Антивірусні програми та програми-архіватори.
Використання архівів
Як відомо, кращий спосіб лікування – профілактика. Є багато можливостей не допустити попадання вірусу на ваш комп'ютер і ушкодження даних.
Починаючи з 2005 року методи Інтернет-атак значно змінилися [14,15]. Сьогоднішні атаки потрібні хакерам для одержання фінансової вигоди, а не для доблесті і пошани. Вони більш організовані і використовують загальний інтелектуальний потенціал для розробки нових стратегій нападу і нового функціонала в шкідливих програмах, що дозволяє проникати їм непоміченими. Порівняння характеристик атак наведено у табл. 4.1.
Таблиця 4.1
Характеристика атаки | Ранні атаки | Нова ера атак |
Мотивація | Популярність і пошана | Вигода |
Масштаб | Чим більше, тим краще | Вибір цілі так, щоб залишитися непоміченим |
Основний ризик | Падіння мережі на час лікування | Прямі фінансові втрати; крадіжка корпоративних секретів; крадіжка персональних даних і їхнє розкриття з подальшим продажем або корисливим використанням |
Ефективний захист | Антивірусні сигнатури; реактивний підхід | Багатоешелоновий захист; превентивний і поведінковий підхід |
Відновлення | Пошук і видалення | Не завжди можливо; може вимагатися переустановлення системи |
Характеристика атаки | Ранні атаки | Нова ера атак |
Типи атак | Віруси, хробаки, spyware | Спрямовані віруси, руткіти, фішинг, вимога викупу |
Підхід атакуючого | Сказати усім, що я тут | Стелс технологія роботи і поширення шкідливого коду; безліч різних технологій для атаки |
Двадцять років тому сигнатурні антивіруси чудово захищали від шкідливого коду. І більш ніж два десятиліття антивірусні компанії робили чудово свою роботу, обгороджуючи нас від вірусів. Однак сучасний шкідливий код сильно відрізняється від того коду, що писали в минулому. Визначення комп'ютерного вірусу полягає в тому, що він самовідтворюється і найчастіше наносить шкоду або знищує щось. Шкідливий код, використовуваний сьогодні, непомітний, має цільову аудиторію і може або не може поширюватися.
Хакери проаналізували як працюють традиційні рішення по безпеці і зробили висновки. Розглянемо, наприклад, як поширюється антивірусний захист. З появою нового вірусу процес створення сигнатури складається з наступних етапів:
- виявлення вірусу;
- розробка сигнатури і її випуск;
- установка сигнатури.
На найпершому етапі вірус легко знаходить свій спосіб поширення, проникає в мережу і починає виконуватися, оскільки сигнатура ще не готова. Чим більше заявляє про себе цей вірус, тим швидше він буде виявлений і наступить другий етап, коли антивірусна компанія одержує код вірусу і розробляє сигнатуру, що потім буде закачана клієнтами. Процес розробки сигнатури може тривати декілька годин або навіть днів – ви все ще незахищені від погрози.
Сьогоднішні погрози порушують сформовану практику. По-перше, вони можуть відтягнути або навіть уникнути свого виявлення. Використовуючи технології свого приховання або атакуючи спеціально обрані системи, цей код може взагалі не потрапитися антивірусним вендорам, оскільки він не заразив настільки багато систем, щоб стати помітним.
По-друге, хакери активно використовують технології створення численних варіацій вірусу або багатокомпонентних вірусів. Сучасний шкідливий код це утиліта типу все-в-одному: він і руткіт, і троян, і хробак. Для свого поширення шкідливий код використовує різні вразливості операційних систем, помилки конфігурацій, паролі, що легко угадуються, автозапуск із флешек. Хоча не можна сказати, що це щось нове. Хробак Морриса з'явився в 1988 році та використовував 4 способи поширення, включаючи підбор паролів за словником й уразливість у sendmail. Але користувачі, що 20 років тому, що зараз, як і раніше використовують паролі, що легко вгадуються, а адміністратори як і колись забувають поставити патчі.
Designer Malware: замовлене шкідливе ПО – це шкідливий код для зараження однієї або декількох організацій з однаковим захистом. Наприклад, це може бути троян, написаний під конкретний банк.
Перед установкою такого шкідливого коду його, за правило, тестують на те, що він не буде виявлений наявними засобами захисту в організації. Його код пишеться так, щоб як можна довше залишатися непоміченим і не привертати увагу. Його задача – не виходити за межі організації для того, щоб антивірусні компанії не отримали його код. Відомі випадки, коли подібний шкідливий код працював в організаціях рік і більше, збираючи і відсилаючи своїм розроблювачам комерційну й інтелектуальну інформацію.
Spear Phishing: спрямований фишинг – це комбінація звичайного фишинга та соціальної інженерії. Він спрямований проти однієї людини або цільової групи. Щоб атака була успішної, вона повинна бути дуже добре підготовлена і пристосована під конкретну людину, щоб не викликати підозр.
Дуже часто такі атаки спрямовані проти фінансових організацій. Той, що атакує, використовує знайдену персональну інформацію про людину і так підготовлює електронне (а інколи і паперове) повідомлення, щоб воно виглядало вірогідно та змушує людину відповісти й видати свої приватні дані, такі як логини і паролі. Наприклад, зі знайденої у журналі інформації щодо призначення Містера X на нову посаду, йому надсилається з виду офіційний лист від технічної підтримки, а це призводить до того, що Містер Х, дозволяє "службі підтримки" встановити у себе троянську програму або просить завести собі логин і пароль, схожий з логином і паролем в іншій системі.
Ransomware: шкідливий код для вимагання – він поміщає ваші важливі файли в зашифрований архів і видаляє оригінальні файли, а пароль надсилає після одержання викупу. Існують більш просунуті сценарії маніпуляцій діями користувачів і вимагання. У деяких випадках традиційні антивірусні системи здатні дешифрувати ваші файли, оскільки віруси використовують нестійкі алгоритми шифрування. Але чи заразитися ви саме тією версією вірусу, для якої є розпакувальник?
Rootkit: руткіти мають здатність бути цілком невидимими для засобів операційної системи й антивірусних програм. Функціонал руткітов часто поєднують з іншими видами шкідливого коду, щоб залишатися непоміченим довгий час. Поведінкові системи аналізу допомагають знайти такі види погроз при їхньому одержанні системою, але після їхньої установки в системі, як правило, їх шукати вже пізно. Є утиліти для пошуку руткітов, але кращим рішенням є відновлення системи.
Trojan: троянські програми – досить старий вид погрози, однак він повернув собі актуальність. Такий шкідливий код використовує різні трюки, щоб користувач запустив його в себе. Користувач навіть не припускає, що він запускає шкідливий код, який може виконувати перехоплення натискань клавіш або викрадати паролі.
Завдяки технології приховування, що використовують троянські програми, вони можуть не поширюватися, а знаходитися довгий час у системі, виконуючи свою задачу з викрадення даних. Троянські програми можуть бути виявлені поведінковими системами аналізу. Сигнатурні антивіруси рідко знають про них і їх не виявляють. Однієї з основних погроз при відвідуванні клієнтами банків стала наявність у системі троянів, що викрадають як логіни та паролі, так і переказують гроші від їхнього імені, причому останні версії, за назвою Proxy Trojan підмінюють дані, виведені у браузері, так що користувачеві здається, що на його рахунку грошей ще досить.
Через сучасні технологічні можливості та безліч шляхів поширення, корпоративні системи повинні використовувати кілька рівнів захисту, щоб знизити ризики багатокомпонентних атак. При зростаючому числі атак, що використовують кілька компонентів, завжди існує загроза, що один з цих методів спрацює, звичайно, якщо ви не підготувалися до нього. Порівняння різних засобів захисту від різних типів вірусів показано у табл. 4.2.
Таблиця 4.2.