facebook

Antivirus je mrtev! Ať žije antivirus!

COMGUARDRůzné proklamace o tom, že antivirové programy jsou již zastaralé, v boji proti malwaru neúčinné, se objevují stále častěji. Velmi mediálně propíraný byl výrok viceprezidenta Symantecu Bryane Dye, který prohlásil, že antivirus je mrtev [1]. I když se jednalo o výrok, který se týkal hlavně vize Symantecu ve výběru nabízených produktů a služeb, ukazuje to na fakt, že antiviry již na ochranu proti malwaru nestačí a výrobci hledají nové cesty, jak své zákazníky ochránit.
Na vývoj antivirových programů a modulů, které k nim byly postupně přidávány, může být velmi dobře aplikován tzv. efekt červené královny (The Red Queen Effect). Pokaždé, když tvůrci malwaru přišli s nějakou novinkou, zareagoval trh antivirů protiopatřením, což opět donutilo tvůrce malwaru přijít s novým způsobem napadení uživatelských počítačů a tak dále. Velmi dobře a detailně popisuje tento efekt v souvislosti s bezpečnostními technologiemi Bruce Schneier ve své knize „Liars and Outliers: Enabling the Trust that Society Needs to Thrive“ [2]

Evoluce malwaru nadělala výrobcům antivirového softwaru nemálo vrásek, které vyústily v zoufalé výroky, jako je ten zmíněný Bryana Dye. Závod mezi malwarem a antivirovými produkty se tak dostává mimo samotný antivirus a jeho přidružené moduly. Pro ochranu firemních prostředí se technologicky do popředí dostávají technologie sandboxingu (sandbox, angl. pískoviště) a emulace malwaru, které mají prezentovat odlišný přístup od klasických signatur a heuristiky.

Sandboxing se z důvodu náročnosti na systémové prostředky neodehrává na koncovém stroji, ale typicky na dedikované appliance. Ta se musí ke vzorkům potenciálního malwaru nějakým způsobem dostat, ideálním místem pro získání těchto vzorků jsou emailová brána a webová proxy. Při tradičním filtrování obsahu (antispam, URL filtrace apod.) přepošlou tato řešení soubory ke kontrole na sandboxing appliance, kde se soubory spustí (v případě spustitelných souborů, skriptů apod.) nebo otevřou v odpovídajícím softwaru (dokumenty, interaktivní obsah apod.) Na základě následujícího dění (interakce se systémem, síťová komunikace, atd.) řešení vyhodnocuje, zda se jedná o malware nebo legitimní data. Signatury během tohoto procesu nehrají roli.

  • Installed itself into Appdata and behaves like Zbot
  • Installed itself into Windows, encrypted volume GUID and added to the Windows Application Data directory
  • Malicious behavior: dropped an executable and hid itself by deleted original malware"s container
  • Deleted itself after installation
  • Ran executable from the Administrator"s temporary folder
  • Downloaded data from a webserver
  • Created executable under Administrator"s temporary directory
  • Created named mutex object
  • Created and set up new security descriptor for the running process
  • Modified time attribute of the file under user Application Data folder after its creation

Jako příklad tohoto typu technologie využiji produkt McAfee Advanced Threat Defense (ATD) [3] (původně technologie společnosti ValidEdge). Z pohledu technologie se rozhodně nejedná o úplnou novinku, ale koncept se osvědčil a produkt je nasazován do podnikových sítí, aby doplnil funkce stávajícího antiviru a dal společnostem výhodu v neustálé evoluci efektu červené královny. Automatická analýza dokáže odhalit malware, který předem nikdo neanalyzoval a neexistují na něj signatury.

Protože dynamická analýza formou sandboxingu je velmi náročná na zdroje, i řešení typu ATD používá klasický antivirový engine (dokonce kombinaci více enginů), a to z důvodu detekce již známého malwaru; je zbytečné plýtvat zdroj, pokud již víme, že se jedná o malware. Pokud ale dojde na dynamickou analýzu, je cílem nasimulovat co nejpřesněji, jak by se soubor choval, kdyby ho otevřel uživatel na svém počítači. ATD tedy umožňuje import vlastních obrazů virtuálních strojů a výrobce doporučuje integrovat co nejvíce uživatelského softwaru (zejména MS Office, Adobe Reader, Adobe Flash a Oracle Java), aby se projevily i zranitelnosti aplikací.

Jak jsem již zmínil, technologie sandboxingu není úplná novinka, i zde již proběhla jedna větší iterace efektu červené královny. Tvůrci malwaru začali integrovat mechanismy detekce virtuálního prostředí, kterými zabrání spuštění škodlivého kódu v sandboxu a tak se vyhnou detekci. Popřípadě obejdou detekci velmi elegantně tak, že odloží spuštění škodlivého kódu o několik hodin a spoléhají na to, že tak dlouho žádný sandbox čekat nebude. Odpověď McAfee přišla ve formě doplnění dynamické analýzy o analýzu statickou. Cílem je odhalit zmíněné mechanismy a hlavně srovnat formou grafu, jaké procedury byly spuštěny během dynamické analýzy, oproti tomu, jaké procedury a jaké povahy daný soubor opravdu obsahuje.

Antivirus sám o sobě již opravdu není dostatečné protiopatření a v dohledu není úprava klasické antivirové technologie, která tento přístup spasila. Společnosti, které požadují kvalitní ochranu proti škodlivému kódu, budou muset antivirům pomoci a jako účinná pomoc se ukazuje právě sandboxing. Na druhou stranu, klasické antiviry nemohou být jen tak odloženy, jako nástroje na blacklisting malwaru zůstanou jedním ze základních stavebních kamenů ochrany proti škodlivému kódu i nadále.

Použité a citované zdroje:

[1] SCHIESSER, Tim. Symantec claims anti-virus is "dead" [cit. 2014-09-12]
[2] SCHNEIER, Bruce. Liars and Outliers: Enabling the Trust that Society Needs to Thrive [cit. 2014-09-12], [3] McAfee Advanced Threat Defense. mcafee.com (online) [cit. 2014-09-12]

Robert Šefr
Autor článku je Senior Solution Consultant společnosti COMGUARD s.r.o.