Простой и эффективный способ защиты от вредоносного ПО
А.Ю.Щеглов
Д.т.н., проф.
ЗАО «НПП «Информационные технологии в бизнесе»
Из материалов, опубликованных 13.03.2009 на сайте www.itsec.ru: «В 2008 году более 10 миллионов пользователей пострадали от кражи персональных данных».
«Во второй половине 2008 года количество компьютеров, зараженных вредоносными программами для кражи персональных данных, увеличилось на 800%. Компания Panda Security объявила о результатах, полученных в ходе всестороннего исследования проблемы кражи персональной информации. Исследование было проведено собственной лабораторией PandaLabs по анализу и обнаружению вредоносных программ. В течение 2008 года было проанализировано 67 миллионов компьютеров. Экстраполируя полученные результаты, было установлено, что в 2008 году более 10 миллионов пользователей во всем мире были инфицированы вредоносными программами, способными осуществлять кражу персональных данных….
Результаты исследования говорят о тревожных данных: 35% ПК, зараженных данным типом вредоносного ПО, использовали обновленное антивирусное программное обеспечение. Антивирусные лаборатории получают огромное количество новых образцов вредоносного ПО каждый день (свыше 30 000 новых образцов ежедневно, согласно PandaLabs)…
Луис Корронс, технический директор PandaLabs: "В 2009 году мы ожидаем рост количества вредоносного ПО для кражи персональной информации на 336% ежемесячно, что приведет к значительному росту прибылей тех кибер-преступников, которые используют подобные методы. Мы должны быть осведомлены об опасности со стороны вредоносных программ, осуществляющих кражу персональных данных, и защитить себя от возможных потерь, как временных, так и денежных".
Выдержки из новости, опубликованной 04.12.2008 на сайте www.securitylab.ru «F-Secure: замечен рекордный рост количества злонамеренного ПО». Компания F-Secure выпустила отчет за второе полугодие 2008 года. Согласно отчету, в 2007 году количество обнаружений злонамеренного ПО увеличилось вдвое, в 2008 году эта цифра была утроена, см. рис.1.
В данном же исследовании также приведена статистика добавления сигнатур за последние годы, см. табл.1.
Таблица 1.
Исследований, подобных представленному выше, сегодня множество, и все они сводятся к одному - вредоносные программы стали главной угрозой компьютерной безопасности, в том числе, главным орудием кражи персональных данных.
Но в данных исследованиях имеет место и еще один важный вывод, состоящий в том, что современное антивирусное ПО не может обеспечить эффективной защиты от вредоносных программ в современных условиях.
Действительно (см. табл.1), вирусы обнаруживаются на основании текущей базы сигнатур. Если же из 1500000 обнаружений вирусов база увеличивается на 1000000 сигнатур, то какова же реальная эффективность сигнатурного анализа?
При этом ситуация усугубляется катастрофическим ростом количества вредоносного ПО для кражи персональной информации (ведь, «где тонко - там и рвется», была бы эффективной защита, не было бы столь угрожающей статистики роста объемов вредоносного ПО, проиллюстрированной на рис.1 и в табл.1). Мы уже не говорим об ином аспекте эффективности антивирусного ПО – о дополнительной загрузке вычислительного ресурса защищаемого компьютера. При сохранении существующей тенденции роста объемов баз сигнатур, неминуемо наступит время, когда все компьютерные ресурсы начнут работать исключительно на обеспечение компьютерной безопасности, либо от сигнатурного анализа в той или иной мере придется отказаться.
Что же делать? Пытаясь дать ответ на этот вопрос, не будем рассматривать абсурдных решений, основанных на одновременном использовании на одном компьютере нескольких антивирусов различных производителей, построенных на одних и тех же принципах. Рассмотрим иные возможности решения задачи антивирусной защиты.
Прежде всего, проанализируем схему атаки, основанной на использовании вредоносной программы. В общем случае она весьма тривиальна и состоит из двух этапов: занесение вредоносной программы на компьютер (может осуществляться как из сети, так и локально, в том числе, и умышленно санкционированным пользователем – инсайдером), и последующий ее запуск на компьютере. При этом способ запуска во многом определяется способом занесения.
Если же говорить об альтернативных способах занесения вредоносной программы на компьютер, то и их, на самом деле, не так много. Если не углубляться в детали, не меняющие сути вопроса, то большинство способов заражения вредоносной программой сводится либо к модификации существующих исполняемых файлов, библиотек, драйверов (в том числе, и на системном диске), либо просто к занесению вредоносной программы (как правило, в виде исполняемого файла) на компьютер. В зависимости от способа занесения вредоносной программы на компьютер, реализуется и ее запуск, либо он осуществляется автоматически (например, это характерно для компаньон-вирусов («companion»), а также для замещающих («overwriting»), паразитических («parasitic») вирусов), либо пользователем, что характерно, в первую очередь, для вирусов-червей. Чтобы «заставить» пользователя запустить внедренный исполняемый файл, ему, как правило, присваивают имя, которое так или иначе может поспособствовать запуску пользователем вредоносной программы.
Как видим, все катастрофическое многообразие вредоносного ПО связано отнюдь не со способами занесения на компьютер и способами запуска (номенклатура которых весьма ограничена), а собственно с функциями этого ПО, т.е. разнообразие состоит именно в тех действиях, которые осуществляют вредоносные программы уже после своего запуска. Невольно возникает вопрос, не проще ли предотвращать саму возможность занесения вредоносного ПО на компьютер, либо его запуск, при невозможности контроля занесения, нежели выискивать признаки вредоносного ПО во всех файлах, установленных на компьютере, с использованием огромных баз сигнатур? А вот с этой задачей может успешно справиться механизм разграничения прав доступа к ресурсам, в первую очередь, к файловым объектам на защищаемом компьютере (правда, сразу оговоримся, не в том виде, как он реализована в современных универсальных ОС, и в большинстве известных нам средствах защиты).
Следуя сказанному выше, к ключевым задачам защиты от вредоносного ПО реализацией разграничительной политики доступа к ресурсам, мы должны отнести задачу противодействия занесению на защищаемый компьютер вредоносной программы и задачу противодействия запуску вредоносной программы (при невозможности контроля занесения, например, если программа запускается не с жесткого диска, а с внешнего накопителя).
Важным является то, что при занесении на компьютер, вредоносная программа представляет собою файл – исполняемый файл системного процесса или приложения, драйвера и т.д. Таким образом, предотвратить занесение вредоносной программы можно, ограничив возможность создания на компьютере новых подобных файлов и модификации существующих (установленных ранее). Задача же противодействия запуску вредоносной программы решается тем, что исполнять файлы следует разрешать только из тех мест, где обеспечивается невозможность занесения вредоносной программы.
Теперь о технической реализации описанного решения в КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе»).
Прежде всего, в двух словах, о ключевых особенностях реализации рассматриваемых механизмов защиты в КСЗИ «Панцирь-К».
В КСЗИ реализованы следующие схемы задания разграничительной политики доступа к ресурсам:
- Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу);
- Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю);
- Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешается, если он разрешен и пользователю, и процессу).
Таким образом, в качестве субъекта доступа может рассматриваться либо только пользователь, либо только процесс, либо «пара» – процесс и пользователь. Нас далее будет интересовать реализация разграничительной политики доступа к ресурсам для субъекта процесс. Это важно тем, что при задании разграничений для процессов, они будут действовать на всех пользователей, включая системных.
В нескольких словах об особенностях интерфейса. Права доступа назначаются не объектам (в качестве атрибутов), а субъектам (в качестве их прав доступа). Настраиваются всего три типа доступа: чтение, запись, выполнение. Остальные типы доступа (удаление, переименование, создание и т.д.) КСЗИ устанавливаются по умолчанию на основании заданных настроек. Для настраиваемых типов доступа может быть задана разрешительная (Ресурсы, разрешенные для…), либо запретительная (Ресурсы, запрещенные для…) политика. Субъект (для решения рассматриваемой нами задачи защиты) «Процесс» задается своим полнопутевым именем, могут также использоваться маски и регулярные выражения. Для каждого субъекта устанавливаются его права доступа (разрешения или запреты по трем типам доступа) к объектам, указываемым своими полнопутевыми именами, масками, либо регулярными выражениями.
Интерфейс механизма разграничения прав доступа к файловым объектам (локальным и разделенным в сети, на жестком диске и на внешних накопителях), реализованного в составе КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003, представлен на рис.2.
Теперь о решении рассматриваемой задачи защиты. Она решается при настройках механизма защиты КСЗИ, представленных на рис.2. Рассмотрим эти настройки. Видим, что для всех процессов (субъект доступа задан маской «*») в качестве исполняемых в системе заданы (определены, как «Ресурсы, разрешенные для выполнения», см. рис.2) файлы с определенным набором расширений – эти объекты задаются масками: *.exe, *.sys и т.д. Т.е. в системе можно будет выполнить только файлы с заданными расширениями. Определив же эти же объекты (и еще некоторые дополнительно, например *.com, *.bat) в качестве «Ресурсов, запрещенных для записи», см. рис.2, мы достигаем невозможности модификации существующих файлов с заданными расширениями (определенных нами в качестве исполняемых), их переименования, любым способом создания новых файлов с заданными расширениями.
Что же мы получаем при реализации подобных простейших настроек (всего несколькими записями в интерфейсе)? Решаются задачи защиты и от внедрения на компьютер вредоносной программы, и от запуска вредоносной программы. Внедрить новые, либо модифицировать существующие исполняемые файлы, динамические библиотеки, драйверы не удастся даже с системными правами (разграничения устанавливаются не для пользователей, а для процессов – при данном режиме задания разграничений не анализируется, от какого пользователя осуществлен запрос доступа к файловому объекту).
В порядке замечания отметим, что выявление необходимых для запуска исполняемых файлов не вызывает никаких проблем. Если при настройках механизма защиты КСЗИ, представленных на рис.2, какое-либо приложение, установленное на компьютере, не запустится, достаточно взглянуть в соответствующий журнал аудита из состава КСЗИ, в который будет занесена запись об отказе в запуске соответствующего исполняемого файла. Маску данного исполняемого файла следует соответствующим образом добавить в интерфейсе КСЗИ, см. рис.2.
Рассмотрим, в чем преимущества рассмотренного подхода к защите от вредоносных программ. Во-первых, задача защиты решается в общем виде, не требуется какого-либо сигнатурного, либо эвристического анализа. Во-вторых, реализация данного решения практически не создает дополнительной нагрузки на вычислительный ресурс, вне зависимости от существующего катастрофического роста вредоносного ПО. В-третьих, данный механизм защиты весьма просто настраивается, причем настройки могут легко тиражироваться на компьютерах корпоративной сети. И, в-четвертых, вы, наконец, перестаете быть «заложником» разработчика средства антивирусной защиты – вы получаете не «черный ящик», имея возможность лишь догадываться, насколько эффективно реализованное в нем решение. Вы сами становитесь непосредственным участником процесса «борьбы» за компьютерную безопасность.
Вернемся к тем простейшим настройкам, которые приведены на рис.2. Как видим, ими в полном объеме решается задача защиты от вредоносного ПО, применительно к жесткому диску. При этом остается возможность запуска вредоносной программы с внешнего источника, например, из разделенного в сети ресурса или с внешнего накопителя. Т.е. остается нерешенной задача предотвращения запуска вредоносной программы, при невозможности контроля ее занесения. При этом не будем забывать, что сегодня колоссальную угрозу несет в себе самозапускающееся вредоносное ПО, которое использует особенности Windows, позволяющие запускать приложения автоматически, не требуя от пользователя даже клика мышкой для активации программы. Оно наиболее часто распространяется через USB-брелоки и другие устройства для внешнего хранения информации.
Приведем одну из «свежих» новостей на эту тему.
Из материалов, опубликованных 29.07.2009 на сайте www.itsec.ru: «Самозапускающееся вредоносное ПО намного опаснее, чем червь Conficker».
«Исследователи McAfee также установили, что за 30 дней самозапускающееся вредоносное ПО заразило более 27 млн файлов. Данное ПО использует особенности Windows, позволяющие запускать приложения автоматически, не требуя от пользователя даже клика мышкой для активации программы. Оно наиболее часто распространяется через USB-брелоки и другие устройства для внешнего хранения информации. Количество обнаружений данного ПО превзошло даже показатели печально известного червя Conficker на 400%, что делает самозапускающееся вредоносное ПО угрозой №1 во всем мире».
Модифицируем исходные настройки для решения задачи защиты и от самозапускающегося вредоносного ПО. При этом постараемся опять же их сделать также максимально универсальными (для возможности тиражирования). Для простоты будем считать, что исполняемые файлы, динамические библиотеки, драйверы (т.е. все, что требует запуска) системы и приложений установлены в папках Windows и Program Files. Для последующего тиражирования зададим соответствующие объекты с использованием переменных среды окружения.
Настройки механизма защиты КСЗИ в рассмотренных предположениях представлены на рис.3.
Рассмотрим, что принципиально изменилось в настройках, приведенных на рис.3. Как видим, теперь возможность исполнения файлов определяется не только их расширениями, но и их местом расположения – исполнять файлы мы разрешили только из папок Windows и Program Files загруженной ОС. При этом реализована разрешительная разграничительная политика – исполнение файлов из каких-либо иных мест (в том числе, и с внешних накопителей) невозможен. Задача защиты решена в полном объеме.
А теперь попробуйте внедрить, а уж тем более, запустить вредоносную программу на защищенном компьютере! При этом будем помнить, что вредоносное ПО сегодня является одной из главных угроз при обработке конфиденциальной информации и персональных данных.
В заключение хотелось бы затронуть еще один аспект защиты от вредоносного ПО. Выше мы рассмотрели случай защиты от несанкционированного проникновения и запуска вредоносной программы – естественно, что это самый распространенный случай, а задача защиты, применительно к такому типу угрозы, наиболее актуальна. Но есть и иной вариант занесения вредоносного ПО на компьютер – это санкционированная установка пользователем программы, содержащей недекларируемые (не описанные в документации на ПО) вредоносные свойства. Здесь, к сожалению, приходится признать, что защиты от подобного вредоносного ПО не существует (да и быть не может). В части противодействия данной угрозе не следует уповать на какие-либо антивирусы. Поиск в программе недекларируемых возможностей – это совершенно самостоятельная задача, никак не связанная с антивирусной защитой, решается, по средством анализа исходных кодов программы, решение ее может составлять месяцы и годы, причем и подобный анализ не даст никакого гарантированного результата (как известно, проще написать свою программу, чем разобраться в коде чужой – это сопоставимые по сложности и трудоемкости задачи). Применительно к данной угрозе остается лишь одно – рекомендовать использовать ПО, полученное лишь из проверенных источников, за которое несет ответственность предприятие-разработчик (желательно, известное).
Автор: Антон Бурнашов, ht | 04-08-2010 09:59
Данный подход логичен, но несет с собой большое количество головных болей, таких как: Множество программ модифицируют свои файлы, поэтому тупо запрещать изменение таких файлов как dll, config и т.п. неправильно (имеется ввиду запрещать ВСЕ файлы с данным расширением). Это также актуально в плане обновления ПО, которое происходит довольно часто. А также вирусы зачастую меняют свое расширение, и программа должна смотреть на сигнатуру файла или на его хэш!
Запрет запуска исполняемых файлов во всей системе или в отдельных папок также повлияет на работоспособность ОС и прикладных ПО.
Советую присмотреться к технологии white listening от таких производителей как Lumension или MacAfee, которая реализована более продвинуто и адаптированна для корпоративного рынка.
Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 04-08-2010 11:21
Здесь, в первую очередь, следует говорить об эффективности, думаю, с таким подходом что-либо сравнить сложно (посмотрите статистику обнаружения новых вредоносных программ существующими антивирусами, после этого можем поговорить о продвинутости).
По-сути. Вообще, по-хорошему, атрибут разрешения выполнения должен одновременно запрещать запись. Относительно "тупо запрещать". Во-первых, можно запрещать не тупо - для любого процесса, как системного, так и прикладного в Панцире можно задать любые разграничения. Если очень захочется обеспечить работу какого-либо приложения, за 5 минут это делается, используя аудит. Другое дело, возможно, лучше отказаться от подобного приложения. Более того, практическое использование показывает, что, как правило, работоспособность подобных приложений при заданных разграничениях не нарушается.
Возьмите explorer. Он "лезет" на запись везде - во все диски. Если все это разрешить, то о защите от инсайдеров можно забыть, да и масса иных угроз актуализируется. Если запретите, то он даже "не ругается", все нормально работает, лишь из аудита видно, куда его не пустили.
И второй аспект "тупого запрета". Если не запретить, то значит разрешить? Это ведь стандартная работа приложения. Так что "тупее" - проанализировать и по возможности запретить, либо не задумываясь разрешить?
Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 06-08-2010 15:41
Автор: shaman007, | 30-08-2010 16:40
Странная какая-то статья. Понятно, что мандатное управление доступом - вещь полезная (я так понимаю из статей и описания, что панцирь реализует как раз ее), но позиционировать ее как панацею странно.
Автор: А.Ю.Щеглов, НПП "Информационные технологии в бизнесе" | 30-08-2010 16:57
Причем здесь мандатный механизм? Вы хоть представляете что это? Вы видели о нем в статье хоть слово? Странные какие-то рассуждения, о чем?
Автор: Иван Иванов, | 30-08-2010 17:20
Прощу прощения за несовершенство. Вообще, я представляю себе довольно отчетливо какие модели доступа бывают и зачем они нужны. Но статья написана непрозрачно, нет технических деталей, легко войти в заблуждение. Если честно, не очень понятно что вообще делает Панцирь-К: я читаю статьи и материалы на Вашем сайте. Очень много слов вроде "большой набор механизмов", "инновационный" и "11 патентов", но в чем именно они состоят не понятно.
Например, в презентации написано, что "Запуск только санкционированных программ, включая приложения и системные процессы – только программ из папок Windows и Program Files" каким образом это "и защита от атак на уязвимости компрометации системы"? Простой пример: есть IE, есть зловред, ворующий из него пароли и не записывающий ничего на диск. Как Панцирь-К защитит уязвимый IE?
Автор: А.Ю.Щеглов, НПП "Информационные технологии в бизнесе" | 31-08-2010 08:21
Иван, нет универсальных средств защиты, любое средство решает тот или иной набор задач, локальный, либо некий в комплексе. Возможности ограничиваются реализованными технологиями.
Вы все смешали. Статья посвящена описанию решения одной из множества задач.
Что может сделать Панцирь по защите доступа в сеть IE?
Во-первых, обратимся к статистике - определимся от чего следует защищать, в первую очередь (если были на сайте,то не могли этого не увидеть). Подавляющая часть атак направлена на запуск вредоносной программы, хищение, либо модификацию данных, модификацию системных данных, хищение системных данных.
В чем недостаток реализации разграничительной политики в ОС? Любое запускаемое приложение наследует права доступа пользователя, его запустившего. Т.е. с одинаковыми правами Вы обрабатываете данные на компьютере офисным приложением и IE, т.е. IE имеет все права доступа пользователя.
В Панцире Вы можете установить для конкретного приложения, в частности IE, свои собственные права доступа (как понижающие, так и повышающие права доступа пользователя).
Реализуете разграничительную политику доступа для приложения IE:
1. Разграничением доступа к сетевым ресурсам - разрешаете работу IE только с необходимыми хостами (например, по именам - только с www/itsec.ru).
2. Разграничением доступа к файловым объектам - запрещаете что-либо запускать из windows и program files, запрещаете туда запись.
3. Этим же механизмом запрещаете IE куда-либо запись и чтение, если необходимо, создаете отдельную папку для работы с интернетом - туда всем процессам запрещаете запись, разрешаете запись/чтение IE, запрещаете выполнение IE.
4. Разграничением доступа к объектам реестра ОС разрешаете IE только необходимые ему права записи/чтения (это за 5 минут смотрится по инструментальному аудиту).
6. Механизмом контроля сервисов олицетворения запрещаете IE какой-либо доступ к объектам файловой системы и реестра ОС под учетной записью иной (в том числе, системной), чем той, от которой IE запущен (предотвращаете обход Ваших разграничений, за счет повышения привилегий - смены пользователя при доступе к ресурсам).
Возможны варианты настроек.
В результате:
1. Вредоносное ПО не может быть из сети внедрено и запущено.
2. Конфиденциальные данные, обрабатываемые на компьютере, не могут быть похищены или модифицированы.
3. Системные ресурсы (системный диск, диск с приложениями, настройки ПО в треестре) не могут быть уничтожены или модифицированы).
4. Критичные сведения по учетным записям, паролям, ключам шифрования и т.д. не могут быть похищены и модифицированы.
И т.д.
Этого по Вашему мало?
Для настройки разграничений потребуется минут 5-10 (нужно будет посмотреть аудит, куда обращается IE при штатной работе, и, конечно, нужны определенные знания).
Кстати, подобные разграничения могут быть сделаны и для сетевых служб, работающих с системными правами, например, lsas и т.д. Атаки на них очень критичны.
Автор: Ой, | 09-04-2011 02:12
Все это можно выполнить штатными средствами ОС.
Автор: А.Ю.Щеглов, НПП "Информационные технологии в бизнесе" | 09-04-2011 08:03
Выполняйте...
Автор: Ой, | 09-04-2011 15:27
А.Ю.Щеглов
А зачем тогда Ваше ПО нужно, если политики безопасности и СРД ОС WinXP, 7, 2003, 2008 выполняет все эти задачи?
Или это просто реализация интерфейса к возможностям ОС?
Автор: А.Ю.Щеглов, НПП "Информационные технологии в бизнесе" | 10-04-2011 08:50
Ой, не буду я тратить свое время и Вам рассказывать здесь о возможностях и недостатках Windows, мне этого хватает в жизни на лекциях (в любом действии должен быть смыл, в данном случае я его не вижу), применительно же к данной статье - это разговор не по существу. Считаете, что можно, делайте, считаете что ПО Вам не нужно, не используйте. Когда сделаете, напишите как, тогда и пообсуждаем.
P.s. На ваш конкретный вопрос - реализовано собственным драйвером уровня ядра, и описанное в статье решение - это лишь одна из решаемых задач безопасности.
Автор: Ой, | 10-04-2011 13:35
А.Ю.Щеглов, не стоит мне рассказывать о преимуществах и недостатках, в достаточной мере владею предметом.
Суть вопроса состояла в том, что я не понимаю:
1. Используются ли встроенные механизмы ОС? Если же используется собственный драйвер, то с какой целью дублировать уже существующие механизмы в ОС, если ОС позволяет применить разграничение доступа по модели "что не разрешено - то запрещено". Встроенные механизмы ОС позволяют провести тонкую настройку ОС средствами политик ОС "Политика ограничения использования программ".
Если же к этому механизму добавить использование встроенного механизма ОС дискреционного управления правами доступа к объектам, то реализуются все механизмы представленные в Вашем ПО.
Именно по этому хотелось разобраться, возможно я что-то упустил.
Автор: ай, | 14-04-2011 17:15
>Когда сделаете, напишите как, тогда и пообсуждаем
если коротко:
1. обеспечив работу пользователя под непривелигированной учеткой мы не дадим ему перезаписывать исполняемые файлы системы и установленных программ
2. настроив SRP мы запретим пользователю запускать то что он откуда-нибудь сам притащит.
3. запретив запукс не подписанных скриптов мы решим проблему со скриптами.
все это делается штатными средствами без неоправданной установки дополнительных программ, которые скорее всего содержат свои глюки и дыры.
кстати, подобная альтернатива предлагается не в первый раз, в том числе и на этом сайте.
внятных возражений пока не было.
Обсуждение на форуме
Добавить комментарий
