Антивирусная защита в информационных телекоммуникационных системах

 

 

Способы распространения вредоносных программ

 В настоящее время имеется четыре основных способа передачи вредоносного ПО.

1. Мобильные носители. К мобильным носителям можно отнести все виды энергонезависимых ПЗУ. То есть таких устройств, которые позволяют достаточно долго хранить информацию и при этом не требуют дополнительного питания от компьютера. Это компакт диски, flash-накопители, внешние жесткие диски. Мобильные носители – достаточно распространенный способ для размножения компьютерных вирусов. Однако по скорости распространения этот путь существенно уступает компьютерным сетям.

2. Локальная вычислительная сеть (ЛВС). Вредоносные программы в полной мере используют преимущества ЛВС - фактически, почти все современные вирусы имеют встроенные процедуры инфицирования по локальным сетям и как следствие высокие темпы распространения. Инфицирование обычно происходит в такой последовательности. Зараженный компьютер с заданным интервалом инициирует соединение поочередно со всеми другими компьютерами сети и проверяет наличие на них открытых для общего доступа файлов. Если такие есть, происходит инфицирование.

3. Глобальная вычислительная  сеть (ГВС). Самая большая на сегодняшний день глобальная вычислительная сеть - это всемирная сеть Интернет. Наличие сети такого масштаба делает возможным всемирные эпидемии компьютерных вирусов.

4. Электронная почта. На сегодняшний день электронная почта выступает основным путем распространения вирусов. Это происходит потому, что время доставки письма очень мало (обычно исчисляется минутами) и практически все пользователи Интернет имеют как минимум один почтовый ящик. При этом для того, чтобы доставить пользователю на компьютер зараженный файл, не нужно его принуждать куда-либо обратиться и скопировать к себе вирус. Достаточно лишь прислать на его электронный адрес инфицированное письмо и заставить адресата его открыть. 

Цели вредоносного программного обеспечения

К основным целям вредоносного ПО относятся:

1. Кража конфиденциальной информации. После инфицирования вирус ищет файлы, содержащие конфиденциальную информацию (номера кредитных карт, различные пароли, секретные документы), для кражи которой он предназначен, и передает ее хозяину. Это может происходить путем отправки выбранных данных в электронном сообщении на определенный адрес или прямой пересылки их на удаленный сервер.

2. Несанкционированное использование сетевых ресурсов. Существуют вирусы, которые после заражения без ведома пользователя подключаются к различным платным службам с использованием личных данных, найденных на компьютере. Впоследствии жертве приходится оплачивать не заказанные ею услуги, а злоумышленник обычно получает процент от этого счета.

3. Удаленное управление компьютером. После того, как произошло заражение, некоторые вирусы передают другому лицу инструменты для удаленного управления инфицированным компьютером – открывают бекдоры (от англ. backdoor - черный ход). Обычно это выражается в возможности удаленно запускать размещенные на нем программы, а также загружать из Интернет по желанию злоумышленника любые файлы. Свое присутствие такие программы обычно выражают только в использовании части ресурсов зараженного компьютера для своих нужд - в основном процессора и оперативной памяти. Такие компьютеры часто называют машинами-зомби.

4. Ботнеты. Группа компьютеров, которыми централизованно управляет один злоумышленник, называется ботнетом. Число таких компьютеров в Интернет на сегодняшний день достигает нескольких миллионов и продолжает увеличиваться каждый день.

5. Несанкционированная атака на чужой сервер. Последнее время вирусописатели используют ботнеты для организации так называемых DoS-атак. DoS (от англ. Denial of Service) - это построенное на принципе отказа в обслуживании нападение на удаленный сайт. Это означает, что каждый инфицированный компьютер периодически (с интервалом обычно порядка 1 секунды) посылает произвольный запрос на получение информации с заданного злоумышленником сайта. Все веб-сайты рассчитаны на определенное число запросов в единицу времени, поэтому резкое увеличение нагрузки практически всегда выводит сервер из строя. Атака, которая производится одновременно с большого количества компьютеров, называется распределенной DoS-атакой или DDoS (от англ. Distributed Denial of Service).

6. Рассылка спама. Под этим термином обычно понимается ненужная, нежелательная, не запрошенная получателем корреспонденция. Спам может приходить как по электронной почте, так и в виде других сообщений, например на мобильный телефон в виде SMS.

7. Фишинг. Фактически фишинг – это метод кражи чужой информации, суть которого заключается в подделке известного сайта и рассылке электронных писем-приглашений зайти на него и ввести свою конфиденциальную информацию.

 

 

Технологии обнаружения  вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы

1. Технологии сигнатурного анализа.

2. Технологии вероятностного анализа:

2.1. Эвристический анализ.

2.2. Поведенческий анализ.

2.3. Анализ контрольных сумм.

 

Сигнатурный анализ – метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе. Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса.

Недостатки сигнатурного анализа определяют границы его функциональности – возможность обнаруживать лишь уже известные вирусы – против новых вирусов сигнатурный сканер бессилен.

Достоинством сигнатурного анализа является то, что наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов – трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба. Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

 

Эвристический анализ – технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Достоинством эвристического анализа является то, что он может определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы. Недостатком – то, что эвристический анализ не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

 

Поведенческий анализ – технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения. Например, средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

 

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название «ревизоры изменений») как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Чаще подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

 

 

Классификация антивирусного  программного обеспечения

Помимо используемых технологий, антивирусы отличаются друг от

друга условиями эксплуатации. Уже из анализа задач можно  сделать вывод о том, что препятствование проникновению вредоносного кода должно осуществляться непрерывно, тогда как обнаружение вредоносного кода в существующей системе – скорее разовое мероприятие. Следовательно, средства, решающие эти две задачи должны функционировать по-разному.

Таким образом, антивирусы можно разделить на две большие категории:

- Предназначенные для непрерывной работы – к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных.

- Предназначенные для периодического запуска – различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности, для Microsoft Exchange).

 

Антивирусный комплекс – набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Антивирусное ядро – реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов.

 

Исходя из текущей необходимости  в средствах защиты, выделяют следующие типы антивирусных комплексов:

1. Антивирусный комплекс для защиты рабочих станций – предназначен для обеспечения антивирусной защиты рабочей станции, на которой он установлен. Состоит, как и указывалось ранее из средств непрерывной работы и предназначенных для периодического запуска, а также средств обновления антивирусных баз.

 

Рис. 1 - Антивирусный комплекс для защиты рабочих станций и файловых серверов.

 

2. Антивирусный комплекс для защиты файловых серверов – предназначен для обеспечения антивирусной защиты сервера, на котором установлен. Указание на файловый сервер в названии является скорее данью истории, корректней будет звучать термин «сетевой». Определение того, насколько нуждается в антивирусной защите сервер, осуществляется не только исходя из его назначения (является сервер файловым, почтовым, либо выполняет другую функцию), а и из используемой на нем платформы.

Рис. 2 – Схема  работы антивирусной защиты для почтовых систем.

 

3. Антивирусный комплекс для защиты почтовых систем, назначение комплекса назначение – препятствовать доставке зараженных сообщений пользователям сети, но он не предназначен для защиты почтовой системы от поражения вирусами. Как уже указывалось ранее, сегодня одним из главных средств доставки вирусов в локальную сеть является именно электронная почта. Поэтому, при наличии в локальной сети специализированного узла, обрабатывающего входящую и исходящую из сети почтовую корреспонденцию (почтового сервера), логично будет использовать средство централизованной проверки всего почтового потока на наличие вирусов.

 

4. Антивирусный комплекс для защиты шлюзов – предназначен для проверки на наличие вирусов данных, через этот шлюз передаваемых. Как правило в его состав входят:

4.1. Сканер HTTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу HTTP.

4.2. Сканер FTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу FTP. В случае использования FTP over HTTP FTP-запросы будут проверяться сканером HTTP-потока.

4.3. Сканер SMTP-потока — предназначен для проверки данных, передаваемых через шлюз по SMTP.

Рис. 3 – Антивирусный  комплекс  для защиты  шлюзов.

 

 

Заключение

В современном Интернет в  среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции – нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых операционных систем влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов.