Усиление защиты клиентов Windows от манипуляций с памятью с помощью политики предупреждения последствий использования эксплойтов памяти

Каким образом компонент предупреждения последствий использования эксплойтов памяти обеспечивает защиту приложений?
Начиная с версии 14 в состав
Symantec Endpoint Protection
входит компонент предупреждения последствий использования эксплойтов памяти, который с помощью различных приемов блокирует атаки на уязвимости программного обеспечения. Например, эксплойт может вместо пользовательского приложения Internet Explorer запустить другую программу, содержащую вредоносный код.
Для блокирования эксплойтов компонент предупреждения последствий использования эксплойтов памяти использует вставки кода DLL в защищенные приложения. При обнаружении попытки несанкционированных действий возможно два варианта: блокирование эксплойта или завершение работы уязвимого приложения.
Symantec Endpoint Protection
выводит на клиентском компьютере уведомление об угрозе и регистрирует событие в журнале безопасности.
Например, в клиенте может появиться следующее уведомление:
Symantec Endpoint Protection: Атака: обнаружено событие перезаписи структурного обработчика исключений. Symantec Endpoint Protection прекратит работу приложения
<имя приложения>
.
Система предупреждения последствий использования эксплойтов памяти будет блокировать эксплойт или завершать работу приложения до тех пор, пока на клиентском компьютере не будет установлена исправленная версия ПО.
В версии 14 MPx функция "Предупреждение последствий использования эксплойтов памяти" называлась "Универсальное предупреждение последствий использования эксплойтов".
Виды защиты от эксплойтов
Для предупреждения последствий использования эксплойтов памяти применяются различные способы обработки эксплойтов, в зависимости от типа приложения. Например, для блокирования эксплойтов, атакующих приложение Internet Explorer, применяются методы StackPvt и RopHeap.
Если на компьютере включен компонент Microsoft App-V, компонент "Предупреждение последствий использования эксплойтов памяти" не защищает процессы Microsoft Office, защиту которых обеспечивает App-V.
Требования предупреждения последствий использования эксплойтов памяти
Для использования предупреждения последствий использования эксплойтов памяти на компьютере должна быть установлена система предотвращения вторжений. Предупреждение последствий использования эксплойтов памяти имеет собственный набор сигнатур, загружаемых в дополнение к описаниям системы предотвращения вторжений. Однако предотвращение вторжений и предупреждение последствий использования эксплойтов памяти можно включить или отключить независимо друг от друга.
Начиная с версии 14.0.1 система предупреждения последствий использования эксплойтов памяти имеет собственную политику. В выпусках 14 MPx она входит в политику предотвращения вторжений. Если отключить политику предотвращения вторжений на вкладке
Общие сведения
, также отключится предупреждение последствий использования эксплойтов памяти.
Кроме того, чтобы список приложений появился в политике предупреждения последствий использования эксплойтов памяти необходимо хотя бы один раз запустить LiveUpdate. По умолчанию защита включена для всех приложений, отображаемых в политике.
Исправление и предотвращение ложных срабатываний
Иногда предупреждение последствий использования эксплойтов памяти Memory Exploit Mitigation может ошибочно завершать работу приложений на клиентском компьютере. Если вы уверены, что поведение приложения является законным, обнаруженная угроза считается ложным срабатыванием. В случае ложных срабатываний необходимо отключить защиту, пока служба Symantec Security Response не изменит параметры обнаружения эксплойтов.
В следующей таблице показаны шаги, которые необходимо выполнить для управления ложными срабатываниями.
Поиск и исправление ложных срабатываний
Задачи
Шаг 1. Определите, работа каких приложений на клиентских компьютерах была завершена непредвиденно.
Для поиска приложений воспользуйтесь одним из следующих методов.
  • Пользователь на клиентском компьютере уведомил вас о том, что приложение не работает.
  • Откройте журнал или отчет "Предупреждение последствий использования эксплойтов памяти", в котором должен быть указан метод защиты, задействованный при завершении работы приложения на клиентском компьютере.
Иногда из-за особенностей эксплойтов методы предупреждения последствий не регистрируются в журналах.
Шаг 2. Отключите защиту и проверьте методы, которые используются для завершения работы приложений.
Чтобы остальные процессы оставались защищенными, отключайте защиту не полностью, а в минимальном объеме. Не отключайте предупреждение последствий использования эксплойтов памяти, чтобы протестировать все методы.
После выполнения всех подзадач перейдите к шагу 3.
  1. В первую очередь, проанализируйте действия системы защиты для конкретного приложения, работа которого была завершена аварийно.
    Например, если завершена работа приложения Mozilla Firefox, необходимо отключить метод SEHOP или HeapSpray. Иногда когда средства защиты не создают события журнала, невозможно точно определить, какой метод был задействован в конкретном случае. Вам потребуется последовательно отключить каждый метод, пока не будет определен метод защиты.
  2. Проанализируйте защиту для всех приложений, к которым применен один метод предупреждения последствий использования эксплойтов.
  3. Проверьте действие защиты для всех приложений, без привязки к методу. Эта задача аналогична отключению предупреждения последствий использования эксплойтов памяти с одним исключением: сервер управления собирает события журнала для обнаруженных угроз. Эта задача позволяет проверить ложные срабатывания в устаревших клиентах 14 MPx.
Шаг 3. Обновите политику на клиентском компьютере и повторно запустите приложение.
  • Правильная работа приложения будет свидетельствовать о ложном срабатывании.
  • В случае непредвиденных действий приложения обнаруженная угроза является истинной.
  • Если работа приложения снова завершена, проведите проверку с более сильными ограничениями. Например, проверьте другой метод защиты или все приложения, к которым применим этот метод.
Шаг 4. Отправьте отчет о ложных срабатываниях и повторно активируйте защиту для настоящих угроз.
Для ложных срабатываний:
  1. Отправьте в Symantec уведомление о том, что срабатывание было ложным. См. раздел Советы от специалистов Symantec: как правильно отправлять подозрительные файлы
  2. Отключите защиту для остановленного приложения, выбрав значение
    Нет
    для каждого действия метода.
  3. После того как группа Security Response исправит неполадку, повторно активируйте защиту, изменив это значение на
    Да
    .
Для истинных угроз:
  1. Повторно активируйте защиту, выбрав значение
    Да
    для действия правила соответствующего метода защиты.
  2. Проверьте, доступна ли исправленная версия или новый выпуск зараженного приложения, в котором текущая уязвимость исправлена. После установки исправления заново запустите приложение на клиентском компьютере, чтобы проверить наличие угрозы.
Поиск журналов и отчетов для событий предупреждения последствий использования эксплойтов памяти
Журналы и быстрые отчеты позволяют определить, какие приложения были остановлены системой предупреждения последствий использования эксплойтов памяти.
  1. В консоли выполните одно из следующих действий.
    • Для журналов: выберите
      Мониторы
      >
      Журналы
      > тип журнала
      Предупреждение последствий использования эксплойтов сети и хоста
      > содержимое журнала
      Предупреждение последствий использования эксплойтов памяти
      >
      Показать журнал
      .
      Найдите тип события
      Заблокированное событие предупреждения последствий использования эксплойтов памяти.
      В столбце
      Тип события
      отображается способ предотвращения последствий; в столбце
      Действие
      можно проверить, было ли заблокировано приложение, указанное в столбце
      Имя приложения
      . Например, указанное ниже событие журнала свидетельствует об атаке типа Подмена стека (Stack Pivot):
      Атака: возвратно-ориентированное программирование изменяет указатель стека
    • Для быстрых отчетов: выберите
      Отчеты
      >
      Быстрые отчеты
      > тип отчета
      Предупреждение последствий использования эксплойтов сети и хоста
      > отчет
      Обнаружения предупреждения последствий использования эксплойтов памяти
      >
      Создать отчет
      .
      Найдите объекты, заблокированные функцией предупреждения последствий использования эксплойтов памяти.
  2. Аудит защиты для остановленного приложения
    Во время тестирования ложных срабатываний настройте предупреждение последствий использования эксплойтов памяти таким образом, чтобы аудит угроз не завершал работу приложения. При этом система предупреждения последствий использования эксплойтов памяти не обеспечивает защиту приложения.
    Как выполнить аудит защиты для остановленного приложения
  3. В консоли выберите
    Политики
    >
    Предупреждение последствий использования эксплойтов памяти
    >
    Предупреждение последствий использования эксплойтов памяти
    .
  4. На вкладке
    Методы предупреждения последствий
    рядом с пунктом
    Выберите метод предупреждения последствий
    выберите метод, завершивший работу приложения, например
    StackPvt
    .
  5. В столбце
    Защищено
    выберите остановленное приложение и измените значение
    По умолчанию (Да)
    на
    Заносить в журнал
    .
    После того как вы убедились в ложном срабатывании, выберите значение
    Нет
    для действия. Сочетание параметров
    Заносить в журнал
    и
    Нет
    разрешает действия эксплойта, но не завершает работу приложения.
    Для некоторых приложений может быть настроено несколько методов предупреждения последствий, поэтому этот пункт необходимо выполнить для каждого метода по отдельности.
  6. Выполните одно из указанных ниже необязательных действий и нажмите кнопку
    ОК
    :
    • Если вы не уверены, какой метод предупреждения последствий был применен для завершения работы приложения, нажмите
      Выберите действие защиты для всех приложений для этого метода
      . Этот параметр переопределяет значения для всех методов.
    • Для тестирования исключительно клиентов 14.0.1 на компьютерах с установленной устаревшей версией 14 MPx и текущей версией 14.0.1 выберите
      Установить действие защиты для всех методов: только ведение журнала
      .
  7. (Не обязательно) Для тестирования приложения без учета метода: на вкладке
    Правила приложений
    в столбце
    Защищено
    снимите флажок для остановленного приложения и нажмите кнопку
    ОК
    .
    Для устаревших клиентов 14 MPx доступен только этот вариант. После обновления клиента до версии 14.0.1 заново включите защиту и настройте параметры более точно. Откройте журнал
    Состояние компьютера
    для определения выполняемых версий продуктов в разных клиентах.
  8. В консоли выберите
    Политики
    >
    Предупреждение последствий использования эксплойтов памяти
    .
  9. Снимите флажок
    Включить предупреждение последствий использования эксплойтов памяти
    .
  10. Нажмите кнопку
    ОК
    .
  11. Убедитесь в том, что модуль Symantec Insight включен в
    Symantec Endpoint Protection Manager
    . Модуль Insight включен по умолчанию.
  12. Загрузите и запустите средство SymDiag на клиентском компьютере. См. раздел Загрузка SymDiag для обнаружения проблем с продуктами
  13. На
    домашней странице
    средства SymDiag нажмите
    Сбор данных для поддержки
    и в разделе
    Журнал отладки
    >
    Дополнительно
    для параметра
    Отладка WPP
    >
    Уровень отслеживания
    выберите значение
    Подробный
    .
  14. Воспроизведение ложного срабатывания.
  15. После завершения сбора данных журнала передайте файл
    .sdbz
    в , создав новое обращение или дополнив имеющееся обращение новой информацией.
  16. Отправьте обнаруженное приложение на портал SymSubmit и выполните следующие действия.
    • Укажите время срабатывания, выберите продукт
      B2 Symantec Endpoint Protection 14.x
      и нажмите событие
      C5 - IPS
      .
    • В заметках при отправке укажите номер обращения в техническую поддержку из предыдущего шага, приложение, ставшее причиной срабатывания MEM-обнаружения, и сведения о номере версии приложения.
      Например, можно добавить следующую заметку: "
      "Заблокированная атака. Атака на файл C:\Program Files\VideoLAN\VLC\vlc.exe"
      с вызовом API возвратно-ориентированного программирования, версия vlc.exe — 2.2.0-git-20131212-0038. Хотя это не последняя доступная версия, наша организация должна использовать именно ее".
  17. На клиентском компьютере выполните сжатие копии папки отправки, которая расположена по адресу:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Отправьте эту папку в службу технической поддержки, указав номер отслеживания обращения о ложном срабатывании, которое вы создали при выполнении предыдущего шага. Техническая поддержка удостоверится в том, что все необходимые журналы и материалы не повреждены и использует их для расследования ложного срабатывания.