Фичи невидимого фронта.

Как-то так получается, что в анонсах новых продуктов незаслуженно замыливаются небольшие, но очень вкусные и полезные фичи. Спасибо пресс-релизам и пресс-конференциям, что у нас, таким образом, есть возможность посмаковать эти фичи тут. Вспомнилось «Боец невидимого фронта»: 

На мой вопрос: «Где ты был, ирод проклятый?» – он сказал: «Газеты читать надо! Я был в космосе!». «Где ж тут твоя фамилия?» Он сказал, что надо уметь читать между строк. Между строк было написано, что в космосе также побывали некоторые микроорганизмы…

Вот о них, маленьких, но незаменимых микроорганизмах невидимого фронта и пойдёт речь. А начнём мы с технологии System Watcher, проходящей в русской версии под названием «Мониторинг активности».

Если вам скажут, что антивирусная индустрия скуксилась, давно ничего нового на свет не производит и вообще неспособна держать планку в борьбе с кибер-негодяями – не верьте. Сколько себя помню – всё время мы только и занимаемся тем, что ищем (и находим и внедряем!) новые технологии, отличные от традиционных сигнатур. И System Watcher тому наглядный пример.

Фича не новая – первая версия вошла в линейку персональных продуктов в 2009 г. Там была самая базовая функциональность. В линейке 2010 года System Watcher вырос, похорошел и поумнел. А в последней линейке, как говорится, он «расширился и углубился». Но, что любопытно – посмотрели на 15 конкурирующих продуктов – у них либо вообще ничего нет, либо сподобились сделать только в последних версиях.

А теперь обо всём по порядку.

Итак, что такое System Watcher?

Это компонент наших персональных продуктов (в частности KAV, KIS и CRYSTAL) (а скоро и корпоративных тоже), который в масштабе реального времени анализирует действия всех установленных на компьютере программ. Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие.

Но System Watcher – не безмозглый самописец.

Во-первых, у него есть набор BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестного вредоноса. Во-вторых, он обменивается информацией с другими компонентами продукта и запоминает цепочки событий, по эпизодам формируя целостную картину поведения и следы каждой отдельной программы и их групп. А это значительно повышает точность детекта. Так что ему достаточно обнаружить одно-единственное вредоносное действие, чтобы понять всю картину проникновения, выявить вредоносные компоненты и восстановить систему.

Типа внедрился на компьютер какой-нибудь неизвестный троян. И вдруг один модуль «спалился», установив подозрительное соединение. System Watcher раскручивает тему, смотрит с кем этот модуль общался, «палит» все остальные модули и находит кто что понаделал. Потом «откатывает» изменения и совместно с файловым антивирусом удаляет самого трояна. Выходит эдакий высокоуровневый диагност. Доктор Хаус. Посмотрел, выявил, заклеймил и отправил к хирургу лечиться.

Что нового в System Watcher 2012-го розлива?

Прежде всего, база отслеживаемых событий. Их стало больше и они стали очень разными.

System Watcher анализирует не только поведение программ, но и работу системных сервисов. Например, мы теперь смотрим кто создаёт, меняет и запускает такие сервисы. «Под колпаком» теперь даже сервис печати – есть вредоносы, которые используют его для внедрения на компьютер. Из других новых событий – контроль записи в MBR, работа с оконной подсистемой и symbolic links, передача внутренних команд, перехват загрузки ОС. Ну и много другой низкоуровневой мелочёвки.

Спросите, зачем такие сложности? А вот представьте себе, что, например, вредонос может удалить или скопировать файл «чужими руками» — просто искусно манипулируя «Блокнотом». И это ещё цветочки. Так что тут испортить кашу маслом никак не получится – чем больше событий мы покрываем – тем полнее картина и тем лучше мы сможем засечь заражение. Тем более, что на производительность машины это почти не влияет.

Вот такое вот всевидящее око Сарумана!

А ещё System Watcher теперь отслеживает действия программ на протяжении всего их жизненного цикла. Т.е. не только во время текущей, но и предыдущих сессий работы. В базе для записей предусмотрено аж 100 Мб (настраивается), чего вполне хватит для месячной истории.

Ага, око Сарумана стало ещё саруманистее!

И последнее: System Watcher интегрирован с нашим облаком KSN, (видео, подробности) –  с которым он обменивается данными о подозрительных действиях (разумеется, по желанию пользователя) и может уточнять вердикт.

Например, заподозрил он кого-то, раскопал цепочку связей и нашёл «крайнего» (с кого все началось), и в этот момент спрашивает у облака «а известно ли тебе о нём что-нибудь?», а облако ему и отвечает «ты знаешь, а я его давно уже подозреваю, и раз уж и ты спросил, значит подозрения оправдались и это зло», после чего System Watcher выносит приговор и приступает к «зачистке».

Никаких нанотехнологий, только ловкость рук и гибкость ума.

Ага, скажете вы, снова сигнатуры-шаблоны – что же здесь нового? Ну, сигнатуры сигнатурам рознь. Обычные сигнатуры содержат конкретное описание зловреда, а BSS-шаблоны – действия программ. Первых – бесчисленное множество, а вторых – ограниченное количество. Отсюда и очевидные преимущества в детекте.

Да, мы тут следуем проторенной дорожке – пусть и более эффективно, но пытаемся найти «плохого».  Но это только один из полезных «микроорганизмов» в нашей борьбе со зловредами.

Тема следующего поста – вайтлистинг – репутационный сервис о доверенных программах и вебсайтах. А это уже совсем другая песня. Прямо противоположная традиционному подходу. Здесь мы не пытаемся распознать «плохого». Наоборот, мы знаем в лицо «хороших», а все остальные могут отдохнуть.

Всем спасибо за внимание!

Подробнее о System Watcher тут

Прочитать комментарии 23
Комментарии 16 Оставить заметку

    Dmitry Myachin

    Однако же контроль _всех_ программ автоматически выльется в тормоза :)

    e_kaspersky

    На очень слабых машинках — да. Рекомендуется отключать.

    TIgoR

    Так хорошо расписано, что мне аж захотелось купить.

    Kolyan01

    И так все это знал, но все ровно почитать было интерсено! Спасибо! =)
    п.с.: Юзаю КИС 2012…

    r-strannik

    Спасибо.. довольно таки познавательно.

    Alex

    But what is the difference between System Watcher and PDM, that was introduced in KAV/KIS 6.0? Both trace applications behaviour and return verdict according to some built-in rules, markers, sygnatures of suspect behaviour. Is it just a logical continue of PDM? Am I right?

    P.S. Feel free to answer in Russian, I just don’t have a Cyrillic layout and don’t wan’t to write na translite.

    Spasibo.

    see7tee

    SW — эволюционное развитие PDM. В версии 2012 они есть оба, потому что PDM заточен под известные патерны поведения, а System Watcher — под неизвестные угрозы. Весьма возможно в следующих версиях их объединят.

    Alex

    Теперь понятно. Было бы неплохо, если бы их объединили бы, а то порой приходится гадать в настройки какого модуля необходимо заглянуть чтобы настроить проактивку.

    Кстати, в КИС есть еще модуль Application Control, который тоже порой смахивает на SW/PDM.

    0

    see7tee

    AC – это немного в другую сторону. Общее с PDM-ом и SW то, что AC контролирует поведение программ.
    Но ключевое отличие в том, что PDM и SW признают опасным заданную совокупность действия.
    А AC предоставляет инструмент для ограничения отдельных (атомарных) действий для разных программ.

    0

    alex

    2012 ругают за дыры. Trial Reset (далее TR) сделали за 1 неделю после англ. релиза. Он обходит защиту во время ребута. Делали парни с ру-борда, они же и писали, что обход защиты ещё легче чем в 2011. Я не знаю, что они имели ввиду, но меня самого удивило, почему TR сделали почти моментально. Для 2011 и то дольше тужились.

    Кстати, насчёт syswatcher: не знаю как в 2012, но раньше когда TR были батниками (2010 версии вроде), на любом трекере каждый резеттер знал, чтобы TR не определялся как вирус, там 1 строчку надо было в батнике всего лишь поменять (что-то типа закоменченного описания, не помню точно). Как такое упущение вообще возможно?

    Спасибо.

    Dmitry Myachin

    О TR я вижу только понтометания и обещания с непониманиями (ну и откровенное вранье некоторых особо хамоватых личностей). И еще отломанную возможность активации после применения TR. Я тестировал эту защиту перед внедрением и продолжаю время от времени проверять новые попытки ее обойти.

    SW создан для защиты от заразы. Строго говоря, сброс триала не является ни трояном, ни вирусом, ни шифровальщиком.

    alex

    Меня слабо волнует неправомерный процесс активации приложения. Больше боюсь, что подобным способом может зараза пролезть на компьютер (во время ребута).

    Аналогично по второму пункту. Если на TR каспер не реагирует, гарантируете ли вы, что на заразу он таким образом точно среагирует?

    0

    Dmitry Myachin

    Ну ты же говорил о «дырах» в контексте сброса триала. Мне как раз подкинули ссылку, в которой видно, кто говорил о «дырах». Этот же человек сообщает, что у него есть мега-тулза, только она столько мега, что работает ну прямо только на его компе и нигде больше не может. Ну как можно такому верить?

    Ни одно защитное ПО не способно дать 100% гарантию и нужно это понимать. Ну и пытаться добиться от антивируса постоянной защиты от невирусных программ тоже не стоит. Был бы это сброс триала для Symantec, детекта не было бы вообще, без всяких изменений. Еще раз — TR — очень плохой пример, на который не стоит смотреть.

    0

    alex

    Я боюсь, что дыры, которыми пользуется TR могут быть использованы для обхода защиты антивиря. По поводу TR — он бы не выпускался в свет на варезниках, если бы работал только на 1 из 1000 компов. Разумеется TR проверяли, чтобы он работал везде и они этого добились — в любой актуальной раздаче 2012 на трекерах есть рабочее «лекарство».

    Я понимаю, что 100% гарантии никто не даст, я и не пытаюсь вас на слове подловить. Я просто хочу знать, среагирует ли при небольшой модификации в коде заразы каспер на неё (сможет ли он понять, что это всё ещё зараза, а не просто какой-то неизвестный код).

    PS. Разумеется я не могу знать как работает каспер, зараза/TR, поэтому если мои вопросы/утверждения нелогичны с точки зрения разработчика, можете просто проигнорировать это сообщение. Пытаюсь понять, стоит ли опасаться каких-нибудь бекдоров.

    Спасибо!

    0

    Kov.Gen

    От SONAR не было бы, а вот Insight в любом случае бы не дал никакому тр.ресету засесть на компе.

    0

    Дима

    В вашей статье написано «Первых – бесчисленное множество, а вторых – ограниченное количество. Отсюда и очевидные преимущества в детекте.»
    Если их количество ограничено (BSS-шаблонов), то какие преимущества могут быть перед вредоносным ПО ? Какая связь между словом «ограниченное» и «преимущества» ?

Обратные ссылки 7

Фичи невидимого фронта – 2 | Nota Bene

А в попугаях я гораааздо длиннее! | Nota Bene

Да » Некоторые мифы, затрагивающие современную антивирусную индустрию

Drošības Eksperti

Тестировать нельзя помиловать | Nota Bene

Фичи невидимого фронта-3. | Nota Bene

Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene

Оставить заметку