W roku 2012 każdego dnia powstawało i rozprzestrzeniało się średnio 70 000 – 100 000 nowych rodzajów złośliwego oprogramowania – to ponad 10 razy więcej niż w 2011 i ponad 100 razy więcej niż w 2006 roku. Raport 2013 Security Report firmy Check Point wykazał, że 63% firm było zainfekowane botami, a ponad połowa z nich przynajmniej raz dziennie była infekowana nowym złośliwym oprogramowaniem. Konwencjonalne podejście do zabezpieczania się przed wirusami nie ma szans sprostać takiemu przyrostowi.
Najciemniej pod latarnią
Ciche wirusy, czyli najczęściej wykorzystywany rodzaj ataku, są trudne do wykrycia i zaprojektowane tak, by działać w sposób niewykrywalny dla działów IT. Kod większości tego typu wirusów jest wpleciony w zawartość plików, z których wszyscy korzystają na co dzień w pracy – emaile i załączniki, włączając w to dokumenty Word, PDF, arkusze Excel itp. Narzędzia hakerów potrafią odpowiednio ukryć wykonywalne skrypty w celu zamaskowania uruchamiania złośliwych operacji, które mogą polegać na dokonywaniu zmian w rejestrze systemu, bądź ściągnięciu pliku, który niepotrzebnie uruchomiony infekuje całą sieć w jakiej się znajduje.
- Mimo, iż wielowarstwowa ochrona wykorzystująca systemy IPS/IDS potrafi skutecznie zablokować część złośliwych operacji, to jednak takie podejście nie powstrzyma w zupełności wszystkich infekcji, które docierają i rozprzestrzeniają się w sieci. Nowe wirusy lub nowe ich warianty nie posiadają sygnatur, które mogłyby rozpoznać konwencjonalne techniki ochrony. Antywirusy, antyspyware i podobne rozwiązania mogą być użyteczne w przypadku „czyszczenia” środowiska po ataku, jednak często okazują się nieefektywne pod kątem ochrony przed nowymi rodzajami złośliwego oprogramowania.
Czasami dla zobrazowania problemów bezpieczeństwa, posługujemy się porównaniem do kontroli granicznej, przy której wykorzystuje się cały szereg technik obserwacji ludzi przyjeżdżających do danego kraju w celu namierzenia osób, które mogą stanowić potencjalne zagrożenie. Nowe techniki bezpieczeństwa pozwalają także badać w czasie rzeczywistym wiadomości email, pliki oraz dane wchodzące do sieci za pośrednictwem załączników czy pobrań ze stron web. Złośliwe pliki mogą wtedy zostać odizolowane już na poziomie bramy, czyli na samym krańcu sieci, lub w chmurze – w zależności od decyzji biznsowej firmy. W takim przypadku nie dochodzi do infekcji wewnątrz sieci. Rozwiązania takie dostarczają dodatkowej warstwy ochrony przeciwko atakom.
Skanowanie w poszukiwaniu wirusów
Proces izolowania i badania plików jest wykonywany z użyciem techniki zwanej „emulacją zagrożeń” (sandboxing). Podobnie jak rentgen przy kontroli granicznej, technika ta pozwala na zajrzenie do wewnątrz podejrzanego pliku, który znalazł się w systemie – może to być załącznik email lub plik ściągnięty ze strony internetowej. Zawartość pliku jest badana w odizolowanej strefie zwanej „sandbox”. Ta niezależna, zwirtualizowana wersja środowiska komputerowego działa jak poligon doświadczalny dla najróżniejszych aplikacji, które mogą stanowić zagrożenie, bądź dokonać szkód w prawdziwym systemie.
- We wspomnianym środowisku sandbox, plik zostaje uruchomiony i monitorowany w czasie rzeczywistym pod kątem nietypowych działań, takich jak próby wykonywania zmian w rejestrze lub nawiązywania połączeń sieciowych. Jeżeli działanie pliku okaże się podejrzane lub szkodliwe, zostaje on poddany kwarantannie, co powstrzymuje wszelkie możliwości infekcji jeszcze przed momentem, kiedy plik przedostanie się do sieci i wyrządzi szkody. Następnie mogą zostać podjęte kolejne kroki w celu zidentyfikowania i sklasyfikowania nowego zagrożenia w celu ułatwienia detekcji przy kolejnej próbie ataku.
Tworzenie środowiska sandbox
Mechanizm emulacji zagrożeń działa na poziomie hypervisor, który równolegle obsługuje kilka środowisk w celu przeprowadzenia symulacji: Windows XP, 7 i 8, Office 2003, 2007 i 2010, środowiska Adobe 9 oraz zwritualizowane instancje najczęściej wykorzystywanych aplikacji Office, takich jak Word, Excel, Power Point i innych. Jako że większość nowoczesnego złośliwego oprogramowania wykorzystuje techniki inżynierii społecznościowej w celu nakłonienia użytkownika do kliknięcia z pozoru niewinnie wyglądającego załącznika lub ściągnięcia pliku, badanie plików na wirtualnych platformach działających w oparciu o te popularne systemy i aplikacje daje największe szanse na powstrzymanie infekcji.
- Wybór plików uznawanych za podejrzane i wymagających kontroli – przykładowo droga, którą dostały się na środowisko sandbox – jest dokonywany online na bramie bezpieczeństwa lub w chmurze, za pośrednictwem agenta zainstalowanego na firmowym serwerze. Pliki mogą być wybierane również z szyfrowanego ruchu wchodzącego do firmowej sieci za pomocą tuneli SSL i TLS, gdyż w przeciwnym przypadku pomijany byłby mechanizm bezpieczeństwa wymagany w wielu branżach.
- Wybór plików do analizy oparty jest o heurystykę i inne metody analityczne. Na przykład jeżeli instancje tego samego pliku znalazły się już wcześniej na gatewaye’u lub zostały wychwycone przez agenta email, system przyjmie założenie, że ten plik może być elementem ataku phishingowego wymierzonego w wielu pracowników. Takie podejście optymalizuje i przyspiesza analizę poprzez wyselekcjonowanie tylko podejrzanych plików przeznaczonych do dokładniejszego badania. Gdy pliki zostaną już wybrane, zostają przesłane do środowiska sandbox uzbrojonego w mechanizm emulacyjny, który działa na firewallu bądź w chmurze.
Wykrywanie zagrożeń
Pliki przesłane do środowiska testowego są kopiowane do różnych wirtualnych instancji systemów operacyjnych i aplikacyjnych. Następnie mechanizm bada je w pięciu następujących krokach:
- Jeżeli plik przerwie działanie wirtualnej instancji programu, lub dokona próby rozpakowania i podmiany innych dokumentów, to zostanie oznaczony jako szkodliwy. Również odwołania do plików .dll lub .exe są uznawane za nietypowe i potencjalnie złośliwe.
- Wirtualny rejestr jest sprawdzany pod kątem wszelkich zmian wywołanych przez plik – jest to charakterystyczne zachowanie złośliwego oprogramowania, który nie powinien być skutkiem otworzenia zwykłego dokumentu.
- Monitorowaniu podlegają również systemy plików i procesy – tak jak w punkcie powyżej, dokument bez złośliwej zawartości nie powinien wprowadzać tam żadnych zmian.
- Mechanizm emulacyjny bada, czy nawiązywane są nowe połączenia za pośrednictwem sieci web – np. w celu komunikacji z centrum sterowania lub do pobrania złośliwego kodu.
- Na koniec system tworzy raport ze wszystkich działań, które wystąpiły na skutek uruchomienia pliku. Raport zawiera zrzuty ekranu środowiska testowego. Powstaje również znacznik „fingerprint” danego pliku, który umożliwia szybką identyfikację pliku przy następnym teście.
Złośliwe pliki wykryte przez mechanizm podlegają kwarantannie, wobec czego nie mają prawa dotrzeć do użytkownika i zainfekować zaufaną sieć. Nawet złośliwy kod, który został zaprojektowany tak, by wykrywać próby uruchomienia go na wirtualnym środowisku, nie jest w stanie pominąć zabezpieczeń sandbox. Taki kod może próbować ukryć swoje działania lub nie podejmować szkodliwych akcji podczas pracy na wirtualnym środowisku w celu uniemożliwienia wykrycia. Taki „kamuflaż” jest bowiem sam w sobie sygnałem wskazującym na to, że plik jest złośliwy i takie działania są wykrywane przez mechanizm emulujący a następnie zanotowane w końcowym raporcie jako podejrzane.
Cały proces dla większości plików odbywa się w sposób niewidoczny dla użytkownika. Oznacza to, że nawet w rzadkich przypadkach, gdy plik został skierowany do inspekcji a mimo to okazał się „czysty”, odbiorca tego pliku nie zaobserwuje żadnego przestoju w funkcjonowaniu usługi. Informacje na temat działań pliku są dostępne dla działu IT w formie szczegółowego raportu zagrożeń.
Rozpowszechnianie informacji na temat zagrożeń na skalę globalną
A gdyby tak, zaraz po wykryciu i zablokowaniu pliku w trakcie emulacji, firmy miały możliwość podzielenia się informacją na temat zagrożenia z innymi firmami, żeby mogły także uniknąć takiej infekcji? W końcu została utworzona sygnatura nowego wirusa, więc można ją wykorzystać, aby uniknąć szerzenia się zagrożenia.
To właśnie główne założenie usługi ThreatCloud firmy Check Point, która umożliwia rozpowszechnianie wiedzy zebranej na temat wroga. Podobnie jak międzynarodowe organizacje zdrowia współpracują przy zwalczaniu pojawiających się chorób, wymyślając szczepionki i opracowując inne formy leczenia, tak podejście ThreatCloud polegające na wspólnej bazie wiedzy zmniejsza czas pomiędzy wykryciem zagrożenia a możliwością ochrony przed nim. Gdy nowe zagrożenie zostanie oznaczone, szczegóły dotyczące wirusa (takie jak adres IP, URL lub DNS) są automatycznie wysyłane do ThreatCloud i rozpowszechniane wśród subskrybentów usługi. Przykładowo jeżeli jakiś wirus będzie wykorzystany do wymierzonego ataku na bank w Hong Kongu i zostanie wykryty podczas emulacji, to sygnatura tego wirusa zostanie rozesłana do bram bezpieczeństwa na całym świecie w ciągu kilku minut. Dzięki swego rodzaju „szczepionkom” dla firm przeciwko atakom, emulacja zagrożeń zmniejsza ryzyko epidemii włamań i zwiększa ogólny poziom bezpieczeństwa.
autor: Materiały prasowe