Бот-сеть обходит антивирусную защиту и средства контроля за доступом

На конференции Interop, которая прошла в Нью-Йорке 25 октября, прозвучало весьма оптимистичное заявление. Представители фирм-производителей уверили присутствующих, что средства наблюдения за поведением приложений способны остановить зараженных червем Storm клиентов даже после того, как им предоставит полный карт-бланш система NAC. Однако один из экспертов заметил, что на такой исход у пользователей, применяющих методы трехлетней давности, нет никаких шансов.

“Многие из тех, кто твердит о превосходстве своих систем над антивирусным ПО, полагаются на выявление аномального поведения (или предотвращение вторжений) при анализе сетевого трафика, — отметил в интервью eWeek Джошуа Кормэн, главный стратег в области безопасности IBM Internet Security Systems. — Но новый Storm тоже не новичок в своем деле”. Он прячется в засаде, образованной зараженной подсетью, исподтишка прослушивает окружение, дожидаясь системных обменов. “Такие боты не тратят лишних усилий на поиск новых целей”, — констатирует эксперт и добавляет, что черви, на которых рассчитаны правила обнаружения, — давно пройденный этап. Методы борьбы с ними были разработаны еще до 2004 г., поэтому сегодня “и близко не стоят” к тому, с чем приходится сталкиваться специалистам в этой области. “Нынешнее поколение вредителей стало гораздо тише и незаметнее”, — предупреждает Кормэн.

В ходе Interop он выступил с докладом о вызовах со стороны всё более изощренных кибер-угроз. Особое внимание при этом было уделено бот-сети червя Storm, которая обходит антивирусные программы посредством механизма “горячего” исправления (hot fix), вносимого в оперативную память. Такой способ как бы отключает мозг антивирусных средств, оставляя их в состоянии активности.

Как следует из опубликованного 22 октября сообщения аналитика SophosLabs Ричарда Коэна, бот-сеть Storm рассылает файлы вызова подпрограммы, которая заставляет Windows извещать зараженную сеть о запуске новых процессов. После этого червю остается только сверять имена запускаемых процессов со своим списком и “убивать” некоторые из них.

Операция Storm

Зараженные червем Storm машины производят серию атак на другие компьютеры, поэтапно рассылая ряд исполняемых файлов. Примерный порядок их действий приведен ниже.

  1. game0.exe — открывает лазейку и производит загрузку
  2. game1.exe — ретранслирует SMTP
  3. game2.exe — считывает адреса электронной почты
  4. game3.exe — рассылает вирус по электронной почте
  5. game4.exe — производит распределенную атаку типа “отказ в обслуживании” (DDOS)
  6. game5.exe — обновляет копию червя Storm

На каждом из этапов зараженная система связывается с бот-сетью, но обнаружить такое подключение в огромном потоке запросов DNS невероятно трудно.

Источник: Wikipedia.

Но этим дело не ограничивается. Новые версии Storm не завершают опасные для себя процессы, а накладывают программные заплаты на точки их загрузки. В результате процесс антивирусной программы попросту изображает свою работу, оставаясь безопасным для червя. “Программы — причем не только файлы .exe, .dll и .sys антивирусных средств, но даже приложения P2P наподобие BearShare и eDonkey — кажутся работающими вполне нормально, хотя на самом деле ничего делают. А ведь это вызывает гораздо меньше подозрений, чем внезапное прекращение процесса извне”, — пишет Коэн в своем сообщении. При таком подходе пользователь даже не замечает бездействия антивирусной программы. Более того, эта технология способна обмануть даже системы контроля за сетевым доступом NAC, которые не допускают регистрации небезопасных клиентов в сети, следя за работой их антивирусных средств и наличием всех необходимых заплат.

“NAC продолжает функционировать, но с отключенным мозгом, — пояснил Кормэн в своем выступлении на Interop. — А это гораздо хуже, чем полное отключение подсистемы, поскольку открывает для Storm-ботов путь в сеть, которая считается надежно защищенной средствами контроля за доступом”.

Участвовавшие в работе экспертной группы NAC представители фирм ConSentry Networks, Juniper Networks и MacAfee признали, что возможности их технологий в этом плане не безграничны. Зараженное устройство, если только на нем продолжает работать антивирусное ПО, может свободно выходить в сеть. Здесь необходим второй рубеж, основанный на анализе поведения системы. “Этот пример наглядно показывает, почему одной только блокировки с помощью NAC недостаточно”, — отметил Мишель Маклин, директор ConSentry Networks по маркетингу. С ним согласился и старший директор по маркетингу продукции MacAfee Вимал Солонки. По его словам, после рубежа NAC в целях дополнительной безопасности нужно еще проверить, какие устройства и как работают. А Кормэн добавил к этому, что было бы неплохо по-прежнему оснащать системы предотвращения проникновений средствами обнаружения червей.

В унисон с производителями высказался и представитель пользователей — главный менеджер по информатизации школьного совета округа Upper Canada Джереми Хоббс. Он отметил в своем выступлении, что необходимо следить за поведением всех компонентов даже после того, как они получили доступ в сеть. Вот только как это обеспечить на практике? Ведь в 120 школах его округа учится 30 тыс. школьников, работает 5000 преподавателей и администраторов, насчитывается 9000 персональных компьютеров с Windows. А на них приходится всего 34 ИТ-специалиста, которые занимаются буквально всем, начиная с развертывания программ PeopleSoft и Microsoft Exchange и заканчивая обслуживанием ПК на местах. В таких условиях анализом сообщений об аномальном поведении здесь занимается только один сотрудник, да и то наряду с другими делами. А ведь отличить опасный трафик от слегка подозрительного не так-то просто.

Как же, спрашивается, отсеять угрозы наподобие Storm из обычного трафика? Выход из положения Хоббс видит только один: производителям следует оттачивать функциональность своей продукции в этом направлении.

Версия для печати (без изображений)