Веб-антивирусы. Системы выявления инфицированных сайтов

English Ukrainian

Статья для журнала “Системный администратор” №7-8 (июль 2011)

В статье рассмотрена новая угроза Интернета – вирусы на сайтах и методы борьбы с нею, среди которых важную роль играют системы выявления инфицированных сайтов.

 

С ростом Интернета с каждым годом увеличивается и список возможных угроз. Одной из них стал вредоносный код на веб сайтах. Если ранее основным вектором распространения вирусов в Сети была электронная почта (пик активного использования данного вектора пришелся на 2000 год во времена вируса I Love You), то в последние годы он утратил свои позиции и на первое место вышло новое направление – инфицированные веб- сайты.

Тема зараженности веб сайтов вредоносным кодом сейчас является очень актуальной и в прошлом году я провёл исследование по данной теме, о котором расскажу в этой статье. В процессе было проведено сравнительное тестирование разных систем поиска вирусов на веб сайтах, которые могут быть использованы для защиты пользователей Интернет от инфицированных сайтов, распространяющих вредное программное обеспечение (malware) [1].

Вредоносный код может быть расположен как на сайтах злоумышленников, так и на легальных сайтах, которые были скомпрометированы. Вредоносное ПО на веб сайтах может заразить компьютеры посетителей этих сайтов вирусами или троянами, что способно привести к проблемам работы самого компьютера, утечке персональной и финансовой информации, а также к превращению его в “зомби”, участвующего в бот-сети.

Существуют два основных направления борьбы с проблемой веб malware (одной из основных угроз в Интернете [2]): профилактика и борьба с последствиями. В профилактику входят как уведомление владельцев сайтов об уязвимостях на их сайтах, чтобы они исправляли их и следили за безопасностью своих веб сайтов, активная работа по повышению грамотности веб-разработчиков и админов сайтов в области веб-безопасности, так и проведение аудита безопасности сайтов по заказу клиентов.
Чем больше будет безопасных сайтов и чем меньше сайтов будет взломано (а в основном вредоносный код попадает на сайты в результате взломов), тем меньше станет инфицированных сайтов. И соответственно меньше путей распространения вредоносного кода, а Интернет, в целом, будет чище и безопаснее для всех его пользователей.

В борьбу с последствиями входит выявление инфицированных сайтов (информирование их владельцев также важный аспект данного направления). Именно о борьбе с последствиями заражения сайтов, выявлении инфицированных сайтов с целью предотвращения атаки вредоносного ПО на пользователей и посетителей этих ресурсов будет идти речь в данной статье.

Статистика инфицированности в Интернете

Случаи инфицирования веб сайтов с каждый годом становятся всё более распространёнными. Ещё в 2007 году, по заявлению компании Google, в Интернете каждый десятый сайт мог содержать вредоносный код [3]. И с тех пор ситуация только усугубилась.

Согласно моим исследованиям в 2010 году в Уанете значительно выросла хакерская активность [4], в том числе возросло число инфицированных веб сайтов. В прошлом году я выявил в Уанете 264 зараженных сайта, среди них – 13 государственных сайтов. Однако реальное число зараженных сайтов значительно больше.

Инфицированность Уанета за 2008-2010 годы [5].

За весь 2008 год было обнаружено 4 инфицированных сайта. За 2009 год – 67 инфицированных сайтов. За 2010 год – 264 инфицированных сайта. При этом динамика заражений сайтов в последние годы стабильно высокая. Подобная ситуация наблюдается и в других регионах Интернета.

Инфицированные сайты в Уанете

Рис. 1 – Инфицированные сайты в Уанете.

В апреле 2011 года компания Websense выявила 1,5 миллиона зараженных сайтов [6]. Вредоносная программа, которая маскируется под антивирусное ПО, заразила более полутора миллионов сайтов в Интернете (в том числе и страницы онлайнового музыкального магазина Apple iTunes).

А компания Sophos в своём отчёте Security Threat Report 2011 [7] заявила, что в 2010 году количество проверенных ею экземпляров вредоносного кода удвоилось по сравнению с 2009 годом. Это свидетельствует о том, что угроза malware продолжает стремительно расти.

По данным Sophos, среди стран, которые хостили вредоносный код в прошлом году, первое место занимает США (39,39%), второе место – Франция (10,00%) и третье – Россия (8,72%). Дальше в десятке стран, хостящих malware, участники расположились следующим образом: Германия (5,87%), Китай (5,04%), Великобритания (2,68%), Польша (2,43%), Канада (2,03%), Украина (1,97%), Венгрия (1,84%), другие страны (20,03%).

Пути заражения веб сайтов

Существует три основных пути заражения веб сайтов вредоносным кодом:

1. Размещение кода владельцем сайта.

2. Взлом сайта с целью размещения кода.

3. Размещение вируса в коде внешних ресурсов, размещаемых на сайте.

В первом случае админ или владелец сайта размещает вредоносный код на своём ресурсе. Например, с целью заработать денег в “партнёрской программе” по заражению посетителей своего сайта.Или это может быть изначально вредоносный сайт.

Во втором случае сайт взламывается злоумышленниками, которые размещают на его страницах вредоносный код. Сейчас это наиболее распространённый вариант инфицирования сайтов.

В третьем случае сайт инфицируется не напрямую, а через подгружаемые внешние ресурсы (например, внешняя баннерная сеть, виджеты и т.д.). При этом взламывается сторонний сайт с данным ресурсом, в код которого добавляется вредоносный код, и инфекция распространяется по всем сайтам, размещающих этот внешний ресурс.

Методы борьбы с инфекцией на сайтах

Как я уже говорил, существуют два основных метода борьбы с вредоносным кодом на сайтах – профилактика и борьба с последствиями. Во втором случае нужны специальные инструменты и сервисы - для защиты пользователей Сети от таких сайтов и для уведомления администраторов сайтов о наличии вирусов на страницах их ресурсов и других заинтересованных сторон (например, пользователей сайтов, которые могут сообщить админам об инциденте).

Для борьбы с инфекцией на веб сайтах можно использовать следующие инструменты:

1. Классические антивирусы.

2. Специализированные системы выявления вирусов на веб сайтах – веб-антивирусы.

Классические (в частности десктопные) антивирусы обладают рядом недостатков по сравнению с веб-антивирусами, что и привело к появление данных систем. При этом в последних версиях классических антивирусов добавляется функционал, аналогичный различным системам выявления вирусов на веб сайтах. Сами антивирусные вендоры, чтобы успевать за тенденциями рынка, разрабатывают подобные системы – для их интеграции со своими десктопными продуктами.

Тестирование систем выявления инфицированных веб сайтов

Существует множество систем выявления инфицированных веб сайтов (веб- антивирусов). И я провёл тестирование эффективности работы некоторых из данных систем.

В моём сравнительном тестировании приняли участие следующие системы:

  • Web Virus Detection System.
  • Встроенная антивирусная система в Google.
  • Встроенная антивирусная система в Yahoo.
  • Встроенная антивирусная система в Yandex.
  • Norton Safe Web.
  • McAfee SiteAdvisor.
  • StopBadware.

Web Virus Detection System – это моя система выявления вирусов на веб сайтах Web Virus Detection System (Web VDS v.1.0.75) [8]. Разработана в 2008 году и на момент заморозки проекта 31.08.2008 находилась в состоянии бета-версии. Во время данного тестирования системой проверялись лишь главные страницы сайтов.

Google – встроенная антивирусная система в поисковой системе Google (использует собственную технологию Google). Работа данной системы проверялась как в поисковике, так и в сервисе Safe Browsing компании Google [9].

Yahoo – встроенная антивирусная система в поисковой системе Yahoo (использует технологию SearchScan от McAfee).

Yandex – встроенная антивирусная система в поисковой системе Яндекс (использует технологию от Sophos, а с марта 2010 также использует дополнительно и собственную технологию Яндекса).

Norton Safe Web – сервис Symantec [10], предоставляющий возможность ознакомиться с текущим статусом сайта (из имеющихся в базе), а для зарегистрированных пользователей сервиса также и возможность оставить комментарий о этом сайте.

McAfee SiteAdvisor – сервис McAfee [11], предоставляющий возможность ознакомиться с текущим статусом сайта (из имеющихся в базе), а для зарегистрированных пользователей сервиса также и возможность оставить комментарий о этом сайте.

StopBadware – сервис stopbadware.org [12], данные с которого используются в браузерах Mozilla Firefox и Google Chrome для защиты от вредоносных сайтов. Работа этого сервиса проверялась как через поиск по его БД, так и в Firefox 3.0.19 (проверялось, заблокирует ли Firefox данный сайт).

Веб-антивирусы можно разделить на две категории.

1. Системы, непосредственно выявляющие вирусы на сайтах, которые включают решения, предоставляющие возможность пользователям сканировать произвольные сайты, в том числе за деньги, например, SaaS. Эти системы могут проводить сканирование в реальном времени – когда по запросу пользователя производится сканирование (с демонстрацией этого процесса или без неё), или они могут проводить сканирование по расписанию. Также есть решения, которые в полной мере не предоставляют этих возможностей, а лишь добавляют сайт в очередь на сканирование или предоставляют ограниченные возможности по сканированию.

2. Системы, которые лишь предоставляют информацию о заражённых сайтах. Среди них такие, которые просто предлагают списки инфицированных сайтов, так и те, которые предоставляют детальную информацию о текущей безопасности сайта – статус сайта. В том числе некоторые могут отображать отзывы пользователей системы о конкретных сайтах, тем самым добавляя в неё социальную составляющую и позволяя пользователям самим сообщать об инфицированных сайтах.

Среди приведённых систем есть представители как первой, так и второй категорий. А также системы, относящиеся к обеим категориям, которые как сканируют сайты, так и предоставляют списки заражённых сайтов.

Помимо вышеперечисленных систем, есть ещё ряд других (которые относятся к первой, второй или обеим категориям). Это такие системы как Haute Secure, Browser Defender, MalwareURL, DNS-BH – Malware Domain Blocklist, Dasient Web Anti-Malware, Free Trust Seal, Clean MX, ZeuS Tracker, Web of Trust, HackAlert V3 и другие системы.

Задачей данного исследования являлось определение системы поиска вирусов на веб сайтах, которая обеспечивает наибольшую защиту пользователей в Интернете. А также определение достоинств и недостатков разных решений.

Для оценки систем участниками тестирования проверялись семь сайтов. Среди них один неинфицированный сайт и шесть инфицированных сайтов – 4 по данным Google и 2 по данным Symantec (который добавил эти сайты в список Dirtiest websites of Summer 2009 [13]). Неинфицированный сайт – это google.com (понятно, что сам сайт компании Google не будет инфицированным, хотя, как я уже писал, раньше Google находил malware у себя на сайте [14]). Он был взят в качестве эталона чистого от вирусов сайта для проверки систем на предмет ложных срабатываний (false positives).
Каждый сайт проверялся каждой из исследуемых систем несколько раз в течение трёх дней. Итоговый балл веб-антивируса является суммой баллов за тестирование всех сайтов.

Процесс тестирования каждого сайта выглядел следующим образом. В поисковых системах, имеющих встроенный антивирус, производился поиск по доменному имени исследуемого сайта (а если поисковая система имеет отдельный сервис со страницей статуса данного сайта, как Safe Browsing компании Google, то также делался запрос к этому сервису). В системе, предоставляющей проверку, в реальном времени проводилась проверка главной страницы исследуемого сайта. В системах, предоставляющих каталог сайтов (в том числе инфицированных), проверялась страница статуса исследуемого сайта. А для сервиса StopBadware дополнительно проводилась проверка в браузере Mozilla Firefox, путём посещения исследуемого сайта и проверки, заблокирует ли его браузер. После чего анализировались результаты работы каждой из систем.

Результаты тестирования

Итоговая оценка систем поиска вирусов на веб сайтах:

1. Google – 7,0.
2. Web Virus Detection System – 7,0.
3. StopBadware – 6,5.
4. Yahoo – 4,0.
5. Norton Safe Web – 3,3.
6. McAfee SiteAdvisor – 2,0.
7. Yandex – 1,5.

Каждая из данных систем может в определённой степени защитить компьютеры пользователей от вредоносных сайтов (кто лучше, кто хуже). Но разработчикам этих веб-антивирусов нужно их улучшать. В результате тестирования наилучшие результаты показала разработка компании Google.

Рассмотрим преимущества и недостатки данных систем поиска вирусов на веб сайтах.

Web Virus Detection System

+ Система может в реальном времени проверять веб сайты на вирусы.
+ Два режима проверки: всего сайта и одной страницы.
+ Система дает оценку инфицированности сайта (Infected score).
- Нет базы инфицированных сайтов (только проверка по запросу)
- этот функционал был запланирован к разработке в 2008 году.
- Сейчас система находится в состоянии бета-версии и не является публичной.

Google

+ Антивирусная система работает в рамках поисковой системы, что повышает безопасность ее пользователей.
+ Поисковая система блокирует доступ к инфицированным сайтам из результатов поиска.
+ Большая база вредоносных сайтов.
+ Относительно быстро обновляются данные в БД вредоносных сайтов.
+ Можно проверять информацию в сервисе Safe Browsing о состоянии сайтов занесенных в базу системы.
+ Пользователи браузеров Firefox и Chrome (и любые пользователи через сайт Google) могут сообщать про вредоносные сайты.
+ Система предоставляет другим сервисам (в частности StopBadware) информацию о вредоносных сайтах.
- Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).

Yahoo

+ Антивирусная система работает в рамках поисковой системы, что повышает безопасность ее пользователей.
– Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).
- Небольшая база вредоносных сайтов.
- Поисковая система не блокирует доступ к инфицированным сайтам из результатов поиска.

Yandex

+ Антивирусная система работает в рамках поисковой системы, что повышает безопасность ее пользователей.
- Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).
- Поисковая система не блокирует доступ к инфицированным сайтам из результатов поиска (можно просмотреть безопасную копию страницы сайта или перейти на сайт).
- Небольшая база вредоносных сайтов.
- Поисковая система не индексирует сайты, что не относятся к Рунету, Уанету и странам СНГ, поэтому у нее меньшая база сайтов и меньше сайтов проверено на вирусы, сравнительно с Google и Yahoo. И она не сможет защитить своих пользователей от malware на не проиндексированных сайтах.

Norton Safe Web

+ На сайте сервиса можно искать информацию о состоянии сайтов, занесенных в его базу.
+ У Symantec есть плагин для браузера Norton Safe Web Lite, который интегрирован с сервисом Norton Safe Web. Это может применяться пользователями для защиты от вредоносных сайтов.
- Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).
- Небольшая база вредоносных сайтов.
- Медленно обновляются данные в БД вредоносных сайтов.

McAfee SiteAdvisor

+ На сайте сервиса можно искать информацию о состоянии сайтов занесенных в его базу.
+ У McAfee есть плагин для браузера SіteAdvіsor software, который интегрирован с сервисом McAfee SiteAdvisor. Это может применяться пользователями для защиты от вредоносных сайтов.
- Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).
- Небольшая база вредоносных сайтов.
- Медленно обновляются данные в БД вредоносных сайтов.

StopBadware

+ На сайте сервиса можно искать информацию о состоянии сайтов, занесенных в его базу.
+ Данные с БД сервиса используются в браузерах Mozilla Firefox и Google Chrome для защиты от фишинговых и вредоносных сайтов.
+ Пользователи браузеров Firefox и Chrome (и любые пользователи через сайт сервиса) могут сообщать про вредоносные сайты.
- Не проверяет веб сайты на вирусы в реальном времени (только кешированные данные).
- Небольшая база вредоносных сайтов (но немало есть данных от Google).
- Не всегда в браузерах, которые используют данные от StopBadware (в частности в Firefox), срабатывает защита от вредоносных сайтов.

***

Проблема заражённости сайтов вредоносным кодом существует, с каждым годом она только усугубляется. И её нужно решать, как путём профилактики, так и путём выявления заражённых сайтов. Для этого существуют соответствующие сервисы, в частности те веб-антивирусы, о которых шла речь в данной статье.

Системы выявления инфицированных веб сайтов позволяют противостоять этой угрозе. Всем владельцам и администраторам сайтов и Интернет-пользователям нужно пользоваться данными системами. Это позволит увеличить безопасность Интернета. Помимо борьбы с последствиями также нужно уделять внимание и профилактике.

Ссылки.

1. Malware – http://en.wikipedia.org/wiki/Malware.
2. Web threat – http://en.wikipedia.org/wiki/Web_threats.
3. Google searches web’s dark side – http://news.bbc.co.uk/2/hi/technology/6645895.stm.
4. Итоги хакерской активности в Уанете в 2010 – http://websecurity.com.ua/5058/.
5. Инфицированность Уанета за последние годы – http://websecurity.com.ua/4875/.
6. Новости: 1,5 миллиона зараженных сайтов – http://websecurity.com.ua/5100/.
7. Sophos Security Threat Report 2011 – http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-2011-wpna.pdf.
8. Web Virus Detection System – http://websecurity.com.ua/webvds/.
9. Использование Safe Browsing от Google – http://websecurity.com.ua/3785/.
10. Norton Safe Web – http://safeweb.norton.com.
11. McAfee SiteAdvisor Software – http://www.siteadvisor.com.
12. StopBadware.org – http://stopbadware.org.
13. Dirtiest websites of Summer 2009 – http://safeweb.norton.com/dirtysites.
14. Инфицированные google.com, yahoo.com и blogspot.com – http://websecurity.com.ua/3786/.