Большинство популярных антивирусных продуктов могут быть успешно атакованы при помощи известных техник, доступных на публичных ресурсах. К такому выводу пришли специалисты исследовательского центра Digital Security.
В рамках исследования эксперты проанализировали решения McAfee Total Security 2015, ESET Smart Security, Norton Security, AVG Internet Security 2015, BitDefender Total Security 2015, Trend Micro Antivirus+ 2015, Avira, DrWeb 10, Kaspersky Internet Security 15, Avast Free Antivirus, Panda Internet Security 2015. Продукты, участвовавшие в исследовании, объединены двумя признаками: ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты, а также входит в список самых популярных решений, ранее тестировавшихся с применением различных методологий.
Названные программы были подвергнуты атакам при помощи универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО. В частности, были задействованы ProxyInject, Duplicate Handle, Reparse-Point, PageFile attack, RegSafe, RegRestore, Shim engine. Эти техники атак доступны на открытых ресурсах интернета уже 1-3 года.
В процессе тестирования выяснилось, что почти все исследованные продукты уязвимы к одной или нескольким известным техникам атак. Успешно отразил все атаки лишь Kaspersky Internet Security 15, а бесплатный Avast Free Antivirus не справился только с одной.
Результаты тестирования с определенной методологией на данной выборке техник выявили, что отечественный антивирусный разработчик более качественно улучшал и строил свою оборону, нежели это делали иностранные вендоры. Исследователи уверены, что некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры.
Стоит также отметить, что, несмотря на все результаты, архитектура в целом не изменяется, и разработчики реагируют на произошедшие атаки постфактум и защищаются от уже известных механизмов атак. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем.