Вредоносное ПО: Война без конца

28.11.2013 | 10:36 Аналитика

Мы можем оказаться в тупике. Или, в результате эволюции получим новую кибер-биосферу.
Непрерывно, без признаков завершения, несмотря на расходы, сравнимые с налогом на ведение бизнеса, тянется долгие десятилетия борьба с вредоносными программами.

Сегодня, около 5% среднего IT-бюджета расходуется на безопасность, считает, Джон Пескаторе, директор SANS Technology Institute. Киберпреступность (в том числе вредоносные атаки  изнутри компаний и кражи устройств) стоят американским корпорациям в среднем $11,6 млн. ежегодно, в соответствии с исследованиями октября 2013г., проведенными Ponemon Institute и спонсированными HP Enterprise Security. Эта стоимость демонстрирует 23% увеличение с прошлого года, в среднем это по $8,9 млн. на компанию.

На вопрос, почему война с вредоносными программами идёт без конца, эксперты обычно приводят военную или экологическую метафору. Те, которые придерживаются военной точки зрения, говорят, что недостаток защиты ведёт к безвыходному положению.  Экологически-настроенные не видят ситуацию как победу или поражение — они видят вечный круговорот борьбы между добычей и хищником, и цель не победа, а равновесие.

Выступающий за военную метафору, Дэвид Холзер — директор по исследованиям из Enclave Forensics в Хендерсон, штат Невада говорит: «Мы, по сути, ходим по кругу. Мы улучшаем защиту только после того, как наши противники прорывают оборону. Большая часть программного обеспечения по-прежнему полна уязвимостей, но производители обычно не делают никаких шагов, чтобы их исправить, пока они не станут  публично раскрыты. Кодеры не обучены  безопасности, и «хорошо написано» означает «помещается в бюджет»».
Консультант по безопасности Ленни Зельцер выбирает экологическую метафору.

«Злоумышленники получают преимущество над защитниками, и защитники отвечают. Это часть цикла», говорит он. «Если атакующие побеждают слишком легко, они тратят слишком много, чтобы напасть на нас. Если мы блокируем 100% атак, мы, вероятно, тратим слишком много на оборону. Мы были в состоянии равновесия в течение некоторого времени, и всегда будем. Но, быть самодовольными опасно, так как мы должны постоянно тратить энергию на поддержание равновесия».

События в финансовом секторе предлагают пример, почему важно постоянно применять энергию для поддержания равновесия. В новом докладе Trend Micro отмечено, что нападения, направленные на кражу онлайновых банковских учетных данных недавно выросли до уровня, невиданного с 2002 года.

Тем не менее, эксперты сходятся во мнении, что прогресс налицо, даже если только в поддержании экологического равновесия или военной патовой ситуации.

Победы до настоящего времени

«В настоящее время нет таких видов вредоносных программ, для которых не существует защиты», говорит Рол Сковенберг, исследователь вредоносного программного обеспечения из Лаборатории Касперского.

«Мы не наблюдаем большого распространения вредоносных программ, которое было три или четыре года назад и таких вирусов, как ILOVEYOU 2000», добавляет Уильям Хью Мюррей, консультант по безопасности и профессор Высшей морской школы.
Интервью с аналитиками и руководителями безопасности вендоров McAfee, AVG и Лаборатории Касперского приводят к выводам, что следующие четыре основных оружия, которые делают это возможным:

• Обнаружение сигнатуры. Такой подход дает возможность обнаруживать вредоносный код среди прочего.
• Мониторинг поведения. С помощью этой техники, вы можете отслеживать вредоносную активность в компьютере или определить – будет ли подозрительный файл реагировать на виртуальную приманку.
• Черный список. Это механизм для блокировки доступа к сайтам и файлам, которые включены в чёрный список.
• Белые списки. При таком подходе, по сути противоположном черному списку, пользователям разрешается только доступ к сайтам и файлам из списка безвредных. При этом доступ запрещён к сайтам и файлам, которые не включены в список.

Каждый из четырех подходов имеет своих сторонников и недоброжелателей, и все  вендоры антивирусного программного обеспечения, опрошенные для написания этой статьи, сказали, что они используют комбинацию всех этих четырёх форм оружия.

Другой вид защиты включает брандмауэры, которые могут помешать вторжению (по-крайней мере в ОС Windows он является частью операционной системы), и периодические патчи вендоров для устранения уязвимостей.

Частота кибератак

Частота различных типов атак в течение четырех недель в 60 компаниях:

• Вирусы, черви, трояны 100%
• Вредоносное ПО 97%
• Ботнеты 73%
• Веб-атаки 63%
• Отказ в обслуживании 50%
• Вредоносный код 48%
• Вредоносные инсайдеры 42%
• Фишинг / социальная инженерия 42%
• Украденные устройства 33%

Источник: Ponemon Institute/HP Enterprise Security исследование «Стоимость киберпреступности 2013».

Иногда поднимается вопрос — есть ли более современное оружие, о котором мы ещё не знаем? «Я слышал, что вендоры антивирусного ПО имеют лучшую защиту у себя в рукаве, но предпочитают не демонстрировать, так как это пока не является необходимым», говорит Зельцер.

Вендоры это отрицают. «Наше секретное оружие в действии каждый день — это ежедневная битва», говорит Тони Анскомб, руководитель производителя антивирусного ПО AVG Technologies. Действительно, если бы у производителей было что-то, что может остановить все вирусы, «было бы глупо ждать, чтобы это использовать», говорит Кевин Хейли, пресс-секретарь производителя антивирусного программного обеспечения Symantec. «Это было бы конкурентным преимуществом», помогающим продать больше программ, отмечает он.
В любом случае, конечный результат заключается в том, что в настоящее время  производители защиты от вредоносного программного обеспечения могут реагировать на новый эксплойт («нулевого дня») в течение двух часов с момента появления. Хотя сложные случаи могут потребовать дальнейшего наблюдения, говорит Хейли.

Параллельно были предприняты усилия, чтобы сделать программное обеспечение менее уязвимым для инфекции. Например, Тим Рэйнс, директор Microsoft Trustworthy Computing, говорит, что Microsoft обновила код библиотек, используемых разработчиками для устранения ошибок и уязвимостей.

В результате, отмечает он, уязвимость повреждения стека использовалась 43% эксплойтами в 2006 году, а теперь используется только в 7% случаев. Он также ссылается на исследование, проведенное в 2011 году аналитиком Дэном Камински и другими,  указывающее, что в Microsoft Office 2003 насчитывалось 126 уязвимостей, а в Office 2010 только семь.

Годами выпускаемые патчи, связанные с исправлениями уязвимостей программного обеспечения и загружаемые пользователями, также имели измеримый эффект. Рэйнс  цитирует статистику, полученную из средства онлайн-удаления вредоносных программ Malicious Software Removal Tool, которая показала, что системы с установленными обновлёнными средствами защиты имеют в 5,5 раза меньше шансов заразиться.

По состоянию на декабрь 2012 года, этот показатель составлял 12,2 инфекции на 1000 машин для незащищенных систем против 2 на 1000 для защищенных систем. Глобальная средняя цифра составила 6 инфекций на 1000.

С другой стороны, инфекции все еще случаются. Но даже природа инфекций, похоже, достигла состояния равновесия.

Сегодняшние атаки: две большие категории

Роджер Томпсон, главный исследователь по безопасности в компании тестирования безопасности и дочерней компании Verizon, ICSA Labs, делит наиболее распространенные сегодня инфекции на две категории: APT (advanced persistent threat — расширенные постоянные угрозы) и AFT (another freaking Trojan – очередной троян).

Новые примеры APT-вредоносных программ появляются примерно раз в месяц, они направлены на определенную цель и производятся организациями с впечатляющими ресурсами, способностями и терпением, говорит он. Классическим примером является вирус Stuxnet 2010 года, целью которого, было заставить центрифугу в иранской ядерной исследовательской лаборатории уничтожить себя, вращаясь слишком быстро.

«Все они разные и страшные», отмечает Томпсон.

Что касается AFT, самовоспроизводящиеся вредоносные программы больше не являются  вектором выбора инфекций. Злоумышленники предпочитают запускать drive-by-атаки с зараженных веб-сайтов против жертв, которые были обмануты в посещении. Тем не менее, черви и более старые вредоносные программы по-прежнему скрываются в Интернете, и незащищенная машина может заразиться в считанные минуты.

Среднегодовая стоимость киберпреступности

Эти затраты являются измеренными по частоте атак в 60 протестированных компаний

• Отказ в обслуживании — $ 243 913
• Вредоносные инсайдеры — $ 198 769
• веб-атаки — $ 125 101
• Вредоносный код — $ 102 216
• Фишинг / социальная инженерия — $ 21 094
• Украденные устройства — $ 20 070
• Ботнеты — $ 2088
• Вирусы, черви, трояны — $ 1324
• Вредоносное ПО $ 997

Источник: Ponemon Institute/HP Enterprise Security исследование «Стоимость киберпреступности 2013».

Приобретение новых троянов, кажется, ограничивается только способностью исследователя для загрузки примеров. Эксперты сходятся во мнении, что сотни тысяч могут быть собраны ежедневно. Многие примеры являются членами давно существующих семейств вредоносных программ, которые были недавно перекомпилированы, и некоторые вредоносные веб-сайты приспособили под себя их полезную нагрузку — создали уникальный файл для каждой drive-by-атаки. Существует, вероятно, не более тысячи таких семейств, так как существует конечное число способов взять машину под контроль без аварийного отказа, отмечает Томпсон.

Начальная инфекция обычно является компактным механизмом самозагрузки, который загружает другие компоненты. Она может сообщать злоумышленнику, какой компьютер  заражен, и злоумышленники могут затем решить, как использовать жертву, объясняет Зельцер.

Сейчас, инфицированная домашняя система, как правило, захватывается атакующими для собственного использования. Компьютер малого предприятия — объект для кражи банковских данных, в то время как у крупных предприятий, цель, как правило, промышленный шпионаж, объясняет Мюррей.

В то время как производители средств защиты от вредоносного ПО приняли многоцелевую стратегию, атакующие сделали то же самое. Например, пишут вредоносные программы, которые не проявляют активность, пока не увидят, что они не в виртуальной машине, используемой, чтобы обмануть вредоносное ПО и заставить его выдать себя.

Между тем, злоумышленники создали свою собственную экономику, с разделением труда. «Некоторые из них хорошо разрабатывают вредоносное ПО, другие хороши в заражении систем, третьи — эксперты в получении денег от инфекций, например, путем рассылки спама или путем запуска ddos-атак или хищения данных», говорит Зельцер.

«Вы можете купить программное обеспечение, необходимое, чтобы взять под контроль аккаунт, а затем нанять работников, чтобы конвертировать деньги в наличные», добавляет Мюррей.

Новые поля сражений, включая XP и Android

Многие эксперты ожидают увидеть не только продолжение цикла нападения и защиты, они также предвидят дополнительные будущие опасности: Windows XP может стать непригодной из-за ситуации с окончанием поддержки, а также Android-среда смартфонов  может стать следующим раздольем для вредоносных программ.

Кроме того, Windows Vista больше не получает массовую поддержку, но Microsoft объявила, что компания будет продолжать выпуск обновлений для системы безопасности ОС до середины апреля 2017 года.

Windows XP, выпущенная в 2001 году, всё ещё широко используется, но Microsoft  прекращает выпуск обновлений безопасности для неё в апреле 2014 года. После этого, Microsoft продолжит выпуск обновлений для системы безопасности Windows 7 и Windows 8, и после выпуска каждого обновления, вирусописатели будут пользоваться реверс-инжинирингом, чтобы идентифицировать уязвимости, которые они исправляют,  предсказывает Рэйнс.

«Затем они будут проверять XP на наличие этих уязвимостей, и если уязвимости есть, злоумышленники будут писать код эксплойта, чтобы воспользоваться ими», говорит Рэйнс. «Поскольку XP никогда больше не получит ни одного обновления, то вирусописатели будут всегда в сценарии нулевого дня. Если злоумышленники смогут выполнить удаленный код по своему выбору в этих системах,  антивирусной защите будет очень тяжело эффективно работать. Ситуация будет всё хуже и хуже, и в конце концов вы не сможете доверять операционной системе XP».

«Люди не должны  пользоваться XP», соглашается Сковенберг. «Во времена, когда она была написана, вредоносные проблемы были совсем другие, чем сегодня. У неё нет  стратегии по смягчению последствий и она чрезвычайно уязвима».

Тем временем, Android, идет вполне достойно на смартфонах. По данным Gartner, в третьем квартале этого года он продаётся лучше, чем iOS-телефоны от Apple, что делает его огромной мишенью для взломщиков.

Эксперты проводят параллель между развитием Android, и ранней историей рынка ОС Windows, с производителями оборудования, адаптирующими стороннюю операционную систему для своих продуктов, не уделяя внимание обеспечению безопасности. А Android  Market и дополнительное привлечение телекоммуникационных операторов является осложняющим фактором.

Среднее количество дней для решения проблем после атак (в 60 протестированных компаниях)

 Вредоносные инсайдеры включают сотрудников, временных сотрудников, подрядчиков и, возможно, партнеров по бизнесу.

• Вредоносные инсайдеры — 65,5
• Вредоносный код — 49,8
• Веб-атаки — 45,1
• Отказ в обслуживании — 19,9
• Фишинг / социальная инженерия — 14.3
• Украденные устройства — $ 10.2
• Вредоносное ПО- 6.7
• Вирусы, черви, трояны — 3
• Ботнеты — 2

Источник: Ponemon Institute/HP Enterprise Security исследование «Стоимость  киберпреступности 2013».

«Это не похоже на случай с Apple, которая может передавать обновления безопасности для каждого iPhone в мире за один день», говорит Сковенберг». «С Android, производитель должен написать патчи, а затем пройти через сертификацию у оператора перед тем, как патчи будут развернуты. Предполагая, что ваш телефон по-прежнему получает обновления безопасности, могут пройти месяцы, прежде чем вы реально получите их. Такой вариант неприемлем с ноутбуками».

«ОС Android находится в таком же положении, как и Windows несколько лет назад — ей не хватает защиты», добавляет Йоханнес Ульрих, глава отдела исследований в SANS Technology Institute, который сертифицирует специалистов по компьютерной безопасности.

Есть ли надежда?

Возвращаясь к экологической метафоре, иногда воздействие астероида приводит к вымиранию видов. И, действительно, многие источники указывают на вымирание некоторых типов событий в короткой истории вредоносной биосферы.

Томпсон, например, указывает на то, что принятие Windows 95 привело к  вымиранию  вредоносного ПО, написанного под MS-DOS, так как был добавлен защищённый режим, который не позволял одной программе перезаписать данные другой. Microsoft Office 2000 привёл к вымиранию вредоносных программ на основе PDF для макросов Office 1995, добавлением функции, которая требует разрешение пользователя, прежде чем макрос запустится. Windows XP Service Pack 2 в 2004 году установкой брандмауэра Windows по умолчанию, уничтожила ещё одно поколение вредоносных программ.

«Но, пока не наблюдается в поле зрения событие, которое сотрёт с лица земли существующие  трояны», говорит Томпсон.

Даже, если бы случилось такое чудо, злоумышленники могли бы прибегнуть к убедительным e-mail письмам, телефонным звонкам, улыбающимся лицам или другим  нетехническим манипуляциям, обычно называемым «социальный инжиниринг».

«Успех социальной инженерии является феноменальным», говорит Джон Стрэнд, тестер проникновения в сеть из Black Hills Information Security.

Люди будут звонить, притворяясь, что они из службы поддержки, предлагая пользователю  загрузить инфицированное программное обеспечение. Или присылать правдоподобные письма, такие как уведомление о доставке, которые могут побудить пользователей кликать по зараженным ссылкам, объясняет он.

А ещё, существует программное обеспечение, которое предлагает пользователю отключить антивирусную защиту «для обеспечения совместимости». «Я не думаю, что есть легальное программное обеспечение, которое нуждается в отключении защиты безопасности для совместимости», говорит Сковенберг. «Но, некоторое программное обеспечение просит вас  отключить защиту на время установки, создавая прецедент, так что пользователи думают, что все в порядке, когда они получают письмо с сайта, в котором просят отключить антивирус».

Даже если пользователи обучены противостоять подобным уловкам, улыбающиеся люди с блокнотами и поддельными бэджами могут появиться на ресепшене, говоря, что они должны проверить серверное помещение под каким-то предлогом, и они, вероятно, будут допущены, говорит Стрэнд.

Кроме того, большое количество учётных данных для входа в корпоративные сети всегда раздолье для различных вредоносных сайтов, потому что люди регистрируются на сторонних сайтах, используя свои служебные адреса электронной почты и пароли, а эти сайты могут быть позже взломаны, добавляет Стрэнд.

Удерживать оборону

«Хорошей новостью является то, что защититься от большинства вредоносных программ сравнительно легко, если вы используете обновлённое антивирусное программное обеспечение, запускаете брандмауэр, получаете обновления безопасности и используете надежные пароли», говорит Рэйнс. «Эти методы могут блокировать большинство атак,  используемых сегодня, и, вероятно, помогут в дальнейшем».

«Лучшие методы, о которых я говорил людям около 10 лет назад, всё ещё актуальны сегодня», добавляет Хейли. «Используйте хорошее программное обеспечение безопасности, обновления системы и пользуйтесь здравым смыслом. Не открывайте письма, которые кажутся подозрительными».

Наконец, Пескаторе предлагает искать метафоры в области общественного здравоохранения (а не в военной или экологической) о жизни с вредоносными программами. «Мы научились мыть руки и держать выгребную яму на определенном расстояние от питьевой воды», отмечает он. «У нас всё еще есть простуда, и иногда случаются эпидемии — но если мы быстро реагируем, то можем ограничить количество жертв».