04.04.2002

Блокирование поведения: следующий шаг в антивирусной защите (часть первая)

До того, как наступила эпоха современных быстрых саморазмножающихся вирусов, основная функция антивирусного программного обеспечения состояла в предотвращении инфицирования путем предварительного выявления характерных «отпечатков» вируса и добавления профилактической защиты и против данного типа компьютерного вируса. То есть раньше производители антивирусов были способны выявить новые «отпечатки» до того, как вирус успевал широко распространиться. Причем появление защиты опережало волну эпидемии вируса на неделю-две, и модифицированная компьютерная защита с легкостью гасила вирусную волну, не допуская ее распространения. Конечно, причиной этого была невысокая скорость традиционного распространения вирусов - только в случае, когда люди обменивались инфицированными файлами. Но, в любом случае, антивирусное программное обеспечение блокировало начальную инфекцию, предотвращая заражение машин, предохраняя ценные файлы от порчи, а людей от потребности в дорогостоящей ручной очистке машин и длительного времени простоя компьютеров.

Введение

До того, как наступила эпоха современных быстрых саморазмножающихся вирусов, основная функция антивирусного программного обеспечения состояла в предотвращении инфицирования путем предварительного выявления характерных «отпечатков» вируса и добавления профилактической защиты и против данного типа компьютерного вируса. То есть раньше производители антивирусов были способны выявить новые «отпечатки» до того, как вирус успевал широко распространиться. Причем появление защиты опережало волну эпидемии вируса на неделю-две, и модифицированная компьютерная защита с легкостью гасила вирусную волну, не допуская ее распространения. Конечно, причиной этого была невысокая скорость традиционного распространения вирусов - только в случае, когда люди обменивались инфицированными файлами. Но, в любом случае, антивирусное программное обеспечение блокировало начальную инфекцию, предотвращая заражение машин, предохраняя ценные файлы от порчи, а людей от потребности в дорогостоящей ручной очистке машин и длительного времени простоя компьютеров.

В настоящее же время, учитывая плодовитость и скорость саморазмножающихся вирусов, а также многочисленность механизмов распространения, самые свежие и заразные черви просто обходят устаревшее антивирусное программное обеспечение и успевают установить себя на компьютерах до появления соответствующих антивирусных заплат и модификаций. А как только машины инфицированы, роль антивирусного программного обеспечения смещается - с защитного и профилактического на утилиту очистки.

Понятно, что традиционное антивирусное обеспечение становится все менее эффективным против самых быстрых новых угроз. Тогда возникает вопрос: а существует ли технология, которая могла бы сместить акцент антивирусной защиты с ее текущей роли, как инструментального средства очистки к ее первоначальной роли - как действительно защиты? Возможно, что ответ - "да" и что технология, которая позволит это осуществить, является блокированием поведения. В этой статье описана эта технология, и исследуется, как этот метод может помочь в отражении атак будущих поколений саморазмножающихся вирусов и других угроз.

 

Снятие «отпечатков» и эвристика все еще эффективны?  

Традиционное антивирусное программное обеспечение на основе «отпечатков» обнаруживало вредный код, сканируя десятки тысяч файлов на диске и в сетевом трафике на поиск определенной последовательности байтов. Каждый такой характерный фрагмент - короткая последовательность байтов, извлеченная из тела определенного штамма вируса. И если данный фрагмент найден, антивирусная защита считает данный файл инфицированным. Но поскольку «отпечатки пальца» основаны на известных последовательностях байтов изученных вирусов, эта методика часто бывает не в состоянии обнаружить и предотвратить заражение неизвестным ранее типом вируса.

В отличие от метода снятия отпечатков, эвристическая антивирусная технология обнаруживает вирусы путем тщательного исследования полной структуры программы, ее компьютерных команд и другие данных, содержащихся в файле. Эвристический сканер дает оценку вероятности, что данная программа является вредной и разрушительной, основываясь на логической обработке содержимого подозрительных файлов. Такая схема может обнаруживать неизвестные вирусы, исследуя саму логику программы.

Чтобы справляться с наиболее сложными и хитрыми червями, современные антивирусные программы часто используют эмуляцию CPU или технологию “sand-boxing” (ограниченного пространства) в сочетании с простым побайтовым сканированием. В этом случае, выполняя ограниченную эмуляцию программы в пределах виртуальной машины или изолированного пространства, удается обнаружить затененную, скрытую логику и пресечь просачивание вируса. Эта эмуляция чрезвычайно ограничена (как правило, эмулируется менее тысячи шагов программы) и такие программы все еще оставляют значительную долю опаснейших вирусов.
Большой плюс описанных методов - их способность обнаруживать вирусы и вредные коды в файлах прежде, чем эти скрытые опасности смогут инфицировать компьютеры и нанести какой-либо ущерб. Однако эти схемы фактически не в состоянии обнаружить вирусы, кодирующие свое тело, скрывающие логику и запутывающие злонамеренный код. Зачастую единственным способом определить, есть ли в интересующем нас файле вредные фрагменты кода - это выполнить его в реальных условиях и определить вред, который он нанес. Это – именно тот случай, когда может помочь метод блокирования поведения.

Блокирование поведения  

В отличие от сканеров на основе эвристики или «отпечатков», программное обеспечение, блокирующее поведение, интегрируется с операционной системой хоста и наблюдает поведение различных программ в реальном времени на предмет попыток совершения подозрительных действий. Любое неадекватное поведение немедленно блокируется прежде, чем вирус или встроенный код сумеет нанести какой-либо вред. Высматриваемые действия могут включать:

1. Попытка открытия, просмотра, удаления, и/или изменения файлов;
2. Попытка форматирования дисков и другие непоправимые дисковые операции;
3. Модификация логики исполняемых файлов, сценариев и макросов;
4. Модификация критических системных параметров, типа параметров настройки запуска;
5. Создание сценариев почтовой рассылки для передачи сообщений, содержащих выполняемые фрагменты.
6. Инициирование сетевых подключений.
Если защита обнаруживает, что какая-то программа инициирует потенциально злонамеренное поведение, то оно немедленно блокируется в реальном масштабе времени, а сама подозрительная программа приостанавливается. В этом и есть фундаментальное преимущество по сравнению с традиционными антивирусными методами типа сканирования «отпечатков» или определения логики. В то время, как существует буквально триллионы различных способов запутывания и перестройки команд вирусов и червей, многие из которых позволяют обойти традиционные сканеры, в конечном счете, злонамеренный код должен предпринять попытку выполниться и сделать четкий запрос операционной системе. Учитывая, что система блокирования поведения может прерывать все такие запросы, она позволяет идентифицировать и блокировать вредные коды независимо от того, насколько хитроумно скрыта, на первый взгляд, была логика программы.

Способность отслеживать программное обеспечение в реальном масштабе времени дает огромную выгоду таким методам; однако, это и является основным недостатком метода. Так как злонамеренный код может фактически выполниться на машине жертвы прежде, чем все последствия такого поведения могут быть идентифицированы, возникает угроза нанесения значительного ущерба системе до того, как это будет обнаружено и пресечено. Например, неизвестный вирус мог бы перемещать и тасовать целый набор внешне безобидных и незначительных файлов по жесткому диску перед инфицированием единственного целевого файла с немедленной блокировкой этого действия. Даже при том, что основной ущерб - фактическое инфицирование был пресечен, пользователь может быть неспособен вернуть обратно все сотни или тысячи перемещенных файлов, что вызовет сбой в работе многих программ и потерю производительности. Это – именно то, почему до сих пор предпочтение отдается методам своевременного обнаружения вирусов и предотвращения заражения, используя проверенные временем традиционные схемы побайтового сканирования или эвристики, и вот почему метод снятия «отпечатков пальцев» не собирается пока что уходить в историю.

Но разрабатываются и новые усовершенствованные технологии блокирования поведения.

(продолжение следует)
 

или введите имя

CAPTCHA