"Шпиону" вход заказан

"Шпиону" вход заказан

Владимир Бычек, руководитель направления контент-безопасности (eSafe) компании Aladdin

Описание проблемы

То, что на сегодня spyware является основной угрозой для компьютеров корпоративных сетей и частных пользователей, не вызывает никаких сомнений. Это аксиома. Также не вызывает сомнений утверждение, что основным источником заражения является Web-браузинг.

Благодаря новым возможностям, предоставляемым Всемирной паутиной, и в особенности повсеместному распространению социальных сетей, все большее количество не сведущих в вопросах информационной безопасности людей регулярно обращаются к Интернет-ресурсам и становятся жертвами все более изощренных атак, целью которых является как похищение конфиденциальных и персональных данных, так и "зом-бирование" компьютеров с целью последующего использования их ресурсов злоумышленниками.

Эффективная работа бот-сети определяется тремя составляющими, из которых она условно состоит:

1. программа-загрузчик, задачей которой является распространение собственного кода и кода программы бота, выполняющей полезную нагрузку;
2. программа-бот, выполняющая полезную нагрузку (сбор и передача конфиденциальной информации, рассылка спама, участие в DDos-атаке и т. п.);
3. управляющий ботнет, собирающий информацию от ботов и рассылающий обновления и при необходимости новые конфигурационные файлы, "перенацеливающие" боты.

Все перечисленные составляющие написаны, как правило, на достаточно высоком уровне, имеют в арсенале средства подавления антивирусных продуктов, персональных межсетевых экранов, и бороться с ними в большинстве случаев совсем непросто.

Рассмотрим основные методы борьбы со spyware и попробуем оценить, насколько они эффективны.

Методы борьбы со spyware. Сигнатурный анализ

Классическим методом борьбы со spyware является сигнатурный анализ. Как и любой другой вид вредоносного кода, spyware можно определить по сигнатуре. Большинство вендоров имеют в арсенале подобные средства борьбы со spyware. Существуют также и бесплатные продукты, качественно реализующие сигнатурный метод. Данный метод неплох, но его эффективность при современном развитии угроз, связанных с распространением spyware, недостаточно высока по следующим причинам:

1. для определения spyware по сигнатуре на стадии загрузки необходимо контролировать 100% Web-трафика (HTTP, FTP, желательно HTTPS) либо на шлюзе в Интернете, либо на рабочей станции. Это достаточно ресурсоемкая задача, и решить ее без внесения серьезных задержек в работу пользователей могут немногие;
2. база сигнатур должна быть актуальной, в противном случае новые штаммы spyware обнаружены не будут. Важно также понимать, что большинство ботов в первую очередь пытаются блокировать возможность обновления как персональных средств защиты от вредоносного кода, так и межсетевых экранов.
3. эффективнее всего spyware определяются по сигнатурам при тотальном сканировании файловой системы на актуальной базе сигнатур. Однако такое сканирование занимает недопустимо много времени.

Проактивный анализ

Проактивные механизмы определения spyware существенно меньше зависят от актуальности баз, однако предъявляют еще более высокие требования к производительности как шлюзовых, так и персональных средств защиты. Для выявления на стадии загрузки spyware проактивные модули также требуют 100% проверки поступающего Web-трафика (HTTP, FTP, желательно HTTPS). На сегодняшний день, несмотря на все усилия антивирусных вендоров, проактивные системы анализа все же уступают по распространению сигнатурным, поскольку более сложны в реализации (особенно для детектирования программ-шпионов, использующих руткит-технологии).

Анализ исходящего трафика

Очень эффективный метод, основанный на анализе исходящего трафика, генерируемого персональным компьютером. Существует ряд следующих подходов к реализации подобного решения, эффективность которых существенно отличается:

1. применение персональных межсетевых экранов. Заключается в том, что персональный межсетевой экран контролирует все коммуникации ПК с внешним миром. Будучи корректно настроенным, персональный межсетевой экран сигнализирует пользователю о трафике, который показался ему подозрительным, и просит пользователя принять решение о его легитимности. В итоге пользователь, раздраженный вопросами, признает трафик легитимным, и работе spyware больше ничто не мешает;
2. использование репутационных баз. Метод, реализуемый рядом поставщиков шлюзовых решений, заключается в определении адреса, с которым устанавливается связь, и по репутации адреса делается вывод о легитимности коммуникации. Очевидна недостаточная его эффективность, поскольку за время обновления репутационных баз ботнет может быть размещен на ресурсе с самой хорошей репутацией. Не стоит забывать и о ложных срабатываниях;
3. анализ сигнатур коммуникационных протоколов. Трафик spyware обнаруживается на шлюзе и блокируется с одновременным уведомлением администратора безопасности о факте spyware на определенном компьютере в сети.

Выявление попыток переадресации ("drive-by")

Распространенным методом инфицирования ПК является метод переадресации, называемый также "drive-by". В процессе реализации метода пользователь, оказавшись на "заряженном" вредоносным кодом сайте, незаметно для себя переадресовывается либо сразу на сайт, с которого происходит загрузка spyware, либо через несколько итераций. К сожалению, это чрезвычайно эффективный и труднодетектиру-емый метод, где наиболее разумной технологией борьбы является доскональный анализ 100% кода Web-трафика, поступающего из Интернета.

Нейтрализация spyware

Как уже было отмечено ранее, эффективным способом детектирования и обезвреживания spyware является полное сканирование ПК сети. Недостатком подобного метода является его продолжительность, измеряемая утомительными часами.

В заключение хотелось бы заметить, что только комбинация перечисленных методов позволит достичь высокой степени защиты от угроз со стороны spyware.