В первой части были рассмотрены антивирусные сканеры «при обращении» и некоторые основные концепции их работы. В этой статье рассмотрены некоторые стратегии, которые применяют создатели вирусов, чтобы обойти защиту этих сканеров и как, в свою очередь, реагируют на это разработчики антивирусов.
Михаил
Разумов , по материалам SecurityFocus
Большинство здравомыслящих пользователей ПК используют сейчас
антивирусное (АВ) ПО при работе на своих компьютерах. Однако большинство пользователей
не знает, как работает антивирусное ПО. Эта статья является второй частью краткого
обзора антивирусных сканеров «при обращении».
В первой части
были рассмотрены антивирусные сканеры «при обращении» и некоторые основные концепции
их работы. В этой статье рассмотрены некоторые стратегии, которые применяют
создатели вирусов, чтобы обойти защиту этих сканеров и как, в свою очередь,
реагируют на это разработчики антивирусов.
Создатели вирусов разработали несколько контрмер в ответ на усовершенствования
методов сканирования «при обращении». Они стали скрывать злонамеренную структуру
кода, шифруя его, помещая туда, где антивирусные сканеры вряд ли его найдут,
и пряча место в инфицированной программе, в котором вирус принимает управление.
Например, много простых Windows Portable Executable (PE) вирусов присоединяли
свой вирусный код в конец программы и ставили инструкцию jump в ее начале для
исполнения кода вируса.
Антивирусный сканер может быстро обнаружить изменения в программе, проверяя
ее размер. Если размер файла был изменен в процессе запуска, это хороший индикатор
того, что вирус инфицировал программу. Чтобы обойти эту проверку, пустотные
(cavity) вирусы прятали свой код в пустых пространствах внутри файла программы,
оставляя размер файла неизменным. Пустотные вирусы пошли еще со времен MS-DOS,
начиная с вируса Lehigh . Использование этой техники в создании вирусов значительно
возросло, когда Microsoft разработал Windows PE формат для возможности взаимодействия
Windows программ в разных ОС Windows. С целью ускорить загрузку программ в формате
PE, компиляторы Windows программ создавали пустые пространства внутри файлов.
Многие вирусы, такие как W2K/Lamchi, использовали эти пустые пространства для
сокрытия вирусного кода.
Создатели вирусов также пытались использовать шифрование кода для противостояния
антивирусным CPU-эмуляторам. Вирус IDEA.6155 появился весной 1998 г. Написанный создателем вирусов
Spanska, он мог инфицировать .com, .exe и .zip файлы. Это был не простой вирус,
а вирус, который содержал и демонстрировал сложные методы шифрования. Как сообщается,
Spanska разослал его антивирусным компаниям и не стал распространять его в Интернет.
Тем не менее, он заставил оживиться антивирусное сообщество.
Вирус IDEA.6155 использовал трехуровневое шифрование кода различными методами.
Первый уровень использовал механизм FSE mutation для своей расшифровки, используя
ключ, находящийся в коде вируса. Второй уровень не имел этого ключа, но мог
быть расшифрован, так как значение ключа могло быть быстро получено с помощью
атаки дешифровки грубой силой (brute force). Внутренний уровень использовал
алгоритм шифрования IDEA. Чтобы обмануть сканеры «при обращении», 128-битный
ключ IDEA мог находиться в одном из двух мест внутри тела вируса. Сильно зашифрованный
вирус может привести к тому, что CPU эмулятор подвесит Windows Pentium систему.
Как сообщается, дешифровка вируса может занять до 5 сек. без использования антивирусного
эмулятора кода. Согласно Vessilin Bontchev, антивирусному исследователю из Frisk Software International , на системе с запущенным антивирусным
эмулятором кода, дешифровка вируса может занять от нескольких минут до получаса!
Это может привести к тому, что конечные пользователи просто отключат антивирусное
ПО на своих ПК.
Создатели вирусов также стали применять технику сокрытия точки входа (entry
point obscuration – EPO), чтобы прятать место нахождения jump-инструкции к коду
вируса. Червь W32/MTX@M и вирус Win95/SK были одними из первых, использующих
эту технику. Существует множество разновидностей этой идеи, от сокрытия блока
вирусного кода в теле программы до фактического интегрирования вирусного кода
в код программы. Многие АВ профессионалы рассматривают EPO вирусы как наиболее
перспективные.
Создатели вирусов стали использовать техники шифрования для
предотвращения быстрой идентификации антивирусным ПО. Изменяя ключ шифрования
от компьютера к компьютеру, вирус может защитить свой код от быстрой идентификации.
Группы разработчиков вирусов, такие как 29A VX, и отдельные разработчики, например
Zombie и Black Baron, работают над усовершенствованием методов шифрования и
мутации.
В то же время создатели вирусов разработали методы сокрытия кода вируса путем
варьирования его проявления. Полиморфные вирусы шифруют свой код с использованием
различных схем шифрования и варьирующихся алгоритмов дешифровки. Однако вирусный
код может быть без труда идентифицирован после дешифровки, благодаря наличию
неизменных частей в нем, таких как область данных, заполненная строковыми константами.
Полиморфные вирусы должны иметь «голову», или дешифровщик, используемый для
дешифровки вируса перед запуском. Эти вирусы могут варьировать свое проявление
изменением порядка процедур и вставкой случайного бесполезного кода, типа инструкций
NOP (null operation). Примеры полиморфных вирусов включают SMEG.Pathogen (создатель которого был приговорен к 18 месяцам)
и Elkern , вирус – компаньон червя Klez.
Позже создатели вирусов представили метаморфный вирус, который
фактически меняет свой код от поколения к поколению (поколение – одна серия
размножения). Метаморфный вирус также шифрует свой код, но его процедура дешифровки,
ключ и даже местоположение ключа могут меняться со временем. И, в отличие от
полиморфных вирусов, в метаморфных данные и код смешаны в теле вируса. Как и
полиморфные вирусы, метаморфные тоже используют различные техники для сокрытия
истинного предназначения своего кода.
Суть не только в том, чтобы спрятать злонамеренный код, создатели
вирусов также предпринимают шаги для атак против антивирусного ПО. Существуют
три основных атаки, которые могут быть применены против эмуляторов системы.
Первая из них – включение ненормальных и неестественных инструкций. Это программные
инструкции, которые АВ программисты могли не рассмотреть ввиду того, что они
практически не используются в реальных программах и слишком сложны для эмуляции,
в итоге они не обнаруживаются эмуляторами.
Во второй атаке на эмуляторы системы, создатели вирусов пытаются
использовать задержку между оценкой эмулятором подозрительного кода и временем
исполнения в реальной системе. IDEA.6155 – наиболее старый пример этой атаки, в котором долгая
процедура дешифровки может переполнить ограниченные ресурсы эмулятора.
В третьей атаке на эмуляторы кода, вирус пытается определить,
что он находится в эмуляторе, используя ограничения в дизайне эмуляторов кода.
Никакой эмулятор не может учесть все вероятные ситуации. Вирус может также варьировать
свое поведение в зависимости от системной даты или воспринимая изменения типа
потери сетевого соединения. Например, известно, что Magistr не заражает исполняемые файлы при отсутствии Интернет-соединения.
Вирус W32.Simile – один из последних метаморфных вирусов. Этот очень
сложный вирус способен существовать как на Linux, так и на Windows платформах.
Большая часть кода вируса, содержащего более 14000 ассемблерных команд, посвящена
собственному метаморфическому механизму. Этот вирус, написанный создателем вирусов
The Mental Driller, и обнаруженный в марте 2002 г., имеет множество антиэмуляторных
функций. Он использует псевдослучайный алгоритм дешифровки, который использует
модульные арифметические функции для дешифровки тела вируса нелинейным способом,
не от начала до конца, а кусками, выбранными, по видимому, случайным образом,
для того, чтобы запутать эмулятор.
Чтобы еще больше запутать эмулятор, вирус Simile воспользовался инструкцией
RDTSC (Read Time Stamp Counter). Вирус анализирует внутренний процессорный счетчик
и случайным образом определяет, пора расшифровывать код, или еще подождать.
Это означает, что вирус может не расшифроваться с первой или даже с нескольких
попыток. Ввиду сложности вирусного кода, он содержит множество ошибок, которые
могут помешать расшифровке вируса в течение длительного времени.
Сложность Simile также указывает на то, что мало кто из создателей вирусов
возьмется за написание действительно сложных вирусов. Наоборот, успех Hybris,
Klez , Magistr, MTX, и Sircam указывает на то, что вирусам, эффективно использующим
поддельные адреса возврата или изменение тела вируса, обеспечена долгая жизнь
на мировой арене.
Как антивирусные разработчики создадут эффективный сканер «при обращении»,
имея такую впечатляющую оппозицию, как метаморфные EPO вирусы, превосходно умеющие
прятать вирусный код? Метод совпадения строк, в котором вирусы обнаруживаются
по наличию строк в коде, индицирующих злонамеренные или вирусные свойства, был
одним из опор антивирусного сканирования. Но с применением технологий сокрытия
кода и возрастанием количества полиморфных и метаморфных вирусов, может оказаться
сложным, если не невозможным для сканеров обнаружить распознаваемую строку.
Также очень эффективным методом обнаружения вирусов было сравнение величин cyclic redundancy check (CRC) . Теперь вирусы способны варьировать
значения CRC, тем самым скрывая наличие своего кода (существует возможность
заражения файла таким образом, что его CRC при этом не изменится).
Если файл в состоянии покоя не показывает наличие вируса, вирус все же может
выйти из него при запуске. Анализ стека CPU эмулятора может указать на наличие
признаков, сигнализирующих о наличии вируса.
Если говорить о полиморфных вирусах, существует момент, когда
код вируса раскрывается в стеке после дешифровки, но эта техника может не работать
с метаморфными вирусами, код которых меняется от поколения к поколению. В данном
случае необходимо покинуть «вещественный» мир распознавания строк, и перейти
к абстрактным рассуждениям и статистике. Где-то во всей этой высокой траве и
бесполезных инструкциях обманного кода содержится сердце алгоритма, направленного
на выполнение своих целей. Если сканер «при обращении» не может напрямую увидеть
сердце вируса, он должен установить его наличие из косвенных улик.
Если распознаваемый код не может быть найден, необходимо ответить
на вопросы, действует ли подозрительный код как какой-то вирус-предок? Действует
ли он так же большую часть времени? Если это так, он может быть потомком известного
вируса. Даже после этого может не быть однозначного ответа, тогда антивирусные
программисты зададут вопрос о том, чего этот подозрительный код не делает. Эта
техника, называемая «ложное обнаружение» полезна для принятия решения о том,
когда прекратить анализ конкретной части кода и перейти к следующей подозрительной
части.
Несомненно одно: чтобы называться вирусом, враждебный код должен
размножаться. Вирусы не только размещают свой код в файлах, они зачастую помечают
эти файлы для предотвращения повторного заражения. Таким образом, анализируя
структуру файла,
сканеры «при обращении» могут определить, когда вирус пытается
изменить его. Эта методика часто называется «эвристикой формы» или «геометрическим
обнаружением». Анализируя файл в поисках меток или других известных величин,
изменяемых вирусом внутри файла, сканеры «при обращении» имеют больше шансов
для обнаружения вируса. Например, полиморфные вирусы могут иметь распознаваемые
дешифровщики, или «головы». Каталогизируя дешифровщики, метки, и их разновидности,
сканирующий модуль сможет использовать их характеристики для идентификации вируса.
Продолжающееся совершенствование вирусного кода показывает,
что сканеры «при обращении» должны развиваться быстрее вирусов, оставляя им
все меньше способов избежать обнаружения. К сожалению, постоянное введение новых
операционных систем открывает все новые ящики Пандоры, полные уязвимостей. Как
и раньше, создатели вирусов и антивирусного ПО будут вести войну нападения и
защиты. Опыт показывает, что необходимо полное понимание работы операционной
системы для предупреждения новых вирусных штаммов. Для большинства из нас хорошо,
когда добро побеждает. Но чтобы победить, необходимо быстрое получение точных
сведений о вирусном коде, чтобы понимать, как работают все возрастающие по сложности
вирусы.
Сканеры «при обращении» сделали Интернет более безопасным местом
благодаря их возможности тщательно проверять код до того, как он сможет свободно
запуститься в системе. Однако, пути, которыми пойдут создатели вирусов для сокрытия
кода и атак против методов антивирусного обнаружения, требуют сложных и надежных
методов обнаружения, идущих далеко впереди проверок совпадения строк и CRC.
Эти методы обнаружения становятся более абстрактными. Даже при этом они могут
успешно обнаруживать вирусы через их поведение и подозрительные действия, которые
выдают вирусные намерения. По-прежнему остается задачей для разработчиков антивирусов
быть впереди оппозиции, которая использует подлог и маскировку для сокрытия
зачастую деструктивной природы своих творений, и обеспечивать точное и надежное
антивирусное обнаружение «при обращении».
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
golden dumps cvv cheap dumps cc