Презентация на тему "Антивирусная защита и тенденции ее развития"

Просмотреть картинки списком

Наставник: Хомутинникова Наталья Викторовна

Ученик: Ловягин Илья Александрович (18 лет)

Город (село): г. Москва

Название колледжа: ГОУ СПО Колледж автоматизации и радиоэлектроники №27 им.П.М. Вострухина Г. Москва

Название изобретения или изделия: Презентация на тему "Антивирусная защита и тенденции ее развития"

СПОСОБЫ ПРОНИКНОВЕНИЯ НА КОМПЬЮТЕР

Социальная инженерия.

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей — привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics.

Почтовый червь Mydoom, использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»). В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение — почтовое, через ICQ или другой пейджер, реже — через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

● AIM & AOL Password Hacker.exe

● Microsoft CD Key Generator.exe

● PornStar3D.exe

● play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный случай доставки шпионской программы «на дом» - Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка. Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы — черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами — и ссылка на эту страницу оказывается в списке других страниц в результатах поиска. Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

ПРОТИВОДЕЙСТВИЕ АНТИВИРУСНЫМ ПРОГРАММАМ

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени — при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца — разные.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ — ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами — следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков — содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом — если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

НОВЫЕ АНТИВИРУСНЫЕ ТЕХНОЛОГИИ

По данным антивирусных корпораций, их сотрудники регистрируют ежемесячно более двухсот миллионов кибер-атак, большинство которых являются новыми неизвестными угрозами. Справиться с таким огромным, лавинообразно нарастающим количеством вредоносных программ с помощью традиционных сигнатурных и эвристических методов становится, с каждым днем, все труднее и труднее, и вскоре, может наступить такой момент, когда это станет совсем невозможным.

По мнению ведущих специалистов в области информационной безопасности, одной из самых перспективных антивирусных технологий, в настоящее время, является «in the cloud» или «облачная» безопасность, которая подробно обсуждалась в предыдущих рассылках. К сожалению, этот метод, сегодня, не может быть реализован в полном объеме, так как требует очень развитую инфраструктуру и высокоскоростной доступ в Интернет. Тем не менее, разработчики антивирусных программ, наряду с облачными решениями, активно внедряют новые технологии.

«Территория безопасности» - Это принципиально новое антивирусное решение, названное «Территория безопасности», суть которого заключается в том, что в защищаемой системе реализуется глобальный мониторинг вредоносной активности, целью которого является, тотальное предотвращение воздействия вредоносных угроз на компьютере пользователя.

«Безопасная среда» - технология , основанная на технологии «Sandbox», суть которой заключается в том, что подозрительные web-сайты и программы проверяются в изолированном виртуальном пространстве и не наносят никакого вреда компьютеру пользователя.

"Quorum"

Система Quorum использует как традиционную сигнатурную технологию, так и совершенно новую методику, основанную на понятии «репутация», причем интеллектуальная система управления автоматически включает нужный режим работы.

Принцип действия новой технологии заключается в том, что на основе обратной связи от участников программы определяется рейтинг, или другими словами «репутация» приложения. Учитывая, что участников программы, которые анонимно передают данные о приложениях, работающих на их компьютерах, насчитываются миллионы, то значение «репутации» приложения имеет очень высокую достоверность.

За сбор и интеллектуальную обработку данных, получаемых от компьютеров пользователя, отвечает система контроля SONAR 2, которая, на основе полученных данных, принимает решение о выборе той, или иной технологии защиты. На основе этих примеров, мы видим, что ведущие разработчики и производители антивирусных средств защиты ведут постоянную и непримиримую борьбу с кибер-преступностью, которая уже давно превратилась в многомиллиардную теневую индустрию. Благодаря их усилиям в разработке новейших технологий информационной безопасности мы можем иметь надежду спокойно работать, учиться и развлекаться, используя великое изобретение двадцатого века – всемирную сеть Интернет.

Веб-антивирус – проверка веб-страниц в режиме реального времени и гарантированная загрузка только «чистого» контента из сети Интернет

Родительский контроль компонент программы, выполняющий функции контроля доступа пользователей компьютера к веб-ресурсам. Основной задачей Родительского контроля является ограничение доступа, в первую очередь, к веб-сайтам, предназначенным для взрослой аудитории, затрагивающим темы порнографии, оружия, наркотиков, провоцирующим жестокость, насилие и т. д., а также к веб-сайтам, которые являются потенциальной причиной потери времени (чаты, игровые ресурсы) или денег (интернет-магазины, аукционы).

Host Intrusion Prevention System (HIPS).

HIPS (Host-based Intrusion Prevention System) — система предотвращения вторжений. Продукты этого класса управляют правами приложений на выполнение тех или иных действий, подобно тому, как брандмауэр управляет сетевым доступом; сходство принципов работы обусловливает тот факт, что нередко HIPS объединяются с брандмауэром в составе одного защитного продукта.

Принцип работы:

HIPS является средством проактивной защиты, то есть не содержит базы данных сигнатур вирусов и не осуществляет их детектирование; таким образом, HIPS оперирует не понятиями «легитимный файл — вредоносный файл», а понятиями «разрешенное действие — запрещенное действие». Эффективность HIPS может доходить до 100 % предотвращения повреждения или инфицирования системы, однако большинство программ этого класса требует от пользователя определенных знаний для управления ими. В соответствии с принципом организации защиты HIPS могут быть подразделены на три основные группы.

Классические HIPS — системы, оснащенные открытой таблицей правил. На основании этой таблицы драйверы HIPS разрешают / запрещают определенные действия со стороны приложений либо запрашивают пользователя о том, что необходимо предпринять по отношению к данному действию. Такое устройство системы ориентировано на ручное управление разрешениями и активное взаимодействие с пользователем, что предъявляет высокие требования к компетентности последнего. В качестве примера могут быть приведены продукты System Safety Monitor и AntiHook.

Экспертные HIPS, или поведенческие эвристики — осуществляют анализ активности работающего приложения. Если совокупность выполняемых действий приобретает подозрительный или опасный характер, продукт данного типа сообщает о вероятном присутствии вредоносной программы. Примером экспертной HIPS может служить система ThreatFire (бывший CyberHawk).

HIPS типа Sandbox («песочница») — реализуют принцип минимального взаимодействия с пользователем. В их основе лежит разделение приложений на доверенные и не доверенные; на работу доверенных приложений HIPS не оказывает никакого воздействия, в то время как недоверенные запускаются в специальном пространстве, отграниченном от системы. Это позволяет работать с подозрительными приложениями без риска инфицирования или повреждения системы и изучать отчеты об их активности. Типичные представители данного типа — продукты DefenseWall HIPS и Sandboxie.