Анализ поведения – залог спокойствия

Логотип компании
Анализ поведения – залог спокойствия
Убытки от программ-вымогателей исчисляются сегодня миллионами долларов, а методы вирусописателей-злоумышленников непрестанно совершенствуются.

Убытки от программ-вымогателей исчисляются сегодня миллионами долларов, а методы вирусописателей-злоумышленников непрестанно совершенствуются. Маскировка вредоносного ПО в некоторых случаях настолько скрупулезно продумана, что оно с легкостью обходит антивирусную оборону — та его попросту не видит. Пострадавшими чаще других оказываются компании среднего и малого бизнеса, поскольку не всегда уделяют должное внимание подобному аспекту распространения угроз, всецело полагаясь на возможности первичной (не комплексной) антивирусной защиты.

Возьмем простейший пример: получив по электронной почте письмо с вредоносным вложением, пользователь спокойно открывает его, ведь защитное решение не поднимает тревоги. Более подкованный в вопросах цифровой грамотности сотрудник сохранит файл на диск и на всякий случай дополнительно проверит его антивирусным сканером. Если дополнительная проверка ничего не покажет, пользователь откроет файл, а ведь вредоносное вложение может содержать, например, программу-шифровальщик.

Анализ поведения – залог спокойствия. Рис. 1

Картина вполне реальная, и не стоит проклинать ни в чем не повинный антивирус. Статические методы обнаружения прекрасно работают на этапе отслеживания известных вариантов вредоносного кода, неплохо справляются с подозрительными объектами и весьма успешно противостоят потенциальным угрозам. Но! Злоумышленники не дремлют: после получения (написания) нового кода программы-вымогателя, они научились обрабатывать его особым архиватором, маскируя исходник функцией антиэмуляции. Ни «Проверка по требованию», ни «Проверка при доступе» не заметят ничего подозрительного — для них такой файл выглядит целиком и полностью легитимным.

К сожалению, это далеко не единственный способ заражения компьютера – не меньший «урожай» собирают бесфайловые вредоносные программы. Так, достаточно, чтобы в процессе активного поиска пользователь оказался на сайте с эксплойтом браузера типа drive-by (попутная загрузка): если опасному коду удается достичь поставленной цели (сохраниться в реестре или задействовать подписки WMI), то после завершения процесса инфицирования не останется никаких объектов, доступных для сканирования, а значит и повода для антивирусной тревоги.

Анализ поведения – залог спокойствия. Рис. 2

Для того чтобы защитить данные пользователя от подобной или схожей атаки (их называют атаками нулевого дня), эксперты «Лаборатории Касперского» предлагают задействовать специальный механизм — модуль поведенческого анализа (TBE). Непрерывно отслеживая действия запущенной программы в режиме реального времени, он выявляет особенности поведения, характерные именно для вредоносных изменений. Как правило, цепочки зловредных действий достаточно типичны:

  • найти важные файлы в целевой системе;

  • зашифровать важные файлы;

  • удалить оригиналы файлов;

  • удалить теневые копии.

Обнаружение всей последовательности (или части) таких действий со стороны запущенной программы — задача, решаемая посредством эвристического анализа поведения и моделирования на основе машинного обучения. Малейшие подозрения являются сигналом для модуля поведенческого анализа немедленно приступить к действиям по устранению угрозы. Разумеется, до того, как они приобретут необратимый характер.

Чтобы предотвратить нанесение ущерба и избавить ПК от потенциальной угрозы, модуль поведенческого анализа использует самый простой и надежный метод — откат сделанных изменений. Механизм, ответственный за этот процесс, выполняет свою работу весьма дотошно, ведь необходимо не только восстановить в первоначальном виде затронутые файлы и прочие данные пользователя, но и блокировать чужеродный процесс, очистить ключи реестра, искоренить средства автозапуска и провести другие действия.

Анализ поведения – залог спокойствия. Рис. 3

В дополнение к средствам детектирования и устранения угроз в модуль поведенческого анализа имплементирован механизм защиты памяти компьютера: в его задачи входит отслеживание попыток несанкционированного вторжения в работу таких системных процессов, как lsass. Это критически важно, поскольку блокирует попытки хищения учетных данных пользователей, возникающие при активации таких вредоносных программ, как mimikatz.

Примечательно, что модуль поведенческого анализа, в котором заключен и эвристический анализ поведения, и модели на основе машинного обучения, существенно расширяет возможности системы безопасности в целом: защищаемый компьютер приобретает иммунитет не только к существующим и новым способам обхода статического анализа, но и к потенциальным модификациям поведения программы.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
После падения в 2023 году мировой рынок микроэлектроники демонстрирует устойчивый рост, опираясь на государственную поддержку и высокие инвестиции в технологии. В России, в отличие от мирового тренда, драйвером роста становится активное участие государства и национальные программы, направленные на локализацию производства. IT-World изучил, какие факторы и вызовы формируют микроэлектронную индустрию сегодня и как развивается ее потенциал.

Опубликовано 26.02.2020

Похожие статьи