Вместе с ростом и усложнением пространства интернета появляются новые типы кибератак. В аналитическом исследовании развития угроз за первое полугодие 2008 года, выполненном специалистами компании Trend Micro, отмечается широкое применение большого числа новых технологий, повышающих изощренность нападений, а также использование преступниками методов социальной инженерии. В то же время распространение рекламного и шпионского программного обеспечения постепенно сокращается.

По данным Trend Micro, в марте 2007 года рекламным ПО было заражено около 45% компьютеров. А уже в апреле 2008 года этот показатель опустился до 35%. Шпионские программы для отслеживания посещения сайтов в мае минувшего года были установлены на 20% ПК, а к апрелю 2008 года зараженных компьютеров оказалось менее 5%.

На смену рекламному и шпионскому ПО приходят более сложные с технологической точки зрения атаки — веб-угрозы. Этим термином аналитики Trend Micro называют атаки, для которых характерны мультивекторность, то есть применение многих каналов распространения (интернет, почта, сети P2P и пр.), и мультикомпонентность, то есть каждая угроза чаще всего не является монолитной, а представляет собой совокупность взаимосвязанных вредоносных приложений. Веб-угрозы зачастую обладают свойствами полиморфиков и функциями бот-нетов, они скрыты от администраторов, что затрудняет очистку от них конечных точек.

Кроме того, веб-угрозы, в отличие от многих атак недавнего прошлого, в подавляющем большинстве используются злоумышленниками в коммерческих целях. Часто мошенники похищают ценную информацию, которую затем сбывают на черном рынке. Это становится крайне выгодным. Для сравнения: компании — разработчики защитного ПО зарабатывают около 12 млрд. долл. в год, годовой доход создателей вирусов может достигать 60—65 млрд.

В настоящее время распространились атаки, которые используют инструментарий и технологии популярных социальных сетей. По данным Trend Micro, к марту текущего года исследователи компании обнаружили более 400 фишинговых структур, созданных для имитации известных социальных сайтов, бесплатных почтовых серверов, онлайн-магазинов и банков. Получили распространение фишинговые письма, «предупреждающие» пользователя об угрозе фишинга и содержащие ссылки на сайты киберпреступников.

Участились случаи атак комбинированного типа. Например, мошенник отправляет спам-сообщение, которое дает ссылку на ложный сайт. Получатель автоматически переходит по ссылке, попадает на сайт, с которого на компьютер загружается троянец. Последний, в свою очередь, активирует загрузку шпионской программы, а та — собирает конфиденциальные данные (пароли, номера банковских карт) с компьютера пользователя.

Trend Micro в своем отчете приводит еще один интересный пример использования мошенниками новейших технологических разработок. Это fast-flux — механизм коммутации сервера доменного имени, который объединяет одноранговые сетевые подключения, распределенные команды и управление, распределение нагрузки и перенаправление прокси-серверов с целью сокрытия ресурсов с накопленными посредством фишинга данными.

То, что веб-атаки набирают силу, подтверждают и цифры. Если сравнить их число в первом квартале 2005 года и в первом же квартале 2007-го, рост составит около 500%.

Сложность расследования и борьбы с подобного рода атаками естественным образом возросла на порядок. Если компьютер уже заражен, антивирус не всегда может своевременно выявить атакованные данные, что приводит к серьезным последствиям. Не является панацеей и брандмауэр: он в качестве защиты может попросту отключить все подозреваемые порты, что остановит работу.

Поэтому в дополнение к ставшим уже классическими средствам защиты, Trend Micro предлагает использовать и превентивные методы, которые предотвращают саму попытку заражения. Данная услуга Trend Micro представляет собой комплекс продуктов для оценки репутации веб-сайтов (Web Reputation), почтовых сообщений (Mail Reputation) и файлов (File Reputation) и является составляющей частью всех решений Trend Micro. Атаку вредоносных программ можно представить как последовательность действий, и на каждом этапе есть возможность их прервать, причем чем раньше, тем лучше для пользователя. Например, не позволить вредоносному коду загружать обновления.

Благодаря веб-репутации можно узнать основную информацию о домене — кем, когда и где он был зарегистрирован. Если обнаруживается, что домен постоянно меняет месторасположение и серверы с информацией, то в подавляющем большинстве случаев контент таких сайтов подозрителен или зловреден.

Если пользователь попытается зайти на неблагонадежный сайт, он получит соответствующее предупреждающее сообщение от сервиса веб-репутации.

За более подробными сведениями о сервисах веб-репутации и современном состоянии рынка угроз редакция PCWeek/UE обратилась к Филиппу Демьянюку (Filip Demianiuk), техническому менеджеру Trend Micro в странах Центральной и Восточной Европы.

PCWeek/UE: Охарактеризуйте, пожалуйста, технологические особенности решений Trend Micro для борьбы с веб-угрозами.


Филипп Демьянюк
Филипп Демьянюк
Филипп Демьянюк:
Самым существенным, по моему мнению, является то, что Trend Micro уделяет огромное внимание инновациям. Еще 3 или 4 года назад мы начали встраивать в наши решения сервисы, которые только сейчас появляются у конкурентов. В первую очередь это касается веб-репутации.

Мы стараемся искать новые пути защиты, поскольку устоявшиеся подходы на базе сигнатурного метода довольно быстро устаревают. Так, число зло­вредных кодов, по нашим подсчетам, к концу этого года приблизится к 10 млн., в то время как в начале года оно составляло примерно 2 млн. Для того чтобы защититься от этого с помощью сигнатур, нужно сначала изучить код, создать сигнатуру, протестировать ее. Затем она помещается на сайт разработчика. Ее распространение также требует времени. А зловредный код может меняться, к примеру, каждый час. Таким образом, использование лишь одних сигнатур не вполне эффективно.

Поэтому мы и предлагаем превентивные методы защиты. В момент загрузки любой страницы с веб-сайта можно достаточно просто и быстро осуществить проверку ее репутации, принадлежности именно к тому сайту, с которого вы ее загрузили, и отсутствия злонамеренных исправлений кода. Так же мы проверяем репутацию электронной почты (сервис Mail Reputation), после чего сопоставляем полученную информацию между двумя базами данных — почтовой и веб-репутации. Это позволяет определить, является ли почта спамом или носителем (ссылкой) вредоносного кода.

Наша компания разработала единую панель управления для защиты от вирусов, шпионского ПО, нежелательной электронной почты, потери данных и пр. Ведь корпоративный пользователь ориентируется, прежде всего, на простоту и эффективность защиты, а не на конкретный продукт. Кроме того, наши решения мультиплатформенны. Продукция Trend Micro рассчитана на работу в средах Red Hat Linux, SUSE Linux и Sun Solaris, Windows, Exchange и Lotus, Symbian OS и других.

PCWeek/UE: На каких механизмах базируется реализация технологий веб- и mail-репутации Trend Micro?

Ф. Д.:
Технология веб-репутации основана на обширной базе данных всех существующих в мире доменов. Эта база данных хранится на 270 серверах, она постоянно обновляется, отслеживая изменения в доменах, участие сайтов в рассылках спама и наличие на сайтах вредоносного кода.

Всякий раз, когда пользователь пытается открыть веб-сайт, параллельно идет запрос о благонадежности конкретного домена в базе данных веб-репутации. Для проверки домена можно провести около 50 различных тестов. С их помощью анализируются ссылки, проверяется, как давно этот домен был создан, кто и где его зарегистрировал, какова его история. Это важная информация, ведь несущие угрозу домены зачастую мигрируют. Полученные данные коррелируются с базой данных mail-репутации. Это необходимо, поскольку спам-сообщения содержат ссылки на вредоносные сайты, что влияет на веб-репутацию. Также мы отслеживаем, какие сайты порождают вирусные угрозы.

Помимо веб-репутации, мы используем такой критерий, как «категория», определяемый пользователями. На первый взгляд, эти понятия близки, однако есть важные отличия. Так, если взломан государственный сайт, его веб-репутация меняется с высокой на низкую, но он по-прежнему относится к категории «government».

PCWeek/UE: Насколько быстро система реагирует на запрос пользователя об определении веб-репутации? Сколько времени занимает внесение информации о ресурсе в базу данных?

Ф. Д.:
Эта услуга предоставляется в режиме реального времени. Сканирование определенного домена занимает несколько миллисекунд. Кроме того, как только мы замечаем, что домен был взломан, мы немедленно меняем имеющуюся по нему в базе данных информацию. Естественно, существует некоторое время ожидания сканирования каждого сайта, поскольку интернет — огромное пространство.

PCWeek/UE: Какие преимущества предоставляет механизм анализа поведения в продукции Trend Micro на примере интернет-провайдеров?

Ф. Д.:
Поведенческий анализ интернет-сервисов несколько отличается от подобного анализа компьютеров. Последний проверяет операции с файловой системой, например, при помощи Trend Micro Endpoint Protection.

Уровень интернет-провайдеров — лучшее место для отслеживания и ликвидации вредоносного трафика, ведь таким образом провайдеры защищают собственную инфраструктуру. Приложения Trend Micro для поведенческого анализа проверяют трафик, создаваемый пользователями, на предмет всевозможных отклонений. Например, если есть система, которая запускается ежедневно в 3 часа ночи и отправляет по тысяче электронных писем, провайдер ее проверяет. Если с этой почтой все в порядке, проблем не возникает. Динамическая система, запускающаяся в разное время и также отправляющая сообщения, может заразиться какими-то вирусами или просто работать со сбоями. Поэтому наши системы проверяют трафик. Если один из IP-адресов был атакован, угрозе подвергается вся сеть (например, если он атакован ботом, вся сеть получает спам). Наши приложения отслеживают аномалии в стандартном трафике и сообщают провайдеру о результатах, а он уже определяет дальнейшие действия: блокировать адрес или сообщить его хозяину об угрозе.

PCWeek/UE: Формализовать «вредность» того или иного кода довольно сложно. Каким образом удается разграничить вредоносный и безопасный трафик в каждом конкретном случае?

Ф. Д.:
Конечно, в отдельных случаях это сделать сложно. Система распознавания сама по себе должна быть достаточно гибкой. Вообще, весь трафик — и передача файлов, и онлайн-общение — может быть проверен с помощью эвристических инструментов. Сканирующее приложение, находящееся между двумя системами, может проверять передающийся этими системами файл на предмет его предназначения и функций. Таким образом, у нас есть виртуальная среда, которая анализирует особенности поведения файла и принимает соответствующее решение о принадлежности трафика к вредоносному или безопасному.

PCWeek/UE: Могут ли сторонние производители использовать репутационные базы Trend Micro?

Ф. Д.:
Да, для защиты от современных угроз наши партнеры (например, Cisco, Linksys) и клиенты (Sony) используют в своих решениях репутационные сервисы от Trend Micro. Мы не собираемся препятствовать такому общению и со своей стороны работаем в направлении интеграции решений.

Допустим, продукт Trend Micro защищает шлюз, а решение стороннего вендора — конечные точки. В этом случае пользователь может отправить все log-файлы на внешний сервер sys.log и затем воспользоваться информацией из баз данных сторонних вендоров. Наши базы могут быть интегрированы со сканирующими устройствами других компаний, то же касается и других решений безопасности, которые уже были установлены на рабочих станциях клиентов.

PCWeek/UE: Компаниям, которые занимаются защитой, приходится вести с киберпреступниками игру на опережение. Ожидается ли в ближайшее время возникновение принципиально новых видов интернет-угроз?

Ф. Д.:
Коренного изменения видов угроз не будет. Бизнес-модель кибер-преступников очень проста: чем больше компьютеров находится под их контролем, тем больше денег они получают. И они будут продолжать работу в том же направлении — трояны, спам-боты. Вредоносное ПО, основанное на устаревающих методах, будет постепенно уходить со сцены. В связи с усложнением угроз, сигнатуры будут употребляться только в сочетании с другими защитными методами.

Но зато меняется сам интер­нет-контент. В настоящее время сайты создаются сообществами, и кто угодно имеет право разместить информацию на сервере. Возрастает популярность блогов и социальных сетей, и впоследствии увеличится риск получить вирус или просто неправильную информацию именно через блоги. Кроме того, усложняются мобильные сервисы, их количество растет. Это также меняет перспективы атак, поскольку дает новые возможности атаковать пользователя, не имеющего представления о безопасности. Вероятно, в ближайшее время мы увидим появление более сложного, социально-ориен­тиро­ван­ного инжиниринга атак.