O co chodzi z tymi mechanizmami behawioralnymi?

bezpieczeństwo

Niedawno napisałem o tym, jak mechanizmy skanowania ewoluowały od swoich prymitywnych, sygnaturowych korzeni w latach osiemdziesiątych po dziś dzień. W artykule tym wspomniałem, że skanowanie plików jest tylko jednym ze sposobów ochrony punktów końcowych przed takim zagrożeniami, jak złośliwe oprogramowanie i exploity. Dziś skupię się na mechanizmach behawioralnych, znanych też jako systemy zapobiegania włamaniom działające w hoście (host-based intrusion prevention system, HIPS).

Krótko mówiąc, mechanizmy behawioralne monitorują wykonywanie procesów w systemie pod kątem potencjalnie złośliwych działań. W razie wykrycia złośliwego działania (albo serii działań) proces jest przerywany. Gwarantuje to, że złośliwy kod nigdy nie wypełni swojego zadania.

f-secure-internet-security-2007

Monitorowanie behawioralne… wprowadzone mniej więcej dekadę temu.

Oprócz blokowania złośliwych plików wykonywalnych, monitorowanie behawioralne może również powstrzymywać ataki przeglądarkowe oraz blokować inne wektory infekcji, na przykład makra Office i dokumenty PDF. W tym celu monitoruje się często używane aplikacje, takie jak przeglądarki internetowe oraz przeglądarki/edytory dokumentów.

Jeśli na przykład użytkownik odwiedzi złośliwą witrynę, monitorowanie behawioralne wykryje próbę ataku w samym procesie przeglądarki i przerwie go, zanim exploit zostanie wykonany. Jak się okazuje, jest to doskonały sposób na powstrzymywanie exploitów dnia zerowego.

Dlaczego mechanizmy behawioralne są tak użyteczne? Otóż większość złośliwych programów infekuje systemy z wykorzystaniem tego samego, niewielkiego arsenału trików. Jeśli plik Excela zapisuje na dysku plik wykonywalny lub skrypt powłoki albo próbuje uruchomić kod w systemie, możemy być praktycznie pewni, że jest złośliwy. Tego rodzaju zachowanie jest zupełnie niespotykane w przypadku zwykłych dokumentów.

Blokowanie kodu na podstawie jego działania to świetna sprawa, ponieważ nie ma znaczenia, jak „wygląda” próbka. Nowe wersje złośliwego oprogramowanie powstają regularnie po to, aby uniknąć skanowania sygnaturowego. Jednak wszystkie te wersje nadal wykonują ten sam zbiór operacji. Jeśli uda się wykryć pierwszą wersję na podstawie jej działań, to uda się również wykryć pozostałe.

Jedyny sposób, w jaki twórcy złośliwego oprogramowania mogą obejść reguły behawioralne, to wymyślić nowych zbiór działań. A nowych wektorów infekcji nie odkrywa się zbyt często. Właśnie dlatego, kiedy pojawiają się nowe złośliwe programy lub exploity, nasze mechanizmy behawioralne są już na nie gotowe. Triki, których twórcy złośliwego oprogramowania używają od pewnego czasu, najprawdopodobniej będą używane również w przyszłości.

Monitorowanie behawioralne po stronie klienta ma jednak pewne wady. Każdy monitorowany proces będzie działał nieco wolniej. Dlatego ważne jest ograniczanie tego, co podlega monitoringowi. Można to robić na kilka sposobów.

„Białe listy” to prosta i szybka metoda na pominięcie niepotrzebnego skanowania. Dlatego oprogramowanie do ochrony punktów końcowych często sprawdza pliki na białych listach, zanim przejdzie do dalszych etapów analizy. Pliki można umieścić na białych listach na podstawie prostych metadanych, takich jak skrót kryptograficzny, albo bardziej skomplikowanych informacji, na przykład certyfikatów użytych do podpisania pliku.

Mechanizmy skanowania są zwykle szybsze, niż mechanizmy behawioralne. Jeśli więc mechanizm skanowania potrafi określić, czy plik jest złośliwy, zanim zostanie on wykonany (na przykład kiedy jest zapisywany na dysku lub przesyłany przez sieć), to można uzyskać niewielki wzrost wydajności.

Aby zrozumieć, jak to wszystko działa, skorzystajmy z następującej analogii:

Strażnicy w firmie mają za zadanie monitorować fizyczne bezpieczeństwo budynku. Przez większość czasu wpatrują się w ekrany telewizji przemysłowej. Niektórzy na zmianę patrolują budynek.

Ludzie wchodzą do budynku i wychodzą z niego przez cały dzień. Większość pracowników nosi widoczne identyfikatory. Niektórzy są nawet znani personelowi ochrony. W naszej analogii pracownicy noszący identyfikatory to próbki z białej listy. Strażnicy nie muszą na nich zwracać większej uwagi, ponieważ są oni „znani i sprawdzeni”.

W trakcie dnia do budynku przychodzą również goście. Nowo przybyli są nieznani strażnikom. Zanim zezwoli się im na wstęp do budynku, muszą zaczekać w recepcji na eskortę i otrzymać tymczasowy identyfikator. Na terenie budynku musi im przez cały czas towarzyszyć pracownik. Proces spotykania pracownika, podpisywania się na liście gości i uzyskiwania tymczasowego identyfikatora przypomina przepuszczanie próbki przez mechanizm skanowania. Mechanizm skanowania nie zidentyfikuje ich jako „znanych i sprawdzonych”, ale może ustalić, że nie mają złych zamiarów.

W naszej hipotetycznej sytuacji, pewnego popołudnia do budynku przybywa osoba, która nie przestrzega procedury. Ponieważ nie wszyscy pracownicy pamiętają o zakładaniu identyfikatora, nowo przybyły mógłby być pracownikiem, ale żaden ze strażników nie zna jego twarzy. Wkrótce potem nieznajomy mija recepcję i rusza w ślad za pracownikiem do głównego budynku. Personel ochrony natychmiast to zauważa i zaczyna uważnie obserwować go przez kamery telewizji przemysłowej. Kontaktuje się również z jednym z patrolujących strażników i prosi go, aby udał się tam, gdzie przebywa nieznajomy. Ten etap przypomina rozpoczęcie monitorowania behawioralnego.

Personel ochrony, który nadal śledzi zachowanie gościa, widzi, jak ten krąży po korytarzach, aż wreszcie zatrzymuje się, wyciąga łom z plecaka i próbuje otworzyć drzwi do serwerowni. W tym momencie do akcji wkracza strażnik, zatrzymując włamywacza na gorącym uczynku.

Jedno podejrzane działanie nie zawsze wystarcza, żeby ustalić, czy zagrożenie jest rzeczywiste. Jednak seria działań, w tym przypadku wejście za pracownikiem do budynku bez eskorty i próba włamania się do zamkniętego pokoju, uzasadnia podjęcie kroków zaradczych.

Choć monitorowanie behawioralne w urządzeniu klienckim to jeden z najskuteczniejszych sposobów chronienia systemów przez typowym złośliwym oprogramowaniem i exploitami, analiza behawioralna w systemach zaplecza daje nam do dyspozycji kolejne potężne narzędzie.

Infrastruktura chmurowa umożliwia uruchamianie tysięcy „piaskownic” jednocześnie. Do piaskownic tych przekazuje się pliki i adresy URL w celu wykonania. Każdy indywidualny przebieg generuje metadane zależne od tego, co zdarzyło się podczas wykonania. Mogą to być zmiany w systemie, w którym wykonano próbkę, albo ślad wykonawczy samej próbki. Metadane te są następnie analizowane z wykorzystaniem zautomatyzowanych zbiorów reguł pod kątem podejrzanego zachowania. Niektóre próbki są oznaczane do dalszej analizy, a w wielu przypadkach detekcje są generowane w locie.

Za pomocą sandboksów na zapleczu można analizować setki tysięcy plików i adresów URL dziennie, czego w praktyce nie dałoby się zrobić ręcznie. Proces ten, w parze ze zautomatyzowaną analizą statyczną, pozwala łatwo klasyfikować i grupować próbki, szybko identyfikować nowe złośliwe próbki, a także generować proste chmurowe detekcje w czasie zbliżonym do rzeczywistego.

Monitorowanie behawioralne to niezwykle skuteczny sposób ochrony systemów przed zagrożeniami, bez względu na to, czy używa się go w samym urządzeniu klienckim, czy też w systemach zaplecza. Okoliczności, w których technologie monitorowania behawioralnego wkraczają do akcji w punkcie końcowym, zależą od tego, w jaki sposób napotkano zagrożenie. Jak wyjaśniono wyżej, blokowanie behawioralne uaktywnia się podczas wizyty w złośliwej witrynie, otwierania złośliwego dokumentu lub uruchamiania złośliwego pliku wykonywalnego (działanie!). Jeśli chciałbyś dowiedzieć się, jak nasze produkty radzą sobie w rzeczywistych sytuacjach, w których blokowanie behawioralne odgrywa dużą rolę, sprawdź, jak wypadamy w testach AV-Comparatives i AV-Test.

Jeśli jesteś zainteresowany bardziej technicznym opisem działania naszej technologii HIPS, przeczytaj ten artykuł.

Tagi

Oceń artykuł

0 głosów

4 komentarzy

[…] Mechanizmy behawioralne trudno jest zintegrować z systemem Virus Total. Każda próbka przechodząca przez ich system musiałaby być wykonywana w środowisku zawierającym rozwiązania wszystkich producentów. Z praktycznego punktu widzenia oznacza to uruchomienie maszyny wirtualnej, zainstalowanie lub zaktualizowanego produktu, wprowadzenie próbki do maszyny wirtualnej, wykonanie jej, zbadanie werdyktu produktu, a następnie zniszczenie maszyny wirtualnej. Wszystko to musiałoby odbywać się w specjalnych warunkach sieciowych, żeby złośliwe oprogramowanie nie mogło rozprzestrzenić się dalej. […]

Lubię to

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: