Современные антивирусные программы успешно распознают и блокируют большую часть вредоносного программного обеспечения, но они неспособны успешно бороться против нового вредоносного программного обеспечения и угроз «нулевого дня», так как антивирусные программы в большинстве случаев пользуются статическими методами анализа и не содержат информацию о новой угрозе.
Уязвимость нулевого дня — это дыра или недостаток в программном обеспечении, для которого нет исправлений или обновлений, потому что уязвимость неизвестна ни производителям программного обеспечения, ни поставщикам антивирусных программ.
Основные методы анализа антивирусных программ:
- Метод сканирования сигнатур. Данный метод основан на поиске в файле некоторой последовательности битов (сигнатуры), характерной для конкретного типа вредоносного программного обеспечения.
- Метод контроля целостности. Для исходного файла по определённым алгоритмам высчитывается контрольная сумма (дайджест). При получении файла заранее исходная контрольная сумма сравнивается с текущей. Если контрольные суммы различаются, то это говорит о нарушении целостности файла (его незаконной модификации).
- Эвристический анализ. При эвристическом анализе анализируется код объекта на наличие в нем подозрительных команд или участков кода, характерных для определённого вируса.
- Метод отслеживания поведения программ. Современные антивирусные программы имеют встроенный модуль песочницы.
Динамический метод анализа реализуется с помощью антивирусных песочниц. Антивирусная песочница — система для выявления подозрительного сетевого трафика и вредоносного программного обеспечения путем запуска подозрительного объекта в изолированной безопасной виртуальной среде. Система анализирует поведение объекта в процессе его работы и на основе полученной информации выносит заключение об уровне угрозы.
Например, работа песочниц SandboxIE, Сomodo Internet Security и других песочниц, используемых в составе антивирусов основывается на методе частичной виртуализации. Данное программное обеспечение устанавливается на клиентские машины и позволяет выборочно запускать потенциально опасные файлы и приложения в изолированной виртуальной среде.
Стадии работы песочницы:
- Песочница получает запрос на проверку файла. В запросе указываются:
- тип операционной системы, на которой будет происходить проверка объекта;
- конфигурация для запуска;
- другие сторонние приложения;
- ограничение по времени и др.
- Запуск приложения.
- Система отмечает исполняемый код, фиксирует действия проверяемого файла, порожденные процессы, изменения параметров системы.
- Система проводит анализ собранных данных и по результатам анализа определяет уровень угрозы.
Песочницы данного типа подходят для личного использования в силу их стоимости, низкой нагрузки на систему, и возможности выбирать файлы для проверки. Например, пользователь может выборочно проверять только подозрительные файлы из интернета, ссылки, или почтовые вложения.
Минусы песочниц данного типа:
- Необходимость вручную выбирать файлы и приложения для проверки делает этот тип песочниц непригодным для корпоративной среды: появляется необходимость дополнительного обучения персонала по работе с программным обеспечением. Также, происходит замедление бизнес процессов и снижается объем выполненной сотрудником работы;
- Существует вероятность выхода вредоносного программного обеспечения за границы виртуальной среды или ошибочный запуск за границами безопасной среды.
- Некоторые песочницы не способны эмулировать действия пользователя или обладают постоянной последовательностью выполняемых функций, что позволяет вирусам выявить, что они запущены в песочнице. Также, действия пользователя могут быть недостаточными, для активации триггера вируса, и песочница посчитает файл безопасным.
Компания FireEye имеет отличные решения в области информационной безопасности. Одно из решений — FireEye Network security (FireEye NX).
FireEye NX представляет собой песочницу на основе полной виртуализации для защиты внутренней инфраструктуры организации от угроз поступающих из сети Интернет. Позволяет выявлять и блокировать веб-эксплойты нулевого дня и вредоносное ПО.
В основе работы FireEye NX лежат механизмы Multi-Vector Virtual Execution (MVX) и Intelligence-Driven Analysis (IDA).
MVX представляет собой безсегнатурный динамический механизм анализа, проверяющий подозрительные сетевой трафик и файлы в безопасной виртуальной среде. Позволяет выявлять атаки нулевого дня, вредоносные программы и многопротокольные обратные вызовы.
IDA — это набор контекстных механизмов на основе динамических правил, которые выявляют и блокируют зловредные действия в реальном времени и за прошедший период. IDA использует новейшие аналитические данные о компьютерах, злоумышленниках и их жертвах. FireEye NX также использует систему предотвращения вторжений (IPS), которая позволяет предотвращать атаки.
По сравнению с песочницами, которые устанавливаются на компьютер пользователя, FireEye имеет следующие преимущества:
- В процессе виртуализации, FireEye подробно фиксирует все изменения реестра, сетевой трафик и другие системные события, и представляет данные в удобном для аналитики виде. Это позволяет специалистам разобраться в сценариях атак или принципах действия вредоносного ПО.
- FireEye способен выбирать одну или несколько наиболее подходящих виртуальных операционных систем (Windows 10, 7, XP и OS X), на которых будет происходить запуск ПО. Также, FireEye способен эмулировать поведение пользователя, это позволяет убедить вирус, что он находится в реальной рабочей среде пользователя.
- Advanced Threat Intelligence (ATI) — это облачная функция сбора и распространения информации об угрозах, которая предоставляет полезную информацию о событиях, проверенных MVX на устройствах серии NX. Информация об угрозах сообщает: кто является действующим лицом атаки, на что он был нацелен, и, если известно, как смягчить угрозу.
- Machine learning (ML, машинное обучение). Malware Guard отвечает за обучаемость системы. Machine learning это методики анализа данных, которые позволяют аналитической системе обучаться в ходе решения множества схожих задач. Машинное обучение базируется на идее о том, что аналитические системы могут учиться выявлять закономерности и принимать решения с минимальным участием человека. На сегодняшний день набор данных для Malware Guard составляет более чем 300 миллионов образцов.
- Dynamic Threat Intelligence (DTI) cloud. Dynamic Threat Intelligence cloud выполняет роль глобального распределительного узла. DTI cloud позволяет пользователям FireEye по всему миру обмениваться автоматически генерируемыми сведениями об угрозах. Если одними пользователями системы была обнаружена новая неизвестная атака или вредоносное ПО, то информация об этом будет загружена в DTI cloud, откуда ее смогут получить все остальные системы FireEye.
- Возможность ретроактивного обнаружения (retroactive detection). Retroactive detection позволяет обнаружить ранее пропущенные вредоносные файлы.
Системы FireEye являются продуктами корпоративного уровня, и внедрение в небольшие организации не является оправданным, в силу их высокой стоимости и излишнего функционала.
Для снижения нагрузки на систему, FireEye NX или EX (Email Security) устанавливают за уже существующими средствами защиты, например, Firewall. В данном случае Firewall будет блокировать большую часть нежелательного трафика, что позволит FireEye проверять только сетевой трафик, который другими системами признан безопасным. Такое решение снижает количество событий системы, что позволяет сосредоточиться на анализе ранее неизвестных угроз.
Список литературы:
- Ahmadi and A. Sami. Malware detection by behavioral sequential patterns. Computer fraud and security, 2013.
- [Электронный ресурс] https://habr.com/ (дата обращения: 10.11.2019)
- [Электронный ресурс] https://www.fireeye.com/ (дата обращения: 10.11.2019)
- [Электронный ресурс] https://www.kaspersky.ru/ (дата обращения: 10.11.2019)
- [Электронный ресурс] https://axoft.ru/vendors/FireEye/FireEyeNX/ (дата обращения: 10.11.2019)
