Б01: 10.12731^8^2015-4-5 УДК 004.056.57
анализ современных методов противодействия Антивирусным средствам
тараканов о.в.
Современные разработки вредоносного программного обеспечения (вирусы, черви, троянские программы), все чаще используют в своей основе комплексный подход и объединяют одновременно несколько технологий, которые бы позволили противодействовать антивирусным средствам и средствам защиты информации. Отсутствие определенной классификации направлений противодействия и их подходов создает не однозначное представление о степени угрозы и как следствие, выработки решения, не полностью удовлетворяющего целям устранения угрозы. В рамках представленной статьи впервые построена классификация методов противодействия антивирусам. В представленной классификации выделены два основных подхода воздействия на антивирусные средства направленные и ненаправленные воздействия. Результатом анализа методов воздействия на антивирусные средства явилась классификация ложных срабатываний антивирусов, на основании которой показано, что ложные срабатывания имеют системный характер.
Ключевые слова: антивирус; ложноположительные; ложноотрицательные; вирусы; ретровирусы.
analysis modern methods of combating anti-virus tools
Tarakanov o.v.
Modern malicious software (viruses, worms, trojan programs), even more often use an integrated approach which would allow to attack antivirus software and other types of security software. Lack of a certain classification of the directions and types of such attacks creates security hole because antivirus developers do not understand integrity of problem. That can lead to inability for antivirus software to delete malicious software. Within the presented article, the classification is first time created. In the presented classification, two main approaches of impact on antiviruses: direct approach and indirect. Created classification offalse operations of antiviruses was result of the analysis of methods of impact on antiviruses. The main result is that false operations is not accidental and may be caused regular.
Keywords: antivirus; false positive; false negative; viruses; retroviruses.
По мере развития антивирусного программного обеспечения разработка вирусов идет в двух направлениях: либо избегания взаимодействия с антивирусным программным обеспечением, либо противодействия ему. Избегание взаимодействия или, по-другому, совместное сосуществование вируса и антивируса - тема достаточно обширная и проработанная, чаще всего разработчики
вирусов идут именно по этому пути, исходя из того, что каждая отдельная вычислительная система - лишь отдельный элемент и утрата его, в частности, из-за успешной работы антивируса - вопрос времени и потеря ВС не критична. По-другому дело обстоит, когда каждая отдельная вычислительная система представляет собой определенную ценность, а значит необходимо применять активные действия, то есть противодействовать антивирусу с целью продолжительного собственного функционирования. Одним из таких направлений является генерация ложных срабатываний антивирусного программного обеспечения.
Для проведения анализа существующей проблемы ложных срабатываний, необходимо рассмотреть ранее имевшие место факты ложных срабатываний и их причины, а так же классифицировать возможные методы воздействия на антивирусные средства.
Классификация методов противодействия антивирусным средствам
Вследствие технологической эффективности со стороны антивирусов в борьбе с вирусами, последние все чаще используют одновременно несколько технологий, которые позволяют им успешно противодействовать антивирусным средствам. Методы противодействия можно разделить на два основных направления, каждое из которых представлено достаточно широко. Поскольку воздействия на антивирусные средства обычно носят как явный, так и косвенный характер, то, в зависимости от способов воздействия на антивирусные средства, можно классифицировать два основных подхода: направленное и ненаправленное воздействия.
Первое направление -это «ненаправленное воздействие». Его суть сводится к тому, что, определив отдельные направления противодействия, можно построить классификацию таких подходов (рис. 1).
Ненаправленные воздействия - это такие воздействия, целью которых не являются файлы или процессы антивирусных средств. Фактически можно говорить о попытке пассивного противодействия, когда стоит задача скрыть собственное присутствие в том или ином виде, а не подорвать работоспособность антивирусных процессов. Среди ненаправленных воздействий следует выделить следующие:
* I
а 2
5 ®
6 й я Э £
5 »
<
Г Л к
2 _ Е ¡е я
е * ч
Н « ю & «
& а В и а/ -
о £
IX § « н ч а в в ■С -! § = г =
& ч 5 © 68 " Е 5 5 5
Е £ а и % г я ©
е.
г
1
4 | г & 5 в
^ 5 в я в в
-с
ч /Л
-<
/о*
-с
Я 5
« 3 ^ к
ЧВ1У
ГЬ
-
£
а
с уср
и в и
н а ия
в
т
с
й
е
д
о
в
и
т
о р
п в о д о
т е
ия ц
ацк
и ф
и с с а
с р
• Генерация файлов с вирусными сигнатурами. Целью подобного поведения вирусов может служить стремление скрыть собственные файлы за объемом других специально сгенерированных вирусных файлов. Подобная техника может иметь успех, если скрыть свое нахождение от антивируса невозможно, но можно скрыть обнаружение именно данного типа вируса за массой других сигнатур.
• Сокрытие вирусных файлов. Другим подходом является попытка сокрытия вирусом собственных файлов, либо файлов собственных модулей, либо же дополнительных файлов, которые необходимо изолировать от антивируса. В таком направлении, например, движутся современные разработчики rootkit-вирусов, которые за определенную плату закачивают стороннее программное обеспечение (которое не является частью rootkit-вируса), и часто целью данного программного обеспечения является получение под разными предлогами денежных средств от пользователя. Наряду с простой «закачкой» также предлагается возможность сокрытия отдельных файлов.
• Внедрение вирусного тела в исполняемые файлы. Внедрение вирусного тела в исполняемые файлы осуществляется с целью исполнения определенного кода от имени данного процесса, чтобы скрыть подозрительную активность. Вполне допустимо, с точки зрения вируса, внедрение в процесс iexplore.exe программного обеспечения веб-браузера Internet Explorer с целью совершения сетевых запросов и получения ответов, например, с управляющими командами из центра управления. Основная цель подобно-
го подхода опять-таки заключается не в противодействии антивирусам, а в том, чтобы вирус мог функционировать и не был заблокирован межсетевым экраном или антивирусом.
Вторым направлением противодействия являются методы направленного воздействия, когда вирус непосредственно воздействует на файлы или процессы антивируса. Целью данных воздействий является не только сокрытие факта наличия вируса в системе, но и в ряде случаев вывод антивируса из строя либо компрометация в глазах пользователя с возможным результатом - отключением антивируса самим пользователем. Рассмотрим методы направленного воздействия подробней. К таким методам относятся:
• Модификация конфигурационных и системных файлов операционной системы и антивирусного средства, например, файл hosts с целью блокировки обращений к сайтам антивирусов [1]. Данный подход используется не только против антивирусов, но и с целью блокировки запросов на лицензионную активацию других программных продуктов. Вне зависимости от направленности, целью является предотвращение сетевого взаимодействия посредством ложного DNS-разрешения доменного имени. Данный подход неэффективен в случае, если для сетевого взаимодействия используется не символическое имя, а IP-адрес. Такой техникой часто пользуются сами разработчики вирусов, хотя она и имеет определенные ограничения и неудобства.
• Удаление файлов антивирусных средств[2]. Данный подход является одним из наиболее направленных воздействий, цель которого - полное удаление антивирусного средства. Однако, практическая реализация чаще всего невозможна, либо по причине самозащиты антивирусных средств, либо по причине отсутствия необходимых прав доступа (например, для удаления драйверов/модулей уровня ядра операционной системы).
• Завершение процессов антивирусных средств. Подход предполагает наличие необходимого доступа, который позволит завершать сторонние процессы, выполняющиеся в данный момент в рамках операционной системы. Чаще всего, это простое сравнение списка выполняющихся процессов по заранее заданному шаблону их имен и завершения процессов в случае необходимости [3].
• Генерация ложных срабатываний - как ложноположитель-ных, так и ложноотрицательных.
Большинство классифицированных методов воздействия как направленных, так и ненаправленных, успешно решаются современными антивирусными средствами.
По-другому выглядит ситуация с ложными срабатываниями антивирусных средств. В части ложных срабатываний разработчики антивирусов расценивают их как случайные события, не учитывая возможность умышленного, направленного манипулирования с целью создания ложных срабатываний антивируса. Поэтому исследования в области генерации ложных срабатываний, как одного из методов противодействия антивирусным средствам, являются актуальными и необходимыми.
Анализ ложных срабатываний антивирусных средств
Основной причиной ложных срабатываний антивирусных средств являются случайные ошибки в сигнатурных базах, в коде самого антивирусного средства либо же в часто используемом антивирусами виде файлового сжатия или шифрования. В зависимости от технологии обнаружения вирусов - эвристический метод, использующий определенные шаблоны поведения вирусов или сигнатурный анализ по базе сигнатур, проблема ложных срабатываний присуща обоим из подходов. Это связано с особенностями данных методов и исключить ложные срабатывания полностью невозможно. Однако если эвристический метод основан на элементах балльной системы в части шаблонов поведения анализируемых процессов, не являющихся четкими и жестко предопределенными, а итоговое решение определяется посредство
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.