Сервис репутаций

Не секрет, что сегодня написание вирусов давно стало развитым бизнесом. Это своего рода промышленность. Времена хакеров-одиночек давно в прошлом. Нравится нам или нет, но борьба с вирусами – это борьба с международным преступным сообществом. Основная цель вирусописателей сегодня – деньги!

Уже давно наблюдается разделение труда – один находит уязвимости, другой реализует их в виде тех или иных законченных решений, третий продает эти решения на бирже, четвертый покупает и применяет, а пятый все это оплачивает…

Обратимся к фактам.

Специалисты лаборатории G Data Security Labs обнаружили на подпольном форуме распродажу сетей дистанционно управляемых злоумышленниками компьютеров – так называемых ботов, которые в случае активации могут вызвать массивную волну вредоносного кода по всей сети Интернет. Так называемый бот-конструктор Aldi Bot появился в конце августа по цене всего 10 Евро. Часть вредоносного кода очень напоминает знаменитую сеть ZeuS.

Суть предложения: программа-билдер + бот + обновления + помощь в инсталляции = €10. Более того, несколько дней назад цена достигла €5 Евро.

Для новичков хакерских атак,  которые не имеют ни малейшего представления, как работают инструменты для организации атаки, он проводит специальный курс «Молодого бойца». Более того, заботливый автор также использует TeamViewer для того, чтобы сделать своих покупателей еще более уверенными и готовыми к атаке. Это очень напоминает своеобразную службу клиентской поддержки для хакеров.

А теперь ближе к делу: наличие такого дешевого вредоносного кода на рынке (цена Aldi Bot уже опустилась до 5 Евро), делает организацию DDoS-атаки развлечением и легким способом заработать деньги. Молодые хакеры могут купить программу для создания бот-сети вместе с обновлениями и технической поддержкой на деньги, которые были выделены родителями на карманные расходы.

Таким образом, становится понятным резкий, лавинообразный рост, числа вредоносных программ.

И снова факты.

По данным Лаборатории Касперского:

  • 200 000 000 сетевых атак блокируется ежемесячно
  • 2 000 уязвимостей в приложениях обнаружено только в 2010 году
  • 35 000 вредоносных программ появляется ежедневно
  • 19 000 000 + новых вирусов появилось в 2010 году
  • 30 000+ новых угроз появляется в день
  • ежедневно появляется около 70 000 новых вредоносных программ.

 

Рисунок 1 Объем антивирусных обновлений (по данным "Лаборатории Касперского")

Рисунок 2 Рост числа вирусов по версии компании G-Data

Несложно сделать вывод о том, что число вирусов растет лавинообразно. И в данной войне, используя существующие технологии, антивирусные компании скоро придут к тому, что ресурсов ПК будет хватать исключительно на работу антивируса.

С начала антивирусной индустрии сложился понятный механизм обеспечения защиты, когда от пострадавшего пользователя или из другого источника лаборатория получала образец вредоносного файла и после всестороннего анализа выпускала обновления к базе сигнатур вирусов вместе с рецептом по удалению заразы. Все клиенты загружали это обновление и получали актуальную защиту. Разумеется, что была доля тех, кто заражался раньше, чем получал обновление, но таких было относительно мало. По мере роста числа угроз, производителям антивирусов пришлось максимально автоматизировать процесс анализа новых видов угроз, используя эвристические механизмы и даже встроить подобные механизмы в сами антивирусы. При этом частота обновлений увеличилась, и выпуски стали ежедневными и даже ежечасными.

Несмотря на успехи антивирусных компаний в описанных способах ускорения выпуска обновлений, очевидно, что экспоненциальный рост числа новых угроз не оставляет этому подходу шанса. С одной стороны, антивирусные компании не в силах наращивать человеческие ресурсы такими же экспоненциальными темпами. С другой стороны, объем выпускаемых обновлений выходит за все разумные пределы.

Одно время в индустрии безопасности бытовало мнение, что описанную проблему раз и навсегда решат так называемые эвристические технологии, то есть методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. Эти технологии получили широкое распространение, но проблемы решить не смогли. Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак.

В настоящий момент сформировалось общее видение, что поле борьбы с угрозами, которое сводится к тому, что распознавать угрозы необходимо непосредственно в распределенных центрах обработки данных антивирусной компании, а не только на компьютере конечного пользователя. Такой перенос центра тяжести технологии в Интернет называется «облачным».

Переход к облачным технологиям позволяет упростить архитектуру продукта, который пользователь ставит на свой компьютер, ведь теперь для каждого подозрительного ресурса предоставляется небольшое по объему обновление, индивидуально загружаемое из облака практически в реальном времени. Разумеется, что разработанные технологии существенно сложнее, ведь многие процессы в компьютере требуют времени реакции, которого не позволяет достичь скорость получения подобных обновлений. Кроме этого, необходимо обеспечить защиту в тот момент, когда компьютер вообще не подключен к Сети. Тем не менее, облачные технологии являются ключом к обеспечению безопасности не самых мощных компьютеров, таких как нетбуки, планшеты и смартфоны.

По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ). Дальнейшее принципиальное увеличение максимальной скорости реакции на угрозы с помощью обычных антивирусных обновлений невозможно, так как затраты времени на обнаружение «зловредов», их последующий анализ и тестирование формируемых антивирусных обновлений уже сведены к минимуму.

Что такое сервис репутации?

Сервисы репутации показывают надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения. При этом вычисление репутации производится на серверах соответствующего производителя в интернете.

Как это работает?

Рассматривая сервисы репутации, стоит различать облачные сервисы репутации, применяемые сегодня в браузерах Google Chrome, Safari, Opera, Internet Explorer,[1] и антивирусные облачные сервисы репутации. И хотя в работе данных сервисов все же есть много общего, однако есть и различия.

Сервисы репутации в браузерах

Рассмотрим, как работают сервисы репутации в различных браузерах.

Google Chrome

Функция безопасного просмотра Google Chrome, отвечающая за обнаружение фишинга и вредоносного ПО, включена по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносного ПО, браузер показывает предупреждение.

Рисунок 3. Предупреждение о фишинговом сайте в Google Chrome

Функция безопасного просмотра защищает вас от фишинга и вредоносного ПО двумя способами. Во-первых, Google Chrome загружает и сохраняет на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса.

Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые вами ссылки хэшируются и сравниваются со списком. При совпадении первых 32 бит отправляется запрос на сервер и сравнивается полный хэш. В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная (рис.3).

В случае если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. На основе этих данных невозможно установить личность. Кроме того, эти данные хранятся в Google всего несколько недель. Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google .

Во-вторых, безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов. Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

Кроме того, если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google.

Хотелось бы также подчеркнуть что с 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API.

Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

Оповещения Google Chrome о фишинге и вредоносном ПО

При включенной защите от фишинга и вредоносного ПО отображаются следующие сообщения.

Сообщение

Значение

Внимание! Обнаружена проблема.

Это сообщение отображается для сайтов, которые Google Chrome определяет как потенциально содержащие вредоносное ПО.

Внимание! Возможно, этот сайт создан с целью фишинга.

Это сообщение появляется, когда Google Chrome обнаруживает, что посещаемый вами сайт подозревается в фишинге.

Антифишинговая защита в Opera

В этом браузере для защиты от фишинга используется функция «Защита от мошенничества» (Fraud and Malware Protection), включенная по умолчанию. В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал (https): передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс».

Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

При этом необходимо учесть:

  • Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется;
  • в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

Рисунок 4. Антифишинговый фильтр в Opera

Если веб-сайт найден в черном списке, в браузере откроется страница с предупреждением. Пользователю придется решить, посещать эту подозрительную страницу или вернуться на свою домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.

Рисунок 5. Предупреждение о мошенничестве в Opera

Safari

По умолчанию модуль защиты от фишинга в этом браузере включен. Для поиска фишинговых сайтов он использует технологии Google.

Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО. При наличии совпадения пользователь должен увидеть страницу с предупреждением.

Рисунок 6. Предупреждение о переходе на сайт, содержащий вредоносное ПО,

Фильтр SmartScreen в Internet Explorer 9

Начиная с Internet Explorer 8 в состав IE входит фильтр SmartScreen - набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе угроз социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра и предназначен для защиты пользователей от известных вредоносных веб-узлов. Кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т.д. По умолчанию он включен.

Фильтр SmartScreen в Internet Explorer 9 использует сразу несколько технологий. В первую очередь происходит сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов. Причем доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. Однако обращение к данной службе пользователь может запретить.

Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список не подвергаются проверке фильтром SmartScreen.

Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Вместе с тем необходимо добавить, что в состав SmartScreen входит и проверка репутации загружаемых файлов Application Reputation Service (ARS)

При загрузке программы в IE9 идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью новой услуги репутации приложений в облаке. Если программа имеет репутацию, то предупреждение отсутствует. Если же файл будет загружаться с вредоносного сайта, IE9 блокирует закачку, так же, как и IE8. Однако, если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

Фильтр SmartScreen в Internet Explorer 9 предупреждает пользователя о подозрительных или уже известных мошеннических веб-узлах. При этом фильтр проводит анализ содержимого соответствующего сайта, а также использует сеть источников данных для определения степени надежности сайта. Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительного поведения с онлайн-службой, доступ к которой пользователь разрешает или запрещает. При этом реализуется три способа защиты от мошеннических и вредоносных узлов.

         i.            Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.

       ii.            Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.

      iii.            Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя это не отражается. Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen. В фильтре SmartScreen также применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах. Пользователь может решить, следует ли отправлять информацию об узле, который вызывает у него подозрения.

Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Учтите, что службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

Сервисы репутаций в антивирусах

Основные принципы работы Kaspersky Security Network

Составными частями Kaspersky Security Network (KSN) являются несколько подсистем:

  • Географически распределенный мониторинг актуальных угроз на компьютерах пользователей
  • Мгновенная доставка собранных данных на серверы «Лаборатории Касперского»
  • Анализ полученной информации
  • Разработка и применение мер по защите от новых угроз.

При помощи KSN автоматически собирается информация о попытках заражения, подозрительных файлах, загруженных и выполняемых на ПК пользователей, независимо от источника их появления (веб-сайты, письма, одноранговые сети и т.д.

В Kaspersky Security Network автоматически поступает информация о попытках заражения, которая затем передается экспертам «Лаборатории Касперского». Также собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника их получения (веб-сайты, почтовые вложения, одноранговые сети и т.д.). Для отправки информации в KSN требуется согласие пользователя. Пользователи корпоративных решений «Лаборатории Касперского» обычно не участвуют в формировании базы данных Kaspersky Security Network. Конфиденциальная информация – пароли и другие личные данные – в KSN не передается.

Информация о попытках заражения поступает на серверы «Лаборатории Касперского» и подвергается анализу с использованием всех ресурсов компании. Это обеспечивает чрезвычайно быструю и надежную идентификацию новых программ – как вредоносных, так и легитимных. Вердикт о безопасности программы выносится на основании присутствия цифровой подписи, удостоверяющей ее происхождение и гарантирующей целостность программы, а также ряда других признаков. Программа, признанная безопасной, включается в список доверенных приложений.

Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз. Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы,  которые, как правило, обновляются раз в несколько часов.

Программа, запускаемая пользователем, проверяется по белым спискам и базе UDS. В зависимости от результатов этой проверки программа получает права доступа к ресурсам компьютера или блокируется. Kaspersky Security Network играет важную роль в пополнении этих списков и баз и поддержании их в актуальном состоянии, обеспечивая надежный контроль запускаемых программ.

Схема работы Kaspersky Security Network

Данная схема описывает основные принципы взаимодействия KSN с компьютерами пользователей продуктов «Лаборатории Касперского», которое происходит в 4 этапа:

1. Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN с компьютеров, на которых установлены последние версии продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей.

2. Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. Легитимные файлы вносятся в белые списки (Whitelisting).

3. Эксперты «Лаборатории Касперского» анализируют подозрительные файлы, определяют степень их опасности и добавляют описание в базу сигнатур.

4. Спустя считанные минуты информация о вновь обнаруженных вредоносных и легитимных файлах и URL становится доступна всем пользователям продуктов «Лаборатории Касперского» (не только пользователям Kaspersky Security Network).

По завершении анализа новой вредоносной программы создается ее сигнатура, которая включается  в антивирусные базы,  регулярно обновляемые на компьютерах пользователей.

Белые списки – не единственная технология в рамках KSN, позволяющая пользователю принять решение о том, стоит ли запускать ту или иную программу. В KSN также используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

Помимо этого, последние версии продуктов «Лаборатории Касперского» позволяют получать данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.

Таким образом, в Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).

Расширенная облачная защита для корпоративных клиентов

С выпуском Kaspersky Endpoint Security 8 для Windows возможности Kaspersky Security Network стали доступны корпоративным клиентам «Лаборатории Касперского». Наряду с традиционными методами защиты и инновационными технологиями, обеспечивающими эффективное применение корпоративных политик безопасности, Kaspersky Security Network оперативно реагирует на новые и неизвестные угрозы и помогает защитить конфиденциальные данные от целевых атак.

Общие принципы работы с Kaspersky Security Network в корпоративной сети такие же, как в продуктах «Лаборатории Касперского» для домашних пользователей. Корпоративные компьютеры, работающие под управлением Windows, используют Kaspersky Security Network для оценки репутации файлов и URL и на основании полученной информации блокируют  доступ к вредоносному контенту или ограничивают действия подозрительного ПО.

Кроме того, функциональность Kaspersky Security Network в корпоративных продуктах расширена. Во-первых, облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.). Используя эти категории, системный администратор может быстро настроить и применить правила для определенных типов программ в соответствии с корпоративной политикой безопасности. При формировании белых списков приложений наряду с информацией, получаемой от пользователей, используются данные, предоставляемые более чем 200 ведущими производителями ПО.

Инструмент для централизованного управления Kaspersky Security Center дает возможность тонкой настройки взимодействия с Kaspersky Security Network для защиты узлов корпоративной сети. Администратор может активировать или отключить облачную защиту в различных модулях Kaspersky Endpoint Security 8 для Windows. Также есть возможность отключить передачу данных в Kaspersky Security Network, если этого требует корпоративная политика безопасности. В целях снижения нагрузки на каналы передачи данных в корпоративной сети может быть установлен внутренний прокси-сервер Kaspersky Security Network.


[1] В браузере Firefox не реализован облачный сервис репутации, обработка репутации происходит на ПК пользователя (проводится поиск в базах, загружаемых на компьютер пользователя)

Безмалый В.Ф.

MVP Consumer Security

Microsoft Security Trusted Advisor

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!