Методы обнаружения вредоносных программ

Содержание

Каждая из существующих методов определения мобильного вредоносных программ имеет свои достоинства и недостатки.

Статический анализ кода — это быстрый и мало затратный метод. Он заключается в поиске вредоносных характеристик либо подозрительных кусков кода без запуска приложений. Изображённые ниже методы широко применяются для предварительного рассмотрения, когда необходимо впервые проверить подозрительное приложение на самый очевидный вредоносный функционал.

Первые две ветки характерны для определения вредоносных программ в Симбиан OS и iOS. Третья ветка схемы, которая описывает алгоритм действий под Андройд. При помощи декомпилятора генерируется исходный код приложений. Далее он подвергается статическому анализу инструментами из программного пакета Fortify SCA. К минусам данными методами можно отнести то, что, в общем, она подходит только для рассмотрения приложений с относительно незначительным числом прав доступа и вызовов API.

Динамический анализ кода. В отличие от статического, динамический анализ подразумевает выполнение приложение в изолированном окружении. К примеру, внутри виртуальной машины либо эмулятора, чтобы можно было отслеживать поведение приложение. Чаще всего динамический анализ применяется при трассировке системных вызовов либо taint-отслеживании.

Поймай меня, если сможешь. Руткиты: эволюция и способы обнаружения

Для динамического taint -рассмотрения в масштабах системы можно использовать инструмент TaintDroid. Приложение первоначально отправляется в виртуальную машину, где подвергается оценке на четырёх уровнях: переменных, методик, сообщений и файлов. Во время taint -отслеживания любые запросы данных из модуля геолокации, микрофона, камеры и др. Этот способ подразумевает, что все нативные библиотеки вызываются только из виртуальной машины, а не напрямую. И наконец, при динамическом рассмотрении определяются потенциальные утечки данных прежде, чем информация передаётся из системы в сетевой интерфейс.

Тестирование многих популярных Андройд-приложений от сторонних разработчиков показало, что значительное число из них отправляют рекламным фирмам данные о местоположении пользователей. Некоторые даже пересылают на удалённые серверы телефонные идентификаторы. Но TaintDroid может выдавать как ложноотрицательные, так и ложноположительные итоги рассмотрения. К тому же данный инструментарий разрешает рассматривать только один вид уязвимостей — потоки данных.

Оценка прав доступа приложений. В мобильных приложениях права доступа играют основную роль: они показывают пользователям намерения приложений и активность бэкэнда. В мобильное устройство права доступа задаются явным образом, по этой причине авторы приложений должны их также явно запрашивать. Но некоторые намеренно скрывают применяемые приложением права, что приводит к появлению уязвимостей.

Ниже показана схема работы инструмента для рассмотрения прав доступа Андройд-приложений, Kirin. В ходе установки изучаемых приложений он извлекает настройки безопасности и сверяет их с имеющейся политикой безопасности. Если приложение не проходит проверку, то Kirin предупреждает пользователей, либо даже удаляет приложение.

Как избежать обнаружения кражи данных с помощью вредоносных методов шифрования

Проведённое в 2011 году изучение 100 платных и 856 бесплатных Андройд-приложений показало, что около 93% бесплатных и 82% платных запрашивают получение как минимум одних потенциально опасного права доступа. Среди них наиболее распространённым был запрос на доступ к Интернет, даже если назначенное приложение не подразумевало его применения.

К минусам Kirin можно отнести то, что рассмотрения запросов на получение прав недостаточно для выявления вредоносных программ, это вспомогательный инструмент, который необходимо использовать одновременно со статическим либо динамическим анализом кода.

Оценка при помощи облачных сервисов. Очевидно, что на мобильном устройстве не получится полноценно рассматривать подозрительные приложения в связи с ограниченными ресурсами самого устройства. Простое сканирование файлов займёт немало времени и «съест» заметную долю заряда аккумулятора. Одним из методов решения данной проблемы является оценка при помощи облачных сервисов.

Для временного хранения входящего трафика Раrаnоid Андройд применяет прокси, что разрешает экономить заряд аккумулятора мобильного устройства и не отправлять те же данные на сервер. Тот может напрямую обратиться к прокси и получить необходимые данные для эмуляции анализируемых приложений. Тем не менее, применение РА для рассмотрения «тяжёлых» приложений всё же значительно повышает расход энергии и нагрузку на процессор. А так как трейсер работает в пользовательской среде, системные вызовы куда сильнее нагружают процессор при сопоставлению с нативным выполнением кода. Условно, трассировка системного вызова rеаd () занимает 0,7 миллисекунды в пользовательской среде, и 0,1 — в ядре.

Читайте также:
Как взломать графический ключ без программ

Мониторинг расхода заряда аккумулятора. Более высокое, при сопоставлению с аналогами, потребление энергии при работе каких-то приложений может быть косвенной программой подтверждением вредоносности. Конечно, это работает, если достаточно хорошо известно поведение пользователей, состояние аккумулятора, уровень сигнала, объём сетевого трафика и прочие параметры.

Советы по защите от мобильного вредоносных программ. Учитывая ограниченность вычислительных и энергетических ресурсов мобильных устройств с Интернет, можно предположить, что в будущем защитный функционал будет, главным образом, представлен облачными сервисами. С развитием платёжных систем на основе NFС, также можно ожидать появления вредоносных программ, нацеленного именно на кражу платёжных данных через данный канал. Наверняка будут попытки получить реквизиты банковских карт при помощи обратного инжиниринга приложений для оплат через NFС. Подобные угрозы нужно предупреждать заранее, к примеру, при помощи стойкого шифрования и допуска, ограниченного числа разработчиков к формированию платёжных программ.

Источник: studentopedia.ru

Теперь я тебя вижу: выявление бесфайловых вредоносных программ

Злоумышленники твердо намерены применять для обхода средств защиты все более сложные методы. Использование бесфайловых вредоносных программ повышает незаметность и эффективность атаки. В прошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya и WannaCry).

В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем размещать на нем специальные программы, которые могут быть распознаны как вредоносные? Если злоумышленник сможет перехватить управление процессом, запустить в пространстве памяти такого процесса свой код и использовать его для вызова средств, которые уже имеются на устройстве, обнаружить атаку будет сложнее.

Успешное применение данного подхода с использованием локальных ресурсов представляет собой сложную задачу. Помимо прочего, злоумышленникам необходимо решить проблему сохраняемости. При выключении питания информация в памяти не сохраняется, и, если файлы не записаны на диске, перед злоумышленниками встает вопрос: как обеспечить автозапуск своего кода и сохранить контроль над скомпрометированной системой после перезагрузки?

Misfox: бесфайловая угроза для сетей

В апреле 2016 года в группу Microsoft по реагированию на инциденты обратился клиент по поводу кибервымогательства. Злоумышленники требовали от него значительную сумму за то, чтобы не публиковать конфиденциальную корпоративную информацию, похищенную со скомпрометированных компьютеров клиента. При этом они угрожали «раздавить» его сеть, если клиент обратится в правоохранительные органы. Ситуация была сложной.

Справка
Количество обнаружений Misfox средствами Windows Defender Antivirus в II квартале 2017 года по сравнению с I кварталом того же года выросло более чем в два раза.

Группа Microsoft по реагированию на инциденты исследовала компьютеры в сети, обнаружила целевые импланты и проанализировала степень компрометации. Клиент использовал известный сторонний антивирусный продукт, который был установлен на большинстве компьютеров. Несмотря на обновление с последними версиями сигнатур, антивирус не обнаружил ни один из целевых имплантов.

Также исследователи Microsoft узнали, что злоумышленники дважды пытались зашифровать файлы при помощи программы-вымогателя. К счастью, эти попытки не удались. Как выяснилось, угроза уничтожить сеть представляла собой «план Б» по извлечению прибыли из атаки на случай, если «план А» не сработает.

Более того, исследователи также обнаружили, что злоумышленники скрытно присутствовали в сети уже минимум семь месяцев, используя для этого два разных канала.

  • Первый из этих каналов включал бэкдор под названием Swrort.A, который был развернут на нескольких компьютерах. Этот бэкдор был легко обнаружен антивирусом.
  • Второй канал оказался гораздо более изысканным и интересным:
  • Он не заражал файлы на устройстве.
  • Он не оставлял артефактов на диске.
  • Его нельзя было обнаружить при помощи обычных способов проверки файлов.

Пора отключать PowerShell?
Нет. PowerShell — это мощный и безопасный инструмент, который важен для многих функций системы и ИТ-инфраструктуры. Используемые злоумышленниками вредоносные сценарии PowerShell являются последствием внедрения вредоносных программ и могут быть реализованы только после осуществления первичной компрометации.

Злонамеренное использование PowerShell — симптом атаки, которая началась с других вредоносных действий, таких как использование уязвимостей программного обеспечения, применение методов социальной инженерии или хищение учетных данных. Поэтому нужно не дать злоумышленникам использовать PowerShell в своих целях. О том, как обеспечить такую защиту, читайте дальше.

Вторым инструментом оказалась бесфайловая вредоносная программа под названием Misfox. При выполнении в памяти Misfox делала следующее:

  • Создавала раздел реестра, который запускал однострочный командлет PowerShell.
  • Запускала замаскированный сценарий PowerShell, сохраненный в реестре BLOB-объектов. Этот замаскированный сценарий PowerShell содержал загрузчик переносимого исполняемого файла (PE), который загружал из реестра PE-файл, закодированный с помощью алгоритма Base64.

Бесфайловые методы

Misfox представляет собой пример того, как в последовательность этапов кибератаки могут быть встроены бесфайловые компоненты. Злоумышленники используют разные бесфайловые методы, которые затрудняют обнаружение вредоносных имплантов. Среди них:

  1. Рефлексивное внедрение библиотек DLL
    Рефлексивное внедрение библиотек DLL позволяет загружать библиотеки DLL в память процесса без сохранения их на локальном диске. Вредоносная библиотека DLL может размещаться на удаленном компьютере, которым управляет злоумышленник, и доставляться через скомпрометированный сетевой канал (например, по протоколу TLS). Также она может внедряться в замаскированной форме, например, через макросы и сценарии. В результате злоумышленникам удается обойти средства мониторинга и отслеживания загрузки исполняемых модулей в операционной системе. Примером вредоносного ПО, использующего рефлексивное внедрение библиотек DLL, является HackTool:Win32/Mikatz!dha.
  2. Эксплойты в памяти
    Злоумышленники используют бесфайловые эксплойты в памяти для удаленного запуска произвольного кода на пораженных компьютерах. Например, угроза UIWIX использует эксплойт EternalBlue, который был задействован в Petya и WannaCry. По наблюдениям, он устанавливал бэкдор DoublePulsar, который полностью помещается в памяти ядра (таблица отправки SMB). В отличие от Petya и Wannacry, UIWIX не размещает файлов на диске.
  3. Методы на основе сценариев
    Языки сценариев предлагают эффективные средства для доставки полезной нагрузки, полностью исполняемой в памяти. Файлы сценариев могут внедрять зашифрованные шелл-коды или двоичные объекты, расшифровка которых возможна без записи на диск в процессе выполнения через объекты .NET или непосредственно при помощи API. Сами сценарии могут быть спрятаны в реестре (как в случае Misfox). Они могут считываться из сетевых потоков или запускаться злоумышленником вручную при помощи командной строки без обращения к диску.
  4. Сохранение в WMI
    В ряде наблюдавшихся случаев злоумышленники использовали репозиторий инструментария управления Windows (WMI) для сохранения вредоносных сценариев, которые затем периодически вызывались через привязки WMI. Развернутые примеры использования такой техники приведены в этой статье [PDF].
Читайте также:
Список литературы средняя группа по программе детство

Способы защиты от бесфайловых вредоносных программ в Microsoft 365

Microsoft 365 включает набор технологий безопасности нового поколения для защиты устройств, приложений SaaS, электронной почты и инфраструктуры от широкого спектра атак. Ниже перечислены компоненты Microsoft 365, связанные с Windows, которые позволяют обнаруживать бесфайловые атаки и предотвращать заражение.

Совет
Наряду со специальными средствами защиты от бесфайловых атак Windows 10 включает и другие технологии безопасности нового поколения для противодействия атакам в целом. Например, Windows Defender Application Guard позволяет остановить загрузку и запуск вредоносных программ (как бесфайловых, так и иных) через Microsoft Edge и Internet Explorer. Подробнее о функциях безопасности и управления Microsoft 365, представленных в обновлении Windows 10 Fall Creators Update, вы можете прочитать здесь.

Windows Defender Antivirus

Windows Defender Antivirus (WDAV) блокирует подавляющее большинство вредоносных программ при помощи общих, эвристических и поведенческих методов обнаружения, используя как локальные, так и облачные модели машинного обучения. Windows Defender Antivirus обеспечивает защиту от вредоносного ПО за счет следующих возможностей:

  • Обнаружение атак, использующих сценарии, при помощи интерфейса противовредоносного сканирования AMSI, который позволяет проверять сценарии PowerShell и других типов даже при нескольких уровнях маскировки.
  • Обнаружение и удаление вредоносного ПО, пытающегося сохраняться через WMI, посредством сканирования репозитория WMI — как периодического, так и при регистрации аномального поведения.
  • Обнаружение рефлексивного внедрения библиотек DLL при помощи методов углубленной проверки памяти и мониторинга поведения.

Windows Defender Exploit Guard

Windows Defender Exploit Guard (WDEG) — это новый набор функций для защиты от вторжения на уровне хостов, который помогает уменьшить уязвимую зону, блокируя широкий спектр векторов атаки на устройство. Для остановки бесфайловых атак используются следующие способы:

  • Защита от эксплойтов ядра памяти, таких как EternalBlue, при помощи службы целостности кода гипервизора (HVCI), которая с высокой эффективностью препятствует внедрению вредоносного кода через уязвимости программного обеспечения, работающего в режиме ядра
  • Предотвращение эксплойтов памяти в режиме пользователя при помощи модуля защиты от эксплойтов, который включает ряд средств для предотвращения эксплойтов, применяемых на уровне операционной системы или на уровне отдельных приложений
  • Защита (в числе прочего) от различных бесфайловых атак, использующих сценарии, посредством правил уменьшения уязвимой зоны (ASR), которые блокируют определенное поведение приложений

Совет
В дополнение к техническим средствам контроля важен также эффективный административный контроль сотрудников и процессов. Чтобы использовать на удаленном компьютере бесфайловые техники с применением сценариев PowerShell и инструментария WMI, злоумышленнику необходим привилегированный доступ к такому компьютеру. Такой доступ можно получить, если применяются недостаточно безопасные методы администрирования (например, настройка выполнения службы Windows в контексте учетной записи администратора домена), которые позволяют похитить учетные данные. Подробнее об обеспечении безопасности привилегированного доступа читайте здесь.

Windows Defender Application Control

Windows Defender Application Control (WDAC) предлагает механизм для реализации строгих политик обеспечения целостности кода и разрешает выполнение только доверенных приложений. Для борьбы с бесфайловыми атаками этот компонент переводит PowerShell в режим ограниченного языка, который не дает использовать расширенные средства языка, способные запустить код, который невозможно проверить, — например, прямые сценарии .NET, вызов API Win32 через командлет Add-Type и взаимодействие с COM-объектами. Это эффективно предотвращает атаки с рефлексивным внедрением библиотек DLL через PowerShell.

Читайте также:
Программа чтения с экрана iOs отключить

Windows Defender Advanced Threat Protection

Служба Windows Defender Advanced Threat Protection (WDATP) — это интегрированная платформа средств защиты рабочих мест (Windows Endpoint Protection, EPP) и средств обнаружения атак на конечные точки и реагирования на эти атаки (Endpoint Detection and Response, EDR). Если безопасность системы уже нарушена, ATP оповещает пользователей компании об изощренных атаках повышенной сложности на устройства и корпоративные сети, которые не удалось предотвратить при помощи других профилактических средств защиты. Для обнаружения таких атак служба использует подробные данные из глобальных систем безопасности, расширенный анализ поведения и машинное обучение. Она позволяет обнаружить бесфайловые вредоносные программы несколькими способами:

  • Выявление при помощи специальных инструментов, которые регистрируют аномальное выделение памяти, скрытых атак, использующих такие бесфайловые методы, как рефлексивное внедрение библиотек DLL.
  • Обнаружение бесфайловых атак на основе сценариев при помощи интерфейса противовредоносного сканирования AMSI, который осуществляет проверку при выполнении PowerShell и других компонентов, использующих сценарии, и применение моделей машинного обучения.

Браузер Microsoft Edge

Согласно результатам независимого эксперта в сфере безопасности NSS Labs, браузер Microsoft Edge блокирует больше фишинговых сайтов и вредоносного ПО, использующего методы социальной инженерии, чем другие браузеры. Microsoft Edge противодействует бесфайловым атакам благодаря функциям защиты от произвольного кода, которые блокируют выполнение произвольного кода, включая вредоносные библиотеки DLL. Это помогает избежать атак с рефлексивным внедрением библиотек DLL. Кроме того, Microsoft Edge предоставляет широкий набор средств защиты от бесфайловых и иных угроз благодаря интеграции Windows Defender Application Guard и технологии Windows Defender SmartScreen.

Заид Арафех (Zaid Arafeh)
Старший менеджер программы, исследовательская группа Windows Defender
Первоисточник

  • Блог компании Microsoft
  • Информационная безопасность
  • Антивирусная защита
  • PowerShell

Источник: habr.com

Поиск вредоносных программ и эксплойтов

Для обеспечения надежной защиты компьютера антивирус должен:

  • обнаруживать вредоносные программы самого разного рода — в идеале, все имеющиеся вредоносные программы;
  • обнаруживать новые модификации известных вредоносных программ;
  • обнаруживать вредоносное программное обеспечение, упакованное в архив (т.е. исполняемые файлы, модифицированные утилитами архивирования), а затем проверять содержимое архивов и установочных пакетов.

Разные антивирусные продукты показывают разный уровень антивирусной защиты

Поскольку многие антивирусы уже давно представлены на рынке, некоторые пользователи могут предположить, что антивирусная защита практически не отличается друг от друга и имеет одинаковые возможности обнаружения вредоносных программ. Такие пользователи могут выбирать антивирусный продукт на основе относительно неважных критериев, например на основе красивого оформления или привлекательной рекламы.

Несмотря на то, что многие антивирусы действительно существуют в течение долгого времени, количество и диапазон угроз, которые атакуют компьютеры и другие устройства, значительно изменились за последние годы. Эффективная защита компьютера зависит от способности вендора антивируса адаптироваться к новым потребностям. При оценке эффективности обнаружения вредоносных программ и защиты от них выявляются существенные различия между антивирусами.

Постоянные инвестиции и преданность делу

Чтобы защищать своих клиентов от все более сложных компьютерных атак и обеспечить оперативную защиту при появлении каждой новой вредоносной программы, поставщики антивирусных решений должны непрерывно заниматься исследованиями в области IT-безопасности. В случае отсутствия у поставщика преданности своему делу в непрекращающейся борьбе с киберпреступниками с серьезным уровнем подготовки риску могут подвергнуться:

  • ваш компьютер;
  • ваши ценные данные (фотографии, документы);
  • ваши персональные данные;
  • ваши финансы.

Некоторые антивирусы отстают в «гонке вооружений»

Если антивирус одного поставщика обнаруживает только 50% всех вредоносных программ, действующих в интернете, продукт другого поставщика – 90%, а третьего — 99,9%, нетрудно сделать вывод, кто из них предлагает лучшую защиту для компьютера.

Лишь несколько антивирусных программ и сервисов предоставляют уровень защиты, в той или иной степени близкий к 100%. Большинство антивирусов в действительности не может достичь даже 90% уровня безопасности.

Некоторым антивирусным вендорам не удается поспевать за стремительным развитием вредоносных программ. Такие вендоры проигрывают создателям вредоносных программ в «гонке вооружений». Поэтому их клиенты не слишком надежно защищены от современных компьютерных угроз.

Другие статьи и ссылки, связанные с обнаружением вредоносных программ и эксплойтов

  • Выбор антивирусного решения
  • Регулярные обновления антивирусных программ
  • Удаление вредоносного кода
  • Защита компьютеров и их производительность
  • Запуск нескольких антивирусных программ
  • Кто создает вредоносные программы?
  • Классификация вредоносных программ

Поиск вредоносных программ и эксплойтов

Обнаружение вредоносных программ самого разного рода получается далеко не у всех антивирусных программ. Выберете самую лучшую защиту для своего компьютера.

Источник: www.kaspersky.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru