Статистика 2016 года говорит о том, что мы живем в эпоху бурного развития вирусов-шифровальщиков. По данным компании Kaspersky Lab (см. рисунок), за это время возникло 62 новых семейства программ-вымогателей, количество новых модификаций вымогателей выросло в 11 раз, с 2900 в период с января по март до 32 091 в июле-сентябре. С января по конец сентября число атак на компании увеличилось в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре — уже каждые 40 секунд. Интенсивность атак на пользователей удвоилась: атаки предпринимались в среднем раз в 20 секунд в начале периода и раз в 10 секунд в конце. Каждое пятое предприятие малого или среднего бизнеса, заплатившее выкуп, так и не получило доступа к своим данным.
Рисунок. Статистика Kaspersky Lab за 2016 год |
В 2016 году увеличилось число вымогателей, написанных на языках сценариев, а также готовых решений «вымогатели как услуга» для тех, у кого нет нужных навыков, ресурсов или времени. В то же время, в 2016 году в мире началось организованное противостояние вымогателям.
В июле был запущен проект под лозунгом «Нет вымогателям», No More Ransom, объединивший усилия национальной полиции Нидерландов, Европола и компаний Intel Security и «Лаборатория Касперского»; в октябре к проекту присоединились еще 13 организаций. Помимо прочих результатов, в рамках проекта в Интернете было размещено несколько бесплатных утилит для расшифровки файлов; они уже помогли тысячам жертв восстановить данные, зашифрованные программами-вымогателями.
Однако следует понимать, что куда более важно не допустить заражения. «Классический» метод идентификации вредоносных программ, основанный на сигнатурах, увы, больше не обеспечивает эффективную защиту от вредоносов. Только по данным Kaspersky Lab, приблизительно 323 000 новых образцов вредоносных программ появляются в «диком виде», для них изначально нет никаких сигнатур. Для успешной борьбы с неизвестными вредоносами применяется целый ряд подходов, использующих методы математической эвристики и машинного обучения. Один их самых эффективных среди них — наблюдение за поведением приложений и выявление подозрительных действий, указывающих на работу в системе вредоносной программы.
Контроль системных событий
Контроль системных событий предоставляет самую полную информацию о системе в целом и предусматривает широкие возможности для восстановления операционных параметров компьютера. Фактически с помощью контроля системных событий отслеживаются все важные события, происходящие в системе, в том числе изменение файлов операционной системы и конфигурации, обмен данными по сети и т. д. События регистрируются и анализируются и, если существует доказательство того, что программа выполняет операции, характерные для вредоносов, они могут блокироваться и откатываться, предотвращая компрометацию ценных данных и восстанавливая работоспособность системы.
Таким образом, контроль системных событий универсально эффективен против любого программного обеспечения, проявляющего признаки вредоносной деятельности в системе. Это означает, что данная функция может использоваться для надежного обнаружения новых вредоносных программ. Однако гораздо более высокий уровень защиты обеспечивает мониторинг активности.
Мониторинг активности
Впервые в потребительских решениях компании Kaspersky Lab контроль событий в базовой системе стал доступен в 2009 году. Развитие данной службы привело к появлению компонента «Мониторинг активности» (в корпоративной версии принято название «Мониторинг системы»).
Мониторинг активности сканирует соответствующие данные системных событий, такие как создание и модификация файлов, работа системных служб, изменения системного реестра и т. д. Кроме того, Мониторинг активности обрабатывает информацию об операциях с символьными ссылками, указывающими на файлы или каталоги, модификацию главной загрузочной записи, содержащей загрузчик для установленной операционной системы. Процесс сбора данных автоматизирован и не требует взаимодействия с пользователем.
Следует учесть, что компонент «Мониторинг активности» может быть полностью обновлен. Списки событий, механизмы их контроля и эвристические алгоритмы могут быть скорректированы по мере необходимости. Это обеспечивает гибкость и своевременную адаптацию к постоянно меняющимся угрозам и конфигурациям компьютерной системы. Обновление не требует никаких действий со стороны пользователя, за исключением случая, когда обновление системы защиты целенаправленно осуществляется вручную.
Задачи и принципы работы
Мониторинг активности выполняет несколько функций.
- Ведет журнал активности программ.
- Выявляет вредоносные программы и блокирует их действия.
- Выполняет отмену действий вредоносных программ.
Главной задачей является определение вредоносных программ. Для этого Мониторинг системы ведет учет действий программ и сравнивает их с шаблонами опасного поведения — Behavior Stream Signatures (BSS). База BSS обновляема, но обновления для нее выходят достаточно редко, и эффективность Мониторинга активности практически не зависит от регулярности обновления баз.
Сбор данных об активности программ для Мониторинга активности выполняется разными компонентами. Основным источником информации является драйвер перехвата файловых операций klif.sys (тот же, что используется файловым антивирусом). Драйвер передает информацию о файловых операциях и изменениях, внесенных в системный реестр. Вместе с тем стоит отметить, что это далеко не единственный поставщик информации и его функции не ограничиваются отслеживанием файловых операций. Сетевой экран предоставляет информацию о сетевой активности программ.
Настройки
Настройки в корпоративном антивирусе немногочисленны и, по сути, соответствуют включению или выключению перечисленных выше задач компонента (экран 1).
- Включить защиту от эксплойтов. Включение защиты от широкого класса атак, использующих уязвимости в приложениях (эксплойтов), целью которых является получение прав администратора в системе или скрытое выполнение кода. В уязвимую программу или службу передаются некорректные параметры, обработка которых приводит к тому, что часть параметров уязвимая программа выполняет как код. В частности, с помощью таких атак на системные службы (которые выполняются с правами локальной системы) можно получить права администратора на компьютере или заставить легальный процесс выполнять несвойственные ему действия. Включение данного параметра подразумевает слежение за операциями запуска и, если потенциально уязвимая программа выполняет запуск другой программы не по инициативе пользователя, такой запуск блокируется.
- Не контролировать активность программ, имеющих цифровую подпись, то есть не вести журнал событий для программ, имеющих действительную цифровую подпись или внесенных в категорию «Доверенные» в KSN.
- Выполнять откат действий вредоносных программ при лечении, то есть выполнять отмену действий приложений, которые удаляются файловым антивирусом и задачами поиска или помещаются Мониторингом системы в карантин. Отмена означает отмену изменений в файловой системе (создание, перемещение, переименование файлов) и разделах реестра (удаление созданных вредоносной программой параметров). Кроме того, для небольшой группы файлов и разделов реестра делается снимок состояния на момент старта системы, что позволяет возвращаться к сохраненной версии, если вирус вносил изменения в эти файлы и ключи. К таким особым объектам относятся файлы hosts, boot.ini и разделы реестра, отвечающие за запуск программ и служб при старте системы. Эта же функция восстанавливает файлы, зашифрованные вредоносными шифраторами (так называемыми «вредоносами-шифровальщиками»).
Экран 1. Мониторинг системы |
Исключения
В случае обнаружения опасной активности в действиях заведомо безопасных программ администратор может настроить исключения для каждого из слоев защиты. Они настраиваются в секции «Исключения и доверенная зона» и их можно задавать двумя способами.
- Исключения из проверки — отключает обнаружение любой вредоносной активности в действиях программы.
- Доверенные программы — позволяет указать, какой именно тип активности должен быть разрешен программе. В таком случае при обнаружении опасных действий другого типа Мониторинг системы будет реагировать как обычно. Чтобы исключить программу из проверки Мониторингом системы, отметьте для нее параметры:
— «не контролировать активность программы» — не реагировать на действия самой программы;
— «не контролировать активность дочерних программ» — не реагировать на действия дочерних программ указанной программы.
Мониторинг активности в персональных версиях продуктов Kaspersky Lab
Мониторинг активности в Kaspersky Internet Security 2017 собирает данные о действиях программ на вашем компьютере и предоставляет эту информацию другим компонентам для эффективной защиты (экран 2). Мониторинг активности включает следующие технологии:
- Защита от программ-эксплойтов. Блокирует вредоносные программы, которые используют уязвимые места в программном обеспечении.
- Контроль активности программ. При обнаружении программы с подозрительной активностью выполняет действие, указанное в настройках.
- Защита от программ блокировки экрана. При нажатии заданной комбинации клавиш (Ctrl+Alt+Shift+F4) Kaspersky Internet Security 2017 распознает и удалит программу, высвечивающую на экране блокирующий работу баннер.
- Откат действий вредоносной программы. Информация о подозрительных действиях в системе собирается не только в рамках текущей сессии работы, но и за время предыдущих сессий. Это позволяет выполнить отмену всех совершенных программой действий, если программа будет признана вредоносной.
- Защита от программ-крипторов. Крипторы — это вирусы, которые шифруют данные и требуют выкуп за возврат файлов в исходное состояние. Если программа-криптор пытается зашифровать файл, антивирус автоматически создает резервную копию данных. Если файл будет зашифрован, антивирус восстановит его из резервной копии.
Экран 2. Параметры Мониторинга активности в KIS 2017 |
Защита от программ-крипторов имеет следующие особенности:
- Резервное копирование выполняется в системную папку хранения временных файлов (Temp). Следите, чтобы диск, на котором находится папка (обычно это диск C), был свободен хотя бы на 10-15%.
- Так как емкость хранилища ограничена, файлы ротируются. По мере заполнения старые файлы удаляются, а новые записываются. После завершения работы Kaspersky Internet Security 2017 или выключения Мониторинга активности резервные копии данных удаляются. При некорректном завершении работы программы копии не будут удалены. При необходимости вы можете удалить их вручную, очистив папку хранения временных файлов (Temp).
Противодействие шифровальщикам (Cryptomalware)
Увеличение количества атак с применением вредоносных программ типа cryptomalware, шифрующих пользовательские данные и требующих выкуп для получения ключа расшифровки, привело к необходимости в контрмерах и соответствующей технологии. Данная технология и была реализована в Мониторинге активности. Фактически она нивелирует последствия криптоатак, ведь локальные защищенные резервные копии пользовательских файлов данных делаются сразу же после их открытия подозрительной программой. Потому нет необходимости дешифровать любые затронутые данные — они будут восстановлены из резервных копий.
Соответственно, даже если недавно созданный вредонос типа cryptomalware будет использовать неизвестные ранее уязвимости, или уязвимости «нулевого дня» (экран 3), и сумеет избежать всех систем защиты, он не нанесет ущерба, потому что любые изменения отменяются автоматически (экраны 4 и 5). Другими словами, подсистема контрмер против cryptomalware бережно хранит данные пользователя и останавливает косвенное финансирование киберпреступников, потому что выплата выкупа только призывает их продолжать. Но, помимо необходимости защиты от криптоатак, существуют еще и блокировщики, так что следующей технологией будет защита от них.
Экран 3. Kaspersky Lab System Watcher обнаруживает, что приложение вносит подозрительные изменения в файлы |
Экран 4. Приложение идентифицировано как вредоносное, и соответствующий файл удален |
Экран 5. Kaspersky Lab System Watcher заменяет зашифрованные файлы резервными копиями |
Защита от Screen Lockers
Screen Lockers — другой тип программного обеспечения вирусов-вымогателей; это программы, блокирующие доступ пользователя к компьютерным функциям с (предположительно) неподвижным баннером, требующим выкупа. У службы «Мониторинг активности» есть встроенная защита от данного типа вредоносного программного обеспеченя. Это установленное сочетание клавиш (в персональной версии Ctrl+Alt+Shift+F4), закрывающее блокирующую программу вручную. И служба, и комбинация клавиш установлены по умолчанию.
Automatic Exploit Prevention
Другая технология, используемая в Мониторинге активности, это Automatic Exploit Prevention (AEP), созданная для предотвращения заражения вредоносной программой, использующей программные уязвимости, включая неизвестные ранее уязвимости, или уязвимости «нулевого дня». Данный модуль управляет различными приложениями и запускает проверки при попытке запуска подозрительного кода. Стоит отметить применение технологии Forced Address Space Layout Randomization, препятствующее определению местоположения кода в памяти и потому предотвращающее использование уязвимостей.
Как работает технология AEP? Она разработана в результате глубокого анализа поведения вредоносных программ. Фактически данная технология может различить характерные для использования модели поведения и блокировать вредоносные программы.
Технология АЕР предназначена в первую очередь для контроля наиболее часто атакуемых приложений, таких как Adobe Reader, Internet Explorer и Microsoft Office. Любая попытка запуска необычных исполняемых файлов или выполнения нестандартного кода инициирует дополнительные проверки безопасности. Иногда эти действия могу быть законны; например, Adobe Reader может запустить исполняемый файл для проверки на обновления.
То, как запускается приложение или выполняется код, а главное, что происходит перед этим, может многое рассказать о поведении. Определенное поведение прямо указывает на злонамеренную деятельность. В свою очередь, технология АЕР может это отследить и обнаружить попытку запустить код. Признаки типичного поведения могут обнаружить попытки использовать уязвимость, даже если используется уязвимость «нулевого дня». Это означает, что АЕР не должен знать точный характер уязвимости, используемой для того, чтобы обнаружить вредоносную деятельность. По умолчанию AEP блокирует запуск любого подозрительного кода.
Управляющий модуль приложений JAVA
Критической проблемой безопасности всегда была защита от уязвимостей платформы Java. Для обнаружения атак с использованием Java в Мониторинге активности предназначен специальный модуль Java2 SW, который имеет прямой доступ к платформе и добавляет дополнительный элемент безопасности каждой JVM. Java2 SW анализирует код и в случае выявления подозрительной деятельности останавливает его выполнение.
Отмена нежелательных изменений в системе
В случае обнаружения заражения Мониторинг активности инициирует возврат системы к ее прежним, безопасным параметрам. Данная технология работает с созданными и измененными исполняемыми файлами, модификациями MBR, ключевыми файлами Windows и ключами реестра.
Анализ вредоносных файлов до запуска очень эффективен, но не всегда возможен, поскольку злоумышленники учатся обходить статический анализ. Для таких случаев необходим поведенческий мониторинг, который также реализован в продуктах Kaspersky Lab.