Количество и разнообразие онлайновых угроз ставят трудные задачи перед антивирусными компаниями
Понедельник - время погашать задолженность по кредитной карте. Как технически грамотный потребитель вы входите в сеть, открываете браузер и отправляетесь на MBNA.com - сайт банка, в котором получили свою карту. Там вы вводите имя пользователя и пароль, получаете доступ к своему счету, проверяете баланс, переводите средства и погашаете задолженность по кредиту.
Вы не замечаете, что программа, которую согласились установить на своем компьютере, даже, может быть, и не зная в точности, для чего она нужна, скрытно следит за вашими действиями, делает мгновенные снимки посещаемых интернет-страниц и пересылает эту информацию в фирму, которая продает результаты "изучения" рынка рекламным компаниям. Но это еще вам повезло. Хуже, если программа окажется недавно созданным "троянским конем" для отслеживания платежей через Интернет, фиксирующим сеансы связи с банком и пересылающим информацию на взломанный сервер где-нибудь в Бразилии или Южной Корее. А что потом - кто знает...
Детали атак меняются, но одно бесспорно: современная антивирусная технология лишь в редких случаях обеспечивает защиту от тех угроз, с которыми сталкиваются сегодня пользователи. В течение более чем десяти лет антивирусные программы были главной составной частью систем безопасности предприятий. Но времена меняются.
Заваленные массой вредоносных программ и испытывающие давление со стороны клиентов, которые хотят защиты от расширяющегося спектра угроз, эксперты по антивирусам ищут новые способы обнаружения свежих вредоносных программ. Нынешний взрывной рост онлайновых угроз может лишить традиционную антивирусную технологию прежнего статуса передовой линии компьютерной обороны, что отразится на компаниях, продающих антивирусы. По мнению экспертов, пользователи начинают обращаться к более активным технологиям.
Исследователи, принимавшие участие в проходившей недавно в Дублине международной конференции Virus Bulletin International Conference, знают, через какие этапы прошло развитие вредоносного кода: от ранних вирусов, поражавших загрузочный сектор и распространявшихся через зараженные дискеты, через первые макровирусы, которые прятались в файлах Microsoft Office, и до появления весьма совершенных самовоспроизводящихся интернет-вирусов и червей, таких как Melissa, Code Red, Blaster и Slammer. Но даже ветераны антивирусной отрасли признают, что темпы эволюции ускорились. За последние два года в отрасли и в изучении антивирусов произошли значительные изменения.
"Раньше приходилось бороться с подростком, у которого нет подружки и который работает в одиночку, сидя в своей спальне, - сказал Ник Фитцджеральд, независимый исследователь антивирусов из Новой Зеландии, который участвует в конференциях Virus Bulletin последние восемь лет. - Но сегодня за дело взялись профессиональные преступники. Они целенаправленно бьют в наиболее уязвимое место многих антивирусных программ - зависимость от сигнатур вредоносного кода при распознавании угроз. Даже помешавшиеся на этом подростки изготавливали новые вирусы один или два раза в неделю. Кроме того, они устраивали себе выходные, и им нужно было готовиться к экзаменам. А теперь в течение суток появляется 18-20 новых вариантов червя Bagle и 24 или 30 вариантов ботов [программ удаленного управления]".
Многие производители антивирусов дополнили антивирусные сигнатуры механизмами эвристического обнаружения. Преступники ответили использованием программ-упаковщиков, изрыгающих десятки файлов с различными сигнатурами, но идентичных по содержанию. В результате антивирусные компании не могут работать с опережением событий, утверждает Фитцджеральд.
Касперский отметил, что
объем вредоносного
кода резко возрос
Согласно исследованиям Грега Дея, аналитика из компании McAfee, занимающегося вопросами защиты, за последние годы резко снизилась доля атак, имеющих средний и высокий уровень опасности, для которых уже есть сигнатуры, по сравнению с атаками, для отражения которых необходимо было обновить сигнатуры. В прошлом году приблизительно 90% атак произошло прежде, чем появились сигнатуры, способные их остановить. Для сравнения: в 2002 г. доля таких атак составила менее 50%.
Исследователи из "Лаборатории Касперского" (ЛК) сейчас каждый месяц получают 5 тыс. образцов вредоносного кода, вдвое больше, чем год назад, сообщил Евгений Касперский, руководитель исследований в области антивирусов. По его словам, база данных вредоносного кода, которую ведут в компании, за прошлый год выросла на 50% и насчитывает более 150 тыс. записей.
Еще хуже, что около 80% присылаемых в ЛК образцов вредоносного кода написано онлайновыми преступниками с целью получения денег путем подмены персональных данных или взлома. Лишь 5% написано юными хакерами или людьми, "балующимися со скриптами", сообщил Касперский.
Коммерциализация и криминализация сообщества создателей вредоносного кода представляет собой только одну из проблем, с которыми сталкиваются главные производители антивирусов - Symantec, McAfee, Trend Micro и Sophos. Для них борьба с вирусами и червями является привычным делом. Техника "стелз", изменение методов распространения и расплывчатые границы между вредоносными программами, шпионящим ПО и непрошеной рекламой - все это создает дополнительную нагрузку на старую гвардию борцов с вирусами.
Используя все более совершенные приемы маскировки, особенно на компьютерах под управлением Windows, растущее количество вредоносных программ обладает возможностями, заимствованными у руткитов, которые позволяют им избежать обнаружения при сканировании антивирусными средствами.
Лаборатория Касперского отмечает устойчивый рост таких скрытых программ на протяжении последних двух лет. Например, в апреле этого года был обнаружен 31 экземпляр скрытого вредоносного ПО по сравнению с восемью в январе.
Перехватывая вызовы ОС или обмен информацией с ядром ОС, подобное скрытое ПО маскирует многие характерные признаки, которые стремятся выявить антивирусные сканеры, такие как имена исполняемых файлов, записи в реестре операционной системы и протекающие в оперативной памяти процессы. Об этом рассказал Кимо Каслин, исследователь антивирусов из компании F-Secure (Хельсинки, Финляндия), выступая на конференции Virus Bulletin.
Эрик Чайен, исследователь из Symantec, отметил, что характерные для руткитов черты появляются даже в легальном или полулегальном ПО, предназначенном для размещения рекламы, которое антивирусные сканеры часто отмечают как зловредное.
В выступлении, озаглавленном "Приемы непрошеной рекламы и шпионящего ПО", Чайен привел примеры характерных особенностей руткитов, включенных в программы распространения рекламных объявлений, такие как Elitebar и CommonName.
Хотя в приемах, используемых для сокрытия этих программ, нет ничего противозаконного, их поведение вызывает подозрения, когда оно сочетается с другими небесспорными действиями, например с мониторингом поведения пользователя, сообщил Чайен.
Крупные эпидемии вирусов и червей, таких как Code Red, Slammer и Sasser, показали, до какой степени рядовые пользователи, компании и даже правительства взаимосвязаны в рамках общей экосистемы Интернета. Однако изменения в способах распространения вредоносного кода превратили атаки через Интернет и эпидемии вредоносного кода из глобальных явлений в локальные, заявил Кевин Хоган, старший менеджер Symantec.
"В прошлом люди создали бы червя и выпустили его, - сказал Хоган. - А сейчас вы получаете боты и троянцев, которые направляются в конкретную компанию или рассылаются по определенным диапазонам IP-адресов. Мы можем иметь дело с вирусом, отнесенным ко второй категории опасности. Но один из наших клиентов может заявить, что для него данный вирус представляет опасность категории 3 или 4.
Антивирусные компании всегда обменивались друг с другом образцами вредоносного кода, чтобы защищать широкие круги интернет-пользователей. Но с появлением целенаправленных атак и взрывным ростом угроз антивирусные компании вынуждены для защиты своих клиентов двигаться в различных направлениях. Они все больше отдают приоритет тем вирусам и тому вредоносному ПО, о которых сообщают их клиенты, и уделяют меньше внимания вирусам, образцы которых предоставлены конкурентами, сказал Фитцджеральд.
Он считает, что со временем все большая специализация атак может привести к "балканизации" антивирусного сообщества, когда инструменты будут разрабатываться специально для определенных клиентов и не смогут обнаруживать вирусы и вредоносный код, поступившие из других частей Интернета.
Еще большую озабоченность производителей антивирусов вызывают изменения в способах распространения вредоносного кода, которые позволяют им обходить антивирусные сканеры, установленные на серверах электронной почты, сетевых шлюзах или настольных компьютерах пользователей.
Предпринятые в марте атаки путем "отравления" кэша системы доменных имен (Domain Name System, DNS) и растущая популярность захвата указателей интернет-ресурсов (при этом результаты произведенного с помощью Google поиска разбавляются адресами веб-страниц, с которых загружаются вредоносные программы) свидетельствуют, что онлайновым преступникам уже нет необходимости внедрять созданный код в машины жертв. Достаточно заманить пользователей на сайты, с которых жертвы непреднамеренно загрузят вирусы, троянцев, программы, фиксирующие нажатия клавиш на клавиатуре, и другое ПО. Об этом говорилось в выступлении Игоря Маттика, старшего архитектора Центра скорой антивирусной помощи (Anti-Virus Emergency Response Team, AVERT) компании McAfee.
Вредоносный контент часто передается под видом безобидного веб-трафика, избегая обнаружения шлюзами и антивирусными программами настольных компьютеров, сообщил Маттик.
Антивирусным компаниям приходится также иметь дело с бесчисленными полулегальными программами рассылки рекламных объявлений, которые обещают пользователям "ценные подарки" в обмен на доступ к их настольным компьютерам и ознакомление с их привычками, касающимися странствий по Интернету и совершения покупок.
Подобные программы создаются и распространяются компаниями вроде 180Solutions и Direct Revenue. Часто они предлагаются вместе с бесплатным, "поддерживаемым за счет рекламы" ПО, таким как клиентская часть программы Kazaa для создания одноранговых сетей, которые пользователи соглашаются установить у себя.
Программы, сопровождаемые показом рекламы, часто изменяют многие настройки компьютеров и устанавливают взаимосвязи с другим инсталлированным ПО. В результате их труднее удалить, чем вирусы, сказал Чайен из Symantec.
Большое количество взаимосвязей мешает определить, действительно ли пользователь хочет или обязан установить на своем компьютере ПО, показывающее рекламу. В результате антивирусные компании, по словам Чайена, подвергаются риску судебного преследования со стороны поставщиков ПО, сопровождаемого показом рекламы.
Более того, эксперты по борьбе с вирусами считают, что программы рекламных кампаний часто устанавливаются явно противозаконным образом. Чайен сказал, что встречал ПО производства 180Solutions, объединенное с пиратским контентом, таким как фильмы и взломанные программы.
Даже в тех случаях, когда ПО распространяется и устанавливается совершенно законно, практически невозможно разобраться в хитросплетении взаимосвязанных веб-сайтов, распространяющих программы серверов и мнимых веб-серверов, используемых для продвижения рекламы. Такое мнение высказал Джо Телафичи, руководитель производства Центра скорой антивирусной помощи компании McAfee. Он был одним из двух исследователей в McAfee, которые потратили месяц на изучение "банды транспондеров" - паутины сайтов, распространявших программы с рекламой Direct Revenue ("прямой доход").
Сотрудники Телафичи обнаружили сеть независимых, но идентичных по структуре веб-сайтов. Эти сайты, такие как pynix.com, mx-targeting.com и offeroptimizer.com, были причастны к показу рекламы Direct Revenue. В результате расследования была вскрыта сложная инфраструктура, созданная для распространения объектов справочной системы браузера - дополнительных программ (плагинов), которые собирают информацию о действиях владельца компьютера в обмен на предоставление неких "услуг", например поиска в Интернете.
Исследователи из McAfee обнаружили, что мнимые веб-сайты, оказавшиеся не более чем пустыми оболочками, придавали рекламному ПО респектабельный вид и одновременно создавали впечатление солидности Direct Revenue, рассказал Телафичи.
Для ИТ-менеджеров предприятий не новость, что антивирусные технологии с трудом справляются с потоком новых угроз.
Клюли: "Sophos планирует
усилить защиту с помощью
клиентского брандмауэра"
"Я рассматриваю антивирус главным образом как инструмент сканирования и удаления", - заявил Пранит Махетира, руководитель направления онлайновых технологий в отделе управления технологиями бизнес-школы при Суффолкском университете.
В университете используют корпоративные антивирусные продукты Symantec. Но это не помешало новому варианту червя Sobig заразить примерно 50 компьютеров, подключенных к сети бизнес-школы, после того как был заражен необновленный Windows-сервер, имевший выход в Интернет.
Заплатки не были установлены потому, что университет проводил профилактическое обслуживание компьютеров, сообщил Махетира. А антивирус Symantec не остановил червя, хотя в университете имелась сигнатура, с помощью которой его можно было выявить уже через 5 ч после его появления. "Университет можно упрекнуть в неудачном выборе времени для профилактики, но такова жизнь", - сказал он.
Новые угрозы не устраняют необходимость в антивирусной технологии, но меняют ее функции в рамках предприятий, считает Хоган из Symantec.
Хотя антивирусные программы не обеспечивают надежную линию обороны от вредоносного кода, они все же важны, утверждает Джон Пескаторе, аналитик из Gartner. "Сигнатуры всегда представляют собой наиболее эффективный способ блокирования угроз с наименьшим количеством ложных тревог и временных затрат", - сказал Пескаторе.
Использование сигнатур по-прежнему важно для защиты электронной почты и обороны по периметру сети. Но на настольных компьютерах они представляют интерес главным образом с точки зрения удаления угроз, считает Пескаторе: "Эта технология является необходимой, но недостаточной".
Десять наиболее распространенных вирусов, сведения о которых поступили в компанию Sophos
Точность, присущая выявлению угроз с помощью сигнатур, важна и с той точки зрения, что она позволяет компаниям демонстрировать соблюдение требований законодательства в области защиты сведений частного характера. Однако потребуется объединить результаты сканирования антивирусными программами с другими данными, собранными инструментами анализа уязвимостей и угроз, считает Кен Данхем, директор по вредоносному коду компании iDefense.
Многие антивирусные компании дополнили или планируют дополнить свои базовые антивирусные программы технологией, позволяющей повысить их способность обнаруживать вредоносный код.
Большинство основных производителей антивирусного ПО уже давно включили в свои продукты возможность обнаружения спама.
Гиганты антивирусного рынка McAfee и Symantec снабдили или собираются снабдить свои программы механизмом обнаружения угроз на основе анализа поведения. В августе 2004 г. McAfee дополнила VirusScan Enterprise Version 8.0 компонентами, заимствованными из ее системы предотвращения вторжений Entercept.
Symantec недавно приобрела компанию WholeSecurity и планирует использовать ее технологию анализа поведения программ в новых версиях продуктов, предназначенных как для настольных компьютеров (Norton Internet Security), так и для предприятий. Об этом сообщил Марк Обрехт, вице-президент WholeSecurity по исследовательской работе.
Лаборатория Касперского включит в новую версию своего пакета безопасности, которая выйдет в начале будущего года, 15 или 20 способов обнаружения вредоносного кода, сказал Касперский. Среди новых возможностей - проверка скриптов, позволяющая выявить включенный в веб-страницы зловредный код, блокиратор поведения, интегрированный брандмауэр, а также интегрированные технологии борьбы с фишингом и руткитами. По словам Касперского, новая версия будет примерно на 50% сложнее текущей.
Фирма Sophos (Великобритания) не собирается придавать своему продукту возможность анализа поведения. Здесь считают, что такой анализ будет слишком часто принимать вполне законные действия за злонамеренные, сообщил Грехем Клюли, старший консультант по технологии. Однако в будущем году компания дополнит свою стандартную клиентскую программу брандмауэром. Как сказал Клюли, это позволит улучшить защиту от вредоносного кода, который при отсутствии брандмауэра может проникнуть в компьютеры работников, часто находящихся в разъездах.
Появление новых инструментов может служить признаком того, что защита настольных компьютеров наконец-то вступает пору зрелости, сказал Пескаторе из Gartner: "Теперь вам не придется для одних целей использовать антивирус, для других - персональный брандмауэр и думать, что таким образом настольный компьютер защищен; вместо этого вы получите единый продукт, который сможет блокировать все угрозы, используя различные методы".
В Суффолке, сообщил Махетира, администраторы ИТ развертывают технологию выявления угроз на основе анализа поведения, созданную компанией Sana Security. Она дополнит антивирусную технологию Symantec и другие системы безопасности.
Хотя в конечном счете даже многоуровневые технологии обнаружения угроз не в состоянии остановить пользователей, которые привыкли и которым разрешено открывать прикрепленные к сообщениям электронной почты файлы с вредоносным кодом, посещать всякие гнусные веб-сайты или щелкать мышкой на подозрительных веб-адресах, резюмировал он.