Ataki wirusów stanowią główne zagrożenie IT. Nie tylko powodują straty finansowe, ale również wykorzystywane są w wielu innych zagrożeniach bezpieczeństwa, takich jak kradzież poufnych informacji czy nieautoryzowany dostęp do ważnych danych. Z kolei branża antywirusowa proponuje wiele nowych podejść do ochrony infrastruktury IT, do których należą między innymi technologie proaktywne, publikowanie uaktualnień pilnych podczas epidemii, znacznie częstsze aktualizacje sygnatur zagrożeń itd. Przygotowujemy serię artykułów poświęconych najnowszym technologiom wykorzystywanym przez firmy antywirusowe. Informacje te pomogą użytkownikom bardziej obiektywnie ocenić skuteczność tych technologii. W pierwszym z artykułów skoncentrowaliśmy się na technologiach proaktywnych.

Ataki wirusów powodują ogromne szkody. Liczba rodzajów złośliwego kodu zwiększa się w coraz szybszym tempie. Pod tym względem rekordowy okazał się rok 2005: według firmy Kaspersky Lab, pod koniec roku średnia liczba wirusów wykrywanych w ciągu miesiąca wynosiła 6 368. Ogólnie liczba złośliwych programów wzrosła o 117%, podczas gdy rok wcześniej o 93%.

Zmieniła się również natura tego zagrożenia. Złośliwe programy nie tylko są znacznie liczniejsze, ale również o wiele bardziej niebezpieczne niż kiedyś. Aby sprostać wyzwaniu, branża antywirusowa rozwinęła nowe podejścia do ochrony, takie jak technologie proaktywne, krótszy czas reakcji na nowe zagrożenia, które mogą wywołać epidemie, oraz częstsza aktualizacja sygnatur zagrożeń. Artykuł ten zawiera szczegółową analizę ochrony proaktywnej, często promowanej przez producentów oprogramowania antywirusowego jako panaceum na wszystkie wirusy, które istnieją w tym momencie albo mogą się kiedyś pojawić.

Wprowadzenie do technologii proaktywnych

We współczesnych produktach antywirusowych wykorzystywane są dwa główne podejścia do wykrywania złośliwego kodu - wykrywanie oparte na sygnaturach i analiza proaktywna/heurystyczna. Pierwsza z metod jest stosunkowo prosta: obiekty na komputerze użytkownika porównywane są z szablonami (np. sygnaturami) znanych wirusów. Technologia ta wymaga nieustannego śledzenia nowych złośliwych programów, tworzenia ich opisów, a następnie dodawania ich do sygnatur zagrożeń. Dlatego firma antywirusowa powinna posiadać sprawne laboratorium antywirusowe zajmujące się śledzeniem i analizą złośliwego kodu. Główne kryteria stosowane przy ocenie skuteczności zaimplementowanej metody opartej na sygnaturach obejmują czas reakcji na nowe zagrożenia, częstotliwość uaktualnień i współczynniki wykrywania.

Metoda oparta na sygnaturach ma wiele oczywistych wad. Głównym problemem jest opóźniony czas reakcji na nowe zagrożenia. Opublikowanie sygnatury zawsze nastąpi z pewnym opóźnieniem w stosunku do pojawienia się wirusa. Współczesne wirusy komputerowe potrafią w bardzo krótkim czasie zainfekować miliony komputerów.

Z tego względu coraz popularniejsze stają się proaktywne/heurystyczne metody wykrywania wirusów. Metody te nie wymagają publikowania sygnatur. Zamiast tego, program antywirusowy analizuje kod skanowanych obiektów oraz zachowanie uruchomionych aplikacji i na podstawie predefiniowanego zestawu reguł decyduje, czy oprogramowanie jest złośliwe.

Zasadniczo technologia ta może być wykorzystywana do wykrywania złośliwych programów, które nie są jeszcze znane. Z tego powodu wielu twórców oprogramowania antywirusowego dość szybko zaczęło reklamować metody proaktywne jako lekarstwo na rosnącą falę nowych złośliwych programów. W rzeczywistości wygląda to trochę inaczej. Aby ocenić skuteczność podejścia proaktywnego i odpowiedzieć na pytanie, czy można je stosować niezależnie od metod opartych na sygnaturach, trzeba zrozumieć, na czym opierają się technologie proaktywne.

Istnieje kilka podejść do ochrony proaktywnej. W tym artykule przyjrzymy się dwóm najpopularniejszym: analizie heurystycznej i blokowaniu zachowań.

Analiza heurystyczna

Moduł analizy heurystycznej przetwarza kod obiektu i stosuje pośrednie metody ustalenia, czy dany kod jest złośliwy. W przeciwieństwie do metody opartej na sygnaturach, za pomocą heurystyki można wykryć zarówno znane jak i nieznane wirusy (tj. te stworzone później niż moduł heurystyczny).

Moduł zaczyna zazwyczaj od skanowania kodu podejrzanych atrybutów (poleceń), które są charakterystyczne dla złośliwych programów. Metoda ta nazywana jest analizą statyczną. Na przykład, wiele złośliwych programów szuka programów wykonywalnych oraz otwiera i modyfikuje znalezione pliki. Moduł heurystyczny analizuje kod aplikacji i w przypadku napotkania podejrzanego polecenia zwiększa dla danej aplikacji stopień klasyfikacji jako podejrzany program. Jeśli po analizie całego kodu aplikacji wartość stopnia klasyfikacji przekroczy predefiniowany próg, dany obiekt uważany jest za podejrzany.

Zaletą tej metody jest łatwość implementacji i wysoka wydajność. Jednak współczynnik wykrywania nowych złośliwych programów jest niski, podczas gdy współczynnik fałszywych trafień wysoki.

Z tego względu we współczesnych programach antywirusowych analiza statyczna stosowana jest w połączeniu z analizą dynamiczną. Celem tego połączonego podejścia jest emulowanie wykonania aplikacji w bezpiecznym środowisku wirtualnym (nazywanym buforem emulacji lub piaskownicą), zanim zostanie ona uruchomiona na komputerze użytkownika. W materiałach marketingowych producenci stosują często inny termin - emulacja wirtualnego PC.

Moduł dynamicznej analizy heurystycznej kopiuje fragment kodu aplikacji do piaskownicy programu antywirusowego i wykorzystuje specjalne techniki w celu emulowania jego wykonania. Jeśli podczas tego "pseudowykonania" zostaną wykryte podejrzane czynności, obiekt zostanie uznany za podejrzany, a jego uruchomienie na komputerze zostanie zablokowane.

Metoda dynamiczna wymaga znacznie więcej zasobów systemowych niż metoda statyczna, ponieważ analiza oparta na tej metodzie wykorzystuje chronione wirtualne środowisko, a wykonanie aplikacji na komputerze jest opóźnione o okres czasu potrzebny na przeprowadzenie analizy. Jednocześnie metoda dynamiczna zapewnia znacznie wyższe współczynniki wykrywania złośliwego oprogramowania niż metoda statyczna przy mniejszych współczynnikach fałszywych trafień.

Pierwsze moduły analizy heurystycznej dostępne były w produktach antywirusowych już jakiś czas temu. Obecnie wszystkie rozwiązania antywirusowe wykorzystują bardziej lub mniej zaawansowaną heurystykę.

Mechanizmy blokowania zachowań

Mechanizm blokowania zachowań analizuje zachowanie wykonywanych aplikacji i blokuje wszelką niebezpieczną aktywność. W przeciwieństwie do modułów analizy heurystycznej, gdzie podejrzane czynności śledzone są w trybie emulacji (heurystyka dynamiczna), mechanizmy blokowania zachowań działają w "naturalnych" warunkach.

Mechanizmy blokowania zachowań pierwszej generacji nie były bardzo zaawansowane. Po wykryciu przez nie potencjalnie niebezpiecznej czynności użytkownik musiał zdecydować, czy zezwolić na czynność, czy zablokować ją. Chociaż podejście to sprawdzało się w wielu sytuacjach, niekiedy "podejrzane" czynności wykonywane były przez legalne programy (łącznie z systemem operacyjnym), a użytkownicy, którzy niekoniecznie rozumieli proces, często nie wiedzieli, o co pyta system.

Mechanizmy blokowania nowej generacji nie analizują pojedynczych czynności, ale sekwencje działań. To oznacza, że określenie, czy zachowanie aplikacji jest niebezpieczne, opiera się na bardziej zaawansowanej analizie. Pomaga to znacznie zmniejszyć liczbę sytuacji, gdy system kieruje do użytkownika pytania, oraz zwiększyć niezawodność wykrywania złośliwych programów.

Obecnie mechanizmy blokowania zachowań potrafią monitorować szereg różnych zdarzeń w systemie. Ich głównym celem jest kontrolowanie niebezpiecznej aktywności, tzn. analizowanie zachowania wszystkich procesów przebiegających w systemie i zapisywanie informacji o wszystkich zmianach dokonanych w systemie plików i rejestrze. Jeżeli aplikacja wykonuje niebezpieczne działania, użytkownik ostrzegany jest o niebezpiecznym procesie. Mechanizm może również przechwytywać wszelkie próby wprowadzenia kodu do procesów. Co więcej, może wykryć rootkity - tj. programy, które ukrywają dostęp złośliwego kodu do plików, folderów i kluczy rejestru oraz sprawiają, że programy, usługi systemowe, sterowniki i połączenia sieciowe stają się niewidoczne dla użytkownika.

Kolejną cechą mechanizmów blokowania zachowań, o której warto wspomnieć, jest ich zdolność do kontrolowania integralności aplikacji i rejestru systemu Microsoft Windows. W tym ostatnim przypadku, mechanizm monitoruje zmiany dokonane w kluczach rejestru i może zostać wykorzystany do określenia reguł dostępu do nich dla różnych aplikacji. Dzięki temu, po wykryciu niebezpiecznej aktywności w systemie można cofnąć zmiany. Można odzyskać system i przywrócić go do stanu sprzed infekcji, nawet po szkodliwych działaniach wykonanych przez nieznane programy.

W przeciwieństwie do heurystyki, która wykorzystywana jest w prawie wszystkich współczesnych programach antywirusowych, mechanizmy blokowania zachowań są mniej powszechne. Przykładem skutecznego mechanizmu blokowania zachowań nowej generacji jest moduł ochrony proaktywnej, w który wyposażone są najnowsze produkty firmy Kaspersky Lab.

Oprócz wszystkich wymienionych wyżej funkcji moduł ten zawiera również wygodny system informowania użytkownika o zagrożeniach związanych z wykrytymi podejrzanymi czynnościami. Każdy mechanizm blokowania zachowań wymaga na pewnym etapie interwencji użytkownika, dlatego użytkownik musi posiadać odpowiednie kompetencje. W praktyce jednak użytkownicy często nie dysponują wystarczającą wiedzą, a wsparcie informacyjne (pomoc przy podejmowaniu decyzji) jest istotnym elementem każdego współczesnego rozwiązania antywirusowego.

Podsumowując, mechanizm blokowania zachowań może zapobiegać rozprzestrzenianiu się zarówno znanych jak i nieznanych wirusów (tj. napisanych już po stworzeniu mechanizmu), co jest niekwestionowaną zaletą tego podejścia do ochrony. Z drugiej strony, nawet mechanizmy blokowania zachowań najnowszej generacji mają poważne wady: działania niektórych legalnych programów mogą zostać zidentyfikowane jako podejrzane. Co więcej, to użytkownik decyduje ostatecznie, czy aplikacja jest szkodliwa, co oznacza, że musi posiadać odpowiednią wiedzę.

Ochrona proaktywna i błędy w oprogramowaniu

W swych materiałach marketingowych i reklamowych niektórzy producenci oprogramowania antywirusowego twierdzą, że ochrona proaktywna/heurystyczna stanowi panaceum na nowe zagrożenia, nie wymaga aktualizacji baz i dlatego w każdej chwili możliwe jest blokowanie ataków, nawet wirusów, które jeszcze nie istnieją. Co więcej, w swoich broszurach i opisach technicznych producenci odnoszą to nie tylko do zagrożeń, które wykorzystują znane luki w zabezpieczeniach, ale także do tak zwanych zagrożeń "zero day". Innymi słowy, twierdzą oni, że ich technologie proaktywne potrafią blokować nawet złośliwy kod, który wykorzystuje błędy w aplikacjach (dla których nie opublikowano jeszcze łat).

Niestety, autorzy tych materiałów albo nie są szczerzy, albo nie w pełni rozumieją tę technologię. Często mówi się, że zwalczanie złośliwego kodu to walka między twórcami wirusów oraz metodami automatycznymi (proaktywnymi/heurystycznymi). W rzeczywistości, walka ta rozgrywa się wyłącznie pomiędzy ludźmi - twórcami wirusów i ekspertami ds. zabezpieczeń przed wirusami.

Opisane wyżej metody ochrony proaktywnej (heurystyka i mechanizmy blokowania zachowań) opierają się na "wiedzy" dotyczącej podejrzanych czynności charakterystycznych dla złośliwych programów. Wiedza ta (tj. zestaw reguł dotyczących zachowań) uzyskiwana jest w wyniku analizy zachowania znanych wirusów, a następnie wprowadzana do programów przez ekspertów antywirusowych. Dlatego technologie proaktywne są "bezsilne" wobec złośliwego kodu, jeśli wykorzystuje on zupełnie nowe metody penetrowania i infekowania systemów komputerowych, które powstały już po opracowaniu reguł; właśnie z taką sytuacją mamy do czynienia w przypadku zagrożeń "zero day". Poza tym, twórcy wirusów intensywnie pracują nad znalezieniem nowych sposobów na obejście reguł zachowań wykorzystywanych przez istniejące systemy antywirusowe, co z kolei znacznie zmniejsza skuteczność metod proaktywnych.

W odpowiedzi na pojawianie się nowych zagrożeń twórcy oprogramowania antywirusowego muszą aktualizować zestaw reguł zachowań i heurystykę. Aktualizacje tego typu nie są tak częste jak w przypadku sygnatur wirusów (szablony kodu), muszą być jednak przeprowadzane regularnie. Wraz ze wzrostem liczby nowych zagrożeń zwiększy się także częstotliwość takich aktualizacji. W rezultacie, ochrona proaktywna stanie się w przyszłości formą metody sygnaturowej, która zamiast na szablonach kodu opiera się na "zachowaniu".

Ukrywając przed użytkownikami potrzebę aktualizacji ochrony proaktywnej, niektórzy producenci oprogramowania antywirusowego oszukują nie tylko swoich indywidualnych i korporacyjnych klientów, ale także prasę. W rezultacie tworzą błędny obraz możliwości ochrony proaktywnej.

Metody proaktywne a metody oparte na sygnaturach

Mimo pewnych wad metody proaktywne wykrywają niektóre zagrożenia, zanim zostaną dla nich opublikowane sygnatury. Przykładem może być reakcja rozwiązań antywirusowych na robaka o nazwie Email-Worm.Win32.Nyxem.e (Nyxem).

Robak ten (znany również jako Blackmal, BlackWorm, MyWife, Kama Sutra, Grew i CME-24) potrafi przeniknąć do komputera, gdy użytkownik otwiera załącznik do wiadomości zawierający odnośnik do stron pornograficznych i erotycznych lub plik w otwartych zasobach sieciowych. W krótkim czasie wirus usuwa informacje na dysku twardym. Kasowane są dane zawarte w plikach 11 różnych formatów (w tym Microsoft Word, Excel, PowerPoint, Access, Adobe Acrobat). Wirus nadpisuje wszystkie użyteczne informacje nic nie znaczącym zbiorem znaków. Inną cechą wyróżniającą Nyxema jest fakt, że robak aktywuje się trzeciego dnia każdego miesiąca.

Grupa naukowców z Uniwersytetu w Magdeburgu (AV-Test.org) przeprowadziła niezależne badanie, w którym oceniła, po jakim czasie różni twórcy oprogramowania zareagowali na pojawienie się Nyxema. Okazało się, że kilka produktów antywirusowych potrafiło wykryć robaka przy użyciu technologii proaktywnych, tj. przed opublikowaniem sygnatur:

W sumie Nyxem został wykryty przy użyciu metod proaktywnych przez osiem produktów antywirusowych. Czy to jednak oznacza, że technologie proaktywne mogą zastąpić "klasyczne" metody oparte na sygnaturach? Z pewnością nie. Analiza skuteczności ochrony proaktywnej powinna opierać się na testach przeprowadzanych na dużych kolekcjach wirusów, a nie na pojedynczych próbkach, nawet jeśli są to najbardziej znane wirusy.

Jednym z nielicznych, cieszących się powszechnym uznaniem, niezależnych naukowców, którzy analizują metody proaktywne wykorzystywane przez produkty antywirusowe na dużych kolekcjach wirusów, jest Andreas Clementi (www.av-comparatives.org). Aby stwierdzić, które programy antywirusowe potrafią wykrywać nieistniejące jeszcze zagrożenia, rozwiązania antywirusowe można przetestować na wirusach, które pojawiły się niedawno, np. w ciągu ostatnich trzech miesięcy. Dla celów testowych programy antywirusowe wykorzystują sygnatury opublikowane trzy miesiące wcześniej, w ten sposób mają do czynienia z zagrożeniami, które są dla nich "nieznane". Właśnie tego typu testy przeprowadza Andreas Clementi.

Wyniki testów przeprowadzonych w 2005 roku pokazują, że najskuteczniejszą heurystykę posiadają rozwiązania firmy Eset, Kaspersky Anti-Virus oraz Bitdefender.

Współczynniki wykrywania proaktywnego (heurystycznego) (Źródło AV-comparatives.org)

W teście wykorzystano kolekcję 8 259 wirusów. Przedstawione wyżej wyniki ukazują, że najwyższy współczynnik wykrywalności wynosił około 70%. To oznacza, że każde z rozwiązań biorących udział w testach przepuściło co najmniej 2 475 wirusów. Bez wątpienia jest to dość spora liczba.

W innym teście skuteczności analizy heurystycznej, przeprowadzonym w marcu 2006 roku przez ekspertów z Uniwersytetu w Magdeburgu (AV-Test.org) dla magazynu PC World, współczynniki wykrywalności uzyskane przez programy, które okazały się najlepsze, nie przekroczyły 60%. Test został przeprowadzony przy użyciu sygnatur sprzed miesiąca i dwóch miesięcy.

Współczynniki wykrywania proaktywnego (heurystycznego ) (Źródło: PC World, AV-Test.org)

Istnieje jednak negatywna strona wysokich współczynników wykrywalności uzyskiwanych przez moduły analizy heurystycznej - są to bardzo wysokie współczynniki fałszywych trafień. Program antywirusowy powinien zachować równowagę między współczynnikami wykrywania a współczynnikami fałszywych trafień. To samo odnosi się do mechanizmów blokowania zachowań.

Wyniki analiz przeprowadzonych przez AV-comparatives.org i AV-Test.org potwierdzają, że same metody proaktywne nie są w stanie zapewnić odpowiednio wysokich współczynników wykrywalności. Doskonale wiedzą o tym producenci oprogramowania antywirusowego, ponieważ pomimo całej retoryki dotyczącej technologii proaktywnych w swoich rozwiązaniach wciąż wykorzystują klasyczne metody oparte na sygnaturach. Twórcy czysto proaktywnych rozwiązań (Finjan, StarForce Safe'n'Sec) muszą zakupić od osób trzecich licencje na "klasyczne" technologie oparte na sygnaturach, aby wykorzystać je w swoich produktach.

Oczywiście metody oparte na sygnaturach również mają swoje wady, jak dotąd jednak branża antywirusowa nie wypracowała żadnej innej metody, która mogłaby zastąpić podejście klasyczne. W rezultacie, podstawowe kryteria oceny skuteczności rozwiązań antywirusowych wciąż będą obejmowały nie tylko jakość ochrony proaktywnej, ale również czas reakcji na nowe zagrożenia wirusowe (czas, jaki potrzebny jest na dodanie sygnatury do bazy danych i dostarczenie użytkownikom uaktualnienia).

Poniżej przedstawiamy średni czas reakcji najlepszych producentów oprogramowania antywirusowego na główne zagrożenia wirusowe, które pojawiły się w 2005 roku. Grupa badawcza z Uniwersytetu w Magdeburgu (AV-Test.org) analizowała czas, jaki potrzebny był producentom na opublikowanie uaktualnień zawierających sygnatury zagrożeń. W analizie wykorzystano różne warianty 16 robaków, które były najpopularniejsze w 2005 roku (między innymi Bagle, Bobax, Bropia, Fatso, Kelvir, Mydoom, Mytob, Sober i Wurmark).

Wnioski

Nasze rozważania na temat technologii proaktywnych można podsumować w następujący sposób. Po pierwsze, proaktywne podejście do zwalczania szkodliwego kodu stanowi odpowiedź branży antywirusowej na rosnącą falę nowych złośliwych programów oraz wzrost tempa ich rozprzestrzeniania. Obecne metody proaktywne są bez wątpienia pomocne w zwalczaniu nowych zagrożeń. Jednak twierdzenie, że technologie proaktywne mogą zastąpić regularne uaktualnienia ochrony antywirusowej jest błędne. W rzeczywistości, metody proaktywne wymagają aktualizacji tak samo jak metody oparte na sygnaturach.

Istniejące technologie proaktywne nie są w stanie same zapewnić wysokich współczynników wykrywania złośliwych programów. Co więcej, wyższe współczynniki wykrywalności zazwyczaj pociągają za sobą wyższe współczynniki fałszywych trafień. W tej sytuacji, wiarygodnym miernikiem skuteczności oprogramowania antywirusowego pozostaje czas reakcji na nowe zagrożenia.

Zapewnienie optymalnej ochrony antywirusowej wymaga wykorzystania zarówno metod proaktywnych jak i tych opartych na sygnaturach, ponieważ najwyższe współczynniki wykrywalności można uzyskać jedynie łącząc te dwa podejścia. Poniżej przedstawiliśmy wyniki testów przeprowadzonych przez Andreasa Clementiego (www.av-comparatives.org) w celu określenia ogólnego (metoda oparta na sygnaturach + heurystyka) poziomu wykrywania złośliwego kodu przez różne programy. Mogłoby się wydawać, że programy, które dobrze wypadły w teście, uzyskały bardzo zbliżone wyniki. Należy jednak pamiętać, że test został przeprowadzony na kolekcji ponad 240 000 wirusów. Tak więc 1-procentowa różnica w wynikach oznacza około 2 400 przepuszczonych wirusów.

Ogólne współczynniki wykrywania (Źródło: AV-comparatives.org)

Użytkownicy rozwiązań antywirusowych nie powinni całkowicie ufać informacjom zawartym w materiałach marketingowych producentów oprogramowania. Skuteczność dostępnych na rynku rozwiązań najlepiej oceniają niezależne testy porównujące ogólne możliwości produktów.

Źródło: Kaspersky Lab