Websecurity - Веб безпека

Торік в своїй статті Обхід систем для пошуку вірусів на веб сайтах, я писав про методику, яку може використовувати шкідливе ПЗ, щоб сховатися від систем виявлення вірусів на веб сайтах (зокрема тих, що працюють в рамках пошукових систем). Суть її зводилася до використання клоакінга. Якщо сайт відвідує бот пошукої системи (в тому числі тої, що має вбудований антивірус), то шкідливий код не виводиться, а в інший випадках він виводиться на сторінках сайта.

З тих пір найбільш просунуті веб антивіруси могли виправити цей недолік в своїх системах і навчитися боротися з клоакінгом для кращого виявлення вірусів на веб сайтах (як це було зроблено в моїй WebVDS ще з самої першої версії в 2008 році). Але є інша методика, яку шкідливе ПЗ може використати для приховування від веб антивірусів, зокрема вона може бути використана проти систем, що базуются на повідінковому аналізі.

Ідея цього методу в мене виникла ще в травні, одразу після мого виступу на конференці UISG та ISACA Kiev Chapter з доповіддю про системи виявлення інфікованих веб сайтів. Тоді, після мого виступу, багато людей вирішили поговорити зі мною в кулуарах на цю тему, і задали багато цікавих питань про веб антивіруси і мою WebVDS. І зокрема в розмові ми торкнулися методів обходу таких систем, де я і розповів про клоакінг, про який писав в вищезгаданій статті в 2010 році. А вже як повернувся додому, в мене виникла нова ідея, про яку я зараз розповім.

Повідінковий аналіз вважається більш ефективним методом виявлення шкідливого програмного забезпечення ніж сигнатурний чи еврестичний метод. Серед веб антивірусів є лише дві системи, які відомі мені, що використовують повідінковий аналіз. Це вбудовані антивіруси в пошукових системах Google і Yandex. В Яндексі повідінковий аналіз додали на початку 2010 року і, по заяві компанії, вони одночасно використовують як першу технологію (від Sophos, що явно базується на сигнатурах), так і другу. Зазначу, що обидві ці системи приймали участь в моєму минулорічному тестуванні систем пошуку вірусів на веб сайтах, в якому з семи учасників Гугл заяняв 1 місце, а Яндекс 7 місце.

Для обходу поведінкового аналізу шкідливе ПЗ може використати наступні методи:

1. Виявлення факту, що веб сторінка запущена в браузері в віртуальній машині. Враховуючи, що через JS/VBS неможливо визначити це, то єдиний ефективний варіант - це клоакінг, про який я розповідав вище. Але просунуті веб антивіруси можуть боротися з ним, тому необхідний інший варіант.

2. Використання затримики. Шкідливе ПЗ може запускатися з деякою затримкою з метою обходу таких систем. Тому що використання поведінкового аналізу в системи виявлення шкідливого ПЗ на веб сайтах - це ресурсоємний процес і такі системи перевіряють кожну окрему сторінку лише обмежений час. І якщо виявити максимальний час, який витрачають такі системи на перевірку сторінки (а це можна зробити експерементально), то можна задати коду спрацьовувати пізніше цього часу, і таким чином такі веб антивіруси будуть обійдені, а в браузерах реальних відвідувачів сайтів код спрацює.

Тому системам, що базуются на повідінковому аналізі, потрібно враховувати дану можливість. І щоб вирішити цю проблему, слід використовувати різні методи виявлення шкідливого ПЗ в рамках однієї системи.

This entry was posted on 22:48 30.07.2011 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.