Технологии репутации для борьбы с ростом количества угроз

    Сегодня запустить своего «собственного» троянца может практически любой достаточно целеустремленный школьник, причем для этого ему не нужно обладать знаниями в программировании, не нужно быть экспертом по поиску уязвимостей, не требуется уметь проводить массовые заражения через спам-рассылки или взлом сайтов – все это можно компенсировать парой сотен сэкономленных на завтраках долларов. Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ, заказать заражение определенного количества обывателей, а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи. Наш гипотетический школьник нажимает кнопку в конструкторе, и вот стандартный вредоносный код модифицируется в новый, еще неизвестный антивирусам. Именно из-за упрощения процессов создания и распространения количество уникальных образцов вредоносного ПО постоянно растет, антивирусные компании пытаются компенсировать это постоянными обновлениями сигнатур, но фактически они всегда остаются позади угрозы, ведь сигнатурный метод по своей сути реактивный.




    Выход из гонки есть, и он базируется на понимании природы современных угроз и на принципах репутации. В процессе заражения троянцем и прочим вредоносным ПО, поддержания связи с центром управления и отсылки собранных данных происходит контакт машины пользователя-жертвы с конкретными серверами, находящимися под контролем злоумышленника. Именно в этот момент можно предотвратить заражение или заблокировать отсылку собранных данных в дроп-зону, просто не дав совершиться сетевому взаимодействию.

    Как определить, какой из серверов является опасным?

    Для этого необходима постоянно доступная, отказоустойчивая база данных содержащая информацию об адресах вредоносных серверов – серверов, хостящих фишинговые веб-сайты, инсталляторы троянов и ботов, содержащих центры управления бот-сетями и их дроп-зоны. При запросе всех сетевых соединений система защиты должна их перехватывать и проверять репутацию адресов, то есть выяснять, находится ли адрес запрашиваемого сервера в «черном списке», и если да, блокировать связь с данным сервером.

    Как обеспечить актуальность данных в базе репутации URL?

    В идеале, подобная база должна содержать информацию обо всех URL и серверах – как вредоносных, так и «чистых». Для наполнения базы с адресами вредоносных серверов могут использоваться следующие источники:
    • Спам рассылки, заманивающие пользователей на фишинговые сайты и сайты с загрузчиками вредоносного ПО;
    • Автоматические анализаторы – crawlers, сканирующие сеть на предмет известных вирусов;
    • Анализ кода вредоносного ПО – позволяет выявить адреса серверов управления, обновления и дроп-зон;
    • Схемы обратной связи, встроенные в антивирусные продукты – они поставляют ранее неизвестные ссылки для анализа и категоризации;
    • Honeypots – сети-ловушки для сбора свежих актуальных атак и угроз;
    • Внешние данные от вендоров информационной безопасности.
    Как видно, для актуализации базы репутации URL требуются как автоматизированные методы, так и ручной труд аналитиков.

    Реализация

    Описанный выше подход реализован в компании Trend Micro, база репутации URL является частью комплекса технологий под общим названием Smart Protection Network. Помимо базы репутации URL в Smart Protection Network входят база репутации файлов и база репутации электронной почты, содержащая сведения об известных отправителях спама. Это позволяет коррелировать данные из трех баз, например, при анализе спам-рассылки адрес отправителя (это также может быть один из членов бот-сети) заносится в базу email репутации, ссылка, ведущая на загрузчик трояна попадает в базу веб-репутации как вредоносная, а сам исполняемый файл загрузчика попадает в базу репутации файлов.


    Что это дает простому пользователю?

    Все продукты Trend Micro – для домашних пользователей и корпоративных клиентов – используют запросы к базе репутации URL при контакте любого приложения на защищаемой машине, в том числе браузера, с сетью Интернет.

    Почему это эффективно?

    Как правило, одни и те же серверы участвуют во множестве криминальных проектов – на одном сервере может быть и центр управления ботнетом и десятки доменов для фишинговых атак. Таким образом, однажды «засветившийся» сервер будет блокирован во всех последующих атаках.

    В условиях постоянного роста количества образцов вредоносного ПО необходимо сочетать реактивные и проактивные методы защиты — одного лишь сигнатурного подхода становится недостаточно. Даже если сейчас антивирусные компании пытаются выпускать обновления каждые несколько минут, в будущем угнаться за экспоненциальным ростом количества угроз будет практически невозможно. Если постоянная работа по анализу кода и обновлению сигнатур защищает от известных угроз, то технологии репутации позволяют избежать заражения новым вредоносным ПО, путем пресечения коммуникаций с известными серверами с «плохой» репутацией.

    Денис Безкоровайный
    технический консультант Trend Micro
    Trend Micro
    Company

    Comments 8

      0
      но фактически они всегда остаются позади угрозы, ведь сигнатурный метод по своей сути реактивный

      По сути ваш метод ничем не отличается, все тоже самое — база обновляется по факту, и то, если злобный адрес засветился. А если нет? А если вашу базу скомпрометируют?

      А презенташка ничего так — график устрашает.
        0
        Если адрес не засветится, то первый пользователь скачает зловредный код. Поскольку файл и URL будут неизвестны системе, механизмы обратной связи отправят их для анализа, если файл подтвердится как вредоносный, то и URL будет помечен как вредоносный. Соответственно, все следующие пользователи, зашедшие на тот же URL будут защищены, причем этот же адрес может использоваться и для других атак.
        Также администратор (в корпоративных продуктах) или пользователь (в домашних) могут вообще запретить соединения с адресами у которых низкая репутация, в том числе и с непроверенными (неклассифицированными) адресами.
        +2
        Выход есть. Не пользоваться виндами и прилагающимися к ним антивирусам.
          +1
          И что? Напишут под другие ОС столько-же, спрос рождает предложение.
            0
            Напишут чего и под какие ОС? Троян с просьбой в ридмишке запускать его с помощью sudo? Средней руки линукс большую часть ПО имеет из доверенного репозитория. Линуксов столько, что словами не пересчитать (разные конфигурации, разные дефолтные стабильные версии, в диапазоне от 2.6.18 в RHEL/CentOS до 2.6.34 в OpenSUSE), разные архитектуры (AMD64/i386/ARM, сам i386 компилируется под разные процы (т.е. бинарный код различен)). Разный юзерспейс, разное окружение. Понятно, что тонко и аккуаратно можно конкретную версию сломать, но вот сделать эпидемию или массовость — уже тяжко.

            Где-то я читал исследование по биологии, где объяснялось, почему в джунглях такое видовое разнообразие. Если какой-то вид начинает побеждать в конкурентной борьбе, то тут же находится масса паразитов/поедающих, которые этот вид уничтожают в результате пандемии.

            Та же ситуация с Виндами.

            Если бы на рынке десктопов было 30 разных систем с 3% у каждой, то хрен бы у вас какие-нибудь вирусы были бы индустрией.

            (Собственно, это и есть ночной кошмар для производителя антивируса — если вирусы будут а-ля Андроидные, с запросом пользователю на запуск).
              +1
              Ну и зачем в очередной раз выставлять напоказ свою безграмотность?
              Троян с просьбой в ридмишке запускать его

              Да. Это основной способ заражения виндов. Следующий — использование дыр, закрытых более месяца (иногда до нескольких лет) назад. Кроме того, поясните Ваше понимание фразы «Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ». Очень уж интересно, каким таким образом MagicPixieDust™ в линуксе спасает от фишинга и троянов.
              с помощью sudo?

              Поясните, каким образом sudo защищает от «а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи.»
              Особенно с учетом того, что у людей, проектировавших X/sudo была большая дырка в голове и все что оно дает (как и весь линукс) — ЛОЖНОЕ чувство безопасности у безграмотной илиты вроде Вас. Даже если не принимать во внимание дырку в голове у тех, кто проектирует/реализует линукс, каким образом sudo защитит от регулярно обнаруживаемых LPE? Вон одному «зиродею» — шесть лет было (именно публично известной уязвимости), а вот свеженький, очевидно, просто не существует («не существует» он уже в течение двух лет, да).

              Разговоры про отсутствие монокультуры неизменно забавляют. Сделаем нашу суперось несовместимой с софтварью только для того, чтоб она не была совместима с малварью. Как только появляется «совместимость» можно говорить о монокультуре. Даже если нет бинарной совместимости — будет source-level (и конпелятор будет в дефолтной установке ибо надо же как то софт ставить), не будет source-level — будут скрипты, не будет нормальных скриптов, будет какое нибудь говно типа баша. В ЛЮБОМ СЛУЧАЕ будет монокультура.

              Более того, попытки сломать эту самую монокультуру больше бьют по нормальным разработчикам, а не по малварщикам: если вирус не сработает на какой нибудь одной системе или вообще уведет ее в панику — ну и хрен с ней — главное, чтоб хотя бы часть сработала нормально, если же то же самое произойдет (и таки происходит, лол) с нормальным софтом — бедному девелоперу придется сильно напрягаться пытаясь обеспечить поддержку всего этого зоопарка.
                0
                Ну и еще один follow-up. Оказывается «несуществующий баг» не существует 3 года, а не 2:
                “I showed this to my friend Robert Swiecki who had written an exploit for the original bug in 2007, and he immediately said something along the lines of 'well this is interesting,'” Hawkes wrote. “We pulled up his old exploit from 2007, and with a few minor modifications to the privilege escalation code, we had a root shell.”


                Но основная прелесть — в реакции «сообщества». Найдите 8 отличий
                0
                Да, раз уж здесь будет холивор по поводу sudo, ткну (в очередной раз) картинку для привлечения внимания (кликабл):

          Only users with full accounts can post comments. Log in, please.