IT ExpertКак это сделатьСам себе админ

Анализ поведения – залог спокойствия

Сергей Грицачук | 26.02.2020

Анализ поведения – залог спокойствия

Убытки от программ-вымогателей исчисляются сегодня миллионами долларов, а методы вирусописателей-злоумышленников непрестанно совершенствуются. Маскировка вредоносного ПО в некоторых случаях настолько скрупулезно продумана, что оно с легкостью обходит антивирусную оборону — та его попросту не видит. Пострадавшими чаще других оказываются компании среднего и малого бизнеса, поскольку не всегда уделяют должное внимание подобному аспекту распространения угроз, всецело полагаясь на возможности первичной (не комплексной) антивирусной защиты.

Возьмем простейший пример: получив по электронной почте письмо с вредоносным вложением, пользователь спокойно открывает его, ведь защитное решение не поднимает тревоги. Более подкованный в вопросах цифровой грамотности сотрудник сохранит файл на диск и на всякий случай дополнительно проверит его антивирусным сканером. Если дополнительная проверка ничего не покажет, пользователь откроет файл, а ведь вредоносное вложение может содержать, например, программу-шифровальщик.

img

Картина вполне реальная, и не стоит проклинать ни в чем не повинный антивирус. Статические методы обнаружения прекрасно работают на этапе отслеживания известных вариантов вредоносного кода, неплохо справляются с подозрительными объектами и весьма успешно противостоят потенциальным угрозам. Но! Злоумышленники не дремлют: после получения (написания) нового кода программы-вымогателя, они научились обрабатывать его особым архиватором, маскируя исходник функцией антиэмуляции. Ни «Проверка по требованию», ни «Проверка при доступе» не заметят ничего подозрительного — для них такой файл выглядит целиком и полностью легитимным.

К сожалению, это далеко не единственный способ заражения компьютера – не меньший «урожай» собирают бесфайловые вредоносные программы. Так, достаточно, чтобы в процессе активного поиска пользователь оказался на сайте с эксплойтом браузера типа drive-by (попутная загрузка): если опасному коду удается достичь поставленной цели (сохраниться в реестре или задействовать подписки WMI), то после завершения процесса инфицирования не останется никаких объектов, доступных для сканирования, а значит и повода для антивирусной тревоги.

img

Для того чтобы защитить данные пользователя от подобной или схожей атаки (их называют атаками нулевого дня), эксперты «Лаборатории Касперского» предлагают задействовать специальный механизм — модуль поведенческого анализа (TBE). Непрерывно отслеживая действия запущенной программы в режиме реального времени, он выявляет особенности поведения, характерные именно для вредоносных изменений. Как правило, цепочки зловредных действий достаточно типичны:

  • найти важные файлы в целевой системе;

  • зашифровать важные файлы;

  • удалить оригиналы файлов;

  • удалить теневые копии.

Обнаружение всей последовательности (или части) таких действий со стороны запущенной программы — задача, решаемая посредством эвристического анализа поведения и моделирования на основе машинного обучения. Малейшие подозрения являются сигналом для модуля поведенческого анализа немедленно приступить к действиям по устранению угрозы. Разумеется, до того, как они приобретут необратимый характер.

Чтобы предотвратить нанесение ущерба и избавить ПК от потенциальной угрозы, модуль поведенческого анализа использует самый простой и надежный метод — откат сделанных изменений. Механизм, ответственный за этот процесс, выполняет свою работу весьма дотошно, ведь необходимо не только восстановить в первоначальном виде затронутые файлы и прочие данные пользователя, но и блокировать чужеродный процесс, очистить ключи реестра, искоренить средства автозапуска и провести другие действия.

img

В дополнение к средствам детектирования и устранения угроз в модуль поведенческого анализа имплементирован механизм защиты памяти компьютера: в его задачи входит отслеживание попыток несанкционированного вторжения в работу таких системных процессов, как lsass. Это критически важно, поскольку блокирует попытки хищения учетных данных пользователей, возникающие при активации таких вредоносных программ, как mimikatz.

Примечательно, что модуль поведенческого анализа, в котором заключен и эвристический анализ поведения, и модели на основе машинного обучения, существенно расширяет возможности системы безопасности в целом: защищаемый компьютер приобретает иммунитет не только к существующим и новым способам обхода статического анализа, но и к потенциальным модификациям поведения программы.

кибербезопасность

Журнал: Журнал IT-Expert [№ 02/2020], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Похоже, что за пару недель с удаленным доступом все устаканилось. Что могло упасть – упало и поднялось, чего не хватало – докупили и запустили.

Эксперт: Ольга Попова

В последнее время в Сети появилось много лайфхаков на тему «как работать на удаленке». Где люди с опытом делятся с офисными менеджерами секретами удаленной работы.

Эксперт: Павел Потеев

Сейчас у выступающих и пишущих коллег две приоритетные темы: как переформатировать работу под удаленку и что будет, когда изоляция людей, компаний, индустрий, экономик закончится?

Компании сообщают

Мероприятия