Antywirusy, pakiety i metody alternatywne…

Cały czas mówimy o "standardowych", "tradycyjnych" antywirusach. I tutaj znowu pytanie. Czy one jeszcze istnieją? W niektórych organizacjach z pewnością tak. Chociaż większość firm woli kupić narzędzie kompleksowe (typu endpoint security). Jeżeli spojrzymy też na rynek korporacyjnych rozwiązań antywirusowych, to szybko okaże się, że nawet jeśli chcielibyśmy mieć "gołego" antywirusa, to jego znalezienie wcale nie będzie takie łatwe. Nawet tzw. moduł antywirusowy dostępny w pakietach korzysta z wielu technologii (zależne od producenta). Oprócz podstawy, czyli silnika bazującego na sygnaturach (najmniej detekcji fałszywie pozytywnych, nieskuteczny przy zagrożeniach Zero-Day) jest też moduł (lub moduły) heurystyczny. Ten z kolei daje szansę wykrycia zagrożeń typu Zero-Day, ale jego działanie obarczone jest znacznie wyższym błędem. Heurystyka wykrywa budzące podejrzenia zachowania oprogramowania i jego interakcje z otoczeniem. Dla przykładu wykrywane są próby replikacji kodu, operacje wstrzykiwania (np. file injection), ukrywanie procesów, nawiązywanie komunikacji. Jak mówią eksperci, metody heurystyczne z reguły bazują na dopasowywaniu do siebie pewnych znanych, acz rzadko występujących w niegroźnym oprogramowaniu elementów, np. określonych metod czy funkcji. Z reguły ten proces wykrywczy wspomagany jest wykorzystaniem mechanizmów separacji, np. sandboxingiem, które pozwalają na uruchomienie kodu w kontrolowanym miniśrodowisku i zbadanie jego modus operandi.

Na marginesie warto dodać, że popularność mechanizmów zautomatyzowanej analizy/sandboxingu wzrosła na tyle, że pojawiają się dedykowane rozwiązania oferujące tę właśnie funkcję. Ciekawe podejście do tego tematu prezentują twórcy darmowego Malheur. Jest to narzędzie, które pozwala na analizę zachowań malware’u "nagranych" w typowych środowiskach sandboxowych, takich jak CWSandbox, Anubis, Joebox.

Do tego dochodzą rozmaite techniki wirtualizacji. Eksperci bezpieczeństwa wskazują, iż problem z systemami zautomatyzowanej analizy polega jednak na tym, że współczesny kod złośliwy potrafi wykryć fakt uruchomienia go w środowisku wirtualnym (sandbox), a nie na docelowym systemie. Może wówczas zachowywać się zupełnie niewinnie i nie wzbudzać podejrzeń.

Pojawiają się także inne możliwe do zastosowania mechanizmy. Wśród nich np. whitelisting - uruchamianie tylko wcześniej zatwierdzonych aplikacji. Funkcjonalność taka, w mniej lub bardziej zaawansowanej formie, bywa zaszyta w pakietach typu "endpoint security". Czasami w postaci modułu kontroli aplikacji, czasami funkcji "system lockdown". Są także firmy, które budują swoje rozwiązania na tego typu podejściu, np. Trusteer - choć w tym przypadku mechanizm działania rozwiązania jest znacznie bardziej złożony i powiedzenie, że jest to narzędzie do whitelistingu byłoby krzywdzącym uproszczeniem. Skuteczność działania (w zależności od podejścia) jest dość duża, natomiast znowu w zależności od oprogramowania i koncepcji producenta utrzymanie może stanowić prawdziwe wyzwanie - zwłaszcza gdy co chwilę pojawiają się nowe "konieczne do pracy" aplikacje czy aktualizacje (z systemowymi włącznie). Sam whitelisting bez dodatkowej obudowy na nic się jednak nie zda, jeśli dozwolone aplikacje będą obarczone krytycznymi podatnościami.