Сегодняшнее поколение так называемых гибридных вирусов, к каковым относятся, например, Nimba или Klez, применяет различные методы нападения и распространения для инфицирования в кратчайшие сроки целых компьютерных сетей. Появление новых «суперчервей», способных в течение 15 мин заразить все уязвимые системы, уже не за горами. Одного этого достаточно, чтобы попытаться оценить сегодняшнее состояние вирусной защиты и заглянуть в будущее.
Программисты, создающие вирусы, постоянно ищут новые, еще более быстрые методы для их распространения. До сих пор высшей точкой развития подобных технологий считался «червь» SQL Slammer, инфицировавший более 90% уязвимых компьютеров всего за 10 мин. Кроме того, SQL Slammer продемонстрировал реальную угрозу появления «суперчервей», способных благодаря координированному распространению за несколько минут инфицировать весь Internet. Но опасным планам противостоят антивирусные технологии: к примеру, Sandboxing от компании Noman Data Defense Systems или Outbreak Prevention Services от Trend Micro. Большое значение для защиты предприятий от вирусов имеет растущая популярность новых платформ, в частности 64-разрядных настольных операционных систем или Microsoft DotNET.
НОВЫЕ ПЛАТФОРМЫ — НОВЫЕ ПРОБЛЕМЫ?
С выходом 64-разрядной версии Windows XP была связана надежда на то, что проблемы с 32-разрядными вирусами отпадут сами собой. На новой платформе интеграция 64-разрядных приложений с существующими 32-разрядными происходит при помощи режима эмуляции Windows-on-Windows-64 (WOW64). Эта подсистема отделяет различные приложения от системных реестров. WOW64 обеспечивает возможность совместной работы, причем приложения работают только с соответствующими динамически подсоединяемыми библиотеками (Dynamic Link Library, DLL).
Последствия для злонамеренных кодов следующие: традиционные 32-разрядные вирусы все-таки выполняются и на новой платформе, но из-за измененной структуры заголовков исполняемых файлов *.exe у них возникают проблемы. Файловые вирусы неверно интерпретируют структуру и некорректно размещают свой код в инфицированном файле. Инфекция проникает в систему не так, как запланировано, но файл *.exe все же оказывается испорченным. Кроме того, в 64-разрядной версии Windows библиотека kernel32.dll имеет другой базисный адрес, поэтому некоторые вирусы не могут получить к ней доступ. Поскольку файлы пропускаются через WOW64, 32-разрядные вирусы не получают доступа к 64-разрядным системным файлам.
Сказанное относится ко многим современным вирусным сканерам. Хотя 64-разрядные системные файлы поначалу находятся, естественно, под меньшей угрозой, появление специализированных 64-разрядных вирусов не заставит себя долго ждать. Это означает, что при интеграции 64-разрядных платформ на предприятиях в любом случае необходимо внедрить соответствующее антивирусное решение.
На рынок выходит еще одна платформа от Microsoft — DotNET, которая в будущем может стать целью вирусных атак. В ее структуре поддерживается в общей сложности более 20 различных языков программирования, и разработчики могут использовать для решения своих задач наиболее подходящий язык или комбинировать языки в пределах одного приложения. Однако из-за многоязычности платформы возрастает угроза того, что, например, для написанных на Perl «троянцев» не будет установлено специальных вирусных сканеров. В принципе для DotNET возможны вирусы, состоящие только из вызова хранящегося вовне кода. В таком случае антивирусное решение должно справляться со сканированием удаленных кодов. До сих пор вирусы под DotNET никакой практической роли не играли, однако можно не сомневаться, что их создатели не дремлют: первый контрольно-проверочный вирус для новой платформы появился уже в январе 2002 г.
P2P КАК РАЗНОСЧИК ВИРУСОВ
Одноранговые сети (Peer-to-Peer Network, P2P) и служба мгновенного обмена сообщениями принадлежат к числу приложений, которые в будущем будут еще активнее использоваться злонамеренными кодами в качестве средства для распространения. По данным последнего исследования службы безопасности Trusecure, уже сегодня около 45% всех исполняемых файлов системы обмена данными Kazaa инфицированы вирусами или «червями». Наряду с заражением жесткого диска или передачей паролей для службы мгновенного обмена сообщениями AOL, организация «потайных ходов» относится к наиболее частым последствиям вредоносных атак. Инфицированные машины после этого становятся пригодными для проведения распределенных атак на тему «отказ в обслуживании» (Distributed Denial of Service, DDoS), а «потайной ход» позволяет использовать компьютер не по назначению для рассылки спама. Производители антивирусных программ исходят из того, что некоторые вирусы и «черви» создаются исключительно для рассылки «сорной» почты через чужие системы.
Для распространения через P2P чаще других применяются три технологии. Традиционные методы — намеренное заражение предложений об обмене через провайдера, а также заражение локальной папки с разделяемым доступом при помощи злонамеренного кода. Кроме того, новое поколение «червей» P2P ищет во всей сети каталоги с загружаемыми файлами и самостоятельно в них инсталлируется. Такая агрессивная технология распространения, естественно, содержит потенциальную угрозу, за которой следует внимательно наблюдать.
«СУПЕРЧЕРВИ» — КАТАСТРОФА ЗА 15 МИНУТ
Настоящие «суперчерви», способные через Internet заразить все уязвимые системы в течение нескольких минут, пока, к счастью, относятся к области фантастики. Но такие вирусы и «черви», как Code Red II и, прежде всего, Lioten и SQL Slammer (Sapphire), уже могут считаться первыми предвестниками следующего поколения «червей» по причине огромной скорости, с которой они разносят инфекцию (см. Рисунок 1 и 2). С большой долей уверенности можно сказать, что в дальнейшем «суперчерви» станут применять еще более действенные методы распространения, чем описанные в концепции «Червей Уорхола» (название основано на высказывании Энди Уорхола: «В будущем у каждого будут свои 15 минут славы»).
Теоретически, «червю Уорхола» необходимо всего лишь 15 мин, чтобы распространиться по всей сети Internet. «Суперчерви» достигают такой скорости благодаря эффективному поиску новых целей в процессе распространения: например, при помощи специального списка мишеней или благодаря перестановочному сканированию. При сканировании по списку мишеней создатель «червя» подготавливает перечень уязвимых систем в Internet. Во время инициализации «червя» сначала производится сканирование записей. Найдя уязвимую систему, он делит список на две части. Одна половина посылается вместе с копией «червя», вторая остается для дальнейшей обработки оригинальной копией. Теперь оба «червя» применяют этот метод параллельно. За счет деления списка «червь» становится меньше и в результате распространяется по сети еще быстрее.
При перестановочном сканировании пространство IP-адресов делится на перестановочные группы. Каждому «червю» произвольным образом назначается собственная группа. Его копии выбирают в группе случайную отправную точку и начинают сканирование. Обнаруженная под каким-либо IP-адресом уязвимая система немедленно инфицируется, и копия «червя» также начинает перестановочный поиск уязвимых систем. Если «червь» наталкивается на уже зараженную систему, то он выбирает новую стартовую точку. Перестановочное сканирование обладает по сравнению с другими методами более высокой скоростью заражения, поскольку этот механизм способен к самокоординации.
СТРАТЕГИИ ПРОТИВ «ОКОН УЯЗВИМОСТИ»
Очевидно, что производители антивирусных решений в будущем столкнутся с огромным количеством неизвестных опасностей, которые в рекордное время, а в худшем случае — целенаправленно, распространяются через Internet. Сегодня «окно уязвимости», т. е. время между моментом обнаружения новой угрозы и опубликованием эффективных противоядий, в зависимости от производителя антивирусных решений достигает нескольких часов. Перед лицом пугающей скорости распространения — 15 мин — это, безусловно, слишком долго. Более того, многие администраторы все еще довольствуются ежедневным обновлением антивирусных решений.
Столь опасная ситуация уже побудила исследовательский институт Frost&Sullivan спрогнозировать закат поиска вирусов на базе сигнатур. Возможно, этот вывод покажется слишком поспешным, однако метод «песочницы» и превентивные службы предотвращения эпидемий предлагают новые многообещающие подходы к решению.
ВИРУСЫ В «ПЕСОЧНИЦЕ»
Идея тестирования поведения неизвестного файла в контролируемом окружении подкупающе проста. Однако для этого необходима почти полная эмуляция сканирующим механизмом исходной системы, где будет выполняться файл. Основанные на технологии «песочницы» антивирусные решения, как, например, технология «песочницы» от Norman DataDefense, перемещают файлы в виртуальный компьютер, составные части которого тщательно эмулируются. Прежде всего это компоненты хранения, диспетчеры ввода/вывода, постоянные/оперативные запоминающие устройства, центральные процессоры, соединения с локальной сетью и Internet, а также DLL на некоторых платформах Windows.
Детальная эмуляция необходима, поскольку у технологии «песочницы» есть только один критерий идентификации вируса — тиражирование. Иными словами, чтобы быть распознанным, вирус должен иметь возможность осуществить процесс тиражирования на эмулированном компьютере. Например, в наличии должен иметься полнофункциональный контроллер жесткого диска, поскольку некоторые вирусы обращаются непосредственно к секторам жесткого диска.
Еще одно требование связано с путями распространения современных злонамеренных кодов: «песочница» должна эмулировать соединения по локальной сети и Internet для введения вируса в заблуждение. Это достигается путем подготовки соответствующих программных интерфейсов приложений (Application Programming Interface, API) и сетевых структур, а также эмулирования сервера SMTP. Сложную задачу представляет собой имитация соединения с Internet. Некоторые вирусы загружают составные части своего кода со страниц Web или отсылают запросы http GET, к примеру, Nimda и Code RED. Конечно, любой IP-адрес может быть сымитирован «песочницей», но иногда вирус ожидает ответа для продолжения процесса тиражирования, а потому «песочница» должна быть в состоянии эмулировать службы на удаленных компьютерах, в частности DNS или IRC.
Технологии «песочницы», несмотря на интересный подход, вряд ли суждено стать панацеей от вирусов. Кроме того, для нее свойственно еще несколько специфичных проблем: вирусы, написанные на таких языках, как Visual Basic, не распознаются. Внедрение необходимых для реализации такого распознавания исполняемых библиотек очень накладно, а значит, офисные приложения, Word или Excel, снова попадают под подозрение. Создатели вирусов уже сегодня используют с целью распознавания наличия «песочницы» специальные так называемые антиотладочные или антиэмуляционные коды, в результате чего поведение вируса изменяется соответствующим образом. И наконец, основное преимущество использования «песочницы» — независимость от актуальных обновлений — в действительности оказывается несколько ограниченным: по крайней мере, сегодня технология зависит от обновления программного обеспечения для совершенствования процесса эмуляции. Какое влияние на нее окажет быстрое развитие вирусных технологий, остается неизвестным.
СРОЧНЫЕ МЕРЫ
Еще одна стратегия против сокращения окон уязвимости заключается в принятии срочных мер до опубликования новых противоядий. Подобную систему под названием «служба предотвращения заражения» (Outbreak Prevention Services) предлагает, например, Trend Micro: компания организовала такую услугу по подписке в рамках своей стратегии защиты предприятий. В основе технологии положен тот факт, что вирусную инфекцию в большинстве случаев можно предотвратить или замедлить при помощи несложных мер. В качестве примера можно привести блокирование определенных портов. При идентификации нового вируса производитель еще до выпуска противоядия составляет список превентивных мероприятий. Это можно сделать в кратчайшее время, поскольку нет необходимости в полноценной идентификации вируса — нужно лишь заблокировать очевидные пути его распространения. Список превентивных мер предоставляется через Internet антивирусным решениям, установленным на предприятиях клиентов. Конечно, при этом должна быть внедрена и соответствующая зависящая от производителя архитектура, чтобы необходимые действия могли бы быть мгновенно выполнены на всех компонентах сети. В каком объеме будет проходить автоматическая активация, зависит от администратора. В будущем возможно расширение этой концепции, когда превентивные меры включат в себя прочие решения обеспечения безопасности (например, брандмауэры).
ЗАКЛЮЧЕНИЕ
Такие технологии, как «песочница» или службы предотвращения заражения, великолепно дополняют существующие эвристические и базирующиеся на сигнатурах методы. Однако вскоре еще более важным станет своевременное предоставление производителями соответствующих противоядий.
Райнер Линк — ассистент президента по деятельности в Европе немецкого отделения компании Trend Micro. С ним можно связаться по адресу: gh@lanline.awi.de.
? AWi Verlag