CC BY
37
№ 3(33) 2011
Д. С. Сильное, аспирант Национального исследовательского ядерного университета «МИФИ», г. Москва
Классификация средств защиты систем удаленного мониторинга вычислительных ресурсов
Существующие средства защиты систем удаленного мониторинга в ряде случаев выполняют поставленные перед ними задачи, но основная масса проблем может быть решена только за счетразработки новых средств.
Введение
Системы мониторинга любого объекта выполняют множество задач, в том числе контролируют работоспособность наблюдаемого объекта. В случае сбоев в работе систем мониторинга невозможно отследить возникающие проблемы, которые в большей или меньшей степени вызывают потери различного рода (финансовые, потери данных и др.), в особенности в системах ответственного назначения. Работоспособность систем мониторинга может быть нарушена из-за ряда факторов, часть из которых устранима. Программные средства защиты существуют для ликвидации факторов, мешающих нормальному функционированию систем мониторинга.
С развитием систем контроля поведения (антивирусы, межсетевые экраны и др.) появилась опасность нарушения функционирования систем мониторинга при их совместной работе. Одной из таких причин являются частые ложные срабатывания антивирусов и межсетевых экранов [1]. Даже при качественной настройке систем контроля поведения ложные срабатывания имеют место, и увеличивается вероятность того, что обычное программное обеспечение (в том числе системы мониторинга), которое не имеет дополнительных защит, может быть ограничено в доступе к ресурсам или же полностью завершено. В ответст-
венных системах, где необходимо производить бесперебойный мониторинг, это недопустимо.
Отключение систем контроля поведения невозможно, так как они защищают систему от вредоносного ПО и различного рода атак. Поэтому необходимо обеспечить совместное функционирование двух систем, но оградить системы мониторинга от воздействия со стороны систем контроля поведения, что возможно в том случае, если система мониторинга работает через каналы, которые не отслеживаются системами контроля, в противном случае нет гарантий стабильной работы. Для этого используются программные средства защиты, которые и обеспечивают работу систем мониторинга вне зависимости от внешних условий.
Рассмотрим области конфликта систем контроля и систем мониторинга, а также средства защиты в данных областях и проанализируем уровень решения поставленных задач.
Такими областями являются:
• связь между клиентом и сервером;
• доступ к ресурсам ЭВМ.
Связь между клиентом и сервером осуществляется без помех в случае отсутствия специальных средств контроля поведения и ограничена лишь периодичностью доступа клиента и сервера к сети Интернет. В случае наличия средств контроля поведения, когда система мониторинга не блокируется
№ 3(33) 2011
умышленно, системами защиты используются недостатки настроек систем контроля поведения. Взаимодействие осуществляется либо напрямую, либо используются сторонние процессы (например, iexplore.exe) для передачи данных от их имени. Подобную технику часто используют вредоносные программы (вирусы, троянские программы) [2]. В случае, когда идет умышленное блокирование системы либо же полное блокирование всех процессов для работы с сетевыми функциями, нет возможности сохранить работоспособность системы. Таким образом, современные средства защиты не могут обеспечить работоспособность в случаях умышленного блокирования или отсутствия недостатков в настройке систем контроля.
Доступ клиента к ресурсам ЭВМ также возможно ограничить системами контроля поведения. Это может быть, например, приостановка работы процесса или частичная блокировка ресурсов. Современные системы защиты позволяют бороться с остановкой работы, но не с блокированием доступа к ресурсам, например в случае умышленного ограничения. Многие антивирусы (такие как Kaspersky Antivirus [2]) могут запретить доступ к файлам так, что средства защиты не смогут обеспечить доступ, и работоспособность приложения нарушится.
Представим классификацию существующих методов защиты систем удаленного мониторинга в виде ЕЯ-модели [4]. Методы защиты следует классифицировать
по двум основным направлениям — по защищаемой области и расположению элементов защиты (рис. 1). Рассмотрим более подробно каждое из направлений.
Области защиты
Ключевыми областями в ЭВМ, которые необходимо защищать, являются файловые системы, сетевые подсистемы и процессы и потоки. Рассмотрим методы защиты для каждого из выделенных направлений.
Методы защиты файлового взаимодействия. Их несколько. Первый — это обход систем контроля за счет внедрения в чужой процесс, например распространенный метод в ОС семейства Windows — внедрение в svchost.exe, которому разрешена любая активность. Такая процедура позволяет обеспечивать взаимодействие с файловой подсистемой, используя недоработки в системах контроля поведения. Другой метод состоит в том, что необходимо обозначить точки, в которых осуществляется контроль со стороны систем контроля, и по возможности обеспечить взаимодействие с файловой подсистемой в обход точек контроля. Еще один метод подразумевает перехват функций WinAPI (таких как OpenFile), реализующих интерфейс для взаимодействия с файловыми элементами, с аналогичным анализом содержимого запроса.
Автором был разработан метод, который сложен в реализации, но более универса-
Метод защиты систем удаленного мониторинга
по защищаемой области
Метод защиты файлового взаимодействия
Метод защиты сетевого взаимодействия
Метод защиты процессов и потоков
по расположению элементов защиты —( Метод защиты уровня ядра
Метод защиты пользовательского уровня Метод защиты прочих уровней колец защиты
Рис. 1. Общая классификация методов защиты
№ 3(33) 2011
лен. Он заключается в перехвате запросов через функционал FS-фильтров (file system filters). Драйвер фильтров устанавливается в операционную систему, а все запросы, инициируемые через WinAPI, преобразовываются в IRP-запросы и подаются на вход фильтра, где принимается решение, отправлять ли дальше данный запрос или удалить его из очереди, тем самым запретив доступ. Драйвер фильтра, занимающий в иерархии более высокий уровень, чем драйвер файловой системы, называется драйвером фильтра файловой системы (file system filter driver). Его способность видеть все запросы к файловой системе и при необходимости модифицировать или выполнять их делает возможным создание таких приложений, как службы репликации удаленных файлов, шифрования файлов, резервного копирования и лицензирования. Используя такой механизм для защиты файлового взаимодействия, можно добиться полного контроля над запросами к файловым системам и определять порядок доступа к защищаемым областям. Кроме того, при правильной настройке фильтр защиты может также контролировать запросы по стороны антивирусов, тем самым ограждая их от потенциальных ложных срабатываний.
Методы защиты сетевого взаимодействия. Из существующих методов один уже был обозначен выше — это внедрение в чужие процессы с целью исполнения в контексте процесса необходимых действий, что необходимо, чтобы обойти запрещающие правила систем контроля поведения. Чаще всего речь идет о процессах, которые расцениваются системами контроля поведения как процессы, которым по умолчанию разрешен доступ в Интернет, например браузеры (к примеру iexplore.exe, firefox.exe), почтовые клиенты (к примеру thebat.exe). Для реализации второго метода, в случае функционирования в виде драйвера, возможно использование API-режима ядра для создания соединений и сетевого взаимодействия; подобный подход используется в ви-
русе Rustock. В случае если системы контроля не имеют «врезок» на уровне NDIS, а используется замена адресов функций в глобальной таблице дескрипторов (GDT), то рассматриваемый метод успешно работает, так как замена в GDT будет эффективна только для приложений пользовательского уровня. Когда системы контроля имеют точки контроля на уровне ядра, гарантированный обход на пользовательском уровне не представляется возможным, поэтому целесообразно разрабатывать методы защиты на уровне ядра. Но данный подход требует повышенных затрат из-за сложности разработки драйверов.
Методы защиты процессов и потоков. Их несколько, один из них — внедрение в чужие потоки, другой заключается в создании потока с собственным кодом в рамках чужого процесса. Кроме того, существует подход, когда создается процесс без окна, он по-особому отображается в диспетчере задач, но для систем контроля поведения он является обычным процессом, и обозначенный подход не дает значимых преимуществ.
Расположение элементов защиты
В большинстве многопользовательских операционных систем приложения отделены от собственно операционной системы: код ее ядра выполняется в привилегированном режиме процессора (называемом режимом ядра, или уровнем ядра), который обеспечивает доступ к системным данным и оборудованию. Код приложений выполняется в непривилегированном режиме процессора (называемом пользовательским, или пользовательским уровнем)с неполным набором интерфейсов, ограниченным доступом к системным данным и без прямого доступа к оборудованию.
ОС Windows, а также большинство UNIX-систем, устроена таким образом, что большая часть ее кода и драйверов использует одно и то же пространство защищенной памяти режима ядра. Это значит, что любой
№ 3(33) 2011
компонент операционной системы или драйвер устройства потенциально способен повредить данные, используемые другими компонентами операционной системы, а также то, что любой драйвер, выполняемый в режиме ядра, имеет фактически полный контроль над приложениями пользовательского уровня и, кроме того, может получать доступ к другим драйверам и компонентам уровня ядра.
Таким образом, существует два логически разделенных уровня, имеющих разные возможности и разные ограничения, где существуют собственные методы защиты. Рассмотрим каждый из подходов, определив возможности и ограничения методов, применяемых на этих уровнях для защиты.
Методы защиты пользовательского уровня. На данном уровне не так много методов защиты, потому что на пользовательском уровне нет возможности влиять на работу ОС, а значит системы контроля, которые располагаются на уровне ядра, имеют больше возможностей, и нет гарантированных методов по защите от систем контроля.
Методы защиты уровня ядра. Их не так
много из-за сложности реализации, а также большого объема знаний, требуемых для реализации драйверов на уровне ядра. Один из существующих методов — метод обращения и взаимодействия через ТО/.
Для более глубокого понимания обозначенных методов и средств необходимо рассмотреть их более подробно, углубляясь в детали функционирования ОС в той области, к которой описываемые методы применимы.
Методы защиты прочих уровней. Занимая промежуточное положение, прочие уровни колец защиты не имеют некоторого функционала, который есть на уровне ядра, но имеют определенные ограничения. Кроме того, из режима уровня ядра возможно полное управление программным обеспечением, функционирующим на прочих уровнях, что не является положительным моментом данного подхода.
Заключение
Проблема плохой настройки систем контроля поведения будет существовать всегда из-за того, что нельзя сформировать идеальные правила для любых условий. Хотя разработчики антивирусных продуктов пытаются решить данную проблему за счет обучаемых адаптивных систем, динамически подстраивающихся под каждую систему в отдельности, тем не менее рассмотренный метод лишь уменьшает число плохо настроенных систем, а не решает проблему полностью. Таким образом, существующие средства защиты систем удаленного мониторинга в ряде случаев выполняют поставленные перед ними задачи, но основная масса проблем может быть решена только за счет разработки новых средств.
Одним из возможных решений является организация передачи данных (по сети и к файловой системе) в обход систем контроля поведения, что позволит не зависеть от межсетевых экранов и антивирусов и обеспечит беспрепятственную работу систем удаленного мониторинга. Подобное решение достигается путем поиска и анализа точек контроля, в которых системы контроля поведения производят перехват запросов и построение модели взаимодействия в обход указанных областей.
Описок литературы
1. PCSL Greater China Region False Positive Test [Электронный ресурс] URL: http://www.pcsecuritylabs.net/ document/report/2011_JAN_Greater_China_Region_ False_Positive_Test_English.pdf (дата обращения: 14.04.2011).
2. «Лаборатория Касперского» сообщает об обнаружении нового буткита [Электронный ресурс] URL: http://www.cybersecurity.ru/crypto/119305. МтЦдата обращения: 14.04.2011).
3. Лаборатория Касперского — Антивирус [Электронный ресурс] URL: http://www.kaspersky.ru/ (дата обращения: 14.04.2011).
4. Biaha М. Patterns of Data Modeling (Emerging Directions in Database Systems and Applications). CRC Press, 2010.
