Обнаружение продвинутых угроз безопасности, использующих defeat devices

Обнаружение продвинутых угроз безопасности, использующих defeat devices

Преступники разрабатывают вредоносные программы, которые распознают, когда его проверяют, и активно уклоняется от обнаружения. Виктория Носова, консультант по безопасности компании Check Point, рассказывает o новом способе защиты сетей.

За последние несколько месяцев в заголовках мировых изданий часто встречался термин defeat device — «обманное устройство», в связи со скандалом о превышении выброса загрязняющих веществ среди десятка миллионов дизельных автомобилей. Если в двух словах, defeat device — это элемент ПО для управления двигателем, который определяет, когда автомобиль тестируют в лабораторных условиях. Программа переводит работу двигателя в безопасный режим, чтобы он прошел тест, а когда машина используется в обычных условиях, переключает режим обратно.

Киберпреступники многие годы используют похожий подход, помогая своим вредоносным программам избегать обнаружения традиционными решениями безопасности и проникать в сети. Эта «гонка вооружений» началась с появления  более сложных типовых хакерских инструментов, которые можно легко настраивать и маскировать существующий вредоносный код. В результате злоумышленники создают «новые» угрозы, которые могут незаметно обходить традиционные антивирусы.

Последствия этих хакерских методов обозначены в отчете Check Point Security Report 2015. Согласно  отчету, корпоративные сети подвергаются атакам 106 неизвестных разновидностей вредоносов каждый час — этот показатель в 48 раз выше, чем в предыдущие 12 месяцев. Более того, по данным исследования, проведенного Enterprise Strategy Group (ESG), 55% экспертов по безопасности корпораций отмечают, что вредоносные программы за последние 2 года стали намного сложнее.

Однако теперь хакеры создают вредоносные программы с  такими defeat devices, которые знают, когда их проверяют решения по безопасности, и активно избегают обнаружения. Рассмотрим, как произошел этот эволюционный шаг и что можно сделать для выявления и блокировки этих продвинутых методов.

В «песочнице» безопасно?

Для борьбы с неизвестными вредоносными программами, которые создаются «оптом» с использованием типовых инструментов, вендоры решений по безопасности разработали так называемую «эмуляцию угроз», или «песочницу». Это решение позволяет обнаруживать и предотвращать новые атаки и новые варианты существующих вредоносных программ. Оно использует виртуальную карантинную область, созданную на базе шлюза сетевой безопасности или в облаке, где эмулирует запуск вируса в различных традиционных операционных системах для ПК.

Таким образом, «песочница» делает возможной проверку содержимого подозрительных файлов (например, email-вложений или загрузок) в безопасной среде, которая отделена от производственных корпоративных сетей и данных. Файлы открываются в различных виртуальных программах, симулирующих действия пользователя. В случае обнаружения любого аномального или вредоносного поведения, например попыток внести изменения в реестр или подключиться к сети, файл блокируется и помещается в карантин для предотвращения попадания инфекции в сеть.

«Песочница» зарекомендовала себя в качестве высокоэффективной технологии обнаружения новых и неизвестных угроз — так длилось некоторое время. Однако преступники в свою очередь обновили собственные маскирующие методы. Они разработали вредоносный код, который умеет определять, что он находится в виртуальной среде «песочницы», и скрывать вредоносную активность во время прохождения проверки. Это позволяет вредоносным программам избегать обнаружения в «песочнице» и проходить через все остальные защитные механизмы. Они представляют реальную угрозу для корпоративных сетей.

Итак, как же можно победить эти продвинутые «обманные устройства» во вредоносах и создать более эффективную «песочницу», которая сможет определять даже скрытые угрозы? Решение в том, чтобы углубить и расширить способности «песочницы» к обнаружению, вывести их дальше уровня операционных систем, исполняемых файлов ПО и файлов данных.

Создание более эффективной «песочницы»

Независимо от того, насколько умело действует разновидность вредоносных программ, существует совсем немного методов, которые она может использовать для самозагрузки и заражения компьютера. Если «песочница» умеет обнаруживать активность ниже уровня операционной системы и проверять, что происходит в процессоре, на основе которого она работает, любые действия вредоносных программ будут отмечены как аномальные в потоке исполняемых процессором команд.

Это позволяет отследить скрытые в файлах и данных вредоносные программы до того, как оно полностью активируется и  попытается избежать обнаружения в «песочнице». Такой прием нейтрализует действие «обманных устройств», внедренных во вредоносный код, и устраняет риск заражения даже от неизвестных атак. Затем угроза блокируется и помещается в карантин «песочницы», откуда она уже не сможет попасть в корпоративную сеть.

Этот процесс прозрачен для большинства файлов. Если подозрительный файл был проверен и признан безопасным, пользователь, который должен был его получить, не заметит существенной задержки в доставке этого файла по электронной почте. Информация обо всех обнаруженных активностях затем передается ИТ-команде предприятия в подробном отчете об угрозах.

Делись и защищай

Такой улучшенный подход к «песочницам» предоставляет еще одно ключевое преимущество. После того как неизвестная угроза обнаружена, она становится известным зарегистрированным вариантом вредоносных программ с  сигнатурой, которая поможет обнаружить эту угрозу в будущих атаках. Компании могут использовать эти данные для укрепления своей защиты, «прививая» сети от вирусов, чтобы избежать распространения инфекции и возникновения эпидемии.

Даже самые чувствительные традиционные орудия борьбы с вредоносными программами не могут защитить от неизвестного ПО. Это создает критически опасную брешь в безопасности, через которую злоумышленники могут проникнуть в организацию. Такая брешь закрывается продвинутой «песочницей», сочетающей в себе защиту сети и данных на уровне ОС и ЦП от атак нулевого дня и продвинутых неизвестных угроз, которые в противном случае могли бы избежать обнаружения. В битве с вирусами такой подход позволяет осуществлять мощную пограничную защиту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru