CC BY
373. Bell D. E., LaPadula L. J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976, MTR-2997 Rev. 1.
4. Sandhu R., Coyne E. J., Feinstein H. L. and Youman C. E. Role-based Access Control Models. IEEE Computer (IEEE Press), vol. 29, no. 2, 1996.
5. Kononov D. D., Isaev S. V. [The security model for cross-platform web services of municipal procurement support]. Prikladnaya diskretnaya matematika. 2011, No. 4, P. 48-50 (In Russ.).
© Кононов Д. Д., 2016
УДК 004.056.57
ИССЛЕДОВАНИЕ ОСОБЕННОСТЕЙ ПОВЕДЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КЛАССА КРИПТОРОВ-ВЫМОГАТЕЛЕЙ
Д. В. Смирнов*, И. А. Лубкин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: denilon@mail.ru
Изложен результат работы по исследованию вредоносного программного обеспечения (ВПО) класса крип-товымогателей под ОС Windows. Данный результат может быть использован при разработке системы защиты информации от крипторов.
Ключевые слова: криптор, криптовымогатель, штатная программа.
RESEARCHING FEATURES OF CRYPTO-RANSOMWARE BEHAVIOR D. V. Smirnov*, I. A. Lubkin
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: denilon@mail.ru
There is a result of research on crypto-ransomware for OS Windows. This result can be used in the development of information protection systems from crypto.
Keywords: crypto, crypto-ransomware, authorized program.
Вредоносные программы с целью вымогательства - на данный момент дешифраторы есть для
появились примерно в 2005 году [1]. С тех пор основ- небольшого числа вирусов, и даже в этом случае
ной подход не поменялся, эволюционировали лишь не гарантируется восстановление поврежденных дан-
механизмы защиты ВПО от исследования или обна- ных [4];
ружения антивирусными программами [1]. В послед- 2) средства автоматизированного резервного ко-
ние годы резко возросла активность шифрующих про- пирования:
грамм-вымогателей, согласно информации поставщи- - необходимость периодического инициирования
ка антивирусного программного обеспечения «Лабо- процесса резервного копирования;
ратория Касперского»: «... количество атак шифро- - обязательно наличие свободного места в защи-
вальщиков выросло за год в 5,5 раза: со 131 111 попы- щенном хранилище;
ток заражения пользователей наших продуктов 3) системы антивирусной защиты:
в 2014-2015 годах до 718 536 в 2015-2016 годах» [2]. - невозможность создать полную базу сигнатур
Несмотря на то, что в данный момент существует крипторов;
множество современных систем защиты от ВПО, - ошибки первого и второго рода эвристических
полноценная защита от крипторов до сих пор не обес- анализаторов и т. д.
печена [3]. Приведем пример недостатков наиболее Также распространению крипторов среди всех
распространенных средств и способов защиты ин- вредоносных программ способствовали следующие
формации в контексте защиты от крипторов: особенности работы шифровальщиков (они присущи
1) дешифраторы: значительной части образцов):
- невозможность создать универсального дешиф- - отсутствие потребности в запуске под привиле-
ратора для всех типов вредоносного ПО. Это объяс- гированной учетной записью (пример-исключение -
няется использованием крипторами различных крип- шифровальщик Petya, который шифрует не отдельные
тоалгоритмов и ключевой информации [2]; файлы, а целиком раздел при наличии привилегий;
<Тешетневс^ие чтения. 2016
при запуске под ограниченной учетной записью оказывается неработоспособным);
- малограмотность пользователей в области информационной безопасности (крипторы часто приходят на электронную почту жертвам в виде исполняемых файлов, замаскированных под документы; сценарий заражения - «троянский конь»);
- незаметные для пользователя отличия поведения ВПО данного класса от поведения штатного ПО.
Предложенный в [5] подход к антивирусной защите - расширение политик безопасности - несколько похож на дополнение к замкнутой программной среде ОС Windows, но способ его реализации описан недостаточно подробно, и отсутствует какая-либо информация о степени распространенности данного средства. К тому же для самостоятельной настройки средства требуется высокая квалификация, а следовательно, вопрос практического использования данного средства против крипторов остается открытым.
Цель работы заключается в создании системы защиты от крипторов, учитывающей специфику их работы. Первой задачей для достижения этой цели является исследование свойств поведения крипторов, в частности, в сравнении с особенностями работы штатных программ. Для этого необходимо собрать информацию об этапах работы каждого из классов программ (крипторы и штатное ПО).
Методика сбора информации состоит в следующем: образцы вредоносных программ-шифровальщиков и штатных программ запускаются под учетной записью непривилегированного пользователя на тестовой системе (в разные моменты времени, всегда на изначально незараженной машине), и действия с файловой системой и реестром журналирует программа Process Monitor из набора утилит Sysinternals.
Для удобства анализа из журналов (с помощью вспомогательного ПО) извлекается информация о работе каждой из программ с конкретными файлами и директориями.
Для сбора информации о работе штатных и вредоносных программ с данными сделаем предположение о том, что у этих программ есть как общие черты, так и различия. Чтобы информация была наиболее полной, и тот, и другой классы ПО разобьем на подклассы.
Условно разделим все программы:
1) на специализированные - работают с определенным подмножеством типов файлов, тип обычно задается расширением файлов или определенным именем (расположением временных или конфигурационных файлов, например, программы для проигрывания музыки, системы автоматизированного проектирования, текстовые процессоры и т. д.);
2) программы общего назначения - не фокусируются на определенном расширении (например, файловые менеджеры, оболочки, типонезависимые редакторы вроде шестнадцатиричного редактора и т. д).
Рассматриваемое в работе множество крипторов выбиралось таким образом, чтобы изучить как можно большее количество отличающихся вредоносных образцов, т. е. различные семейства (всего было рассмотрено 20 образцов криптовымогателей); штатные
программы выбирались так, чтобы изучить непересекающиеся множества программ с различным назначением и спецификой для формирования репрезентативной выборки. Всего было проанализировано 14 штатных программ: редакторы, файловые оболочки, браузер, САПР, программа для работы с медиа-файлами, а также программа для анализа использования разделов диска. Особый упор был сделан на изучение ПО, работающего подобно крипторам-архива-торам и штатным программам шифрования.
В результате анализа собранной статистики работы крипторов и штатных программ были обнаружены следующие особенности рассмотренного ПО:
1) легитимные программы общего назначения при поиске (т. е. просмотре директорий) указывали конкретное имя файла или расширение и целевые файлы не меняли;
2) легитимные программы, которые меняли файлы, были специализированными;
3) крипторы обязательно просматривали содержимое директорий (с помощью операции QueryDirectory с аргументом Filter: *) и из этого содержимого выбирали целевые файлы, которые затем перезаписывали;
4) для крипторов был характерен малый промежуток времени между операциями ReadFile/WriteFile. Такое поведение сходно для архиваторов и штатных программ шифрования;
5) архиваторы и штатные программы шифрования при использовании операции QueryDirectory задавали конкретные кусты (в отличие от крипторов, которые определяли любое множество кустов).
Найденные особенности будут использоваться в дальнейшем. Планируется изучить другие этапы работы крипторов более подробно и сравнить их с поведением легитимных программ.
Библиографические ссылки
1. Gazet A. Comparative analysis of various ransomware virii // J. Comput Virol. 2010. № 6.
2. Дрожжин А. История и эволюция программ-вымогателей в цифрах и фактах [Электронный ресурс]. URL: https://blog.kaspersky.ru/ransomware-blocker-to-cryptor/12301/ (дата обращения: 12.09.2016).
3. Молотов М. Вирус-шифровальщик. Большая статья [Электронный ресурс]. URL: https://habrahabr. ru/post/206830/ (дата обращения: 12.09.2016).
4. Титова В. Fantom: шифровальщик, прикидывающийся обновлением Windows [Электронный ресурс]. URL: https://blog.kaspersky.ru/fantom-ransomware/12939/ (дата обращения: 12.09.2016).
5. Щеглов А. Ю. Антивирусная защита. Реализация на основе разграничительной политики доступа к ресурсам [Электронный ресурс]. URL: http:// bezopasnik.org/article/book/8.pdf (дата обращения: 12.09.2016).
References
1. Gazet A. Comparative analysis of various ransom-ware virii. J Comput Virol, 2010, № 6.
2. Drozhzhin A. The history and evolution of ransomware in facts and figures. Available at: https:// blog.kaspersky.ru/ransomware-blocker-to-cryptor/12301/ (accessed: 12.09.2016).
3. Molotov M. Virus-cryptor. The big article. Available at: https://habrahabr.ru/post/206830/ (accessed: 12.09.2016).
4. Titova V. Fantom: cryptor, pretending to be a Windows Update. Available at: https://blog.kaspersky.ru/ fantom-ransomware/12939/ (accessed 12.09.2016).
5. Shcheglov A. Yu. Anti-virus protection. Implementation on the basis of the dividing access to resources policies. Available at: http://bezopasnik.org/ article/book/8.pdf (accessed: 12.09.2016).
© Смирнов Д. В., Лубкин И. А., 2016
УДК 004.056
СПОСОБ ПОСТРОЕНИЯ НЕРАЗЛИЧИМОГО ПРОГРАММНОГО КОДА С ИСПОЛЬЗОВАНИЕМ КЛЮЧА1
М. А. Стюгин1,2, А. А. Овсянников2, Е. А. Кушко2
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
2Сибирский федеральный университет Российская Федерация, 660041, г. Красноярск, просп. Свободный, 79 E-mail styugin@gmail.com
Рассматривается способ построения исполняемого кода приложений, когда отсутствие информации о входных параметрах приложения не позволяет получить какой-либо информации о выполняемых программой алгоритмах. Проблема актуальна для ракетно-космической отрасли, поскольку позволяет запускать вычислительные процессы в недоверенной среде.
Ключевые слова: информационная безопасность, технология движущейся цели, обфускация, неразличимость.
THE METHOD OF CONSTRUCTING INDISTINGUISHABLE CODE BASED ON THE KEY
M. A. Styugin1,2, A. A. Ovsyannikov2, E. A. Kushko2
!Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
2Siberian Federal University 79, Svobodnyi Av., Krasnoyarsk, 660041, Russian Federation E-mail styugin@gmail.com
The present paper reviews an objective of obfuscation, when indistinguishability is considered relatively to programs of different functionality. In this case, an obfuscator is provided with a key at the input. This problem is relevant to space industry because it allows to run computational processes in an untrusted environment.
Keywords: information security, moving target defense, obfuscation, indistinguishability.
Введение. Проблема защиты кода от исследования существует достаточно давно. Последние несколько лет данное направление информационной безопасности претерпело множество изменений. Если раньше обфускация кода представляла собой в некотором роде искусство, то примерно с 2000 годов обфускация все чаще формулируется с использованием требований безопасности, используемых в криптографии.
Формально обфускатор О представляет собой компилятор, основанный на эффективных (имеющих по-
1 Работа выполнена при поддержке гранта Президента Российской Федерации МК-5025.2016.9.
линомиальную сложность) алгоритмах, который получает на вход программу (circuit) P и продуцирует новую программу O(P), которая имеет функциональность, аналогичную P, но при этом является в некотором роде неразборчивой (unintelligible) [1]. С этой точки зрения полученный код O(P) представляет собой «черный ящик», для которого нельзя получить никакой иной информации, кроме той, что можно получить на основе итеративного взаимодействия (oracle access) с P. В работе [2] впервые появилось понятие неразличимого обфускатора.
Неразличимость (Indistinguishability). Для любого вероятностно-полиномиального алгоритма A сущест-
