Проактивные методы антивирусной защиты

Рашевский Роман

Методы проактивной защиты

История развития проактивных методов защиты

  Проактивные методы защиты появились почти одновременно с реактивными методами защиты, как и системы, применяющие данные методы. Но в силу недостаточной «дружественности» проактивных систем защиты по отношению к пользователю разработка подобных систем была прекращена, а методы преданы забвению. Относительно недавно проактивные методы защиты начали свое возрождение. На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а так же на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.

  На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

• Методы поведенческого анализа;
• Методы ограничения выполнение операций;
• Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы)

HIPS

  HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;

  Принцип работы

  HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

  Преимущества систем, построенных на методе HIPS:

• Низкое потребление системных ресурсов;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
• Высокая эффективность противостояния угрозам 0-day;
• Высокая эффективность противодействия руткитам, работающим в user-mode;

  Недостатки систем, построенных на методе HIPS:

• Низкая эффективность противодействия руткитам, работающим в kernel-mode;
• Большое количество обращений к пользователю ПК;
• Пользователь должен обладать знаниями о принципах функционирования ОС;
• Невозможность противодействия активному заражению ПК;

VIPS

  VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.

  Принцип работы

  VIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

  Преимущества систем, построенных на методе VIPS:

• Низкое потребление системных ресурсов;
• Высокая эффективность противостояния угрозам 0-day;
• Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

  Недостатки систем, построенных на методе VIPS:

• Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
• Большое количество обращений к пользователю ПК;
• Пользователь должен обладать знаниями о принципах функционирования ОС;
• Невозможность противодействия активному заражению ПК;

Песочница (sandbox)

  Песочница (sandbox) - метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС.

  Принцип работы

  Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные» выполняется без каких либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.

  Преимущества систем, построенных на методе песочница (sandbox):

• Низкое потребление системных ресурсов;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
• Малое количество обращений к пользователю ПК;

  Недостатки систем, построенных на методе песочница (sandbox):

• Пользователь должен обладать знаниями о принципах функционирования ОС;
• Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа)

  Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.

  Принцип работы

  Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.

  Преимущества систем, построенных на методе активного поведенческого анализа:

• Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
• Низкое потребление системных ресурсов;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

  Недостатки систем, построенных на методе активного поведенческого анализа:

• Интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
• Невозможность противодействия активному заражению ПК;

Метод эмуляции системных событий (метод пассивного поведенческого анализа)

  Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.

  Принцип работы

  ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.

  Преимущества систем, построенных на методе активного поведенческого анализа:

• Не требуют специальных знаний или навыков со стороны пользователя;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
• Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

  Недостатки систем, построенных на методе активного поведенческого анализа:

• В некоторых случаях анализ кода может занимать достаточно продолжительное время;
• Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
• Невозможность противодействия активному заражению ПК.

Сканер целостности

  Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.

  Принцип работы

  Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.

  Преимущества систем, построенных на методе «сканер целостности»:

• Не требуют специальных знаний или навыков со стороны пользователя;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
• Малое количество обращений к пользователю;

  Недостатки систем, построенных на методе «сканер целостности»:

• Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
• Слабая эффективность противодействия user-mode и kernel-mode руткитам;
• Невозможность противодействия активному заражению ПК;

Метод предотвращения атак на переполнение буфера («эмулятор NX-бита»)

  «Эмулятор NX-бита» осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется.

  Принцип работы

  Как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.

  Преимущества систем, построенных на методе «эмулятора NX-бита»:

• Не требуют специальных знаний или навыков со стороны пользователя;
• Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
• Полное отсутствие каких бы то ни было обращений к пользователю;

  Недостатки систем, построенных на методе «эмулятора NX-бита»:

• Системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
• Невозможность противодействия активному заражению ПК.