В статье Марка Харриса (Mark Harris), директора мировой сети лабораторий SophosLabs, рассматривается технология проактивная технология - Sophos Behavioral Genotype (Sophos HIPS).

Обычные (сигнатурные) методы обнаружения вирусов относят к реактивным, и ни одна современная антивирусная компания, добившаяся популярности у пользователей, сегодня не обходится без проактивных (эвристических) технологий. На этом фоне компания Sophos предлагает собственную мощную систему поведенческого блокиратора - Sophos HIPS, позволяющего определять потенциально опасные приложения еще до того, как они будут запущены в системе и смогут нанести вред.

Технология Sophos HIPS сегодня входит в решение Sophos Anti-Virus, и может использоваться как на рабочих станциях, так и на Интернет-шлюзах и почтовых серверах.

Технологии поведенческого анализа: новый подход к проактивному обнаружению вирусов

Традиционный метод сигнатурного обнаружения

Традиционный подход при обнаружении вирусов заключается в анализе образцов кода, которые являются уникальными для определенного вредоносного приложения. Исходный образец служит для того, чтобы создать по нему, так называемую, сигнатуру, и состоит из нескольких участков кода программы. Например, сигнатура должна быть идентична трем частям кода по 50 байт, расположенных друг от друга на определенном расстоянии по коду в файле. Комбинация частей переделенного кода и их взаимного расположения и составляют обычную сигнатуру, по которой можно однозначно определить, к какому приложению относится запускаемый файл.

Основным достоинством метода поиска вирусов по сигнатурам является то, что в результате мы можем довольно точно определить, к чему относится рассматриваемый файл, и уменьшить вероятность ложного срабатывания. Вирусный аналитик при разработке сигнатуры должен быть уверен в том, что он выбрал правильные участки кода в рассматриваемом файле, которые не относятся к известным библиотекам, чтобы уменьшить вероятность детектирования совершенно безопасного приложения как вируса. Для того чтобы сигнатура была уникальной, она должна детектировать только те участки кода, которые отличают данный файл от всех остальных. Однако сигнатура не сможет заранее сказать, чем именно опасен тот или иной вирус, если он будет запущен в системе.

Традиционные системы защиты от вторжений (Run-Time Host Intrusion Protection, HIPS)

Системы HIPS представляют собой довольно широкий набор технологий, но в рамках данной статьи мы рассмотрим лишь некоторые из них. Если сильно упростить, то системы HIPS следят за приложениями, с момента их запуска в системе, детектируя их необычное или вредоносное поведение. Основной проблемой для данной системы защиты является правильное различие хорошего и плохого «поведения» приложений, и что самое неприятное, это факт того, что чем проще вирус сам по себе, тем сложнее его обнаружить с помощью HIPS.

Рассмотрим такой пример: пользователь инсталлирует новую программу, которая была либо скачана им из Интернета, либо предварительно получена на CD. В этом случае в процессе инсталляции приложение делает следующее:

• Распаковывает основные файлы программы
• Копирует эти файлы в разные папки на жестком диске компьютера
• Добавляет некоторые файлы в системные папки операционной системы, чтобы они стали доступны другим программам
• Осуществляет ряд записей в реестр операционной системы с тем, чтобы программа автоматически стартовала в следующий раз вместе с загрузкой компьютера.

Простой Троян в общем выполняет все те же функции: он может распаковаться в оперативной памяти компьютера, создавать ключи в реестре, копировать файлы и т.д. В итоге получается, что традиционные системы HIPS, могут совершенно нормальное действие легального приложения принять за вредоносное, что приведет к ложному срабатыванию. Также часто некоторые действия самого пользователя приводят к тому, что легитимные приложения осуществляют действия, которые свойственны вредоносным. В заключении следует добавить, что система слежения активна тогда, когда активно само приложение, таким образом любые действия приложений могут привести к неприятным модификациям в операционной системе, или остановка этих приложений может привести к неприятным последствиям. И конечно такой тип анализа приложений (run-time) может иметь место только на рабочих станциях и не может адекватно блокировать информационные угрозы, которые проходят через Интернет-шлюзы или электронную почту.

Введение в систему Поведенческого Генотипа (Behavioral Genotype) 

Система Поведенческого Генотипа (ПГ) – это технология с совершенно другим подходом. Здесь используется сканирование еще до того, как приложение было запущено, с тем, чтобы понять основную функциональность приложения и основные отличия в его поведении, не давая ему потенциально нанести вред. Более того, комбинация слежения за поведением приложения и его статическими характеристиками, может увеличить вероятность определения вредоносного приложения. Например, информация о файле, такая как «издатель» (определенная строка, включенная в код приложения), может быть косвенной характеристикой, помогающей определить легитимность приложения.

Каждая индивидуальная характеристика может стать некоторым «геном» приложения: в биологии гены – это генетические кирпичики, которые отличают одну особь от другой, в технологических терминах, это тоже кирпичики, определяющие индивидуальность каждого приложения.

В соответствии с технологией ПГ производится сканирование файлов с выявлением сотен генов для последующего анализа. Комбинация найденных генов таким образом может определить новый вирус. Если вы соберете такую комбинацию с целой коллекции вирусов, то получите примерный набор генов, соответствующий вредоносным приложениям в принципе. С другой стороны обязательно также рассмотреть коллекцию генов, которые соответствуют вполне легитимным известным приложениям. Сравнив две полученные комбинации, можно получить итоговую, которая будет определять вирусы с минимизацией ложных срабатываний, то есть детектирования антивирусом вредоносного приложения на вполне легитимном образце.

Например, вирусы часто используют программы-упаковщики, которые пытаются сжать и спрятать вредоносный код от антивирусов. Упаковщики, это специальные программные утилиты, которые могут уменьшить размер исполнимых файлов, но одновременно с этим представляют интересную технологию для создателей вирусов, с помощью которой итоговый исполнимый файл будет намного сложнее определить традиционными методами с помощью сигнатур. Но этот метод, конечно, работает только в том случае, если антивирус не может сам распаковать такой вирус и не обладает алгоритмом работы упаковщика.

Однако, сам факт того, что приложение запаковано каким-либо из программ-упаковщиков, является серьезным аргументом в пользу того, что скорее всего разработчик пытался упаковкой скрыть вредоносный код. Например, среди всего вредоносного кода, обнаруженного лабораториями SophosLabs, 21% является запакованным и только 1 из 100 000 легальных файлов также запакован.

Другие примеры генов включают в себя:

• информацию о разработчике и издателе
• используемый язык программирования
• возможности использования Интернет
• возможности по копированию файлов
• добавление новых ключей в реестр.

Таким образом, самый простой пример гена это случай, когда приложение было запаковано, написано на Visual Basic, имеет возможности соединения с Интернет и хранит ссылки на сайты банков. В этом случае, скорее всего это вирус или Троянский конь, ориентированный на финансовое мошенничество.

В качестве развития данной технологии можно указать, что пока авторы вирусов занимаются адаптацией и развитием их технологий, система противостояния им не стоит на месте и также развивается. Если автор вируса придумал и реализовал в коде новую технологию, то чаще всего можно просто добавить в текущую коллекцию новый ген, идентифицирующий данную технологию, и актуализировать тем самым защиту против новых вредоносных кампаний. Весь этот анализ может быть выполнен без запуска потенциально опасного кода, и использован не только на рабочих станциях, но и на Интернет-шлюзах и почтовых серверах.

В качестве хорошего примера можно рассмотреть волну «штормового червя», которая началась в октябре 2006 года и продолжалась до февраля 2007-го. Посмотрите на картинку.

На картинке изображены много различных вариантов червей, включая Dorf и Dref, всего около 5 000 вариантов. Однако технологии ПГ вполне хватило для отражения всех видов таких червей проактивно. Если бы для построения защиты использовался только сигнатурный анализ, то есть реактивный метод защиты, сколько бы тогда понадобилось усилий вирусных экспертов, хотя бы для отражения первой волны червей, и какая при этом была бы эффективность.

Заключение

Генотипный поведенческий анализ комбинирует обычные HIPS технологии с контентным анализом, что в итоге дает высокий уровень проактивной защиты не только для рабочих станций, но и для Интернет-шлюзов и почтовых серверов.

Mark Harris the global director of SophosLabs.

Обсудить новость в форуме. (0 сообщений)