История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.
Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:
* Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
* Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
* Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;
Методы проактивной защиты
История развития проактивных методов защиты
Проактивные методы защиты появились почти одновременно с реактивными методами защиты, как и системы, применяющие данные методы. Но в силу недостаточной «дружественности» проактивных систем защиты по отношению к пользователю разработка подобных систем была прекращена, а методы преданы забвению. Относительно недавно проактивные методы защиты начали свое возрождение. На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а так же на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.
|
На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:
* Методы поведенческого анализа;
* Методы ограничения выполнение операций;
* Методы контроля целостности ПО и ОС.
Методы предотвращения вторжений (IPS-методы):
HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя; Принцип работы HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе HIPS:
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Высокая эффективность противостояния угрозам 0-day;
* Высокая эффективность противодействия руткитам, работающим в user-mode;
Недостатки систем, построенных на методе HIPS:
* Низкая эффективность противодействия руткитам, работающим в kernel-mode;
* Большое количество обращений к пользователю ПК;
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
|
VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.
Принцип работы VIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе VIPS:
* Низкое потребление системных ресурсов;
* Высокая эффективность противостояния угрозам 0-day;
* Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;
Недостатки систем, построенных на методе VIPS:
* Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
* Большое количество обращений к пользователю ПК;
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
Песочница (sandbox) - метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС.
Принцип работы Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные» выполняется без каких либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.
Преимущества систем, построенных на методе песочница (sandbox):
|
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю ПК;
Недостатки систем, построенных на методе песочница (sandbox):
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.
Принцип работы Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.
Преимущества систем, построенных на методе активного поведенческого анализа:
* Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Недостатки систем, построенных на методе активного поведенческого анализа:
* Интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
* Невозможность противодействия активному заражению ПК;
Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.
Принцип работы ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.
Преимущества систем, построенных на методе активного поведенческого анализа:
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;
Недостатки систем, построенных на методе активного поведенческого анализа:
* В некоторых случаях анализ кода может занимать достаточно продолжительное время;
* Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
* Невозможность противодействия активному заражению ПК.
Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.
Принцип работы Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.
Преимущества систем, построенных на методе «сканер целостности»:=
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю;
Недостатки систем, построенных на методе «сканер целостности»:
* Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
* Слабая эффективность противодействия user-mode и kernel-mode руткитам;
* Невозможность противодействия активному заражению ПК;
Метод предотвращения атак на переполнение буфера («эмулятор NX-бита») осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется.
Принцип работы Как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.
Преимущества систем, построенных на методе «эмулятора NX-бита»:
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Полное отсутствие каких бы то ни было обращений к пользователю;
Недостатки систем, построенных на методе «эмулятора NX-бита»:
* Системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
* Невозможность противодействия активному заражению ПК.
Проактивная защита
[править]
Материал из Википедии — свободной энциклопедии
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
[править]История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
[править]Технологии проактивной защиты
§ Эвристический анализ
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
§ Эмуляция кода
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
§ Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
§ Sandboxing (Песочница) – ограничение привилегий выполнения
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
§ Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
[править]Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
13. Особенности файловой системы FAT32.