Средства борьбы с вредоносными программами совершенствуются от детектирования по образцам к поиску аномалий
Индустрия поиска и исправления ошибок, призванная бороться с разработкой средств нападения, активно развивается. Ее результаты используют как вирусописатели в своих продуктах, так и разработчики детекторов дефектов, средств предотвращения нападений и других методов защиты. Исследователи обнаруживают дефекты, передают сведения о них разработчикам, которые выпускают исправления. Авторы вирусов анализируют проделанную ими работу и выпускают свои эксплойты для каждого дефекта, а потом появляются и вирусы. Как правило, только после появления вирусов пользователи начинают устанавливать обновления для найденной ошибки. Так, в соответствии с недавним отчетом компании Symantec, который выпускается раз в полгода, количество найденных за второе полугодие 2004 года ошибок увеличилось, достигнув 1403.
Анализ
Изменения коснулись и методов использования найденных дефектов защиты. Если еще в начале прошлого года появление нового метода или инструмента нападения приводило к глобальным эпидемиям, таким как Sasser или Mydoom, то уже во втором полугодии прошлого года количество глобальных эпидемий начало сокращаться. По мнению Евгения Касперского, руководителя антивирусных исследований «Лаборатории Касперского», это связано с переориентацией вирусописателей на новые способы извлечения прибыли.
Сейчас основной бизнес хакеров — «продажа» сетей зомбированных машин. Такие сети состоят из нескольких тысяч компьютеров. Хакерам нет необходимости заражать миллионы машин — такая эпидемия привлекает всеобщее внимание. Поэтому они организуют заражения локальными волнами.
Касперский привел пример локального заражения, когда на одном из хакерских сайтов был обнаружен загрузчик троянской программы. Заманиваемые на сайт посетители, сами того не ведая, загружали троянскую программу, которая сообщала владельцу о захвате компьютера жертвы и была готова к приему дальнейших указаний. Через некоторое время троянец с сайта был убран, хотя сам сайт продолжал функционировать.
«Видимо, хакер набрал нужное ему число зомби-машин и начал продавать созданную таким способом сеть», — предположил Касперский.
Увеличилась и скорость реакции правонарушителей на обнаруженные бреши. Так, из отчета Symantec следует, что максимальное количество нападений — около 39% — использует ошибки, найденные в течение ближайшего полугодия. В то же время доля атак с помощью ошибок, выявленных более трех лет назад, очень небольшая — всего 2%. То есть скорость реакции авторов вирусов настолько высока, что любой детектор по образцам, на которых базируется большинство антивирусов, не успевает обновить свои базы сигнатур. Поэтому сейчас разработчики антивирусов начинают внедрять в своих продуктах не сигнатурные, а «аномальные» детекторы защиты.
Синтез
Есть несколько способов защиты, которые не требуют точного образца для определения вируса или троянца, как это реализовано в сигнатурном методе. Одним из таких способов является поиск аномалий в системных вызовах программы. Однако он имеет большой процент ложных срабатываний, да к тому же может только зафиксировать и блокировать нападение, но не предотвратить его.
Близкой является техника эвристического анализа, которая заключается в поиске аномальных комбинаций системных вызовов в исполнимой программе без ее непосредственного исполнения. Есть вариант эвристической технологии, в котором программа исполняется в виртуальной машине, и по результатам этого определяется наличие в ней опасной функциональности. Такой метод защиты не может обнаружить некорректные данные, которые, например, вызывают переполнение буфера.
Поскольку переполнение буфера является очень популярным способом нападения, то разработан специальный класс решений для защиты от него. Эти методы основаны на контроле состояния памяти и блокировании исполнения кода из пользовательских данных. Для этого типа защиты есть даже аппаратная поддержка со стороны производителей процессоров.
Для обнаружения аномалий используются также системы, основанные на заранее определенных правилах. Они позволяют определять нападения, устанавливая правила нормального и подозрительного поведения. К сожалению, у них тоже высок уровень ложных срабатываний, и поэтому часто приходится определять исключения.
Еще одним методом поиска аномалий является анализ статистики. Он основан на том, что проводимая атака предполагает необычную активность программ по какому-нибудь параметру. К сожалению, установка любой новой программы изменяет поведение системы и нарушает статистику. Тем не менее с помощью этого метода можно, к примеру, контролировать поведение потенциально опасных приложений, таких как Internet Explorer или Outlook.
Таким образом, каждый отдельный метод обнаружения аномалий либо защищает только от специфичного типа атак, либо сам по себе имеет большой процент ложных срабатываний. В то же время комплексное решение с использованием методов детектирования по образцу будет работать более эффективно и надежно.
Именно по такому пути решила пойти «Лаборатория Касперского», объявившая о разработке продукта, который будет объединять большинство методов детектирования аномалий. Этот продукт под названием Kaspersky Internet Security 2006 должен увидеть свет в конце нынешнего года.
Уязвимости в программах
Компания Symantec раз в полгода публикует результаты анализа обнаруженных дефектов современного программного обеспечения
Глобальные эпидемии
«Лаборатория Касперского» анализирует распространение вирусов и контролирует количество глобальных эпидемий, в которых участвует более 1 млн. компьютеров