Лаборатория Касперского рассказала о том, как обойти антивирус

Лаборатория Касперского опубликовала аналитическую статью одного из своих ведущих экспертов Алисы Шевченко "Эволюция технологий самозащиты вредоносных программ".

По мере развития систем антивирусной защиты авторы вредоносных программ вынуждены искать новые способы, с помощью которых их творения могли бы защищать себя от антивирусов. Основные задачи самозащиты вредоносных программ состоят в том, чтобы затруднить: детектирование вредоносных программ антивирусами, анализ кода специалистами, обнаружение вредоносной программы в системе и собственно работу "защитного" ПО (антивирусов, файерволов). Тот или иной способ самозащиты решает одну или сразу несколько таких задач.

В своей статье Алиса Шевченко прослеживает пути зарождения "инстинкта самосохранения" вредоносных программ, эволюцию технологий их самозащиты под давлением все более жестких условий борьбы с антивирусами и оценивает дальнейшие перспективы развития этих технологий.

До последних лет работа антивирусов была основана исключительно на анализе кода файла, поэтому "самозащита" вредоносных программ начиналась с технологий модификации кода. В связи с этим появились такие технологии как полиморфизм и метаморфизм, которые позволяют вредоносной программе, сохраняя функционал неизменным, полностью мутировать при создании своей копии, что значительно затрудняет ее детектирование. В статье рассказывается и о других технологиях - в частности, шифрование и обфускация прежде всего нацелены на затруднение анализа кода, но, реализованные определенным образом, они оказываются разновидностями полиморфизма.

Virus

Еще одним способом затруднения детектирования вредоносных программ является использование действующих по принципу архиваторов программ-упаковщиков (пакеров). Пакеры используются активно, их многообразие и изощренность растет. Многие современные упаковщики способны не только сжимать исходный файл, но и снабжать его дополнительными функциями самозащиты, нацеленными на затруднение распаковки файла и его анализа при помощи отладчика.

Существуют также технологии самозащиты вредоносных программ от детектирования с помощью их сокрытия в системе. Эта инновация впервые была применена в 1990 году для операционной системы DOS и получила название stealth-технологии. В начале 2000-х она "возродилась" на новом уровне в ОС Windows под именем rootkit-технологии. Чаще всего встречаются руткиты, механизм работы которых основан на модификации цепочки системных вызовов. Другой распространенный тип руткитов - это руткиты, изменяющие системные данные. Вектор современного руткит-движения направлен в сторону виртуализации и использования функций оборудования. Rootkit-технологии являются весьма перспективными, однако это направление вряд ли станет существенным в ближайшие годы.

Со временем полиморфизм и смежные с ним технологии потеряли свою актуальность. Это связано с тем, что по мере развития антивирусных технологий и вытеснения сигнатурных методов детектирования поведенческими, приемы модификации кода все меньше способны препятствовать обнаружению вредоносных программ, а для большинства современных троянцев, не имеющих функции саморазмножения, полиморфизм в принципе не является эффективным способом самозащиты. В связи с появлением поведенческих анализаторов вредоносным программам остается лишь прицельно отстреливать отдельные проявления или функции антивирусов.

"Вне неизбежной необходимости этот способ самозащиты не был бы так популярен, поскольку он является слишком невыгодным с точки зрения обеспечения максимально универсальной защиты", - отмечает автор статьи.

В то же время технологии, затрудняющие анализ кода специалистами (в частности, обфускация), в отличие от полиморфизма, не теряют своей актуальности и сегодня. Тем не менее, принципиальная уязвимость вредоносных программ перед поведенческими анализаторами антивирусов задает вероятный вектор дальнейшей эволюции. Шевченко считает, что теперь вирусописатели будут учиться обходить поведенческий анализатор и повышать "самосознание" вируса.

Автор делает прогноз, какие направления самозащиты вредоносных программ будут развиваться интенсивнее других:
  • Руткиты. Невидимость в системе всегда дает вредоносным программам преимущества - даже если уже не спасает их от детектирования. Здесь наиболее вероятные новинки - новые типы бестелых вредоносных программ и, немного позже, использование технологий виртуализации.
  • Обфускация и шифрование. Затруднение анализа кода сохранит актуальность.
  • Противодействие средствам защиты, основанной на поведенческом анализе. Здесь можно ожидать появления каких-то новых технологий, поскольку те, что используются сейчас (целевое нападение на антивирусы), не являются эффективными. Возможно, это будут какие-то способы детектирования виртуальной среды или некое шифрование поведенческих паттернов.
  • Противостояние киберкриминала и антивирусной индустрии - это своего рода "гонка вооружений", в которой достижения одной стороны неизбежно провоцируют активность другой. В последние годы участились случаи публикаций под благовидными предлогами концептов кодов, обходящих современные средства защиты. Алиса Шевченко считает, что появление таких концептов еще больше подливает масла в огонь - пользователи начинают беспокоиться о том, насколько они защищены, а разработчики антивирусов вынуждены бросать все новые ресурсы на борьбу с такими «недетектируемыми» кодами.

    В заключение А. Шевченко делает вывод о том, что полного прекращения "гонки вооружений" между вирусописателями и антивирусными компаниями можно не ждать, но препятствовать ее ускорению - вполне в силах участников этого бесконечного процесса.

    Полную версию статьи читайте на информационно-аналитическом портале Viruslist.

    ©  Tom's Hardware