Эра нового вредоносного кода
Тезисы данного материала были представлены на VII международной конференции IDC IT Security Roadshow
Начиная с 2005 г. методы Интернет-атак существенно менялись. Эти изменения происходят и по сей день, и те организации, которые игнорируют новые методы атак, могут однажды понести значимые потери. Мотивация хакеров при проведении атак меняется, что влечет за собой эволюцию угроз (см. табл. 1). Сегодня атаки нужны хакерам для получения финансовой выгоды, а не ради доблести и почета. Они лучше организованы и используют общий интеллектуальный потенциал для разработки новых стратегий нападения и нового функционала вредоносных программ, что позволяет им незамеченными проникать внутрь ИТ-систем компаний — с целью получения выгоды или по политическим мотивам, — используя самые современные технологии. И чем дольше атакующий остается незамеченным в сети, тем больше денег он зарабатывает.
Таблица 1. Чем отличаются атаки раннего времени от современных
| Ранние атаки | Атаки новой эры | |
|---|---|---|
| Мотивация | Известность и почет | Выгода |
| Масштаб | Чем больше, тем лучше | Выбор такой цели, чтобы остаться незамеченным |
| Основной риск | Падение сети на время лечения | Прямые финансовые потери; кража корпоративных секретов; кража персональных данных и их раскрытие |
| Эффективная защита | Антивирусные сигнатуры; реактивный подход | Многоэшелонированная защита; превентивный подход и поведенческий анализ |
| Восстановление | Поиск и удаление | Не всегда возможно; может потребоваться перезаливка системы |
| Типы атак | Вирусы, черви, шпионское ПО (spyware) | Направленные вирусы, руткиты, фишинг, требование выкупа |
| Подход атакующего | Объявить всем: «я здесь» | Стелс-технология работы и распространения вредоносного кода; множество разных технологий атак |
Организациям необходимо оценить адекватность текущей защиты современным угрозам. Готовы ли вы утвердительно ответить на вопрос: может ли существующая защита блокировать последние версии вредоносного кода?
Атаки обходят традиционные технологии безопасности
Два десятилетия назад сигнатурные антивирусы великолепно защищали от вредоносного кода. И более 20 лет антивирусные компании великолепно делали свою работу, ограждая нас от вирусов. Однако современный вредоносный код сильно отличается от того кода, который писали в прошлом. Суть компьютерного вируса состоит в том, что он самовоспроизводится и чаще всего наносит вред или уничтожает что-то. Вредоносный код, используемый сегодня, незаметен, имеет целевую аудиторию и не всегда может распространяться. Атакующие разрабатывают вредоносный код так, чтобы избежать обнаружения антивирусным ПО. Современные атаки обходят защитные системы, использующие сигнатурный подход, и поэтому остаются незамеченными внутри корпоративных сетей и домашних компьютеров продолжительное время.
Традиционная защита
Хакеры проанализировали, как работают традиционные решения безопасности, и сделали выводы. Рассмотрим, например, как организована антивирусная защита. При появлении нового вируса процесс создания сигнатуры состоит из следующих этапов:
1) обнаружение вируса;
2) разработка сигнатуры и ее выпуск;
3) установка сигнатуры.
На первом этапе вирус благополучно находит свой способ распространения, проникает в сеть и начинает выполняться, поскольку сигнатуры еще нет. Чем больше заявляет о себе этот вирус, тем быстрее он будет обнаружен, и тогда наступит второй этап: антивирусная компания получает код вируса и разрабатывает сигнатуру, которая затем будет доступна клиентам для загрузки. Процесс разработки сигнатуры может длиться несколько часов или даже дней, и при этом компания все еще не защищена от угрозы. Но даже после получения сигнатуры нужно еще установить ее везде и, возможно, протестировать ее работу. Таким образом, чем больше вреда причиняет вирус и чем больше компьютеров он заразил, тем быстрее появится против него сигнатура.
Вредоносный код нарушает традиционную схему
Сегодняшние угрозы нарушают сложившуюся практику. Во-первых, они могут оттянуть свое обнаружение или даже избежать его. Используя технологии своего сокрытия или атакуя специально выбранные системы, этот код может вообще не попасться разработчикам антивирусных систем, поскольку он заразил не так много систем, чтобы стать заметным.
Во-вторых, хакеры активно используют технологии создания многочисленных вариаций вируса или многокомпонентных вирусов. Современный вредоносный код — это утилита все-в-одном: и руткит, и троян, и червь. Для своего распространения вредоносный код использует различные уязвимости ОС, ошибки конфигураций, легко угадываемые пароли, автозапуск с флэшек. Хотя нельзя сказать, что это что-то новое: к примеру, червь Морриса, появившийся в 1988 г., использовал четыре способа распространения, включая подбор паролей по словарю и уязвимость в sendmail. Но пользователи — что 20 лет назад, что сейчас — по-прежнему используют легко угадываемые пароли, а администраторы по прежнему забывают поставить патчи.
Современные атаки используют весь накопленный опыт, поэтому администраторы безопасности должны знать все методы атак и постоянно отслеживать появление новых.
Новые типы вредоносного кода
Designer Malware (заказное вредоносное ПО). Это вредоносный код для заражения одной или нескольких организаций с одинаковой защитой. Например, это может быть троян, написанный под конкретный банк.
Перед установкой такого вредоносного кода он, как правило, тестируется на предмет того, что он не будет обнаружен имеющимися в организации средствами защиты. Его код пишется с расчетом на то, чтобы как можно дольше оставаться незамеченным и не привлекать внимания. Его задача – не выходить за пределы организации с тем, чтобы антивирусные компании не получили его код. Известны случаи, когда подобное вредоносное ПО работало в организациях по году и более, собирая и отсылая своим разработчикам коммерческую и интеллектуальную информацию.
Spear Phishing (направленный фишинг). Это комбинация обыкновенного фишинга и методов социальной инженерии, направленная против одного человека или целевой группы. Чтобы атака была успешной, она должна быть очень хорошо подготовлена и сфокусирована на конкретного человека, чтобы не вызвать подозрений. Очень часто такие атаки направлены против финансовых организаций. Атакующий использует найденную персональную информацию человека и так подготавливает электронное (а бывает, и бумажное) письмо, чтобы оно выглядело достоверно и заставило человека ответить и выдать свои приватные данные (логины и пароли). Например, используя найденную в журнале информацию о назначении мистера X на новую должность, ему присылают официальное с виду письмо от службы технической поддержки, и в результате мистер Х позволяет «службе поддержки» установить у себя троянскую программу или просит завести себе логин и пароль, схожий с логином и паролем в другой системе.
Ransomware (вредоносный код для вымогательства). Он помещает важные файлы пользователя в зашифрованный архив и удаляет оригинальные файлы, а пароль присылает после получения выкупа. Существуют более продвинутые сценарии манипуляций действиями пользователей и вымогательства.
В некоторых случаях традиционные антивирусные системы способны дешифровать зашифрованные файлы, поскольку вирусы используют нестойкие алгоритмы шифрования. Но где гарантия, что именно для данной версии вируса есть распаковщик?
Rootkit. Руткиты способны быть полностью невидимы для средств ОС и антивирусных программ. Функционал руткитов часто совмещают с другими видами вредоносного кода, чтобы тот оставался незамеченным долгое время. Поведенческие системы анализа помогают обнаружить такие виды угроз при их получении, но после их установки в системе, как правило, их уже поздно искать. Есть утилиты для поиска руткитов, но лучшим решением будет восстановление системы.
Trojan. Троянские программы — достаточно старый вид угрозы, однако он снова актуален. Такой вредоносный код использует различные трюки, чтобы пользователь запустил его у себя. Пользователь даже не предполагает, что он запускает вредоносный код, который может выполнять перехват нажатий клавиш или похищает пароли.
Троянские программы, использующие технологии сокрытия, могут не распространяться, а долгое время находиться в системе, выполняя свою задачу похищения данных.
Троянские программы могут быть обнаружены поведенческими системами анализа. Сигнатурные антивирусы редко знают о них и их не обнаруживают.
Одной из основных угроз при удаленном посещении клиентами банков стало наличие в системе троянов, которые как похищают логины и пароли, так и переводят деньги от имени клиента, причем последние версии под названием Proxy Trojan подменяют данные, выводимые в браузере, так что пользователю кажется, что на его счету денег еще достаточно.
Угрозы в будущем
Угрозы уже не будут простыми. Многие атаки — это комбинация различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают выдумывать и создавать новые техники атак.
Как защититься от растущих угроз
Учитывая современные технологические возможности и множество путей распространения, корпоративные системы должны состоять из нескольких уровней защиты, чтобы снизить риски многокомпонентных атак. При растущем числе атак, использующих несколько компонентов, всегда существует угроза, что один из этих методов сработает, конечно, если компания к нему не подготовилась.
У IBM есть чем ответить на новые угрозы. Для предотвращения атак zero-day IBM использует технологию Virus Prevention System (VPS), которая по поведению обнаруживает вредоносный код. Любой код предварительно выполняется в виртуальном пространстве, где анализируются его действия. Если VPS обнаруживает сомнительное поведение, такой код не запускается в реальной среде. Контроль вредоносного поведения – необходимое условие при обнаружении последних угроз в сегодняшней практике. Благодаря поведенческой технологии VPS обеспечивает защиту от широкого спектра современных угроз (табл. 2).
Таблица 2. Различия между VPS и сигнатурным антивирусом
| Designer Malware | Ransomware | Rootkit | |
|---|---|---|---|
| Virus Prevention System (VPS) | Обнаруживает zero-day | Обнаруживает превентивно | Предотвращает установку |
| Сигнатурный антивирус | Нужен экземпляр кода | Может найти, но уже не может вернуть украденные данные | Не может удалить из ядра |
Платформа безопасности на базе решений IBM ISS
Продукты IBM Internet Security Systems (ISS) работают как единое целое. Каждый дополнительный компонент добавляет защиту от различных угроз.
Решения IBM для защиты обеспечивают полный охват ИТ-системы компании. Решения для защиты рабочих станций, серверов и сетей – все управляется централизованно, из единой консоли.
Отдельные решения IBM для защиты корпоративных сетей включают следующие компоненты.
Virus Prevention System – эта уникальная технология позволяет своевременно заблокировать неизвестные виды вредоносного кода. Поскольку проверяемый вредоносный код запускается в виртуальной среде, не создается никакой угрозы для реальной системы и не остается следов вредоносной работы в реальной среде.
Proventia Desktop – единый агент для многоэшелонированной защиты рабочих станций. Он включает такие компоненты, как персональный брандмауэр, хостовую систему предотвращения атак на базе знаний об уязвимостях, защиту от эксплойтов, использующих переполнение буфера, контроль приложений, поведенческий антивирус (VPS) и сигнатурный антивирус. Все эти технологии слаженно работают вместе и защищают рабочие станции компаний под единым управлением.
Proventia Server IPS – это также многоэшелонированное решение для защиты серверов, реализованное в одном агенте безопасности. В нем используется несколько технологий, так что если современные угрозы обходят одну из защит, то срабатывает следующий уровень защиты.
Proventia Network Mail Security – обеспечивает многоэшелонированную защиту и блокирование спама для корпоративной почты на уровне 98%. Корпоративная почта избавляется от всего спектра современных угроз: вирусов, фишинга, спама, утечек информации и других атак на почтовый сервер.
Proventia Network MFS – объединяет несколько технологий безопасности, включая современную систему предотвращения атак на базе знаний об уязвимостях вместе с традиционными системами защиты, такими как межсетевой экран c IPSEC и SSL VPN, сигнатурный антивирус, защита от спама и Web-фильтрация.
Услуги защиты
IBM предлагает услуги для повышения защищенности корпоративных сетей — Managed Security Services и Professional Security Services. Как провайдер услуг IBM постоянно отслеживает новые виды вредоносного кода и вредоносного поведения, что делает корпорацию готовой к постоянно меняющимся угрозам и обеспечивает гарантию предоставления своевременной защиты ее клиентам.
Консультанты IBM занимаются только вопросами информационной безопасности, у них есть доступ к исследованиям и разработкам лабораторий IBM X-Force и C-Force и к информации о последних тенденциях в мире безопасности. О них можно также узнать из ежеквартального отчета аналитиков X-Force или подписаться на ежедневное оповещение о новых угрозах безопасности при помощи сервиса XFTAS (X-Force Threat Analysis Service).