Технологии раннего распознавания позволяют выявить и блокировать вредителей до того, как они нанесут вред.

За атаками с использованием вредоносного программного обеспечения все чаще скрываются криминальные намерения, причем даже максимально быстрый выпуск сигнатур для отражения атак уже не решает проблему (см. врезку «Вредоносное программное обеспечение — специально для вас!»). Технологии раннего распознавания — «песочницы», эвристические методы и так называемые блокираторы поведения — позволяют выявить и устранить вредителей еще до инфицирования.

Классические антивирусные сканеры идентифицируют компьютерные вирусы на основе цепочек символов — так называемых сигнатур. Они состоят из типичных для каждого вируса последовательностей байтов и указывают на местонахождение вредоносной программы в пределах инфицированного файла. Все известные сигнатуры заносятся в базу данных. При прохождении файла через шлюз антивирусная программа автоматически сравнивает код файла с этими сигнатурами. Если последовательности символов совпадают, то речь идет о вредоносном коде.

Технология очень надежна, однако новые вирусы с ее помощью можно обнаружить лишь после соответствующего обновления системы, которое в лучшем случае оказывается возможно лишь через несколько часов, а нередко и спустя целый день — столько времени проходит до того момента, когда последний производитель выпустит новую сигнатуру и предоставит ее своим клиентам по Internet. В течение этого срока пользователь беззащитен перед новыми вредителями.

ВРЕМЯ РЕАКЦИИ СОКРАЩАЕТСЯ

Временной лаг между появлением нового вируса и выходом обновления сигнатур делает компьютеры уязвимыми к атакам из Internet. Причем производители решений для обеспечения безопасности всегда хотя бы на шаг, но отстают от вирусописателей.

К тому же перед публикацией любого вируса его создатель проверяет, как реагируют на него наиболее популярные антивирусные решения.

В результате антивирусные продукты на базе сигнатур, с одной стороны, надежно защищают от известных вредителей, а с другой — совершенно не замечают нового вредоносного программного обеспечения. Они способны ограничить распространение вирусной эпидемии, но воспрепятствовать заражению множества компьютеров до выпуска обновления не в состоянии.

Сегодня киберпреступники способны доставить свои вредоносные программы на десятки тысяч компьютеров за очень короткое время. Кроме того, они получают дополнительное время для маневра благодаря модульной компоновке вирусов и программированию сразу нескольких различных вариантов своих кодов. Это вынуждает производителей систем безопасности создавать отдельные сигнатуры для каждого варианта, а вирусописатели между тем успевают без спешки установить разработанные ими инструменты системного уровня на зараженные компьютеры или открыть потайные ходы, чтобы с их помощью похитить важные данные или пароли.

Рисунок 1. Лучшую защиту от вирусов обеспечивает комбинация нескольких методов отражения.

Поэтому одних только реактивных мер обеспечения безопасности для отражения неизвестных опасностей недостаточно. И охотники за вирусами делают ставку на технологии раннего распознавания, в частности «песочницы» или эвристические методы (см. Рисунок 1).

ИГРЫ В ПЕСОЧНИЦЕ ЗА РЕШЕТКОЙ

Подозрительный файл помещается в изолированную от остальной системы «песочницу», где проверяется его поведение. При этом каждый исполняемый файл запускается в виртуальной среде, которую стандартный программный интерфейс приложений Windows (Application Programming Interface, API) организует в так называемой «тюрьме» (jail). Преимущество подхода заключается в том, что потенциально вредоносное приложение не может воздействовать на операционную систему и нанести ей вред. Если же оно отдает, к примеру, команду об изменении системных настроек, то классифицируется как вредитель и может быть либо удалено, либо переведено в карантин.

Вне всяких сомнений, методы на основе «песочницы» являются надежными и достаточно точно распознают и устраняют неизвестное до сих пор вредоносное программное обеспечение. Тем не менее для практического использования они пригодны лишь условно: поскольку новые вирусы многочисленны, а их структура довольно сложна, эмуляция же на шлюзе длится долго и отнимает слишком много ресурсов. Кроме того, «песочницы» приносят мало пользы, когда вирусы выполняют свою программу с временной задержкой и на момент проверки не распознаются как вредоносные коды.

СХЕМЫ ПОВЕДЕНИЯ ДЕМАСКИРУЮТ ВРЕДИТЕЛЕЙ

Эвристическими называются методы поиска, исследующие исполняемые файлы, электронные почтовые сообщения и их вложения на наличие подозрительных команд. Данные методы выявляют последовательности кодов, необычные команды и схемы поведения, уже известные программе обеспечения безопасности по предыдущим нападениям как вредоносные. К примеру, как потенциально опасные маркируются вложения с отсутствующими расширениями файлов. Команды, без разрешения открывающие адресную книгу Outlook Express, создающие ключи реестра или активирующие сетевые порты, тоже идентифицируются как потенциальные вредители.

Эвристические методы оказываются чрезвычайно успешными в случае очень коротких программных частей в загрузочном секторе: если, к примеру, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь (с большой вероятностью) идет о загрузочном вирусе.

Эвристические алгоритмы способны обнаружить новых или мутировших вредителей, для которых пока нет вирусных определений. Поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания (false positive) нельзя. При установке эвристической машины пользователь вынужден выбирать между очень строгим режимом сканирования с большим количеством ложных тревог и сравнительно умеренной защитой.

БЛОКИРОВЩИКИ ПОВЕДЕНИЯ ИНТЕРПРЕТИРУЮТ КОД В РЕАЛЬНОМ ВРЕМЕНИ

По новому пути идет технология блокировки поведения, где комбинируются оба упомянутых метода. При ее применении благодаря иерархической обработке трафика данных сводится к минимуму высокая потребность «песочницы» в ресурсах и уменьшается вероятность ложных срабатываний эвристических методов: в то время как в «песочницах» подробно изучается каждый входящий файл, блокираторы подведения подвергают анализу поведение лишь тех файлов, которые эвристическими методами были отмечены как подозрительные по причине своего происхождения или присутствия известных составных частей кода. Тем самым значительно сокращается количество файлов, что, в свою очередь, положительно отражается на системной нагрузке. Одновременно снижается риск ложных срабатываний, поскольку подозрительные файлы исследуются с точки зрения их реального поведения.

В отличие от методов с применением «песочницы» система не эмулирует виртуальный компьютер — все файлы запускаются в обычной рабочей среде, при этом решение обеспечения безопасности интерпретирует поведение кода в реальном времени. В противовес постоянно увеличивающимся объемам информации о вредоносных кодах эвристические методы позволяют весьма оперативно распознать и блокировать эти коды, поскольку технология блокирования поведения отслеживает и протоколирует информацию об обращениях всех системных функций к программному интерфейсу приложений (API). Включенные в системный процесс аналитические функции (закладки) оценивают предполагаемую деятельность программ. Функция выполняется, лишь когда программный процесс оценивается как безопасный.

Наряду с распознаванием вредителей в реальном времени блокираторы поведения обладают еще одним преимуществом по сравнению со всеми другими технологиями раннего распознавания: если вредоносное программное обеспечение легко модифицировать и замаскировать (для чего имеется масса возможностей) таким образом, что оно не будет распознаваться сканерами на основе сигнатур и эвристическими методами, то программные команды не изменяются. Поэтому, если какое-либо приложение несанкционированно подает недопустимую команду, немедленно включается поведенческий блокиратор и предотвращает выполнение вредоносной программы.

ПОЛНОЙ БЕЗОПАСНОСТИ НЕ БЫВАЕТ

Авторы вредоносного программного обеспечения всегда идут на шаг впереди охотников за вирусами. Однако новые технологии, одна из которых — блокировка поведения, позволяют сократить временной лаг между появлением вредителя и обновлением сигнатуры. Поскольку блокираторы поведения, как и сканеры на основе сигнатур, работают динамически, обновления — будь то вирусные сигнатуры или поведенческие схемы — остаются по-прежнему востребованными. Эту брешь в системе безопасности необходимо закрыть за счет известной доли недоверия и осторожности при обращении с сомнительными электронными письмами и страницами Web.

Матиас Руф — технический директор в западно-европейском отделе компании Softwin.


Вредоносное программное обеспечение — специально для вас!

Автор статьи обращает внимание на криминальную подоплеку современных вирусных атак. Это означает, что у нападающих имеется достаточное количество денег и терпения для того, чтобы написать вирус именно для вас и добиться того, чтобы он не представлял собой легко опознаваемый антивирусным сканером вариант уже известного вредоносного программного обеспечения. Это означает определенные следствия для выбора подходящей защиты от вирусов: специально созданный вредитель будет распознан путем анализа поведения

с большей вероятностью, чем при помощи классической сигнатурной техники отражения атак. Поэтому в последующих номерах мы планируем подробнее рассмотреть упомянутые в статье типы антивирусных систем на основе конкретных решений.

Йоханнес Виле


? AWi Verlag