Проактивные системы защиты, или Есть ли жизнь без антивируса?

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Проактивные системы защиты,

или Есть ли жизнь без антивируса?

Антивирусное программное обеспечение так тесно вошло в жизнь каждого пользователя компьютеров, что редко кто задумывается о наличии альтернативного решения. Существуют программы проактивной защиты компьютеров, которые в отличие от реактивных систем, используемых в настоящее время, способны обнаруживать новые угрозы.

Отношения пользователей по отношению к антивирусам варьируется от полной уверенности в защите до осознания того, что главное – выдержать первый удар. Действительно антивирусы сегодня несут уже не столько защитную функцию, а скорее используются как средство оценки нанесенного ущерба и удаления заразы. Антивирусные компании, полностью осознавая то, что вирус – это некий алгоритм, включающий не только программу со всеми командами, но и определенные действия, приводящие к поражению данных, упорно продолжают идти наиболее простым путем. И мы до сих пор пользуемся антивирусами, которые просто сравнивают набор знаков, взятых из антивирусных баз, с другим (файлом пользователя или оперативной памятью).

В итоге традиционные антивирусные решения фактически оказались не способны в одиночку противостоять качественному разнообразию существующих угроз. На одном из курсов, для того чтобы убедить скептиков, я распаковал вирус MyDoom, до этого благополучно распознаваемый антивирусами с обновленными базами, а затем запаковал уже другим упаковщиком. Антивирусы оказались не способны найти модернизированный, но работоспособный вариант вируса. Система обнаружения, основанная на опыте предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Для того чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить специфический только для него фрагмент, и только после этого он будет занесен в базу. На все это уходит некоторое время (а вслучае полиморфного вируса процесс создания сигнатуры может еще более затянуться), в течение которого антивирусы не способны, противостоять новому врагу, но вполне достаточному, чтобы новый червь заразил сотни тысяч компьютеров. Классические сигнатурные антивирусы оказываются не способны предотвратить глобальные эпидемии.

С другой стороны, наблюдение за работой системы либо за основными файлами позволяет определить неприятности и предотвратить нападение, такие системы принято относить к классу систем предотвращения проникновения (Intrusion prevention systems) и проактивным системам защиты. В мире Linux давно известны такие проекты, как LIDS, RSBAC, grsecurity, tripwire и другие которые при правильной настройке надежно защищают систему. В последнее время стало заметно оживление и среди разработчиков систем безопасности для ОС Windows.

 Прежде чем приступить к конкретным решениям, хотелось бы пару слов сказать об проблемах. Первое и самое трудное, что придется сделать – это убедить самого себя в том, что такая утилита способна защитить компьютер или хотя бы отреагировать. В течение двух лет мой подопытный компьютер защищался одним из бесплатных антивирусов, как правило, с базами полугодичной давности, межсетевым экраном и одной из программ, описанных ниже. За это время система подвергалась (и постоянно подвергается) многочисленным атакам, но заражения так и не произошло.

Вполне возможно, что просто повезло, а может, пора действительно пересмотреть взгляды. Но вся загвоздка в том, что утилиты требуют от пользователя определенных знаний и некоторого понимания происходящего в системе. Появление нового процесса должно насторожить пользователя, он должен как минимум прочитать предупреждающее сообщение и затем принять верное решение. Щелчок по кнопке без раздумий может привести к заражению. Хотя стоит отметить, что в последнее время такие программы, задают уже меньше вопросов, самостоятельно принимая решение.

Далее, если утилиты отреагируют на новый процесс, вызванный атакой червя, то, вполне возможно, смогут проспать макровирус, если он будет заражать только файл шаблонов или рабочий документ без создания новых файлов и процессов. Но в большинстве своем они реагируют на возникшую проблему. Естественно, лучше всего подобные программы устанавливать на «чистую» систему, так легче будет контролировать добавление программ в «белый» список. Плюс ко всему поведенческие программы не всегда могут остановить проникновение, и для того чтобы вылечить или найти зараженные файлы, все равно необходимо использовать антивирус, поэтому такие средства следует относить скорее к вспомогательным (подстраховочным), основной их задачей остается недопущение эпидемий, поскольку они могут блокировать массовые заражения. Для основной защиты по-прежнему необходимо использовать связку – межсетевой экран + антивирус.

Часовой по имени Scotty

Начну с программы, которой пользуюсь уже более двух лет. WinPatrol (http://www.winpatrol.com) текущая версия 9.1, статус freeware, поддерживаются Windows 95, 98, ME, 2000, NT и XP, размер – 0.98 Кб.

WinPatrol делает снимок критических системных ресурсов и предупреждает в случае любых изменений. После запуска в трее возле часов появится значок с изображением собаки, названной Scotty the Windows Watch Dog. Вот теперь этот самый Scotty WWD безустанно и будет следить за всем, что происходит на доверенном ему компьютере, «разнюхает» все о саморазмножающиеся вирусах, Adware, Spyware, троянах, пробравшихся на ваш компьютер и, конечно, Cookies, которые будут поступать к вам постоянно. Scotty позволяет подтверждать установку любых новых программ на компьютере. Вызвав программу, получим окно программы с несколькими вкладками (рис. 1):

• Startup Programs – позволяет просмотреть все запущенные приложения, остановить или вообще удалить из автозапуска ненужные, получить информацию о каждом (имя, версия программы, ключ реестра и пр.) или нажатием кнопки «Full Report» получить отчет о всех программах за один раз. При первом запуске Scotty просматривает список автоматически запускающихся программ и при его изменении предупреждает об этом пользователя.
• IE Helpers – контроль за Browser Helper Objects, т.е. информация об имеющихся объектах, запрос на установку новых объектов, удаление подозрительных объектов. Надо сказать, что Browser Helper Objects запускаются каждый раз вместе с Internet Explorer (который стараниями Microsoft является неотделимой частью систему), в том числе и при открытии папок на локальном компьютере. Поэтому при их помощи можно без проблем следить за пользователем, что и применяется в программах типа SpyWare.
• Scheduled Task Monitoring – отображение запланированных задач, контроль над добавлением новых и получение дополнительной информации о планируемых работах
• Services – отключить или временно остановить запущенные сервисы и получение дополнительной информации о них. Чтобы не выискивать подозрительные программы в большом списке, можно включить пункт «List non-Microsoft services only», убрав таким образом системные.
• View Active Tasks – получение информации о запущенных на данный момент программах и задачах, уничтожение и приостановка ненужных и подозрительных. Также при помощи этого пункта можно разобраться в работе запущенной системы, т.е. узнать, для чего предназначена та или иная программа.
• Cookies – информирование о появлении новых Cookies, отклонение, управление и просмотр информации записанной в Cookies для принятия решения. Можно также составить правило фильтрования для Cookies, которые всегда должны удаляться (Cookies with Nuts).
• Options – установка опций самой программы. Здесь же устанавливается контроль за подменой домашней страницы в веб-браузере, реакция на изменение файла hosts или его полная блокировка, выведение полного отчета по системе, ведение истории изменений.
• File Types – позволяет просматривать, контролировать и восстанавливать измененную ассоциацию приложений с расширениями файлов.
• PLUS – зарегистрировавшись, вы получаете доступ к сетевой базе данных программ, цель которой помочь пользователям разобраться в списке незнакомых названий, ведь надпись servise.exe в таблице процессов большинству ничего не скажет. На момент написания статьи регистрация была бесплатной.

Рисунок 1. Основное окно WinPatrol

Менеджер процессов AnVir Task Manager

Первое, что приходит в голову после знакомства с менеджером процессов AnVir Task Manager (http://anvir.com/anvirrus.exe), что это не серьезно. Виной является небольшой размер программы, чуть меньше 380 Кб. А зря. Несмотря на такой маленький размер, программа помогает:

• получить полную информацию о запущенных процессах (путь к файлу, описание, время работы, родительский процесс, командная строка, использование процессора, памяти, список используемых dll, файлов, драйверов, потоков, окон и пр.);
• вылечить зараженный компьютер от вирусов, spyware и резидентных вирусов-троянов;
• управлять приложениями, запускающимися при старте Windows, с возможностью отложенного (через 1 минуту) запуска и блокировки добавления новых программ (рис. 2).

Рисунок 2. Предупреждающее сообщение AnVir Task Manager

При помощи AnVir Task Manager возможно остановить любой процесс, изменить приоритет, добавить в автозагрузку (рис. 3).

Рисунок 3. AnVir Task Manager позволяет получить полную информацию о процессах

Антивирусная база содержит только наиболее распространенные вирусы, все запускаемые программы и записи реестра автоматически проверяются на наличие вирусов. Кроме всего прочего, в трее отображаются иконки загрузки процессора и диска, а из консоли управления можно быстро получить доступ к основным системным утилитам.

Перехват системных вызовов с Safe’n’Sec

Российская компания StarForce (http://www.star-force.ru) уже давно известна своим одноименным механизмом защиты дисков от нелегального копирования. Новая разработка Safe’n’Sec, представленная в ноябре прошлого года, практически сразу получила признание и была названа журналом PC Magazine/RE антивирусом месяца. При этом Safe’n’Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы. Для малых и средних предприятий, а также индивидуального использования предназначена версия Personal. В корпоративной версии Safe’n’Sec Business имеется административная консоль, которая позволяет системному администратору дистанционно инсталлировать и настраивать программу на компьютерах пользователей.

Версия 1.1, актуальная на момент написания статьи, доступна в двух вариантах – усеченная Safe’n’Sec ver. 1.1 и полная Safe’n’Sec ver. 1.1 + antivirus. Последняя, как понятно из названия, включает возможность антивирусной проверки. Основу продукта составляет модуль Intelligent activity control, позволяющий обнаруживать комбинированные атаки, предотвратить попытки внести изменения в системный реестр или состояние сервисов операционной системы, открыть доступ к регистрационным данным пользователя и пр. При этом механизм принятия решения Safe’n’Sec действует на основе правил, учитывающих все возможные последовательности действий, классифицируемых как вредоносные. Защита всех данных на компьютере пользователя осуществляется в соответствии с политикой контроля активности, определяющую, какие действия и их последовательность нужно считать вредоносными. На данный момент имеются три политики – жесткая, строгая и доверительная. После обнаружения подозрительного приложения Safe’n’Sec самостоятельно принимает решение об его вредоносности и уведомляет пользователя, который должен определить, что делать с таким приложением (разрешить или заблокировать) (рис. 4).

Рисунок 4. Предупреждающее сообщение Safe’n’Sec

Причем для упрощения принятия решения доступна история активности, по которой он может подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать. Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.

Всесторонний контроль с RegRun

RegRun Security Suite (http://www.greatis.com) работает со всеми версиями Windows. Еще один комплект средств для защиты компьютера против вирусов или троянцев, spyware и adware. Он доступен в трех основных вариантах: Standart (для обычных пользователей, обеспечивает легкое управление и безопасность), Professional (имеет дополнительные возможности по работе с системным реестром, позволят быстро оптимизировать системные параметры и обеспечить надежную защиту), и самые большие возможности имеет Gold, предназначенная для профессионалов. По ссылке http://www.greatis.com/security/rus.exe доступен русификатор программы, к тому же на сайте http://www.ruhelp.narod.ru имеется неофициальный перевод файла помощи, облегчающий знакомство с программой.

После запуска RegRun активизируется защита, определяемая уровнем безопасности – от низкого до ультравысокого. В Центре Управления RegRun настраиваются параметры работы основных модулей (рис. 5). Например, «WATCH DOG» обеспечивает контроль за автозагрузкой в течение работы, он может быть настроен на проверку конфигурации автозагрузки при старте и выключении Windows либо через заданные промежутки времени. Если при проверке обнаруживаются изменения, пользователь будет извещен об этом, и дополнительно запустится утилита Start Control, при помощи которой можно получить детальную информацию об автоматически запускаемых программах.

Рисунок 5. Центр Управления RegRun

Одной из самых полезных функций является File Protection, защищающая компьютер от вирусов, троянов и работающих со сбоями программ. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в «Мои документыRegRun». Правда, само хранилище почему-то программа никак не защищает и на подмену файлов никак не реагирует.

При обнаружении модификации защищаемых файлов будет выведено предупреждение, с указанием размера и даты создания обоих файлов. Теперь этот файл можно копировать, переименовать, удалить, открыть или просканировать антивирусной программой. Для поиска вирусов, не известных антивирусным программам, RegRun открывает и контролирует множество программ-«приманок», если обнаруживается изменение любого из этих файлов, RegRun сообщит о присутствии вируса. Для Windows такой приманкой является файл winbait.exe, автозапуск которой заносится в реестр и сравнивается с winbait.org, кроме того, предусмотрена возможность добавления своего подконтрольного файла. RegRun имеет базу данных приложений, которая содержит описание наиболее часто встречающихся программ, помогающую пользователю определить принадлежность к одной из четырех групп: необходимые, бесполезные, опасные и по вашему выбору. RegRun проверяет присутствие любых потенциально опасных программ и информирует пользователя о них, кроме того, он совместим со всеми известными антивирусами, и Антивирус Координатор может быстро проверить файлы, помещенные в автозагрузку. Дополнительно детектор подстановки сравнивает реальный путь к исполняемому файлу с загруженным. Например, если процесс с именем explorer.exe запускается не из папки c:windowssystem, а из другого места, то пользователь будет оповещен. Трассировщик системного реестра Registry Tracer, который имеется в версиях Professional или Gold, позволяет указать список ключей реестра, при попытке изменения которых RegRun выдаст предупреждающее сообщение.

Рисунок 6. Предупреждающее сообщение RegRun Run Guard

Контроль целостности с Xintegrity

Немного другим путем пошли разработчики Xintegrity (http://www.xintegrity.com). Основная задача которой –  контроль целостности и обнаружение любого даже самого незначительного изменения файлов. Кроме контроля содержания файлов, утилита обнаруживает изменения в структуре каталога, включая альтернативные потоки данных (Alternate Data Streams), изменения параметров доступа к файлам, регистрационных данных и сервисах. Для этого первоначально создается база данных, содержащая информацию о контролируемых приложениях. Интересно, что разработчики учли возможность скрытого применения утилиты, и можно задать любое название, расширение и месторасположение баз. Поэтому, назвав файл как-то буднично, например, kursovik.rtf или song.mp3 и положив в группу подобных файлов, можно ее скрыть. При создании базы возможны три варианта: в нее заносятся только контрольные суммы файлов, делается резервная копия всех данных, и резервные копии дополнительно шифруются (256 бит AES). В последних двух случаях, кроме контроля, позволяют восстанавливать измененные файлы. В качестве контрольной суммы можно использовать несколько вариантов – от 128-разрядной хеш-функции MD5 до AES с 256-разрядной длиной ключа. При помощи Xintegrity можно проверять целостность файлов по требованию или запустить ее в фоновом режиме, тогда при обнаружении изменения пользователь будет сразу же уведомлен. Когда Xintegrity обнаружит такой измененный файл, пользователю будет выдана подробная информация о том, как и когда файл был изменен, и при определенных опциях создания базы будет предложено заменить его резервной копией. Например, на рис. 7 выведено различие контролируемого файла и этого же файла, зараженного вирусом Win32.HLLP.Underscore.36864.

Рисунок 7. Xintegrity позволяет сравнить измененный файл с оригиналом

В целях безопасности при открытии базы Xintegrity автоматически проверяет как себя, так и все зарегистрированные базы на предмет целостности. При создании базы данных в нее можно занести все файлы, лежащие в определенном каталоге, либо при помощи набора фильтров отобрать файлы, удовлетворяющие определенным критериям (размер, время модификации или создания, по типу, содержимому, атрибутам и функциональным возможностям). Имеется пункт, включающий в себя все вышеперечисленное, а также поддерживается Drag’and’Drop и вставка файла с буфера обмена. Файлы, расположенные на дисках с файловой системой FAT32, NTFS, и сетевые папки могут быть перечислены в одной базе данных. Как видите, можно задать практически любые условия. Поэтому можно создать несколько баз, в одну собрать исполняемые и системные файлы, в другую – сетевые ресурсы, к которым имеете доступ, в третью – ресурсы, способные работать в сети. И для каждой задать свой режим проверки.

Заключение

Существующие на сегодняшний день решения в области защиты информации эффективны в борьбе с уже известными угрозами и уязвимостями. Время реакции антивирусных компаний после обнаружения неизвестного вируса можно назвать медленным и достаточным для поражения тысяч компьютеров. Но тенденции позволяют говорить о том, что нас ждет появление новых методов распространения угроз, с еще большей скоростью размножения. Новые угрозы требуют нового подхода. В статье описаны только самостоятельные приложения. Между тем производители уже встраивают подобные инструменты в свои утилиты. Например, Tiny Firewall (http://www.tinysoftware.com) содержит Host Security Engine (HSE), по принципу работы несколько напоминающий проактивные антивирусы, а при помощи Track’n Reverse позволяет в случае обнаружения зловредной утилиты вернуть систему в исходное состояние. Или продукт компании Aladdin (http://www.eAladdin.com) eSafe (http://www.esafe.com) использует, кроме традиционных средств, и проактивный антивирус (Proactive Security Engine). По мнению многих аналитиков, ближайшее время пройдет под знаком проактивной защиты.