25 августа 2005 / 16:51
Константин Котов
К сожалению, методы защиты развиваются не с такой скоростью, как вредоносные программные средства, превращающие ПК в удаленно управляемых зомби.
В последнее время вирусы делаются для атаки на определенные компании, они не распространяются быстро и не подвергаются широкой огласке. В них используются модульные компоненты, такие как инфектор, который может быть изменен для обхода антивирусного ПО последних версий, и компонент, выключающий средства защиты ПК.
По мнению Роджера Томпсона (Roger Thompson), директора Компьютерной Ассоциации по информационно-технологическому исследованию вредоносного ПО, модульные вирусы могут вызвать серьезные проблемы для текущего уровня защиты.
В начале июня Томпсон и другие исследователи антивирусного ПО предупреждали, что последние боты - программы, разработанные для компрометации и управления другими компьютерными системами - становятся многоуровневыми. За предупреждениями последовали сообщения, что некоторые компании в Израиле, по слухам, используют ранее неизвестную троянскую программу для проникновения в систему конкурента. Троян, который при этом использовался (dubbed Hotword), не засекался, поскольку нигде больше не применялся.
"Такие атаки подчеркивают недостатки современных средств защиты, использующих для определения проникновения шаблоны или сигнатуры, а также эвристики" - заявил Томпсон. Он считает, что модульная структура ботов "предвещает скорую гибель сканеров сигнатур".
Томпсон указывает на последнюю трехуровневую атаку как на знамение времени. Неизвестный атакующий сделал массовую рассылку Трояна, названного Glieder, который, будучи запущенным пользователем, загружает вторую программу, Fantibag. Вторая программа останавливает все антивирусные программы и файерволы, а также блокирует обновления операционной системы Windows или ПО, обеспечивающего безопасность. Третья программа, Mitglieder, в дальнейшем компрометирует систему, делая ее частью сетевого бота.
Таким образом мы видим, что разделение атаки на несколько уровней позволяет атакующему быстрее создавать программы, которые труднее остановить. Атакующие могут чаще обновлять компонент, который распределяет вредоносное ПО для обхода новых сигнатур. Даже если разработчики ПО будут обновлять антивирусы каждый день, небольшое изменение первого уровня такой программы позволит атакующему остаться незамеченным.
Кроме того, разработчики операционных систем и приложений склонны реагировать на дыры в безопасности гораздо медленнее, и ПО, которое использует данные уязвимости, остается эффективным еще дольше.
Многие специалисты по безопасности склонны считать, что боты, которые поражают только небольшое количество систем или используют легко изменяемые модули, подрывают эффективность антивирусного ПО, основанного на проверке сигнатур.
Для противодействия проникновению в последние годы основные производители антивирусного ПО добавили динамическую блокировку к списку своих средств защиты. Такой метод пытается распознать проникновение не по коду, а по поведению. Более того, из-за того, что многие вредоносные программы изменяют списки хостов операционной системы (тех, которые связывают имена компьютеров и их IP-адреса), антивирусное ПО проверяет этот файл на наличие изменений.
К сожалению, всех этих усилий недостаточно. У атакующих имеется хорошая мотивация, не столько возможностью прославиться, сколько возможностью обогатиться. Несколько лет назад, отчетливо заметная активность в этой области проявлялась преступниками, несомненно желающими самоутвердиться, и в меньшей степени мотивированными возможностью успешных финансовых махинаций. В настоящее время приоритеты сместились, и теперь киберпреступников больше интересует возможность подзаработать, чем действительно дешевая слава.
Более того, из-за того, что попытка очистить инфицированный компьютер гораздо более трудоемкая, чем попытка его заразить, ПК, захваченные атакующим, гораздо труднее восстановить, особенно, если пользователь не понимает глубины вопроса безопасности.
Проникновение вредоносного ПО стало таким многообразным, что простым пользователям, очевидно, надо быть очень осторожными в отношении всего, что они, например, загружают сегодня из Интернета.
В последнее время вирусы делаются для атаки на определенные компании, они не распространяются быстро и не подвергаются широкой огласке. В них используются модульные компоненты, такие как инфектор, который может быть изменен для обхода антивирусного ПО последних версий, и компонент, выключающий средства защиты ПК.
По мнению Роджера Томпсона (Roger Thompson), директора Компьютерной Ассоциации по информационно-технологическому исследованию вредоносного ПО, модульные вирусы могут вызвать серьезные проблемы для текущего уровня защиты.
В начале июня Томпсон и другие исследователи антивирусного ПО предупреждали, что последние боты - программы, разработанные для компрометации и управления другими компьютерными системами - становятся многоуровневыми. За предупреждениями последовали сообщения, что некоторые компании в Израиле, по слухам, используют ранее неизвестную троянскую программу для проникновения в систему конкурента. Троян, который при этом использовался (dubbed Hotword), не засекался, поскольку нигде больше не применялся.
"Такие атаки подчеркивают недостатки современных средств защиты, использующих для определения проникновения шаблоны или сигнатуры, а также эвристики" - заявил Томпсон. Он считает, что модульная структура ботов "предвещает скорую гибель сканеров сигнатур".
Томпсон указывает на последнюю трехуровневую атаку как на знамение времени. Неизвестный атакующий сделал массовую рассылку Трояна, названного Glieder, который, будучи запущенным пользователем, загружает вторую программу, Fantibag. Вторая программа останавливает все антивирусные программы и файерволы, а также блокирует обновления операционной системы Windows или ПО, обеспечивающего безопасность. Третья программа, Mitglieder, в дальнейшем компрометирует систему, делая ее частью сетевого бота.
Таким образом мы видим, что разделение атаки на несколько уровней позволяет атакующему быстрее создавать программы, которые труднее остановить. Атакующие могут чаще обновлять компонент, который распределяет вредоносное ПО для обхода новых сигнатур. Даже если разработчики ПО будут обновлять антивирусы каждый день, небольшое изменение первого уровня такой программы позволит атакующему остаться незамеченным.
Кроме того, разработчики операционных систем и приложений склонны реагировать на дыры в безопасности гораздо медленнее, и ПО, которое использует данные уязвимости, остается эффективным еще дольше.
Многие специалисты по безопасности склонны считать, что боты, которые поражают только небольшое количество систем или используют легко изменяемые модули, подрывают эффективность антивирусного ПО, основанного на проверке сигнатур.
Для противодействия проникновению в последние годы основные производители антивирусного ПО добавили динамическую блокировку к списку своих средств защиты. Такой метод пытается распознать проникновение не по коду, а по поведению. Более того, из-за того, что многие вредоносные программы изменяют списки хостов операционной системы (тех, которые связывают имена компьютеров и их IP-адреса), антивирусное ПО проверяет этот файл на наличие изменений.
К сожалению, всех этих усилий недостаточно. У атакующих имеется хорошая мотивация, не столько возможностью прославиться, сколько возможностью обогатиться. Несколько лет назад, отчетливо заметная активность в этой области проявлялась преступниками, несомненно желающими самоутвердиться, и в меньшей степени мотивированными возможностью успешных финансовых махинаций. В настоящее время приоритеты сместились, и теперь киберпреступников больше интересует возможность подзаработать, чем действительно дешевая слава.
Более того, из-за того, что попытка очистить инфицированный компьютер гораздо более трудоемкая, чем попытка его заразить, ПК, захваченные атакующим, гораздо труднее восстановить, особенно, если пользователь не понимает глубины вопроса безопасности.
Проникновение вредоносного ПО стало таким многообразным, что простым пользователям, очевидно, надо быть очень осторожными в отношении всего, что они, например, загружают сегодня из Интернета.
Также по теме: