków na pamięć, która powstrzymuje ataki wykorzystujące luki w zabezpieczeniach oprogramowania dzięki technikom ograniczania ryzyka. Jeśli np. użytkownik klienta uruchomi przeglądarkę Internet Explorer, luka w zabezpieczeniach może spowodować uruchomienie innej aplikacji zawierającej destrukcyjny kod.
Aby powstrzymać atak wykorzystujący lukę w zabezpieczeniach, funkcja Ograniczenie ataków na pamięć wstrzykuje do chronionej aplikacji bibliotekę DLL. Po wykryciu próby ataku funkcja Ograniczenie ataków na pamięć blokuje lukę w zabezpieczeniach lub zamyka zagrożoną aplikację. Program
Symantec Endpoint Protection
wyświetla powiadomienie informujące użytkownika komputera klienckiego o wykryciu ataku, a następnie zapisuje zdarzenie w dzienniku zabezpieczeń klienta.
Użytkownik klienta może zobaczyć następujące powiadomienie:
Symantec Endpoint Protection: Atak: Wykryto próbę nadpisania SEHOP. Program Symantec Endpoint Protection zakończy pracę
<nazwa aplikacji>
aplikacja
Funkcja Ograniczenie ataków na pamięć kontynuuje blokowanie luki lub zamykanie aplikacji na komputerze klienckim do chwili uruchomienia na nim wersji oprogramowania, w której luka została usunięta.
W wersji 14 MPx funkcja Ograniczenie ataków na pamięć nosiła nazwę Zapobieganie lukom w zabezpieczeniach.
Rodzaje ochrony przed atakami wykorzystującymi luki w zabezpieczeniach
Funkcja Ograniczenie ataków na pamięć zapewnia ochronę przed wykorzystywaniem luk w zabezpieczeniach, wykorzystując w tym celu szereg technik ograniczania ryzyka, które są dobierane w zależności od rodzaju aplikacji. Przykładowo techniki StackPvt i RopHeap blokują możliwość wykorzystania luk w zabezpieczeniach przeglądarki Internet Explorer.
Jeśli na komputerze jest włączona funkcja Microsoft App-V, funkcja Ograniczenie ataków na pamięć nie chroni procesów pakietu Microsoft Office chronionych przez funkcję App-V.
Wymagania funkcji Ograniczenie ataków na pamięć
Funkcja Ograniczenie ataków na pamięć jest dostępna wyłącznie wówczas, gdy zainstalowano funkcję zapobiegania włamaniom. Funkcja Ograniczenie ataków na pamięć ma osobne sygnatury, które są pobierane wraz z plikami definicji funkcji zapobiegania włamaniom. Funkcje zapobiegania włamaniom i ograniczenia ataków na pamięć można jednak włączać i wyłączać niezależnie od siebie.
Począwszy od wersji 14.0.1 funkcja Ograniczenie ataków na pamięć ma własną zasadę. W wersjach 14 MPx jest ona częścią zasady Zapobieganie włamaniom. Wyłączenie zasady Zapobieganie włamaniom na karcie
Opis ogólny
powoduje wyłączenie funkcji Ograniczenie ataków na pamięć.
Dodatkowo należy uruchomić usługę LiveUpdate przynajmniej raz, aby lista aplikacji pojawiła się w zasadzie Ograniczenie ataków na pamięć. Domyślnie ochrona jest włączona dla wszystkich aplikacji wymienionych w zasadzie.
Korygowanie i zapobieganie wynikom fałszywie dodatnim
Zdarza się, że funkcja Ograniczenie ataków na pamięć nieumyślnie zamknie aplikację na komputerze klienckim. Jeśli użytkownik uzna zachowanie aplikacji za prawidłowe i niezwiązane z wykorzystaniem luki w zabezpieczeniach, wykrycie jest fałszywie dodatnie. W przypadku wyników fałszywie dodatnich należy wyłączyć ochronę do czasu, aż funkcja Symantec Security Response zmieni zachowanie funkcji Ograniczenie ataków na pamięć.
Poniższa tabela wyświetla czynności związane z obsługą wyników fałszywie dodatnich.
Czynności pozwalające na identyfikację i eliminację wyników fałszywie dodatnich
Zadania
Krok 1: Ustalenie, które aplikacje przestają działać na komputerach klienckich w sposób nieoczekiwany.
Informacje na temat aplikacji, które zostały zamknięte na komputerze klienckim można uzyskać w następujący sposób:
  • Od użytkownika, który informuje o niedziałającej aplikacji.
  • Otwierając dziennik funkcji Ograniczenie ataków na pamięć lub raport zawierający informacje o technikach ograniczania ryzyka, które zamknęły aplikacje na komputerze klienckim.
W pewnych sytuacjach i z uwagi na naturę luki w zabezpieczeniach techniki ograniczania ryzyka nie tworzą dzienników.
Krok 2: Wyłączenie ochrony i kontrola technik ograniczania ryzyka, które zamykają aplikację.
W pierwszej kolejności wyłącz ochronę na minimalnym poziomie, aby zabezpieczyć pozostałe procesy. Nie wyłączaj funkcji Ograniczenie ataków na pamięć, aby pozwolić aplikacji na działanie do momentu wypróbowania wszystkich pozostałych metod.
Po zrealizowaniu wszystkich zadań dodatkowych przejdź do kroku 3.
  1. W pierwszej kolejności przeprowadź kontrolę ochrony aplikacji zamkniętej przez technikę ograniczania ryzyka.
    Przykładowo jeśli zamknięta została przeglądarka Mozilla Firefox, należy wyłączyć technikę SEHOP lub HeapSpray. Zdarza się, że z uwagi na naturę luki w zabezpieczeniach technika ograniczania ryzyka nie tworzy dziennika, w związku z czym trudno ustalić, która technika zamknęła aplikację. W takiej sytuacji należy po kolei wyłączyć wszystkie techniki chroniące aplikację kolejno aż do zidentyfikowania techniki odpowiedzialnej za zamknięcie.
  2. Przeprowadź kontrolę wszystkich aplikacji chronionych przez jedną technikę ograniczania ryzyka.
  3. Przeprowadź kontrolę wszystkich aplikacji niezależnie od techniki ograniczania ryzyka. Ta opcja przypomina wyłączenie funkcji Ograniczenie ataków na pamięć z tą różnicą, że serwer zarządzania gromadzi zdarzenia dotyczące wykryć. Przy użyciu tej opcji można sprawdzić wyniki fałszywie dodatnie na starszych klientach 14 MPx.
Krok 3: Aktualizacja zasady na komputerze klienckim i ponowne uruchomienie aplikacji.
  • Jeśli aplikacja działa prawidłowo, wykrycie w ramach danej techniki ograniczania ryzyka jest wynikiem fałszywie dodatnim.
  • Jeśli aplikacja działa niezgodnie z oczekiwaniami, wykrycie jest wynikiem prawdziwie dodatnim.
  • Jeśli aplikacja zamyka się nadal, należy przeprowadzić kontrolę na bardziej restrykcyjnym poziomie. Można przeprowadzić kontrolę innej techniki ograniczania ryzyka lub wszystkich aplikacji przez nią chronionych.
Krok 4: Raportowanie wyników fałszywie dodatnich i ponowne włączanie ochrony dla wyników prawdziwie dodatnich.
W przypadku wykryć fałszywie dodatnich:
  1. Powiadom zespół Symantec o tym, że wynik wykrycia był fałszywie dodatni. Zobacz: Wskazówki firmy Symantec: pomyślne rozwiązanie sprawy!
  2. Wyłącz ochronę dla zamkniętej aplikacji, ustawiając działanie poszczególnych technik ograniczania ryzyka na
    Nie
    .
  3. Po rozwiązaniu problemu przez Security Response, przywróć ochronę, zmieniając działanie technik(i) na
    Tak
    .
W przypadku wykryć prawdziwie dodatnich:
  1. Przywróć ochronę, zmieniając działanie reguły dla danej techniki ograniczania ryzyka na
    Tak
    .
  2. Sprawdź, czy jest dostępna poprawiona lub nowsza wersja zainfekowanej aplikacji, w której usunięto lukę w zabezpieczeniach, której dotyczy problem. Po zainstalowaniu poprawionej wersji aplikacji uruchom ją na komputerze klienckim, aby sprawdzić, czy funkcja Ograniczenie ataków na pamięć wyłączy ją ponownie.
Dzienniki i raporty dotyczące zdarzeń funkcji Ograniczenie ataków na pamięć
Aby zidentyfikować aplikacje zamknięte przez funkcję Ograniczenie ataków na pamięć, należy przejrzeć dzienniki i wygenerować szybkie raporty.
  1. W konsoli wykonaj jedno z następujących działań:
    • Aby przejrzeć dzienniki, kliknij kolejno
      Monitory
      >
      Dzienniki
      > Typ dziennika
      zapobiegania lukom w zabezpieczeniach sieci i hostów
      > Zawartość dziennika
      Ograniczenie ataków na pamięć
      >
      Wyświetl dziennik
      .
      Wyszukaj typ zdarzenia
      Zablokowane zdarzenie ograniczenia ataków na pamięć
      . W kolumnie
      Typ zdarzenia
      znajdziesz technikę ograniczania ryzyka, natomiast kolumna
      Działanie
      informuje o tym, czy aplikacja wymieniona w kolumnie
      Nazwa aplikacji
      została zablokowana czy nie. Poniższe zdarzenie z dziennika informuje o wykryciu ataku typu Stack Pivot:
      Atak: Metoda ROP powoduje zmianę wskaźnika stosu
    • Aby wygenerować szybki raport, kliknij kolejno
      Raporty
      >
      Szybkie raporty
      > Typ raportu
      zapobiegania lukom w zabezpieczeniach sieci i hostów
      > Raport
      Wykrycia funkcji Ograniczenie ataków na pamięć
      >
      Utwórz raport
      .
      Wyszukaj wykryć zablokowanych zdarzeń ograniczenia ataków na pamięć.
  2. Kontrola ochrony zamkniętej aplikacji
    Podczas testowania wyników fałszywie dodatnich należy zmienić zachowanie funkcji Ograniczenie ataków na pamięć, tak aby rejestrowała wykrycie, pozwalając aplikacji na dalsze działanie. Funkcja Ograniczenie ataków na pamięć nie chroni aplikacji.
    Aby przeprowadzić kontrolę ochrony zamkniętej aplikacji
  3. Z poziomu konsoli kliknij kolejno
    Zasady
    >
    Ograniczenie ataków na pamięć
    >
    Ograniczenie ataków na pamięć
    .
  4. Na karcie
    Techniki ograniczania ryzyka
    obok opcji
    Wybierz technikę ograniczania ryzyka
    wybierz technikę, która zamknęła aplikację, np.
    StackPvt
    .
  5. Pod kolumną
    Chronione
    wybierz zamkniętą aplikację i zmień wartość
    Domyślnie (tak)
    na
    Tylko logowanie
    .
    Po ustaleniu, że wykrycie jest wynikiem fałszywie dodatnim, zmień działanie na
    Nie
    . Opcje
    Tylko logowanie
    i
    Nie
    zezwalają na wykorzystanie luki w zabezpieczeniach, pozwalając jednocześnie aplikacji na dalsze działanie.
    Niektóre aplikacje mają kilka technik ograniczania ryzyka blokujących lukę w zabezpieczeniach, dlatego wykonaj powyższą procedurę dla każdej z nich.
  6. (Opcjonalnie) Wykonaj jedną z następujących czynności i kliknij przycisk
    OK
    :
    • Jeśli nie ma pewności, która technika zamknęła aplikację, kliknij opcję
      Wybierz działanie ochronne dla wszystkich aplikacji powiązanych z ta techniką
      . Ta opcja nadpisuje ustawienia poszczególnych technik.
    • Jeśli zarządzasz zbiorem klientów 14.0.1 i 14 MPx, ale chcesz przeprowadzić test tylko na klientach 14.0.1, kliknij opcję
      Ustaw działanie ochronne dla wszystkich technik tylko na logowanie
      .
  7. (Opcjonalnie) Aby przetestować aplikację bez względu na technikę, na karcie
    Reguły aplikacji
    w kolumnie
    Chronione
    usuń zaznaczenie zamkniętej aplikacji i kliknij przycisk
    OK
    .
    W przypadku starszych klientów 14 MPx dostępna jest wyłącznie ta opcja. Po uaktualnieniu klientów do wersji 14.0.1 przywróć ochronę i dostosuj ustawienia bardziej szczegółowo. Otwórz dziennik
    Stan komputera
    , aby ustalić wersję produktu zainstalowaną na poszczególnych klientach.
  8. Z poziomu konsoli kliknij kolejno
    Zasady
    >
    Ograniczenie ataków na pamięć
    .
  9. Usuń zaznaczenie opcji
    Włącz funkcję Ograniczenie ataków na pamięć
    .
  10. Kliknij przycisk
    OK
    .
  11. Upewnij się, że w programie
    program Symantec Endpoint Protection Manager
    włączono funkcję Symantec Insight. Funkcja Insight jest domyślnie włączona.
  12. Pobierz i uruchom narzędzie SymDiag na komputerze klienckim. Zobacz: Pobieranie narzędzia diagnostycznego (SymDiag), aby wykrywać problemy z produktami
  13. Na
    stronie głównej
    narzędzia SymDiag kliknij opcję
    Gromadź dane dla Pomocy Technicznej
    i w opcji
    Dzienniki debugowania
    >
    Zaawansowane
    ustaw opcję
    Debugowanie WPP
    >
    Poziom śledzenia
    na
    Złożony
    .
  14. Odtwórz fałszywie dodatni wynik wykrycia.
  15. Po zakończeniu gromadzenia dzienników wyślij plik
    .sdbz
    do otwierając nowe zgłoszenie lub aktualizując istniejące za pomocą nowych informacji.
  16. Prześlij wykrytą aplikację do Portalu SymSubmit i wykonaj następujące czynności:
    • Wybierz, kiedy nastąpiło wykrycie, wybierz produkt
      B2 Symantec Endpoint Protection 14.x
      i kliknij zdarzenie
      C5 - IPS
      .
    • W uwagach do przesyłania należy podać numer zgłoszenia pomocy technicznej z poprzedniego kroku, nazwę aplikacji, która spowodowała wykrycie MEM, oraz szczegółowe informacje o numerze wersji aplikacji.
      Przykładowo, można dodać:
      "Zablokowany atak: Atak wywołania zwrotnego API na C:\Program Files\VideoLAN\VLC\vlc.exe"
      , wersja dla vlc.exe to 2.2.0-git-20131212-0038. To nie jest najnowsza dostępna wersja, ale jest to wersja, której musi używać nasza organizacja.”
  17. Na komputerze klienckim skompresuj kopię folderu zgłoszenia, znajdującego się w lokalizacji:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Prześlij folder do działu Pomocy technicznej i powiadom go o numerze śledzenia wyniku fałszywie dodatniego otworzonego w poprzednim kroku. Zespół Pomocy technicznej upewni się, że wszystkie potrzebne dzienniki i materiały są w dobrym stanie i powiązane z badaniem wyniku fałszywie dodatniego.