Pull to refresh
0

Технологии репутации для борьбы с ростом количества угроз

Reading time 3 min
Views 1.9K
Сегодня запустить своего «собственного» троянца может практически любой достаточно целеустремленный школьник, причем для этого ему не нужно обладать знаниями в программировании, не нужно быть экспертом по поиску уязвимостей, не требуется уметь проводить массовые заражения через спам-рассылки или взлом сайтов – все это можно компенсировать парой сотен сэкономленных на завтраках долларов. Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ, заказать заражение определенного количества обывателей, а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи. Наш гипотетический школьник нажимает кнопку в конструкторе, и вот стандартный вредоносный код модифицируется в новый, еще неизвестный антивирусам. Именно из-за упрощения процессов создания и распространения количество уникальных образцов вредоносного ПО постоянно растет, антивирусные компании пытаются компенсировать это постоянными обновлениями сигнатур, но фактически они всегда остаются позади угрозы, ведь сигнатурный метод по своей сути реактивный.




Выход из гонки есть, и он базируется на понимании природы современных угроз и на принципах репутации. В процессе заражения троянцем и прочим вредоносным ПО, поддержания связи с центром управления и отсылки собранных данных происходит контакт машины пользователя-жертвы с конкретными серверами, находящимися под контролем злоумышленника. Именно в этот момент можно предотвратить заражение или заблокировать отсылку собранных данных в дроп-зону, просто не дав совершиться сетевому взаимодействию.

Как определить, какой из серверов является опасным?

Для этого необходима постоянно доступная, отказоустойчивая база данных содержащая информацию об адресах вредоносных серверов – серверов, хостящих фишинговые веб-сайты, инсталляторы троянов и ботов, содержащих центры управления бот-сетями и их дроп-зоны. При запросе всех сетевых соединений система защиты должна их перехватывать и проверять репутацию адресов, то есть выяснять, находится ли адрес запрашиваемого сервера в «черном списке», и если да, блокировать связь с данным сервером.

Как обеспечить актуальность данных в базе репутации URL?

В идеале, подобная база должна содержать информацию обо всех URL и серверах – как вредоносных, так и «чистых». Для наполнения базы с адресами вредоносных серверов могут использоваться следующие источники:
  • Спам рассылки, заманивающие пользователей на фишинговые сайты и сайты с загрузчиками вредоносного ПО;
  • Автоматические анализаторы – crawlers, сканирующие сеть на предмет известных вирусов;
  • Анализ кода вредоносного ПО – позволяет выявить адреса серверов управления, обновления и дроп-зон;
  • Схемы обратной связи, встроенные в антивирусные продукты – они поставляют ранее неизвестные ссылки для анализа и категоризации;
  • Honeypots – сети-ловушки для сбора свежих актуальных атак и угроз;
  • Внешние данные от вендоров информационной безопасности.
Как видно, для актуализации базы репутации URL требуются как автоматизированные методы, так и ручной труд аналитиков.

Реализация

Описанный выше подход реализован в компании Trend Micro, база репутации URL является частью комплекса технологий под общим названием Smart Protection Network. Помимо базы репутации URL в Smart Protection Network входят база репутации файлов и база репутации электронной почты, содержащая сведения об известных отправителях спама. Это позволяет коррелировать данные из трех баз, например, при анализе спам-рассылки адрес отправителя (это также может быть один из членов бот-сети) заносится в базу email репутации, ссылка, ведущая на загрузчик трояна попадает в базу веб-репутации как вредоносная, а сам исполняемый файл загрузчика попадает в базу репутации файлов.


Что это дает простому пользователю?

Все продукты Trend Micro – для домашних пользователей и корпоративных клиентов – используют запросы к базе репутации URL при контакте любого приложения на защищаемой машине, в том числе браузера, с сетью Интернет.

Почему это эффективно?

Как правило, одни и те же серверы участвуют во множестве криминальных проектов – на одном сервере может быть и центр управления ботнетом и десятки доменов для фишинговых атак. Таким образом, однажды «засветившийся» сервер будет блокирован во всех последующих атаках.

В условиях постоянного роста количества образцов вредоносного ПО необходимо сочетать реактивные и проактивные методы защиты — одного лишь сигнатурного подхода становится недостаточно. Даже если сейчас антивирусные компании пытаются выпускать обновления каждые несколько минут, в будущем угнаться за экспоненциальным ростом количества угроз будет практически невозможно. Если постоянная работа по анализу кода и обновлению сигнатур защищает от известных угроз, то технологии репутации позволяют избежать заражения новым вредоносным ПО, путем пресечения коммуникаций с известными серверами с «плохой» репутацией.

Денис Безкоровайный
технический консультант Trend Micro
Tags:
Hubs:
+2
Comments 8
Comments Comments 8

Articles

Information

Website
www.trendmicro.com.ru
Registered
Founded
1988
Employees
5,001–10,000 employees
Location
Япония