Весной 2008 года компания Symantec сообщила о том, что Европейская комиссия выделила ей денежные средства на участие в проекте «Всемирная обсерватория для анализа угроз злонамеренного поведения и атак» (Worldwide Observatory of Malicious Behaviors and Attack Threats, WOMBAT), выполняемом в соответствии с тематикой Седьмой рамочной программы Европейского союза по научным исследованиям и техническому развитию. На недавней встрече с журналистами и аналитиками директор европейской исследовательской лаборатории Symantec Марк Дасье рассказал о ходе и результатах отдельных работ, ведущихся в рамках проекта уже в течение полутора лет.
Задачей проекта WOMBAT, в котором помимо Symantec участвуют France Telecom, французский академический институт связи Eurecom, Амстердамский протестантский университет и ряд других коммерческих, учебных и научно-исследовательских организаций, является разработка средств для лучшего понимания как существующих, так и вновь появляющихся угроз инфраструктуре и инфраструктурным сервисам Internet. Помимо выявления и анализа способов цифровых атак, исследуются поведенческие свойства атакующих программ и сетей, делаются выводы о характере и организации групп, инициирующих атаки.
Для сбора данных об атаках участники проекта используют распределенную сеть машин-приманок собственной разработки под названием SGNet. Обычно для выявления атак применяются так называемые низкоинтерактивные и высокоинтерактивные приманки. Низкоинтерактивные приманки — это программы, эмулирующие с той или иной степенью глубины отдельные сетевые сервисы, поэтому они непригодны для выявления новых типов атак. Высокоинтерактивные приманки — это стандартные компьютеры с обычными программами, однако они требуют постоянного внимания, так как вредоносные программы могут использовать их для атаки на другие машины. SGNet представляет собой самообучающуюся систему, где роль приманок играют компьютеры с программами — конечными автоматами, содержащими известные алгоритмы сетевого взаимодействия. Как только такие приманки сталкиваются с неизвестным алгоритмом, они перенаправляют трафик узлу-анализатору. Этот узел подставляет под атаку полноценную машину, по изменению ее состояния определяет успешность атаки, и, если атака повторяется известное количество раз, автоматически генерирует новый конечный автомат, который рассылается всем приманкам.
В случае успешной атаки злоумышленнику удается запустить на атакуемой системе программу, целью которой обычно является загрузка другой программы из Internet. Агенты SGNet загружают эти программы и помещают их в базу данных. Кроме того, образцы вредоносного кода автоматически загружаются на узлы сервисов Virus Total и Anubis, которые выполняют автоматическую антивирусную проверку и поведенческий анализ программ; отчеты этих сервисов также помещаются в базу данных. Регистрируются все сопутствующие данные, такие как время атаки, адреса атакующих машин, тип операционной системы и т. д.
Дасье подчеркнул, что, хотя количество образцов вредоносного кода очень велико, число типов атак намного меньше, и в базу данных попадают лишь образцы, реализующие разные типы атак.
Объединение типов атак в группы по общим признакам (страна происхождения, целевая платформа и др.) позволяет делать интересные наблюдения. Были выявлены сети, выполняющие атаки круглосуточно; были также обнаружены сети, выполняющие один тип атаки в течение короткого периода времени и затем согласованно переключающиеся на другой тип атаки. Оказалось, что всем известные программы-черви, существующие в течение продолжительного времени (в среднем более 100 дней), заражающие и атакующие множество компьютеров, занимают лишь 6% логики конечных автоматов; 83% логики заняли краткосрочные атаки, сконцентрированные на небольшом числе жертв и регулярно меняющие сценарии нападения. Анализ показывает, что в ряде случаев приходится иметь дело с людьми, которые очень хорошо организованы, заявил Дасье.
Глава лаборатории Symantec пригласил всех желающих участвовать в SGNet. Для этого достаточно иметь маломощный компьютер и несколько IP-адресов. Организаторы WOMBAT предоставляют необходимое программное обеспечение. Каждый участник SGNet получает возможность анализировать предпринимаемые против него атаки, а также использовать базы данных и специальные инструменты анализа, доступные партнерам проекта.