Проактивная защита.

[Палыч]

Война между вирусами и антивирусами - бесконечна. Чтобы победить в противостоянии, нужно быть сильнее противника - сложнее, мощнее, умнее. В результате, противодействие угрозам способствует их усложнению, а усложнение угроз ведет к совершенствованию средств противодействия. К чему же привела эта порочная спираль развития на сегодняшний день?

Во-первых, непрерывно растет скорость появления вирусов. Антивирусные компании оказываются в ситуации жесткого выбора: либо внедрять инновационные технологии, позволяющие совершить некий качественный скачок в области обработки вирусной лавины, либо оказаться "погребенными" под ней, не справиться с задачей защиты от угроз.

Во-вторых, усложняются сами вирусы. Ускоряется создание средств их защиты, в том числе новых упаковщиков кода. Вирусописателями активно используются технические приемы, нацеленные на затруднение анализа кода вируса, такие как обфускация и полиморфизм, в итоге, задача анализа кода постоянно усложняется. Вирусописатели соревнуются в совершенствовании технологий сокрытия присутствия вируса в системе, что обеспечивается совокупностью достаточно сложных технических приемов, которые сравнительно недавно (около двух лет назад) стали применяться в вирусах под Windows и были названы "руткитами" вслед за аналогичным давно известным явлением из мира Unix. В силах руткит-технологий сделать вредоносную программу невидимой не только для пользователя, но и для антивируса. Таким образом, усложняется даже, казалось бы, простая задача получения доступа к вирусу!

Итак, выделим три опасные тенденции:
Затруднение обработки потока новых вирусов за счет увеличения его объема
Затруднение анализа кода вирусов
Затруднение доступа к телу вируса

Классический метод противодействия вирусным угрозам - использование файлового сигнатурного антивируса. Суть его защитных функций заключается в сканировании файлов на диске и поиске в них вирусных "сигнатур" - цепочек байтов, характерных для той или иной компьютерной заразы. Базы, в которых эти сигнатуры хранятся, постоянно обновляются. Каждый новый вирус требует отдельного анализа и выделения сигнатуры. До тех пор, пока такая сигнатура не выделена специалистами и не добавлена в базы, вирус не может быть обнаружен.

Количество людей, занимающихся добавлением сигнатур в базы и анализом "упаковщиков", можно увеличить, а для противодействия руткитам - использовать все более изощренные технические средства. При сохранении такого подхода попытки противодействовать тенденциям в вирусной индустрии сродни попыткам убежать от поезда.

Проактивная защита (поведенческий блокиратор, поведенческий анализатор) - одна из современных технологий, воплощающих качественный скачок в области противодействия вирусным угрозам и позволяющих, условно говоря, "сойти с рельс". Суть технологии в том, что анализу подвергаются не файлы на диске, а само поведение программы - совокупность действий, совершаемых приложением в системе. Ведь если мы считаем некий класс программ вредоносными, то можем определить и характерные особенности их поведения. Например, скрытая от пользователя инсталляция в систему или модификация системных файлов - если и не бесспорно "вирусные" действия, то, как минимум, крайне подозрительные.

Рассмотрим, как проактивная защита обходит вышеуказанные проблемные тенденции в современной вирусной индустрии:

Главный "плюс" проактивной защиты в способности обнаружить и заблокировать совершенно новый вирус, сигнатура для которого еще отсутствует в базах. Таким образом, скорость реакции на новый вирус со стороны специалистов, вносящих изменения в базы, перестает критичным фактором защиты, следовательно, увеличение вирусопотока перестает быть фактором риска для пользователя.
В то время как вирусы совершенствуются в шифровании своего кода и сокрытии файлов, скрыть поведение практически невозможно. Для проактивного анализатора файл программы играет роль лишь постольку, поскольку после вынесения вердикта о вредоносном поведении файла его потребуется удалить.

Модуль проактивной защиты следит за активностью приложений в системе. Если приложение совершает одно или несколько подозрительных действий, его работа временно приостанавливается, а на экран выводится предупреждение. Если по выбору пользователя приложение было остановлено, то возможен "откат" всех его действий. Это важно: если файл вируса просто удалить, то в системе останутся связанные с ним файлы или записи реестра, что может привести к неработоспособности или к продолжению заражения.




По каким особенностям поведения программы можно определить, что действия ее вредоносны? Например, если она создает свою копию в системной директории и одновременно записывает ссылку на нее в реестр, для автозагрузки при старте компьютера. Этому (в общих чертах) поведению соответствует вердикт проактивной защиты Trojan.Generic. Существует еще несколько таких "красных" (наивысшей степени опасности) вердиктов, каждый из которых выносится проактивной защитой в ответ на поведение, крайне характерное для того или иного типа вируса. Например, червь, создающий свои копии в сети, будет классифицирован как Worm.Generic, а червь, копирующий себя в директории файлообменных сетей - как Worm.P2P.Generic.

Определение приложения как вредного только по поведению - нетривиальная задача, и ее решение не может быть таким же гарантированно верным, как вердикт сигнатурного антивируса. Поэтому, помимо красных, существуют желтые предупреждения (уровень опасности - "подозрительно") и синие, информативные. Появление желтого или, в особенности, синего предупреждения необязательно означает, что обнаружен вирус. Возможно, некое легальное приложение пытается совершить подозрительное действие, например, получить доступ к критичному разделу реестра.

Для примера того, насколько важна проактивная защита сегодня, рассмотрим недавнюю и еще не вполне утихшую эпидемию червя Warezov. Этот, казалось бы, обычный почтовый червь получил широкое распространение в краткие сроки во многом благодаря такой защите его кода, что каждая новая модификация вируса (а их появлялось до десятка в день) оказывалась недетектируемой для старых сигнатур. В итоге, ситуацию спасали только круглосуточные бдения специалистов по сигнатурам да частое обновление антивирусных баз.

Между тем, при использовании проактивной защиты эпидемия E-Mail-Worm.Win32.Warezov была бы невозможной в принципе! Поведение данного червя настолько типично, что модуль контроля за активностью приложений реагирует на него без необходимости обновления антивирусных баз целым рядом предупреждений разной "степени тяжести":

Trojan.Generic - предупреждение наивысшей степени опасности
Invader - "желтое" предупреждение о попытке процесса внедрить код в другие процессы
"Синие" предупреждения о модификации критических разделов реестра
"Желтые" предупреждения о нарушении целостности исполняющихся приложений
Причем, каждое последующее предупреждение появляется только в том случае, если пользователь проигнорировал предыдущие. Из любого предупреждения выполнение вируса можно остановить, а те изменения, которые он успел внести в систему, отменить.

Таким образом, в настоящее время, когда число новых вредоносных программ постоянно растет, и скорость распространения вредоносных программ иногда превышает скорость реакции антивирусных компаний, проактивная защита становится критически важным компонентом защиты, органично дополняющим традиционные сигнатурные методы борьбы с компьютерными угрозами.

По материалам computerra
Статья скопирована с сайта http://www.beseder.co.il/proaktivnaya-zaschita