Основной метод борьбы с вредоносными программами, как и в медицине, - своевременная профилактика. Компьютерная профилактика предполагает соблюдение правил «компьютерной гигиены», позволяющих значительно снизить вероятность заражения и потери каких-либо данных. Уяснение и строгое следование основным правилам поведения при использовании индивидуального компьютера и в сети является важным методом защиты от компьютерных злоумышленников. Всего есть три основных правила, которые верны как для индивидуальных, так и для корпоративных пользователей.
К сожалению, жесткие ограничительные меры могут конфликтовать с пожеланиями каждого конкретного пользователя или с бизнес-процессами предприятия. В таких случаях необходимо искать баланс, причем в каждом отдельно взятом случае этот баланс может быть различным.
3. Следует обращать достаточно внимания на информацию от антивирусных компаний и от экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, новых вирусных угрозах, эпидемиях и т.п. - уделяйте больше внимания подобной информации.
Качество антивирусной программы определяется несколькими факторами; перечислим их по степени важности.
|
Вредоносное ПО эволюционирует вместе с Интернетом. Если ранее действия подобных программ носили деструктивный характер, то на сегодняшний день malware старается скрыть факт “заражения”, чтобы использовать ресурсы вычислительной системы в своих целях. Ботнет – это совокупность сетевых хостов, которые были “заражены” зловредным программным обеспечением (далее malware). Данное ПО незаметно для пользователя контактирует с т.н. C&C (Command and Control) с целью получения команд / отправки информации. Типичное использование ботнетов – рассылка спама, осуществление DDoS атак, кража чувствительной информации (банковские аккаунты, номера кредитных карт, и т.д.). “Заражение” хоста происходит несколькими путями: через вложение в e-mail, через уязвимость сервиса, через скачиваемый файл, и т.д. Самый распространённый способ – drive-by download (загрузка вредоносного ПО с web сайта, происходящая незаметно для пользователя). После того как malware тем или иным способом попадает на хост, как правило, происходят попытки “заражения” соседних станций. Таким образом, в гетерогенной среде распространение может происходить очень быстро. Корпоративные сети не являются исключением, для них так же актуальны данные угрозы, как и для домашних ПК. |
1 ESG APT Survey Октябрь 2011 2 Ponemon 2 ое ежегодное исследование стоимости кибертерорризма Август 2011 3 Исследование Kaspersky lab. 2011 4 Отчет угроз безопасности Sophos 2011 |
|
Предлагаемое решение основано на продукте Anti-bot Software Blade компании Check Point . Anti-bot Software Blade включен в ПО Check Point Security Gateway версии R75.40 и выше. Инсталляция возможна также и в режиме мониторинга, когда осуществляется сбор трафика со SPAN порта. Второй вариант удобно использовать на начальном этапе, когда необходимо определить степень угрозы в конкретной сети, например, процент инфицированных хостов. |
Ключевыми элементом в организации защиты являются две информационные структуры, предоставляемые Check Point: ThreatCloud Repository и ThreatSpect Engine .
ThreatCloud представляет собой распределённое информационное хранилище, которое используется для идентификации заражённых сетевых хостов.
Хранилище наполняется данными, получаемыми из нескольких источников. В первую очередь это обширная сеть сенсоров, которые размещены по всему миру. Также данные собираются с самих устройств Check Point, на которых активирован Anti-Bot Software Blade. Дополнительная информация предоставляется компаниями-партнёрами. С ними осуществляется обмен информацией и репутации IP/DNS/URL.
Ещё одним источником обновлений является подразделение Check Point, занимающееся исследованием (в частности reverse engineering) экземпляров вредоносного ПО. Данное подразделение производит анализ поведения malware в изолированной среде. Информация, полученная в результате анализа, загружается в ThreatCloud.
Информация, содержащаяся в ThreatCloud, является набором адресов и DNS имён, которые используются ботами для коммуникации с C&C. Также там содержатся поведенческие сигнатуры различных семейств malware, и информация, получаемая с сенсоров.
ThreatSpect Engine является распределённой многоуровневой вычислительной системой, которая занимается анализом сетевого трафика и корреляцией полученных данных для обнаружения активности ботов, а также других типов malware.
Анализ осуществляется по нескольким направлениям:
ThreatSpect и ThreatCloud работают совместно – ThreatSpect получает информацию для анализа из ThreatCloud, а после осуществления анализа и корреляции, загружает полученные данные обратно в распределённое хранилище в виде сигнатур и репутационных баз.
Главным преимуществом технологии является тот факт, что, по сути, мы имеем глобальную базу с информацией об активности вредоносного ПО, обновляемую в реальном времени. Таким образом, если происходит массированное заражение хостов в сети одного из участников данной системы, информация об атаке через ThreatCloud поступает другим участникам. Это позволяет ограничить быстрое распространение вредоносного ПО на сети многих компаний.
Следует понимать, что функционал Anti-Bot Software Blade направлен на выявление уже инфицированных станций и минимизацию вреда от них. Данное решение не предназначено для предотвращения заражения. Для этих целей следует использовать другие средства.
Для обнаружения подозрительной активности используются следующие методы:
Анализ инцидентов, зафиксированных Anti-Bot Software Blade, производится при помощи компонентов SmartConsole: SmartView Tracker и SmartEvent. В SmartView Tracker можно получить подробную информацию о трафике, который вызвал срабатывание Anti-Bot Blade. SmartEvent содержит более подробную информацию о событиях. Можно осуществлять группировку по различным категориям, также присутствует возможность анализа событий безопасности за длительный период, генерация отчётов.
Помимо обнаружения угроз, Anti-Bot Software Blade способен предотвращать ущерб, который могут принести инфицированные хосты.
Осуществляется блокировка попыток инфицированного хоста связаться с C&C, и получить от него инструкции. Такой режим работы доступен только когда трафик проходит через гейтвей с включённым Anti-Bot Software Blade (режим inline).
Используется два независимых метода блокировки:
В общем случае информация получается из кэша, но, если обнаружена подозрительная активность, которая однозначно не идентифицируется имеющимися сигнатурами, Anti-Bot Software Blade делает запросы к ThreatCloud в реальном времени.
Обработка информации, собранной при помощи Anti-Bot Software Blade, осуществляется двумя приложениями SmartConsole – SmartView Tracker и SmartEvent . SmartEvent требует наличия отдельного блейда (SmartEvent Software Blade), и крайне рекомендуется к использованию при анализе.
При анализе событий Anti-Bot Software Blade, в первую очередь следует обращать внимание на множественные срабатывания на трафике с одним Source IP и срабатывания, случающиеся с некоторой периодичностью.
Во многом картина зависит от модели поведения бот-программы.
Например, примитивные типы malware делают частые обращения к DNS в попытке разрешить имя C&C. При этом в SmartEvent будет достаточно большое количество однотипных событий с одинаковым Source IP, а отличаться друг от друга события будут только DNS именем в запросе к серверу.
Также следует обратить внимание на множественные одиночные детектирования одного типа malware для разных source IP. Данный метод анализа эффективен, т.к. malware обычно старается распространиться на другие уязвимые хосты в локальной сети. Для корпоративной среды это особенно актуально, и набор ПО, в том числе антивирусного, зачастую одинаков на рабочих станциях. На скриншоте выше показано массовое детектирование одного типа malware. В похожей ситуации стоит выборочно проверить пару машин из списка.
Хотя Anti-Bot Software Blade помогает обнаружить и блокировать активность заражённых malware хостов, в большинстве случаев требуется дополнительный анализ полученной информации. Не все типы malware могут быть легко идентифицированы. Для обработки инцидентов необходимы квалифицированные специалисты, которые будут изучать пакетные трассы, выявлять активность вредоносного ПО. Anti-Bot Software Blade представляет из себя мощный инструмент для автоматизации мониторинга malware активности.
|
В первую очередь необходимо воспользоваться базой Threat Wiki, предоставляемой Check Point. Также для подтверждения заражения хоста следует через Google поискать malware по имени, вероятно удастся найти технические подробности данного вредоносного ПО, что поможет безошибочно его идентифицировать. Например, поиск по имени “Juasek” (название взято из события Anti-Bot Software Blade) позволяет найти много информации о данном malware на сайте Symantec. Также там содержится описание процедуры удаления. Если не преследуется цель изучения malware, то можно воспользоваться одним или несколькими malware removal tool. Самыми популярными являются продукты от Malwarebytes , Kaspersky , Microsoft . |
 |
Ниже представлены результаты суточного мониторинга трафика в организации. На коммутаторе был зеркалирован трафик одного из пользовательских сегментов, идущий к DNS-серверам, и к прокси-серверам. Отчёты получены при помощи ПО Check Point SmartEvent.
 |
 |
За сутки в отчёт Antibot попало 1712 событий, из них уникальных хостов – 134. Результаты выборочной проверки компьютеров.
· использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;
· своевременно устанавливать обновления;
· если существует режим автоматического обновления, включить его;
· для проприетарного ПО: использовать лицензионные копии. Обновления для двоичных файлов иногда конфликтуют со взломщиками;
· помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающеепроактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы). Однако, его использование требует от пользователя большого опыта и знаний;
· постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Ransom (шифрующий файлы), Trojan-Spy, Trojan .Keylogger ) и потенциально-нежелательных программ (Adware, Hoax), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог - подкаталоги /home в GNU/Linux, Documentsandsettings в Windows XP, папка «Пользователи» в Windows 7), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как программы для создания снимков экрана или изменения раскладки клавиатуры);
· ограничить физический доступ к компьютеру посторонних лиц;
· использовать внешние носители информации только от проверенных источников на рабочем компьютере;
· не открывать компьютерные файлы, полученные от ненадёжных источников, на рабочем компьютере;
· использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
· Использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;
· делать резервное копирование важной информации на внешние носители и отключать их от компьютера.
5. Характеристика и назначение основных антивирусных программ (Norton, Kaspersky)
Антивирус Касперского (AntivirusKaspersky) - антивирус разработан «Лабораторией Касперского». «Лаборатория Касперского» - самый известный в России производитель систем защиты от вирусов, спама и хакерских атак. Работает на рынке систем безопасности более 10 лет. Очень надёжная и эффективная программа для борьбы с вредоносным ПО.
Антивирус Касперского (AntivirusKaspersky) состоит из следующих компонентов:
1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.
2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
3. Веб-Антивирус – компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.
Основные функции антивируса Касперского:
– имеет три степени защиты от известных и новых интернет-угроз: проверка по базам сигнатур, эвристический анализатор и поведенческий блокиратор;
– защита от вирусов, троянских программ и червей;
– проверка файлов, почты и интернет-трафика в режиме реального времени;
– защита от вирусов при работе с ICQ и другими IM-клиентами;
– защита от всех типов клавиатурных шпионов;
– обнаружение всех видов руткитов;
– автоматическое обновление баз.
SymantecNortonAntiVirus - продукт американской компании Symantec. Компания Symantec является мировым лидером в области приложений, программно-аппаратных комплексов и услуг, которые помогают конечным пользователям обеспечивать безопасность, готовность и целостность самого важного актива - информации. Неоднократно занимал призовые места в крупнейших международных антивирусных тестах. Нортон Антивирус обладает приятным интерфейсом и удобными настройками.
NortonAntiVirus состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.
Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.
Основные функции NortonAntiVirus:
– находит и удаляет вирусы и программы-шпионы;
– автоматически блокирует программы-шпионы;
– не позволяет рассылать зараженные письма;
– распознает и блокирует вирусы, программы-шпионы и троянские компоненты;
– обнаруживает угрозы типа Rootkit и устраняет угрозы, скрытые в операционной системе;
– функция защиты от интернет-червей: функция осмотра электронной почты и мгновенных сообщений;
– полный осмотр системы позволяет провести тщательный анализ и удалить найденные вирусы, программы-шпионы и другие угрозы
ЗАКЛЮЧЕНИЕ
В данной работе изложена основная часть вредоносного ПО, рассмотрена классификация и выявлены способы борьбы с различными угрозами.
Использование антивирусных программ, создания защищенной локальной сети, установка фильтров на запрещенные сайты с которых возможно проникновение вирусов, подходит для защиты от вредоносного программного обеспечения в компьютерном классе.
СПИСОК ЛИТЕРАТУРЫ
Антивирусная защита ПК. От «чайника» к пользователю: Александр Жадаев - Санкт-Петербург, БХВ-Петербург, 2010 г.- 224 с.
Антивирусы: П. П. Алексеев, А. П. Корш, Р. Г. Прокди - Санкт-Петербург, Наука и техника, 2010 г.- 80 с.
Как защитить компьютер (+ CD-ROM): Василий Леонов - Санкт-Петербург, Эксмо, 2010 г.- 240 с.
Защита компьютера на 100 %. Сбои, ошибки и вирусы: Петр Ташков - Москва, Питер, 2011 г.- 288 с.
Компьютерные вирусы и борьба с ними: А. В. Михайлов - Санкт-Петербург, Диалог-МИФИ, 2011 г.- 104 с.
Технологии борьбы с компьютерными вирусами: С. В. Гошко - Санкт-Петербург, Солон-Пресс, 2011 г.- 352 с.
https://ru.wikipedia.org/wiki/Вредоносная_программа
http://virus.e-pls.ru/index.php/home/2010-01-29-14-24-20
http://www.moluch.ru/conf/tech/archive/5/1115/
Приложение 1
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-02
