В начале февраля текущего года прошла 7-я встреча вирусных аналитиков «Лаборатории Касперского». На открытом дне саммита перед представителями российских и зарубежных компьютерных изданий выступили ведущие сотрудники лаборатории, осветившие актуальные вопросы информационной безопасности.

Инновационным технологиям, развиваемым в лаборатории, и организации работы сотрудников посвятил свое выступление С. Шевченко, руководитель антивирусной лаборатории компании.

Он перечислил технологии и системы, над совершенствованием которых трудятся в лаборатории.

  • Система, регистрирующая эпидемии и распределяющая нагрузку на работающих аналитиков, осуществляющая предварительную обработку входного потока и сбор статистики по нему.
  • Автоматическая система контроля деятельности вирусных аналитиков (FalseCatcher), способная выявлять ошибки и не допускать их публикации.
  • Экспертная система автоматического анализа и классификации входного потока.
  • Система автоматического обнаружения и классификации «зловредов» (так принято в «Лаборатории Касперского» называть вредоносные программы) на основе поиска оптимального места для масок и наиболее подходящего метода детектирования.
  • Система мониторинга и статистики, позволяющая в реальном времени получать показатели процессов обнаружения и устранения «зловредов».
  • Система выпускаемых обновлений антивирусов теперь включает большую пополняемую базу файлов и значительно усовершенст-вованную аппаратную платформу.

К технологиям, которых ранее не было, по словам С. Шевченко, следует отнести FalseCatcher, устранение ложных срабатываний и системы генерации записи нового формата и хранения чистых файлов.

Для повышения качества работы аналитиков в «Лаборатории Касперского» созданы системы мотивации сотрудников, их карьерного роста, а также проверки и контроля лояльности.

Проблемам борьбы с киберпреступностью был посвящен доклад Д. Эмми, старшего технического консультанта по безопасности Kaspersky Lab UK. Он отметил, что угрозы злоумышленников направлены главным образом на кражу личных данных, а вредоносные программы нацелены на клиентов банков. При этом отличительной особенностью таких программ становится самозащита от антивирусных средств.

Тенденции развития вредоносного ПО, по мнению Д. Эмми, характеризуются отходом от хулиганства и мелкого мошенничества в сторону киберпреступности. Вместо организации глобальных эпидемий все чаще встречается переход к малозаметным локальным эпидемиям, поддерживаемым с помощью атак в виде рассылки спама и троян-ских программ (шпионское ПО, кражи личных данных, организация зараженных сетей — ботнетов), скрытой загрузки вредоносного ПО (эксплойты), социальной инженерии (фишинговые атаки).

Появляются все более сложные способы защиты кода вредоносной программы. Так, теперь применяется обфускация, т. е. запутывание пути расшифровки кода и его исполнения. Для этого используют полиморфное шифрование кода вредоносной программы, полиморфизм вируса, обфускацию точки входа, многослойное шифрование и серверный полиморфизм.

Кроме того, применяют приемы упаковки вредоносного кода с помощью сжатия, а также собственно упаковки файлов, иного вида исходного кода в упакованном виде или такой способ, когда для обнаружения вредоносного кода необходимо знать алгоритм его упаковки, и др. Также применяются руткиты в виде сокрытия вредоносного ПО в ОС Windows, перехватов системных вызовов и сокрытия действия троянских программ.

Наряду с перечисленными выше способами популярны приемы саботажа, когда вредоносными программами предпринимается останов процессов антивирусных программ, уничтожение их вообще, блокировка поставки обновлений таких же программ, файлов для предотвращения их проверки, блокирования системных сообщений и др.

К сожалению, как констатировал Д. Эмми, перспективы в развитии средств самозащиты вредоносного ПО весьма серьезны. Это и автоматическое создание кода такого ПО, и использование его серверного полиморфизма, развитие методов упаковки и шифрования, а также применение эксплойтов и, разумеется, рост количества вредоносных программ.

К совершенствованию возможностей защиты от «зловредов» Д. Эмми отнес переход от антивирусных средств к сетевой безопасности (Internet Security), базирующейся на проверке сигнатур вирусов в реальном времени, статистическом анализе и эмуляции результатов проверки, эвристическом анализе, обнаружении «зловредов» по общесемейным признакам (generic detection), противодействии хакерским (сетевым) атакам, системах обнаружения вторжений (IDS) и поведенческом анализе и др.

Об угрозах онлайн-играм со стороны киберпреступников рассказал в своем выступлении С. Голованов, вирусный аналитик «Лаборатории Касперского». Угроза прежде всего связывается с кражей виртуальной собст-венности. Она проявляется в воровстве персонажей онлайн-игр у участников, при этом используются методы социальной инженерии (фишинг), системные атаки (взлом сайтов, эксплуатация уязвимости игровых клиентов) и применение вредоносных программ (троянов, вирусов, червей). С. Голованов отметил размах действий киберпреступников в отношении играющих, о чем свидетельствуют данные аналитиков о результатах мониторинга. При этом он отметил разоб-щенность усилий разработчиков из антивирусных компаний и онлайновых игр, что, несомненно, на руку преступникам.

Завершающим на саммите было выступление В. Камлюка, старшего вирусного аналитика «Лаборатории Касперского», на тему «Индустрия ботнетов». В своей презентации с помощью средств мультимедиа он весьма образно и наглядно показал, что такое ботнеты и как они образуются. Их использование он продемонстрировал на примерах: DDoS-атак, создания таких сетей ради развлечения и собственного прославления, рассылки спама и составления списков рассылки, реализации фишинга, кражи личных данных, организации вымогательства и аренды ботнетов. Характеризуя рынок ботнетов, В. Камлюк отметил возможности развертывания такой сети одним щелчком, анонимных действий преступников и использования средств защиты ботнета, а также разнообразие способов ее сокрытия.

В прогнозах развития ботнета В. Камлюк обратил внимание на возможности создания ботнетов второго уровня на самих ПК, сетей peer-to-peer — ботнетов, управляемых столь легко, что это будет под силу школьнику, на вероятность появления новых услуг ботнетов (благодаря распространению параллельных вычислений). Все это потребует создания специальных сил быстрого реагирования на ботнет-атаки и введения строгих правил авторизации в Сети.

Кое-что в плане защиты уже реализовано в «Лаборатории Касперского»: проводится детектирование ботнет-программ, сообщается интернет-провайдерам о наблюдаемых преступлениях, осуществляется передача информации об этом в правоохранительные органы и помощь им в расследованиях.

В завершение саммита прошел круглый стол и сессия вопросов и ответов. Также состоялась демонстрация работы «Лаборатории Касперского», прошедшая в виде экскурсии по рабочим местам.

Купить номер с этой статьей в PDF
550