Nível de Integridade no Windows 10
Código malicioso e mecanismo de integridade do Windows
Pergunte a qualquer especialista que analise código malicioso para o Windows com o qual o sistema privilegia o malware e que deseja adquirir e, sem pensar duas vezes, eles lhe dirão: "Direitos de administrador". Existem estudos para apoiar isso? Infelizmente, não pude encontrar nenhuma análise coerente sobre o assunto; No entanto, nunca é tarde demais para jogar Capitão Óbvio e apresentar os fatos para avaliação pública.
Meu objetivo não era revisar as técnicas de elevação dos privilégios do sistema; A Internet já tem uma abundância de artigos sobre o assunto. Novos mecanismos são descobertos a cada ano, e cada técnica merece sua própria revisão. Aqui, eu queria olhar para o quadro geral e falar sobre toda a gama de sistemas operacionais Windows em toda a sua diversidade que remonta ao Windows Vista, mas sem discutir versões específicas.
Passo atrás no tempo
O modelo de segurança do Windows XP difere significativamente do modelo de segurança do Windows Vista e dos sistemas operacionais mais recentes. Há dois tipos de contas de usuário no Windows XP: uma conta padrão e uma conta de administrador. A grande maioria dos usuários trabalhou com direitos de administrador, apesar de não precisarem dos direitos das tarefas diárias. Essas pessoas infectaram seus sistemas com softwares mal-intencionados que adquiriam os direitos do usuário atual e, na maioria das vezes, eram direitos de administrador. Como resultado, o software malicioso não encontrou nenhum problema grave ao adquirir privilégios elevados em um sistema que executa o Windows XP.
Este mecanismo foi utilizado até o lançamento da família Windows Vista, onde a Microsoft introduziu um novo modelo de segurança: mecanismo de integridade do Windows .
Nível de Integridade no Windows 10
Grosso modo, os dois tipos de contas de utilizador acima mencionados estão presentes no novo mecanismo; No entanto, o sistema operacional agora utiliza o Modo de Aprovação de Administrador. Sim, isso mesmo, o nosso "amado" UAC ( User Control de Acesso ). Assim que há uma necessidade de privilégios elevados, uma caixa de diálogo UAC aparece e solicita permissão ao usuário para executar uma determinada ação.
O fator humano é um dos principais problemas de segurança, e é por isso que colocar a responsabilidade sobre um usuário que não sabe a primeira coisa sobre a segurança do computador é, para dizer o mínimo, uma decisão questionável. A própria Microsoft emitiu a seguinte declaração sobre o tópico: "Uma coisa importante a saber é que o UAC não é um limite de segurança. UAC ajuda as pessoas a serem mais seguras, mas não é uma cura para todos. UAC ajuda a mais por ser o prompt antes que o software está instalado "Para os interessados na posição da Microsoft sobre o assunto, eu recomendo a leitura das seguintes mensagens de blog:. Controle de Conta de Usuário , Controle de Conta de Usuário (UAC) - rápida atualização , atualização sobre UAC .
O Mecanismo de Integridade do Windows
O novo mecanismo de integridade do Windows é o principal componente de proteção da arquitetura de segurança do Windows. O mecanismo restringe as permissões de acesso de aplicativos que são executados sob a mesma conta de usuário, mas que são menos confiáveis. Em termos mais simples, este mecanismo atribui um nível de integridade de processos , bem como outros que podem ser protegidos objectos no Windows. O nível de integridade restringe ou concede permissões de acesso de um objeto a outro.
Não vou entrar em detalhes sobre o funcionamento do mecanismo de integridade. Nós só precisamos de uma tabela para simplificar a interpretação das estatísticas recolhidas: a tabela mostra a ligação entre níveis de integridade e identificadores de segurança SID ( ver Tabela 7 ) que identificam o usuário, grupo, domínio ou contas de computador no Windows.
| SID no Token de acesso | Nível de Integridade Atribuído |
| Sistema Local | Sistema |
| LocalService | Sistema |
| NetworkService | Sistema |
| Administradores | Alto |
| Operadores de backup | Alto |
| Operadores de Configuração de Rede | Alto |
| Operadores criptográficos | Alto |
| Usuários autenticados | Médio |
| Todos (Mundo) | Baixo |
| Anônimo | Não confiável |
A maioria dos aplicativos lançados por um usuário padrão são atribuídos um nível de integridade médio. Os administradores obtêm um alto nível de integridade; E o kernel recebe integridade do sistema. Um nível de baixa integridade será atribuído a um App Container, por exemplo. Este é um nível típico para navegadores modernos que protegem o sistema operacional de possíveis invasões de malware de sites mal-intencionados.
Basicamente, o nível alto e os níveis acima são os que o software mal-intencionado visa.
Mentiras, Damned Lies e Estatísticas
Produtos anti-vírus contemporâneos implementam uma abordagem abrangente para a segurança do sistema. É por isso que eles usam dezenas de componentes que impedem que o código mal-intencionado infecte o sistema em vários estágios. Esses componentes podem incluir antivírus da Web, emuladores de scripts, assinaturas de nuvem, detectores de exploração e muito mais. Os dados que entram no sistema passam por inúmeras varreduras iniciadas pelos diferentes componentes de um produto antivírus. Como resultado, um grande número de programas maliciosos não chegam ao estágio de execução e são detectados "na decolagem". Quanto a mim, eu estava interessado em malware que conseguiu chegar ao estágio de execução. Um produto antivírus contemporânea continua a rastrear o objeto potencialmente malicioso, em que, mesmo no caso de a sua execução, assinaturas de transmissão comportamentais (BSS) da Kaspersky Monitorização do Sistema componente pode ser acionado.
Então, eu pedi ao nosso grupo de Detecção de Comportamento que me ajudasse na coleta de estatísticas para níveis de privilégios de sistema usados para execução por malware ativo e que podem ser detectados com a ajuda do BSS.
Dentro de 15 dias, consegui reunir dados sobre cerca de 1,5 milhões de detecções com a ajuda da Kaspersky Security Network. Toda a gama de sistemas operacionais Windows, começando com o Windows Vista até o Windows 10, foi incluída nas estatísticas. Depois de filtrar alguns eventos e deixando aqueles única únicas, bem como aqueles que não contêm nossas assinaturas de teste, eu acabei com 976.000 detecções. Vamos dar uma olhada na distribuição de níveis de integridade para softwares maliciosos ativos durante esse período.
Distribuição de Níveis de Integridade
Ao somar Untrusted, Low, Medium, bem como High e System, é possível calcular uma proporção percentual, que eu chamei de "OK to Bad". Embora, eu suponho, os criadores de malware não ver essa proporção como sendo tão ruim.
Relação "OK para ruim"
Conclusões
Qual é a razão para essas estatísticas horríveis? Para ser honesto, ainda não posso dizer com certeza; Um estudo mais profundo é necessário. Com certeza, os criadores de vírus empregam métodos diferentes para elevar privilégios: autoelevação e ignorando o mecanismo UAC, vulnerabilidades no Windows e software de terceiros, engenharia social, etc. Há uma probabilidade não nula de que muitos usuários tenham o UAC completamente desativado, Irrita-os. No entanto, é óbvio que os criadores de malware não encontram problemas com a aquisição de privilégios elevados no Windows; Portanto, os desenvolvedores de proteção contra ameaças precisam considerar esse problema.