Добро пожаловать в Клуб Любителей Симантек!
Пока собрано 2400 рублей. Из них через виджет - 2200. Спасибо за понимание!
Показано с 1 по 1 из 1
  1. #1
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,645 раз(-а), в 1,033 сообщениях
    Репутация : 4927Array

    Классификация методов обнаружения и немного больше

    Очень важно напомнить основные понятия по работе антивируса. В нём есть основные модули, которые определяют его работу.

    На этом ресурсе, на других ресурсах многие уже подзабыли многое из того, что я сейчас расскажу.
    Я сам мог кого-то запутать, потому что не освещал подробности и тонкости классификации.
    Теперь я исправлю этот пробел.
    Ничего сложного писать не буду, ИТшником быть не обязательно, достаточно быть любопытным.
    Разбавлю сухую теорию интересными заметками из практики.
    Итак, чтобы я не писал, чтобы не писали и не говорили другие, надо запомнить нижесказанное " как отче наш".
    Более подробную информацию по технологиям Symantec вы можете найти здесь на ресурсе в других темах.

    P.S. Symantec использует все возможные технологии, их возможные сочетания и идёт в технологическом авангарде, предлагая новые технологические решения.

    Методы детектирования в общем виде (исключая анализ трафика, сетевых протоколов и т.д.)
    Делятся на статические (СМ) и динамические (ДМ).
    Всё, что касается анализа "спящего" файла - СМ, всё, что касается анализа работающего файла - ДМ.
    СМ: репутационные, эвристические (о них ниже), сигнатурные (различных видов), др. проактивные методы.
    ДМ: HIPS - анализаторы (о которых будет ниже).




    ЭВРИСТИКА

    Она бывает статической (СЭ) и динамической (ДЭ) (эмулятор). Вот же путаница? На самом деле, до сих многие спорят куда относить эмуляторы, однако факт фактом, большее распространение получает классификация, о которой я говорю.
    СЭ: анализ кода, пассивный анализ, череват ложными срабатываниями (мы судим об обособленном использовании, что сегодня уже невозможно), но ресурсы компьютера сильно не отнимает, в отличие от собрата (ДЭ).
    ДЭ: спящий файл запускается в изолированной среде (Sand-Box) и анализируется в ней, среда представляет собой упрощённую копию ОС со своими ресурсами, это и есть эмулятор, а процесс, когда в эмуляторе (мини-ОС) происходит динамический анализ определёнными методами (обновляемыми профилями эвристики, но не поведения (экспертные HIPS)!) называется эмулированием (эмуляцией).

    Легко ДЭ спутать с поведенческим анализом (экспертные HIPS), до сих пор даже в блоге Касперского иногда проскакивает, хотя он то знает что есть что, запутаться новичку легко.
    ДЭ: не получила большого распространения у многих вендоров, при проверке файлов возрастает нагрузка на систему и вредоносы могут обходить эмуляторы***, однако точность значительно повышается, потому у стоящих игроков рынка ИБ имеется.
    ***Эмулятор должен очень точно повторять ОС, если он не делает это качественно, то вредонос средней руки обнаружит эмулятор и обойдёт его (не проявит вредоносной активности).
    Грань между СЭ и ДЭ стёрта и внимание не акцентируется достаточно давно на том что используется, вендоры научились их комбинировать. Естественно не все достигли в этом прогресса.

    Логичный вопрос: что эффективнее, экспертный HIPS или динамическая эвристика?
    Ответ: экспертный HIPS, он имеет более обширные возможности по анализу ПО в системе, более высокий проактивный потенциал, его куда труднее надурить, особенно, если он использует контекстную информацию от облака, др. модулей, например, таким супер-HIPS-ом является SONAR.


    Более того, комбинируется не только эвристика (её виды), крепится к ним облако (доверенные ЦП+репутация+телеметрия+интеллект облака (суперкомпьютеров)), которое сопровождает эмуляцию и регулирует агрессивность работы, например. Касперский на момент 2013 года только мечтал это реализовать, связать эмулятор (HEUR:Win32.[....]Generic) с KSN (облаком). А вот Symantec давно это прикрутила (Suspicious.Cloud), интеллектуальность таких вердиктов впечатляет, облачные технологии делают эвристику гибкой (регулировка агрессивность, точность, масштабируемость), интеллектуальной (!детектирование пропущенных ранее ей самой файлов в течение нескольких дней, а при распространённости файла - часов!, скорее всего, машина (суперкомпьютер) самообучила эвристику и выпустила новый эвристич. профиль, такое может быть, это за "ширмой").

    Потому классификация ниже является более современной и актуальной.

    Эвристика современного антивируса должна обновляться специальными эвристическими профилями.
    Если они выпускаются для семейств угроз, такая эвристика называется точной (ТЭ), а профили точными.
    Если эвристические профили разработаны для уничтожения новых угроз без опоры на конкретное семейство зверья - общими профилями, а эвристика наз. общей эвристикой (ОЭ).

    Конкретно по Symantec: (вся эвристика обновляется, виды детектов эвристики разнятся)
    (ОЭ)хочу обратить внимание на Suspicious.Cloud.N, так вот под N может быть 2, 2А, 5 и другие вариативности. Это виды, в математических соотношениях вариации различных методов эвристики, облака и прочего возможного позволяют делать упор на детектировании чего-то конкретного: зашифрованных угроз, мутирующих угроз, по упаковщику и т.д. Стоит отметить, что зашифрованные угрозы лучше обнаруживаются экспертными HIPS-ами, но далеко лезть не всегда нужно. Т.е. 2,2А,5,5А..... - виды общей эвристики, а вот обновляемые профили никак не обозначаются, каждый вид такой эвристики имеет свои обновляемые профили, которые не обозначаются и обновление их не отследить.
    (ТЭ) В наименование семейства добавляют следующие окончания: !gm, !genz, !gz. (где z - целое)
    Возможно, каждое окончание означает отдельный вид точной эвристики, но мне пока не известны подробности, да и ни к чему такие подробности. Пример точной эвристической сигнатуры: Trojan.Zbot!gen22 или Trojan.Zeroaccess!g23.





    HIPS

    Анализ запущенных программ в реальном времени.
    Старая, но полезная классификация.
    В дополнение: в современных реалиях Sand-Box является составляющей некоторых экспертных HIPS-ов (я знаю только SONAR, точно известно, что Kaspersky PDM не имеет его), один из таких (других не знаю, а и не надо - они не заслуживают внимания, ибо не так хороши) SONAR by Symantec - экспертный гибридный HIPS, т.е. в нём используется мощь облака, поведенческие профили, песок (Sand-Box) и т.д. Аналогов по эффективности не имеет. Подробнее о нём можно почитать здесь (пост №4). Вообще, средства поведенческого детектирования имеют массу плюсов, они очень перспективы и технологичны, минус лишь в том, что они нуждаются в поддержке профессионалами высокого класса, не всякий может позволить себе такое. За экспертными HIPS однозначно будущее.
    Работает с обновляемыми профилями поведения программ (BPE), которых есть 3 типа: ..профили.. общие (SONAR.Heuristic.N) (N-целое), специальные по семействам (SONAR.FakeAV!gen1), специальные по системным событиям (SONAR.SuspBeh!gen212).



    Репутация

    Подробнее по репутации от Symantec (пост №5)
    У Symantec: Ws.Reputation.1. Подробнее по детекту здесь.


    Другие проактивные методы (заключение)
    SAPE - технология, работа которой в основном загадка, разработана в Symantec (STAR) год назад, недавно вступила в активную работу, аналогов не знаю. Учитывает многие факторы и репутационные, и эвристические....очень хорошо работает по угрозам низкого риска, набирает эффективность. Что главное - она обновляемая.

    Главное знать, что прогресс на месте не стоит, будут появляться новые технологии и классификация будет разрастаться, ОДНАКО ЗНАТЬ ОСНОВЫ ВСЕГДА ОБЯЗАТЕЛЬНО, ибо только тогда вы сможете многое понять в работе вашего антивируса.

    Также стоит отметить, что далеко не все вендоры развивают все эти методы, чаще всего, кто-то выделяется чем-то конкретным.
    Кто-то берёт одним, кто-то другим, но одно можно сказать точно: Symantec стремится взять всем возможным и это главное, ведь у них прекрасно получается. Важно также развивать не только сами методы, но и алгоритмы их взаимодействия, что лучше всех умеют продукты Norton (знаю, что ЛК, McAfee здесь продвигаются).
    Последний раз редактировалось Corvus Corax; 23.03.2015 в 10:38.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  2. 4 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    Black Angel (11.12.2014),SDA (18.11.2014),vashl (20.11.2014),Энди-701 (18.11.2014)

 

 

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •