Современные методы распостранения ‘ вирусов
Павел АНТОНОВ,
технический консультант Cisco Systems
отя в отличие от фантастики, на наше счастье, прямого влияния на жизнь и здоровье людей компьютерные вирусы не оказывают, но масштабность их воздействия поражает. Так, известный вирус ConfІcker, впервые обнаруженный в ноябре 2008 г., уже к январю
В прошлом году в прокат вышло очередное продолжение известного фильма «Терминатор» - фантастической истории о том, как созданные людьми роботы вышли из под контроля и начали войну против человечества. Между тем и в реальной жизни уже много лет можно наблюдать похожий сценарий -каждый день миллионы компьютеров по всему миру выходят из-под контроля пользователей. Но, в отличие от вымышленной истории, в реальной жизни даже наиболее продвинутые машины не способны самостоятельно принимать решения, они всего лишь исполняют набор инструкций написанных человеком. Такие инструкции, называемые вредоносным кодом, или вирусами, способны самораспространяться, рассылать спам, осуществлять РОоБ-атаки, красть конфиденциальную информацию. Что же сегодня может им противостоять?
2009 г. успел заразить, по разным оценкам, до 10 млн компьютеров. В первое время вирус находился в «спящем» режиме и, кроме выполнения ряда обновлений и саморас-пространения, никаких активных действий не выполнял. Но в апреле прошлого года вирус впервые проявил себя, начав рассылать спам. А значит, созданный вирусом Conficker ботнет* постепенно входит в стадию «коммерческого» использования, и вполне вероятно, что не за горами и ББо8-атаки в исполнении данного ботнета. Операторам связи стоит подготовиться, ведь для них независимо от того, кто будет жертвой этих ББо8-атак, такая активность не останется незамеченной, так как с десятимиллионного ботнета возможно организовать ББо8-атаку с мощностью трафика в десятки гигабит.
Для принятия эффективных мер по защите стоит обратить внимание на фазы развития технологического цикла, продуктом которого является ББо8-атака (рис. 1), среди них:
^ распространение вредоносного кода;
SS выход на связь и получение команды;
SS атака.
В последнее время произошел ряд ключевых изменений как в подходах злоумышленников, так и в защитных технологиях на каждой из фаз данного цикла.
Современные методы распространения DDoS-атак
Изменился основной метод распространения вредоносного кода: в отличие от прежнего способа распространения по электронной почте теперь подавляющая часть заражений происходит при посещении Web-сайтов. Причиной смены канала распространения вирусов для злоумышленников, видимо, стала необходимость обхода средств антивирусной защиты, реализованных на уровне почтовых шлюзов. И действительно, согласно наблюдаемой статистике о почтовом трафике с устройств IronPort E-mail Security, на сегодняшний день соотношение сообщений с вирусами к общему числу е-таП-сооб-щений составляет одно к миллиону.
*Ботнет (англ. botnet от robot и network) - компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами - автономным ПО. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
бо
Век Качества N° 1
Что касается заражения при Web-серфинге, то получить вредоносный код на компьютер можно несколькими типовыми способами. Первый -при посещении сомнительных сайтов, например условно бесплатных сайтов для взрослых или сайтов с пиратским ПО. Создателей таких сайтов, как правило, не заботит репутация ресурса, и заражение посетителей зачастую и является основной целью их существования. Второй способ - при посещении сайта, подвергшегося незаметному взлому (то есть без видимой модификации содержимого), но на страницы которого был внедрен вредоносный активный код, например Java или Active-X-скрипт, выполняющий скачивание вируса на компьютер посетителя. И третий способ представляет собой симбиоз первых двух: распространение ссылок на сайты с вредоносным кодом в сообщениях электронной почты. Такое письмо может не содержать вообще ничего кроме URL-адреса, что делает невозможной идентификацию этого письма как вредоносного при помощи систем защиты от спама и вирусов, работающих на основе анализа содержимого. Классифицировать данное письмо как вредоносное может только решение, оснащенное технологией анализа Web-репутации, например IronPort E-mail Security.
Технологии обнаружения и защиты от вредоносного кода
Раз уж речь зашла о мерах по защите от распространения вредоносного кода, то ее можно и нужно рассматривать как искоренение причин, делающих возможной реализацию DDoS-атак. Если структурировать современные технологии обнаружения и защиты от вредоносного кода, то можно выделить три разновидности таких технологий: сигнатурную, поведенческую и репутационную. Только одной из них уже недостаточно для эффективной защиты от вирусов. А вот комбинация этих методов, реализованная на различных уровнях сетевого взаимодействия, позволяет построить эшелонированную систему защиты, решающую проблему распространения вредоносного кода.
Один из наиболее эффективных подходов - применение сигнатурной и поведенческой технологии на уровне хоста и репутационной технологии - на уровне е-mail и Web-шлюзов. Первые две технологии, реализованные в форме антивирусного ПО и системы Host IPS (прикладная система обнаружения и предотвращения вторжений) соответственно, органично дополняют друг друга.
Сигнатурные методы обнаружения работают по принципу «все,
с с с
что в явном виде не запрещено, то разрешено». Запрет в явном виде означает запрет объектов, описанных сигнатурами конкретных экземпляров вирусов. В этом принципе заложена реактивность, ведь вирус сначала появляется, потом начинает распространяться, затем его начинают анализировать антивирусные компании, после чего создают сигнатуру этого вируса, и, наконец, антивирусное ПО получает эту сигнатуру с очередным обновлением. По времени такая цепочка действий занимает несколько часов, в течение которых антивирусы беззащитны перед новой формой угрозы. Многие современные антивирусы имеют так называемые фильтры предотвращения вирусных эпидемий, позволяющие сократить время ожидания выхода сигнатуры. Но эти фильтры также являются реакцией на появление нового образца вредоносного кода, и проблему реактивности антивирусов они в целом не решают.
Второй подход, поведенческий, лишен данного недостатка, так как действует от об-
ся мониторингом ШеЪ-трафика и оценкой репутации, таких как сеть Яе^егВаБе (www.senderbase.org), используемая в решениях Cisco ІгопРоП.
Однако, несмотря на изобилие технологий и решений, нацеленных на предотвращение вирусных заражений, новые вирусные эпидемии не перестают поражать своими масштабами. Причин тому несколько - это и рост числа пользователей Интернета, и высокая скорость распространения новых экземпляров вредоносного кода, делающая все менее и менее эффективной защиту, основанную только на наличии антивирусного ПО на компьютере пользователя.
Новые технологии блокировки
Помимо технологий по защите от распространения вредоносного кода есть еще одна технология, позволяющая предотвратить создание ботнета в тот момент, когда поезд, казалось бы, уже наполовину ушел, а именно, когда вирус уже попал на компьютер пользователя и пытается выйти на связь с контроллером бот-
ратного - «все, что в явном виде не разрешено, то запрещено». Но для того чтобы р е ал из о в ать такой принцип, система Host IPS должна знать, что такое «нормальное» поведение системы и ПО, чтобы на основании этого знания выявлять «ненормальное».
Для создания шаблона нормального поведения некоторое время придется потратить на обучение и настройку системы.
И, наконец, репутационная технология напрямую адресует новый метод распространения вредоносного кода в Web-трафике. Реализованная на уровне Web-шлюза система анализа репутации проверяет каждый запрашиваемый пользователем ресурс в сети Интернет на предмет того, насколько безопасным будет его посещение. Например, если Web-сайт был зарегистрирован несколько дней назад, и в какой-то момент на этот сайт начался большой поток запросов, чего ранее не наблюдалось, то это есть ничто иное, как один из самых популярных сегодня способов распространения вредоносного ПО. Такая ярко выраженная аномалия в трафике не может остаться незамеченной для специализированных систем, занимающих-
Реализация DDoS-атаки
нета для получения дальнейших инструкций. В специализированных лабораториях пойманные экземпляры вирусов анализируются, определяются не только непосредственно сигнатуры вируса, но и ресурсы, с которыми он пытается выйти на связь. Таким образом формируются списки контроллеров ботнетов, которые служат основой для противодействия ботнету на второй фазе его жизненного цикла. Функциональность по мониторингу и блокировке с использованием таких списков может быть реализована в различных сетевых устройствах. В частности, в решениях Cisco она присутствует в межсетевых экранах Cisco ASA и Web-шлюзах IronPort Web Security.
Ho злоумышленники тоже не стоят на месте и реализуют в ботне-тах новые методы коммуникаций. Все чаще вместо привычного IRC-канала связи вирусов с контроллером
Январь-февраль 2010 г.
ҐІ
ботнета применяются P2P-коммуни-кации, те самые, на основе которых построены файлообменные сети. P2P-коммуникации позволяют избавиться от необходимости каждому зараженному компьютеру напрямую общаться с единым сервером управления ботнета. Управляющая команда может быть введена в любой из зараженных узлов и далее может распространяться уже между участниками ботнета.
Весьма интересный метод реализован создателями вируса Conficker. Вирус каждый день генерирует по заданному алгоритму 50 тыс. DNS-адресов, с которыми он пытается выйти на связь. Создателю ботнета, вероятно, заранее известно, какие адреса в какой день будут сгенерированы, и достаточно будет заранее зарегистрировать любой из этих адресов в DNS и разместить по этому адресу управляющий сервер. В результате сервер может постоянно переезжать с адреса на адрес, что весьма надежно защищает ботнет от нейтрализации управляющего канала. При данном подходе, сочетающемся с P2P-технологией, пытаться обнаружить и заблокировать канал связи с контроллером ботнета - все равно, что искать иголку в стоге сена. Теоретически при комбинации из 10 млн участников ботнета и 50 тыс. адресов управляющего сервера ботнету для продолжения своей деятельности достаточно осуществлять каждый день всего одно успешное соединение из 500 млрд возможных.
Перечисленные меры по противодействию созданию ботнета можно рассматривать как способ предотвращения исходящих атак. Это немаловажно для организаций и операторов связи, так как исходящие от ботнета явления, такие как спам и DDoS, не лучшим образом влияют на деловую и технологическую репутацию оператора. Но, к сожалению, далеко не все организации способны предотвратить образование бот-нетов в своих сетях, поэтому приходится иметь дело с входящими в сети DDoS-атаками и бороться с огромными потоками вредоносного трафика.
Пойдем по цепочке
Что же касается финальной стадии развития ботнета, то многие давно известные методы нанесения DDoS-атак по-прежнему остаются актуальными. По способу выведения из строя информационной системы жертвы различают два класса DDoS-атак:
SS атака на переполнение полосы пропускания канала связи: состоит из сетевых пакетов большого размера (как правило, UDP Flood c произвольными номерами портов, реже ICMP Flood);
SS атака на исчерпание вычислительных ресурсов конечного узла: применяются такие методы, как TCP SYN Flood, DNS Query Flood и НТТP GET Flood.
Если посмотреть на путь трафика атаки, то он будет выглядеть следующим образом: Зараженный компьютер - Оператор доступа - Маги-
Влияние DDoS-атаки на различные элементы сети Интернет
Сама по себе технология блокировки по заранее известному списку контроллеров ботнетов также не может дать 100%-ный результат. Но она может использоваться в сочетании с перечисленными выше способами борьбы с распространением вредоносного кода, и не только как механизм блокировки, но и как средство обнаружения зараженных узлов в сети. Ведь если пользователь вдруг настойчиво пытается связаться с ко-троллером ботнета, то вряд ли он делает это по доброй воле.
Век Качества N° 1
стральные операторы - Оператор доступа - Жертва.
Влияние ББо8-атаки (рис. 2) усиливается по мере аккумуляции потоков вредоносного трафика по направлению к жертве. Для владельца зараженного компьютера и его оператора связи атака может быть практически незаметна, если, конечно, у оператора нет решений, позволяющих выявлять исходящий флуд от отдельных абонентов. Для магистральных операторов атаки среднего размера также могут остаться неза-
меченными на фоне огромных потоков передаваемого трафика. А вот для оператора жертвы атака будет выражаться как минимум в повышенной нагрузке на сеть. Ну а для незащищенной жертвы это явление будет равносильно отключению от Интернета. На примере приведенной цепочки прохождения трафика удобно рассмотреть применимость различных методов подавления DDoS-атак.
Пользователь зараженного компьютера может бороться с вирусным заражением методами, которые мы уже рассмотрели в первой части статьи.
Оператор связи, к которому подключены зараженные узлы, может выявлять вредоносные потоки трафика и таким образом идентифицировать зараженных абонентов в своей сети. Исходящий DDoS выдает себя по аномальному количеству одновременных сетевых соединений от отдельных абонентов. Для мониторинга таких соединений от каждого абонента применимы решения DPI (deep packet inspection), выполняющие глубокую проверку трафика и анализ данных Netflow. Например, DPI-решение операторского класса Cisco Service Control Engine (Cisco SCE) может выявлять попытки рассылок спама, исходящий DDoS, попытки сканирования и распространения червей. Все это характерные признаки для участника ботнета. После того как выявлен зараженный узел, решение Cisco SCE позволяет заблокировать вредоносные потоки трафика и поместить абонента в карантинную сеть.
Магистральные операторы связи и оператор, к которому подключен атакуемый ресурс, могут непосредственно защитить жертву от DDoS-атаки. Высокоскоростные каналы связи, которыми они располагают, позволяют принять весь поток трафика, идущий по направлению к жертве, и заблокировать его вредоносную составляющую при помощи специализированных решений по защите от DDoS.
Почему нужны именно специализированные решения? Дело в том, что с точки зрения отдельных сетевых пакетов, вредоносный трафик сложно отличить от легитимного. Одни и те же пакеты ТСР SYN, DNS Query и НТТР GET присутствуют и в рамках легитимных сессий. Но ключевой момент состоит в том, что трафик DDoS-атаки, как правило, состоит исключительно из перечисленных выше первоначальных протокольных запросов, и продолжение сетевого взаимодействия для трафика DDoS-атаки не характерно. На этой ключевой особенности DDoS-атак и построены различные механизмы блокировки вредоносного
трафика в решении Cisco Guard. Идея заключается в том, чтобы в ответ на пришедший запрос послать соответствующий ответ, требующий обязательной реакции от запрашивающего. Если он реагирует и от него приходит адекватный ответ, то сразу можно понять, что это не спуфинг IP-адресов источника и не односторонний поток протокольных запросов. Именно эти две важные характеристики отличают легитимный трафик от трафика DDoS-атаки.
Например, для защиты от атаки ТСР SYN Flood в Cisco Guard применяется известный механизм SYN Cookie, который вмешивается в процесс установления ТСР-соединения с целью убедиться, что этот процесс пройдет корректно. Для защиты от атак на Web-сайты при помощи завала запросами НТТР GET в решении применяется НТТР Redirect, по реакции на который можно отличить трафик ботнета, состоящий только из запросов НТТР GET без какого-либо продолжения, от трафика легитимных пользователей. В устройстве Cisco Guard такие проверочные механизмы реализованы для защиты от самых разных вариантов протокольных DDoS-атак, причем есть несколько последовательно применяемых уровней проверок - от достаточно мягких до более жестких, вплоть до блокировки трафика с атакующих узлов.
Наряду со старыми методами реализации DDoS, которые по-прежнему применяются в ходе подавляющего большинства атак, иногда встречаются и новые методы. Один из таких недавно замеченных методов - способность ботнета реагировать на НТТР Redirect в ходе атаки на Web-сайт, что позволяет обходить этот
Динамические и анализ /уровне
Статические фильтры ---------------------------
трафика
механизм защиты. Хорошая же новость состоит в том, что решение Cisco Guard оценивает трафик после всех этапов обработки как на входе, так и на выходе, и если текущие активные механизмы не помогают, то к трафику атаки будут применены еще более жесткие методы. Этот пример еще раз подтверждает современную тенденцию: специализированные
средства защиты от DDoS получают все большую распространенность в сетях операторов связи, и создатели ботнетов изучают применяемые механизмы по защите и пытаются реализовать способы их обхода.
Что может сделать жертва? Не так уж мало, как может показаться. Жертва может не только ждать скорейшего окончания DDoS-атаки, но и принимать эффективные меры по профилактике: прорабатывать вопросы взаимодействия с оператором связи на случай возможных
атак; применять рекомендации по защите на уровне ОС и приложений для публично доступных серверов, таких как Web и DNS. A при наличии специализированного решения организация-жертва может самостоятельно справиться с DDoS-атакой, но только пока не будут полностью забиты трафиком атаки каналы связи с оператором. Вот почему защита от атак на исчерпание пропускной способности - обязанность исключительно оператора связи.
Эффективно решить проблему DDoS-атак вполне возможно, но старый подход «одна проблема - одна технология по защите» уже давно не работает. Необходимо принимать меры по защите, причем как на выходе атак, так и на входе, и реализовывать эти меры и на уровне операторов связи, и в корпоративных сетях. >>
f ХРОНИКА I Новости компаний
Растет число незащищенных конечных точек в корпоративном сегменте Компания Check Point® Software Technologies Ltd. (Nasdaq: CHKP), специализирующаяся в области Интернет-безопасности, обнародовала результаты глобального опроса мнения корпоративных пользователей относительно защиты конечных точек. Отмечается непрерывный рост числа сотрудников, постоянно работающих вне офиса, и связанная с этим потребность расширять и усиливать ИТ-инфраструктуру для защиты мобильных сотрудников. Согласно опросу, в котором участвовали 224 специалиста по ИТ и компьютерной безопасности, в более чем 40% организаций за 2009 г. по сравнению с 2008 г. увеличилось количество пользователей, подключенных к корпоративной сети из дома или в команди- ровке. Подавляющее большинство опрошенных организаций (77%) отметило, что примерно четвертая часть от общего числа сотрудников постоянно подключается к сети в удаленном режиме. Несмотря на растущую популярность удаленной работы сотрудников выяснилось, что лишь 27% организаций защищают свои данные путем шифрования содержимого жестких дисков. Всего 9% организаций используют шифрование сменных устройств хранения, таких как иБВ-накопи-тели. Это означает, что большинство лиц, которые носят с собой большие объемы данных на портативных устройствах, никак не защищают конфиденциальную корпоративную информацию от потери или кражи. Приблизительно 47% респондентов указали, что в течение года планируют приобрести приложения для защиты конечных точек; самыми популярными оказались средства шифрования содержимого ди- сков (24%), контроль доступа к сети (22%) и утилиты для шифрования сменных носителей (13%). Среди приложений, уже внедренных в опрошенных организациях, были названы антивирусные пакеты (90%), средства борьбы со шпионскими программами (56%), персональные шлюзы безопасности (49%) и УРЫ-клиенты (49%). Опросом были охвачены различные секторы экономики. 18% респондентов представляли финансовый сектор, 14% -промышленное производство и 1 1 % -органы государственного и муниципального управления. 44% представляли Северную и Южную Америку, 42% - страны ЕМЕА и 11% - Азиатско-Тихоокеанский регион. По численности сотрудников соотношение следующее: 23% - до 99 чел., 25% - от 100 до 499 чел., 13% -от 500 до 999 чел., 24% - от 1000 до 4999 чел., 15% - более 5000 чел. .» www.checkpoint.com