Как защититься от вирусов антивирусом?

Современные вредоносные программы, создаваемые профессиональными программистами, работающими в составе жестко структурированных криминальных систем, уже не позволяют защититься от вирусов, просто поставив антивирус. В связи с этим в предыдущей статье* уже говорилось о том, что технические специалисты, отвечающие в своих компаниях за информационную безопасность, должны уметь в совершенстве использовать программные продукты и их компоненты, а в случае возникновения новых угроз — уметь обосновать необходимость закупки новых продуктов или их компонентов.

Вполне ожидаемо в комментариях было высказано обвинение в скрытой рекламе. Поэтому необходимо прояснить, почему некоторые вендоры, и в частности «Доктор Веб», предлагают такую широкую линейку средств защиты информации. Действительно, нельзя отрицать желание любого вендора продавать все продукты, имеющиеся в продуктовой линейке, — их разработка должна окупаться. Но почему создавались все эти продукты? Разве дело только в стремлении компании составить предложение на все случаи жизни, или разработчики антивирусного ПО по своим должностным обязанностям знают несколько больше о реальности тех или иных угроз и, как герои Сервантеса, хотят достичь благой цели полной защищенности своих клиентов? Попробуем разобраться**.

Одной из самых актуальных целей для создателей вредоносных программ на данный момент являются системы дистанционного банковского обслуживания. Поэтому именно эти угрозы мы и рассмотрим подробнее.

Зайдем на http://updates.drweb.com и в поиске введем Carberp. Итого для обновлений за 2012-03-02 (дата на момент написания статьи):

Trojan.Carberp.14(2) Trojan.Carberp.15(7) Trojan.Carberp.194 Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198 Trojan.Carberp.199 Trojan.Carberp.200 Trojan.Carberp.201 Trojan.Carberp.202 Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206 Trojan.Carberp.207 Trojan.Carberp.208(14) Trojan.Carberp.209 Trojan.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214 Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218 Trojan.Carberp.219 Trojan.Carberp.220 Trojan.Carberp.221 Trojan.Carberp.222 Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227 Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231 Trojan.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235 Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239 Trojan.Carberp.240 Trojan.Carberp.241 Trojan.Carberp.242 Trojan.Carberp.243 Trojan.Carberp.244 Trojan.Carberp.245 Trojan.Carberp.246 Trojan.Carberp.247 Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251 Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255 Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259 Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263 Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267 Trojan.Carberp.29(14) Trojan.Carberp.33(10) Trojan.Carberp.45(4) Trojan.Carberp.5(3) Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80 

Как известно, троянцы семейства Trojan.Carberp нацелены на хищение денежных средств компаний и частных лиц. Распространяется Trojan.Carberp с использованием набора эксплойтов Black Hole Exploit Kit — коллекции уязвимостей, эксплуатирующих ошибки и недокументированные возможности современного ПО, в частности, браузеров и операционных систем. В большинстве случаев жертве Black Hole не нужно предпринимать вообще никаких действий для того, чтобы «получить троянца»: заражение происходит автоматически при просмотре инфицированных веб-сайтов.

Разработкой и «продвижением» Trojan.Carberp занимается организованная группа злоумышленников: разработчики находятся в одной стране, серверы, с которых непосредственно распространяется троянец, — в другой, организаторы — в третьей.

На данный момент ситуация с Trojan.Carberp напоминает ситуацию с прошлогодним WinLock’ом — новые модификации, протестированные заранее на последних версиях антивирусов, выходили ежедневно. И, естественно, антивирусам требовалось время, чтобы начать удалять новый для них вид угрозы. При этом Trojan.Carberp гораздо опаснее — если WinLock просто не давал работать, блокируя доступ к ОС, и требовал отправки СМС, то Trojan.Carberp направлен на длительную работу в системе.

Если посмотреть на назначение самого Trojan.Carberp, то он непосредственно служит для хищения паролей от программ ДБО (дистанционного банковского обслуживания) и торговых платформ, а также кражи паролей от других программ (браузеров, месседжеров, ftp-клиентов, почтовых клиентов, и т. д.), напоминая тем самым знаменитый Zeus. Более того, Trojan.Carberp может реализовать и функционал по заказу — благодаря расширяемой архитектуре данная троянская программа имеет возможность скачивать специальные встраиваемые дополнения (плагины) для выполнения других деструктивных действий.

Подытоживая, можно отметить, что современные вредоносные программы:

1.             Создаются профессионалами и на момент создания зачастую не обнаруживаются антивирусами — и, более того, предпринимают попытки удаления антивируса.

2.             Используют самые последние разработки в области создания вредоносного ПО. Тот же Trojan.Carberp для перехвата связанной с работой ДБО информации использует различные методы: это логирование нажатий пользователем клавиш, вклинивание в HTTP-трафик в поисках учетных данных и передаваемых значений экранных форм, встраивание в процессы программ системы «Банк-Клиент», создание скриншотов в моменты ввода важной информации, перехваты отдельных функций, которые могут участвовать в передаче данных, поиск и похищение сертификатов и ключей. Все варианты троянцев зашифрованы вирусными упаковщиками. Среди команд, которые способен выполнять Trojan.Carberp, имеются директивы запуска произвольных файлов на инфицированном компьютере, команда установки сеанса «удаленного рабочего стола» по протоколу RDP и даже удаления на зараженном ПК операционной системы. Таким образом, имеется возможность выполнения банковских проводок с использованием удаленного доступа — в уже имеющейся или параллельной сессии.

3.             Отлично маскируются в системе. Trojan.Carberp, запускаясь на инфицированной машине, предпринимает целый ряд действий для того, чтобы уйти от средств контроля и наблюдения. После успешного запуска троянец внедряется в другие работающие приложения, а свой основной процесс завершает, таким образом, вся его дальнейшая работа происходит частями внутри сторонних процессов, что является его характерным свойством. Миф о том, что появление любого вируса можно заметить визуально, изжил себя окончательно.

4.             Конкурируют между собой — в Trojan.Carberp имеется возможность уничтожения «конкурирующих» банковских троянцев.

5.             Действуют в составе ботнетов, управляемых из одного (или нескольких) командных центров. Таким образом, зараженная машина или сеть служит еще и источником заражения.

6.             Благодаря наличию функций удаленного управления и возможности использования плагинов созданы условия для организации атаки на конкретную компанию по заказу извне. На данный момент имеются версии плагинов под большинство известных банковских систем.

Что может противопоставить этому системный администратор, имея в наличии антивирус? Если он использует только антивирус (или точнее — файловый монитор, отслеживающий файловую активность), то ничего. Да, через некоторое время новая зараза будет найдена, но за это время деньги уже уйдут.

Но современный антивирус не равен файловому антивирусу. В его составе есть в том числе и системы ограничения доступа. С их помощью можно разрешить доступ сотрудникам только к избранным сайтам (вспоминаем, что Trojan.Carberp распространяется через взломанные сайты, направленные на публикацию финансовой или бухгалтерской информации). Антивирус имеет функцию проверки ссылок — это тоже нужно использовать. Антивирус не должен позволять сотрудникам изменять настройки самостоятельно по причине, что «все тормозит» — то есть должна быть система централизованного управления, через которую будут распространяться настройки.

Все антивирусы рано или поздно начнут ловить новую модификацию, но одни начнут это делать раньше, другие позже (в том числе и в зависимости от того, где находятся их вирусные аналитики). В связи с этим является правильной практика, рекомендованная СТО БР РФ (и реализуемая в банках) по использованию нескольких антивирусов — до того, как файл дойдет до пользователя, он должен быть проверен двумя антивирусами — например, на шлюзе и почтовом сервере или на почтовом сервере и машине пользователя.

Современные угрозы служат и аргументом для перехода на системы типа Линукс — на данный момент для этой ОС вирусов создано гораздо меньше. Однако смена ОС, с которой будут производиться операции с банком, не является однозначным решением проблемы. Так, уже существует первый банковский троянец для платформы Android — Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.

После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения (на данный момент технология подтверждения платежа по СМС считается самой надежной). Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.

Статистика доступная в сети Интернет показывает, что компании в большинстве своем закупают только системы защиты рабочих станций и (иногда) файловых серверов. Но серверные системы имеют гораздо больше возможностей по фильтрации вредоносного и нежелательного контента!

Практика показывает, что платежи могут осуществляться не только с машин, расположенных в бухгалтерии, но и с личных домашних ПК, а также с мобильных устройств. Таким образом, на данный момент нужно защищать все машины и мобильные устройства, с которыми так или иначе работают сотрудники компании (что, кстати, может служить для них неким бонусом).

В итоге:

1.             Использования собственно антивируса (файлового монитора) недостаточно для защиты от существующих угроз.

2.             Использование системы антивирусной защиты (в терминах компании «Доктор Веб» — комплексной защиты) позволяет в значительной мере снизить риск заражения — в том числе за счет использования системы распределения доступа, проверки на серверных системах и т. д.

3.             Специалисты, отвечающие за безопасность локальных систем, должны уметь в режиме реального времени гибко реагировать на возникающие угрозы — и знание того, как можно использовать имеющиеся возможности систем, что нужно на самом деле закупать, чем аргументировать перед руководством необходимость того или иного решения, для них обязательно.

 * Сисадмин и путь меча http://samag.ru/blog/art/Ask_expert/18

** Конспирологические теории о том, что антивирусные компании сами разрабатывают вирусы, а фармакологи ежегодно выпускают вирусы гриппа в Китае, оставим без внимания.

"Конспирологические теории о том, что антивирусные компании сами разрабатывают вирусы" -- и вот опять, Вячеслав, у Вас прямо какой-то пунктик на эту тему. Если это "бред сивой кобылы", ну зачем же тогда Вы это постоянно пишете? Или все-таки что-то подобное имеет место, отсюда и жалкие попытки оправдаться?

Комментарии могут оставлять только зарегистрированные пользователи