Атака на Kaspersky Endpoint Security

Для начала поздравьте, я стал сертифицированным специалистом по Kaspersky Endpoint Security, но я был бы не я, если бы во время обучения не успел поглубже потестировать KES.

С одной стороны вирусы он ловит довольно хорошо, хотя на эвристический анализ надеяться не приходится. Эвристика все-таки пропускает самописные вредоносные программы. Но распространенные вирусы он ловит вполне отлично, так что тут претензий нет. Да и функционал Касперского уже довольно близко приблизился к простым DLP системам, что тоже не может не радовать. Хотя и некоторые смешные надписи остались.

Не смей выдергивать флешку!

Вот такая вот оригинальная надпись возникает при выдергивании флешки. Ну не имеешь ты права вытаскивать флешку. Оставь ее там, куда воткнул.

Но вот сетевой экран, а точнее функция блокировки атакующей машины, оказалась довольно странной поделкой (в данном случае рассматриваются установки по умолчанию, потому что Лаборатория Касперского уверяет, что и с такими настройками все будет хорошо работать в сегменте SOHO и SMB бизнеса). При банальном тестировании с помощью Linux утилиты hping (как ей пользоваться я рассказывал в этой статье) он начал предпринимать очень оригинальные действия. С одной стороны он вполне исправно блокировал SYN flood атаки, но как только я решил начать атаку со спуфингом (параметра -a и параметр –rand-source) – началось шоу.

hping

Консоль атакующей машины.

Kaspersky Endpoint Security

Когда был задан параметр –rand-source, компьютер с KES просто умер, повесив вместе с собой рабочую станцию, не успевая занести в базу миллионы поддельных IP адресов. По данной причине я даже не смог сделать снимок экрана.

Но гораздо веселее прошла точечная атака с подделкой конкретных IP.
Для начала были заблокированы DNS и шлюз (10.20.0.10 и 10.20.0.10), что уже можно считать удачной DoS атакой.

Но мне стало интересно что будет если подставить такие адреса, как локальный IP (10.20.0.200) атакуемой машины, адрес localhost, и широковещательный адрес 255.255.255.255. Вообще у меня оставались некоторые надежды на то, что сетевой экран окажется более-менее разумным и сможет отличить широковещательный адрес или что он поймет, что пакет пришел извне и не заблокирует localhost, но увы они не оправдались. Касперский забанил сам себя и весь интернет (или если правильно говорить то, абсолютно весь диапазон IP), что собственно прекрасно видно на скриншоте.

Выводы каждый сделает сам, но в любом случае инженерам Касперского стоит задуматься о том, что даже самый продвинутый системный администратор не догадается внести в исключение такой адрес, как 127.0.0.1 (При таком спуфинге вполне может заблокироваться локальное подключение, скажем к SQL базе. При некоторых дополнительных условиях, последствия каждый может представить для себя сам.), а адрес 255.255.255.255 может внести в исключения только ну очень странный администратор.

Так что спасибо Лаборатории Касперского за еще одну атаку, возможную только при установленном антивирусе (надо будет потестировать продукт Kaspersky DDoS Prevention, надеюсь там хоть немного получше). Единственное что спасает, это то, что данная атака возможна только в случае если между вами и атакуемой машиной нет маршрутизаторов и другого пограничного оборудования, или проще говоря, когда вы с жертвой находитесь в пределах одного сегмента сети. Хотя более сложные конфигурации пакетов в hping я не успел попробовать. Может и это не панацея.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности Быть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ: Заполните форму обратной связи и мы обязательно с вам свяжемся: Форма обратной связи Позвоните нам по телефону: +7(909)952-44-33 Напишите нам на электронную почту: order@blackdiver.net Напишите нам в Telegram: Telegram Другие способы связи Вы сможете найти в разделе Контакты.