Фичи невидимого фронта.

Как-то так получается, что в анонсах новых продуктов незаслуженно замыливаются небольшие, но очень вкусные и полезные фичи. Спасибо пресс-релизам и пресс-конференциям, что у нас, таким образом, есть возможность посмаковать эти фичи тут. Вспомнилось «Боец невидимого фронта»: 

На мой вопрос: «Где ты был, ирод проклятый?» – он сказал: «Газеты читать надо! Я был в космосе!». «Где ж тут твоя фамилия?» Он сказал, что надо уметь читать между строк. Между строк было написано, что в космосе также побывали некоторые микроорганизмы…

Вот о них, маленьких, но незаменимых микроорганизмах невидимого фронта и пойдёт речь. А начнём мы с технологии System Watcher, проходящей в русской версии под названием «Мониторинг активности».

Если вам скажут, что антивирусная индустрия скуксилась, давно ничего нового на свет не производит и вообще неспособна держать планку в борьбе с кибер-негодяями – не верьте. Сколько себя помню – всё время мы только и занимаемся тем, что ищем (и находим и внедряем!) новые технологии, отличные от традиционных сигнатур. И System Watcher тому наглядный пример.

Фича не новая – первая версия вошла в линейку персональных продуктов в 2009 г. Там была самая базовая функциональность. В линейке 2010 года System Watcher вырос, похорошел и поумнел. А в последней линейке, как говорится, он «расширился и углубился». Но, что любопытно – посмотрели на 15 конкурирующих продуктов – у них либо вообще ничего нет, либо сподобились сделать только в последних версиях.

А теперь обо всём по порядку.

Итак, что такое System Watcher?

Это компонент наших персональных продуктов (в частности KAV, KIS и CRYSTAL) (а скоро и корпоративных тоже), который в масштабе реального времени анализирует действия всех установленных на компьютере программ. Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие.

Но System Watcher – не безмозглый самописец.

Во-первых, у него есть набор BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестного вредоноса. Во-вторых, он обменивается информацией с другими компонентами продукта и запоминает цепочки событий, по эпизодам формируя целостную картину поведения и следы каждой отдельной программы и их групп. А это значительно повышает точность детекта. Так что ему достаточно обнаружить одно-единственное вредоносное действие, чтобы понять всю картину проникновения, выявить вредоносные компоненты и восстановить систему.

Типа внедрился на компьютер какой-нибудь неизвестный троян. И вдруг один модуль «спалился», установив подозрительное соединение. System Watcher раскручивает тему, смотрит с кем этот модуль общался, «палит» все остальные модули и находит кто что понаделал. Потом «откатывает» изменения и совместно с файловым антивирусом удаляет самого трояна. Выходит эдакий высокоуровневый диагност. Доктор Хаус. Посмотрел, выявил, заклеймил и отправил к хирургу лечиться.

Что нового в System Watcher 2012-го розлива?

Прежде всего, база отслеживаемых событий. Их стало больше и они стали очень разными.

System Watcher анализирует не только поведение программ, но и работу системных сервисов. Например, мы теперь смотрим кто создаёт, меняет и запускает такие сервисы. «Под колпаком» теперь даже сервис печати – есть вредоносы, которые используют его для внедрения на компьютер. Из других новых событий – контроль записи в MBR, работа с оконной подсистемой и symbolic links, передача внутренних команд, перехват загрузки ОС. Ну и много другой низкоуровневой мелочёвки.

Спросите, зачем такие сложности? А вот представьте себе, что, например, вредонос может удалить или скопировать файл «чужими руками» — просто искусно манипулируя «Блокнотом». И это ещё цветочки. Так что тут испортить кашу маслом никак не получится – чем больше событий мы покрываем – тем полнее картина и тем лучше мы сможем засечь заражение. Тем более, что на производительность машины это почти не влияет.

Вот такое вот всевидящее око Сарумана!

А ещё System Watcher теперь отслеживает действия программ на протяжении всего их жизненного цикла. Т.е. не только во время текущей, но и предыдущих сессий работы. В базе для записей предусмотрено аж 100 Мб (настраивается), чего вполне хватит для месячной истории.

Ага, око Сарумана стало ещё саруманистее!

И последнее: System Watcher интегрирован с нашим облаком KSN, (видео, подробности) –  с которым он обменивается данными о подозрительных действиях (разумеется, по желанию пользователя) и может уточнять вердикт.

Например, заподозрил он кого-то, раскопал цепочку связей и нашёл «крайнего» (с кого все началось), и в этот момент спрашивает у облака «а известно ли тебе о нём что-нибудь?», а облако ему и отвечает «ты знаешь, а я его давно уже подозреваю, и раз уж и ты спросил, значит подозрения оправдались и это зло», после чего System Watcher выносит приговор и приступает к «зачистке».

Никаких нанотехнологий, только ловкость рук и гибкость ума.

Ага, скажете вы, снова сигнатуры-шаблоны – что же здесь нового? Ну, сигнатуры сигнатурам рознь. Обычные сигнатуры содержат конкретное описание зловреда, а BSS-шаблоны – действия программ. Первых – бесчисленное множество, а вторых – ограниченное количество. Отсюда и очевидные преимущества в детекте.

Да, мы тут следуем проторенной дорожке – пусть и более эффективно, но пытаемся найти «плохого».  Но это только один из полезных «микроорганизмов» в нашей борьбе со зловредами.

Тема следующего поста – вайтлистинг – репутационный сервис о доверенных программах и вебсайтах. А это уже совсем другая песня. Прямо противоположная традиционному подходу. Здесь мы не пытаемся распознать «плохого». Наоборот, мы знаем в лицо «хороших», а все остальные могут отдохнуть.

Всем спасибо за внимание!

Подробнее о System Watcher тут