SophosLabs встраивает защиту уровня "день ноль" для противодействия быстро меняющимся угрозам

01 ноября 2005

Программный документ компании Sophos

Июнь 2005

Сегодня основная проблема для организаций – обеспечить упреждающую защиту от все более быстро распространяющихся и взаимосвязанных атак вирусов, спама, фишинга и шпионских программ. Настоящий документ представляет, каким образом опыт и системы SophosLabs™ дают компаниям быструю и надежную защиту от всех угроз такого типа. Он также дает описание того, как на основе глубокого анализа генетической структуры программ и электронных сообщений, технология Genotype™ реализует упреждающую защиту даже от только вновь возникающих вирусных и спамовых угроз.

Эволюционирующие угрозы

В наше время вредоносные угрозы вирусов и спама быстро эволюционируют и часто для распространения применяют комбинации различных способов. При появлении угрозы от нового вируса или спамовой атаки производители программ защиты создают специальные алгоритмы обнаружения этого вируса или правила фильтрации этой спам-атаки, которые позволяют обнаруживать угрозы и противодействовать им. В ответ авторы вирусов начинают, как можно чаще, выпускать новые модификации вирусов, иногда за короткий отрезок времени распространяя многочисленные штаммы одного и того же вируса с тем, чтобы повысить шансы на выживание своих созданий. Точно так же спамеры применяют различные трюки для обхода специальных антиспамовых технологий и адаптации своего спама для преодоления фильтров.

В этой непрерывно эволюционирующей среде угроз, финансовые мотивы побуждают вирусописателей и спамеров объединять усилия для подготовки кампаний, в которых атаки координируются с помощью вирусов, спама, мошеннических трюков и шпионских программ. Беспорядочный вандализм первых поколений создателей вирусов сменился целенаправленной преступной деятельностью, при которой с целью преодоления традиционной защиты, основанной на сигнатурах вирусов и правилах фильтрации спама, беспрестанно создаются и быстро распространяются многочисленные модификации одних и тех же угроз.

Экспертиза и технология – победное сочетание

В ответ на эту эволюцию угроз возник целый ряд автономных решений, которые называют решениями уровня ″день ноль″ (″day zero″). Однако, следует при этом отметить, что эффективная защита требует сочетания как быстрого создания описаний новых вирусов и спама, так и упреждающих способов обнаружения угроз на ранних этапах их развития. Взаимосвязанные технологии борьбы с вирусами и спамом, а также объединенная экспертиза SophosLabs позволяют ее высококвалифицированным экспертам быстро и эффективно реагировать на возникающие новые угрозы независимо от того, какие комбинации технологий используются для их распространения.

Новые угрозы имеют тенденцию действовать с самого начала рабочего дня – они следуют за перемещением светлого времени суток от Азии через Европу и Африку по направлению далее к Северной и Южной Америке. Стратегическое размещение подразделений SophosLab в Азиатско-Тихоокеанском регионе, Европе, восточном и западном побережьях Северной Америки, как показано на рис. 1, означает, что эта глобальная сеть центров анализа угроз способна создавать и развертывать обновления соответствующих систем защиты еще до начала рабочего дня и в большинстве регионов мира.


Рис. 1: SophosLabs – обеспечивает круглосуточный анализ и защиту

В настоящее время SophosLabs анализирует ежемесячно 10 тысяч файлов на наличие вирусов и ежедневно 4 миллиона электронных писем на принадлежность их к спам-рассылкам. Такие автоматизированные системы копирования и анализа вирусов, как Mentor, значительно ускоряют создание сигнатур для новых вирусов. Обширная база данных об угрозах, накопленная в результате 20-летнего опыта борьбы Sophos c вредоносными кодами, доступна аналитикам подразделений SophosLabs во всем мире. Каждые 30 минут создаются и рассылаются новые правила фильтрации спама; эта реакция на новые спам-атаки дополняется и кратчайшим временем отклика на появления новых вирусов, как показано на рис. 2.


Источник: Андреас Маркс (Andreas Marx), компания AV-Test, Конференция Virus Bulletin, 2004
Рис. 2: Среднее время реакции на эпидемии вирусов

Это редкое сочетание экспертизы по разным типам угроз и мощных интегрированных технологий выводит SophosLabs на уникальную позицию по обеспечению консолидированной защиты для борьбы с растущей изощренностью нового племени киберпреступников.

Крутые технологии, быстрая защита

Опыт и интеллект экспертов SophosLabs, а также и ряд совершенных технологий и методов обнаружения угроз –обеспечивают быструю защиту от существующих и возникающих атак, независимо от их сложности и способов распространения. Вирусы, троянские и шпионские программы, а также черви обнаруживаются с помощью сочетания средств, в число которых входят:

  • Dynamic Code Analysis™ – комплекс методов, используемых ″ядром″ (″движком″) Sophos для обнаружения вирусов, включающий и метод обнаружения сложных шифрованных вирусов.
  • Алгоритмический поиск сигнатур – входящие данные проверяются на наличие уже известных последовательностей кода, идентифицированных ранее как принадлежащие вирусам.
  • Эмуляция – метод обнаружения полиморфных вирусов, т.е. вирусов, которые скрывают себя путем разного шифрования своего кода при каждом новом копировании и распространении.
  • Технология уменьшения угроз – обнаружение вероятных угроз по множеству разнообразных критериев, таких как двойное расширение имени файла (например, типа .jpg.txt) или расширение имени файла, несоответствующее истинному формату файла (например, исполняемый файл с расширением имени .txt).

Спам блокируется с использованием методов, в число которых входят:

  • Автоматизированная настройка – регулировка взвешенности тестов для обнаружения спама при кампаниях, имеющих целью обойти какой-то определенный популярный метод фильтрации.
  • Сканирование содержимого – разбор и анализ структур сложных замаскированных сообщений.
  • Обнаружение маскировок – поиск известных приемов по части маскировки спам-сообщений.
  • Фильтрация писем на основании данных о репутации их отправителей (по черным спискам DNS) – отслеживание и блокирование известных IP-адресов, рассылающих спам.
  • Анализ URI – поиск по известным сайтам или доменам, причастным к спамовым рассылкам.

Распутывание спирали

Все эти методы выводят защиту Sophos на первые позиции по скорости и надежности. К тому же технология Sophos Genotype, – встроенная в антивирусные и антиспамовые продукты Sophos, которые применяются для защиты рабочих станций, мобильных компьютеров, серверов и шлюзов, – позволяет осуществлять упреждающую защиту от угроз даже на более ранней стадии путем доставки клиентам средств защиты еще до того, как новые атаки реально начнут распространяться.

Технология Genotype предохраняет компании от проникновения новых угроз еще до того, как становятся доступными методы их обнаружения по сигнатурам, и даже до получения образцов для анализа.

Технология Genotype встроена в ″ядра″ Sophos, предназначенные для обнаружения вирусов и спама. Она сосредотачивается на обнаружении новых вариаций уже существующих семейств вирусов и спамовых кампаний. У нее есть своя аналогия в мире живых существ. В биологии генотип – это совокупность наследственных факторов организма. Он состоит из генов, т.е. отрезков молекулы ДНК, образующих блоки информации, наследуемой от родительских организмов. Технология Sophos Genotype ищет "наследственную информацию" в новых вирусах и спамовых сообщениях и определяет, не является ли исследуемый блок близким родственником уже известных ранее угроз.

Обнаружение вирусов технологией Genotype

Вирусописатели регулярно используют повторно большую часть исходного кода вируса – существует, например, более 800 модификаций вируса Rbot. Даже если добавлена новая вредоносная функциональность, новый вирус остается похожим на оригинал и входит в то же самое семейство. Именно эту схожесть использует Genotype, извлекая полный генотип программного кода.

Технология Genotype обнаружения вирусов от компании Sophos извлекает генотип программы и сравнивает его с генотипами существующих вирусов.

Так как технология Genotype ориентирована на определение новых экземпляров вирусов (спама) из уже ранее известных семейств, то она обходит общую для традиционных эвристических методов проблему ошибочного обнаружения вируса в нормальном коде.

Каждая программа имеет свой генотип. Однако генотип вредоносных программ, к примеру, вирусов существенно отличается от генотипа обычных программ. Более того, генотипы разных семейств вирусов различаются между собой.

Вот некоторые примеры генов:

  • способность копировать себя в системную папку
  • способность распространяться с использованием уязвимостей в операционной системе
  • способность изменять ключи системного реестра с тем, чтобы автоматически запускать себя при входе пользователя в систему
  • способность производить поиск электронных адресов на локальном жестком диске
  • способность посылать себя в электронном сообщении в виде вложения

Примеры успехов технологии Genotype
  • 100% обнаружение модификаций Apribot
  • 100% обнаружение модификаций Baba

Извлеченные для анализа гены файла сравниваются с генотипами всех известных семейств при помощи тонко настроенной системы оценивания. Если генотип исследуемого файла соответствует генотипу одного из известных семейств вирусов, антивирус Sophos сообщает, что найденный вирус является генотипом (например, W32/Rbot-Gen).

Обнаружение спама технологией Genotype

В попытках добиться успеха спамеры постоянно используют новые приемы. Отправляя спам через вновь открытые прокси-сервера, они пытаются предотвратить блокировку этих сообщений по черным спискам IP-адресов. Для обхода фильтрации по черным спискам URI они регистрируют сотни новых доменов для каждой волны спама, затрудняя быстрое на нее реагирование. Изменяя случайным образом шаблоны маскировок, переставляя фразы в предложениях и добавляя случайные несвязанные слова и предложения, спамеры добиваются того, что во время одной и той же кампании каждый получатель принимает сообщения, выглядящие по-разному, что снижает эффективность анализа как по статическим сигнатурам спама, так и по базовым методам исследования контента.

Тем не менее, такого рода спам по-прежнему удается обнаруживать и блокировать. Все сообщения в отдельно взятой спам-кампании имеют ряд общих атрибутов, которые остаются одними и теми же, например, диапазон размеров сообщений и наличие определенных заголовков писем и их атрибутов. Для каждой спам-кампании эксперты SophosLabs создают уникальный генетический шаблон, который после этого применяется для анализа входящего трафика почтовых сообщений.

Технология обнаружения спама Sophos Genotype создает уникальный генетический шаблон спам-кампании, идентифицируя ее статические и переменные гены.

Примерами того, что может проверить шаблон, являются:

  • Оканчивается ли URL, содержащийся в сообщении, строкой .aspx, за которой следует знак вопроса и от 5 до 7 цифр?
  • Содержит ли HTML-часть сообщения таблицу с тремя строками на розовом фоне?

Сообщения, соответствующие шаблону, идентифицируются как известный спам и автоматически блокируются фильтром. Одни определения генотипов являются короткоживущими и создаются для борьбы со специфическими волнами спама, в то же время как другие, разработанные с целью противодействия длительным спам-кампаниям, долгое время могут оставаться активными.

Так как другие антиспамовые методы сами блокируют уже до 95% всего трафика спама, то технология Genotype применяется только там, где традиционные антиспамовые технологии малоэффективны или бессильны. Тем не менее, как показывает рис. 3, ее роль в защите сетей является существенной. Рисунок демонстрирует эффективность Genotype в течение месяца во время одной почтовой кампании. Технология Genotype перехватывала 100% сообщений почти каждый день, начиная с ноября 2004 года. На графике показано различие в относительном количестве перехвата с использованием технологий Genotype, анализа URI и фильтрации по сведениям о репутации.


Рис. 3: Сравнение технологии Genotype c фильтрацией по сведениям о репутации и по анализу URI

Недавние исследования Sophos показывают, что хотя генотипы и блокируют только 5% всего спама, но против этих спам-кампаний они обеспечивают 100% защиту, которые трудно блокировать с помощью решений, применяющих только черные списки и эвристические антиспамовые правила, при этом они обеспечивают уникальное упреждающее обнаружение новейших мутаций уже известных спам-кампаний.

Выводы

С помощью мощного сочетания экспертизы, технологий и глобального видения возникающих угроз SophosLabs обеспечивает круглосуточный ежедневный анализ и реакцию, необходимые для защиты бизнеса от все более усложняющихся угроз. Защита уровня ″day zero″ с помощью технологии Genotype интегрируется с рядом других тонких методов и технологий, обеспечивающих пользователям продуктов Sophos такой уровень защиты, о котором другие могут только мечтать.

Чтобы узнать больше о компании Sophos и о том, как ее продукты могут защитить вашу организацию, просим посетить сайт компании ″ДиалогНаука″ по адресу www.antivir.ru. ЗАО ″ДиалогНаука″ является официальный представителем Sophos Plc. в России.

Бостон, США · Майнц, Германия · Милан, Италия · Оксфорд, Великобритания · Париж, Франция · Сингапур · Сидней, Австралия · Ванкувер, Канада · Иокогама, Япония

© Copyright 2005. Sophos Plc.

Sophos признает и поддерживает все зарегистрированные торговые знаки и авторские права.

Запрещается воспроизводить, хранить в поисковых системах или передавать в какой бы то ни было форме любую часть данной публикации без предварительного письменного разрешения издателя.

209
;