Лаборатория Касперского опубликовала аналитическую статью одного из своих ведущих экспертов Алисы Шевченко “Эволюция технологий самозащиты вредоносных программ”.
По мере развития систем антивирусной защиты авторы вредоносных программ вынуждены искать новые способы, с помощью которых их творения могли бы защищать себя от антивирусов. Основные задачи самозащиты вредоносных программ состоят в том, чтобы затруднить: детектирование вредоносных программ антивирусами, анализ кода специалистами, обнаружение вредоносной программы в системе и собственно работу “защитного” ПО (антивирусов, файерволов). Тот или иной способ самозащиты решает одну или сразу несколько таких задач.
В своей статье Алиса Шевченко прослеживает пути зарождения “инстинкта самосохранения” вредоносных программ, эволюцию технологий их самозащиты под давлением все более жестких условий борьбы с антивирусами и оценивает дальнейшие перспективы развития этих технологий.
До последних лет работа антивирусов была основана исключительно на анализе кода файла, поэтому “самозащита” вредоносных программ начиналась с технологий модификации кода. В связи с этим появились такие технологии как полиморфизм и метаморфизм, которые позволяют вредоносной программе, сохраняя функционал неизменным, полностью мутировать при создании своей копии, что значительно затрудняет ее детектирование. В статье рассказывается и о других технологиях – в частности, шифрование и обфускация прежде всего нацелены на затруднение анализа кода, но, реализованные определенным образом, они оказываются разновидностями полиморфизма.
Еще одним способом затруднения детектирования вредоносных программ является использование действующих по принципу архиваторов программ-упаковщиков (пакеров). Пакеры используются активно, их многообразие и изощренность растет. Многие современные упаковщики способны не только сжимать исходный файл, но и снабжать его дополнительными функциями самозащиты, нацеленными на затруднение распаковки файла и его анализа при помощи отладчика.
Существуют также технологии самозащиты вредоносных программ от детектирования с помощью их сокрытия в системе. Эта инновация впервые была применена в 1990 году для операционной системы DOS и получила название stealth-технологии. В начале 2000-х она “возродилась” на новом уровне в ОС Windows под именем rootkit-технологии. Чаще всего встречаются руткиты, механизм работы которых основан на модификации цепочки системных вызовов. Другой распространенный тип руткитов – это руткиты, изменяющие системные данные. Вектор современного руткит-движения направлен в сторону виртуализации и использования функций оборудования. Rootkit-технологии являются весьма перспективными, однако это направление вряд ли станет существенным в ближайшие годы.
Со временем полиморфизм и смежные с ним технологии потеряли свою актуальность. Это связано с тем, что по мере развития антивирусных технологий и вытеснения сигнатурных методов детектирования поведенческими, приемы модификации кода все меньше способны препятствовать обнаружению вредоносных программ, а для большинства современных троянцев, не имеющих функции саморазмножения, полиморфизм в принципе не является эффективным способом самозащиты. В связи с появлением поведенческих анализаторов вредоносным программам остается лишь прицельно отстреливать отдельные проявления или функции антивирусов.
“Вне неизбежной необходимости этот способ самозащиты не был бы так популярен, поскольку он является слишком невыгодным с точки зрения обеспечения максимально универсальной защиты”, – отмечает автор статьи.
В то же время технологии, затрудняющие анализ кода специалистами (в частности, обфускация), в отличие от полиморфизма, не теряют своей актуальности и сегодня. Тем не менее, принципиальная уязвимость вредоносных программ перед поведенческими анализаторами антивирусов задает вероятный вектор дальнейшей эволюции. Шевченко считает, что теперь вирусописатели будут учиться обходить поведенческий анализатор и повышать “самосознание” вируса.
Автор делает прогноз, какие направления самозащиты вредоносных программ будут развиваться интенсивнее других:
Руткиты. Невидимость в системе всегда дает вредоносным программам преимущества – даже если уже не спасает их от детектирования. Здесь наиболее вероятные новинки – новые типы бестелых вредоносных программ и, немного позже, использование технологий виртуализации. Обфускация и шифрование. Затруднение анализа кода сохранит актуальность. Противодействие средствам защиты, основанной на поведенческом анализе. Здесь можно ожидать появления каких-то новых технологий, поскольку те, что используются сейчас (целевое нападение на антивирусы), не являются эффективными. Возможно, это будут какие-то способы детектирования виртуальной среды или некое шифрование поведенческих паттернов.
Противостояние киберкриминала и антивирусной индустрии – это своего рода “гонка вооружений”, в которой достижения одной стороны неизбежно провоцируют активность другой. В последние годы участились случаи публикаций под благовидными предлогами концептов кодов, обходящих современные средства защиты. Алиса Шевченко считает, что появление таких концептов еще больше подливает масла в огонь – пользователи начинают беспокоиться о том, насколько они защищены, а разработчики антивирусов вынуждены бросать все новые ресурсы на борьбу с такими «недетектируемыми» кодами.
В заключение А. Шевченко делает вывод о том, что полного прекращения “гонки вооружений” между вирусописателями и антивирусными компаниями можно не ждать, но препятствовать ее ускорению – вполне в силах участников этого бесконечного процесса.
Полную версию статьи читайте на информационно-аналитическом портале Viruslist.
Популярные статьи:
AMD Turion 64 X2 против Mobile Core 2 Duo : тесты мобильных процессоров Acer Aspire 5101AWLMi : недорогой ноутбук с Windows Vista Home Premium Тесты MCE-ноутбуков с приводом HD-DVD : HP против Toshiba Увеличиваем время работы от аккумулятора : советы THG Sony VAIO TX3XRP : карбоновый ноутбук, 1,25 кг, 12 часов без подзарядки
следующая новость предыдущая новость |
Комментарии? Поправки? Дополнения? Ваши новости? rusmarket@tomshardware.com |