Ограниченность ресурсов для анализа все усложняющегося вредоносного кода исключает создание универсального метода его обнаружения – у каждого метода есть своя ограниченная область применения, свою достоинства и недостатки. И каждый метод может быть обойден каким-либо вредоносным кодом, в особенности специально для этой цели подготовленным.
Группа разработчиков из Университета Флориды (University of Florida), под руководством профессора Даниэлы Оливейры (Daniela Oliveira), совместно с коллегами из Университета Стони Брук (Stony Brook University) и Университета Калифорнии (University of California) предложили свое видение операционной системы, которая, по их мнению, позволит значительно более эффективно справляться с вредоносными программами. Специалисты убеждены, что внесение элемента непредсказуемости в логику ОС позволит перехитрить как существующие, так и перспективные образцы зловредов.
В Chameleon, пребывающей на этапе концептуальной разработки, неизвестные программы, которые могут оказаться потенциально опасными выполняются в специальной “непредсказуемой” среде, преднамеренно формируемой ОС. “Даже если это отрицательно скажется на производительности некоторых выполняемых процессов, это может оказаться очень эффективным в борьбе с вирусными атаками. Исполняясь, вредоносный процесс “полагает”, что взял ситуацию под контроль, но это не так” — считает Даниэла Оливейра.
Проверенные и хорошо зарекомендовавшие себя программы, которым можно доверять будут одобрены для работы в стандартной среде без ущерба для функциональности и производительности выполнения, в то время как обнаруженные потенциально небезопасные программы будут секвестрированы в третьей среде, создавая при этом для злоумышленника иллюзию полного контроля над ситуацией. Вместо того, чтобы совершать попытки удалить их сразу, Хамелеон обеспечит вредоносным процессам все возможности для реализации в сформированном им пространстве без последствий для основной системы. Это, в свою очередь, позволит получить достаточное время для сбора критически важной информации и детального анализа вредоносного кода. Такая возможность, по мнению разработчиков, значительно увеличит шансы для победы над актуальными существующими и потенциальными угрозами.
Аналогию описанного метода борьбы с вредоносными программами Оливейра отыскала в прославленных канонах Сунь Цзы и трудах Юлия Цезаря. Как некогда заметил древнекитайский стратег: “Сущность войны — обман. Искусный должен изображать неумелость. При готовности атаковать демонстрируй подчинение. Когда ты близок — кажись далёким, но когда ты очень далеко — притворись, будто ты рядом”. (Трактат “Искусство войны”). “Я много читала о тактике и стратегии побед в войнах, изложенных в трудах Сунь-Цзы и Юлия Цезаря. Они велись успешно во многом благодаря элементу неожиданности. И в кибервойнах, — уверена профессор, — используется тот же принцип”.
Стратегия обмана была использована против кибератак и ранее, в основном, в стратегиях “приманки”, позволяющих собрать информацию о нападавших. Но подобные варианты противодействия, по мнению Оливейры, быстро себя обнаруживали и оказывались малоэффективными. Принципиальное отличие Chameleon в том, что среда, созданная в ОС для исполнения подозрительного кода позволяет ему реализовываться, не вызывая никаких подозрений у атакующего до тех пор, пока код не будет однозначно идентифицирован и отнесен к доброкачественным или зловредным.
Как бы быстро не совершенствовались программные средства обнаружения вредоносных программ, "… предсказуемые компьютерные системы значительно облегчают жизнь злоумышленникам" – считает Оливейра. “… И такая операционная система, как Chameleon была бы очень востребована в корпоративной среде, жестко завязанной на стандартный набор критически важного ПО или, к примеру, на серверах, где сохраняются конфиденциальные данные пользователей”.
Оригинал публикации
Другие наши статьи и события
Комментарии (6)
zvyagaaa
25.01.2016 08:17-1Много слов и мало конкретики
«в то время как обнаруженные потенциально небезопасные программы будут секвестрированы в третьей среде,»
в песочнице что ли будут запускаться? И в чем новинка такого решения?VoiceDao
25.01.2016 08:57Deception has been used against cyber-attacks before, mostly in “honeypot” strategies that lure attackers in to gather information. But those deceptions typically are quickly revealed, Oliveira says, which limits their effectiveness.What sets Chameleon apart is inconsistent deception: Software that has been quarantined – or malware that bypasses standard detection systems – runs in an unfavorable environment until proven either benign or malicious. — так разницу поясняют в оригинале. Конкретики маловато, да и в оригинале статьи на сайте университета, честно говоря, не больше. Пишут, что на стадии разработки концепции. Сама идея выглядит интересно — создать идеальную среду для зловреда, где он мог бы полностью раскрыться, вредоносить в полной уверенности, что наносит ущерб по адресу.
Alexeyslav
25.01.2016 11:13Из нового тут только анализ поведения. А так технология давно известна… Try-and-Decide — интересный софт, позволяющий откатить изменения в системе если что-то пошло не так. Acronis, например, позволяет вести непрерывную резервную копию и откатить изменения в случае необходимости хоть минутой ранее.
Но у всех этих методов есть слабое место — драйвер через который происходит перехват, если троян находится в системе ДО установки этого драйвера — дело плохо, если он использует уязвимость драйвера и обойдёт виртуализацию — дело плохо… в конце концов, он может имитировать легальную подпись.
potan
25.01.2016 18:18Ну для локальной работы можно использовать транзакционное хранилище, и завершать транзакцию только когда программа признана хорошей, годной. Но если программа берет и передает секретные файлу куда-то в интернет и по ответу принимает какое-то решение, то как решить, можно ей это делать или нет?
kasperos
27.01.2016 09:33Смесь песочницы с хонейпотом. При запуске нового приложения, она дает не прямой доступ к файлам, а условный (копию файла), для критических системных данных вообще можно генерировать случайные параметры.
В случае если программа пытается дополнительно авторизоваться «подбором» то на случайный цикл сказать ей «Угадал» и сразу пометить как подозрительную, и начать следить за ней как за зловредной.
Ну и так далее.
Hellsy22
А через пару месяцев выйдет статья «5 способов получить доступ к основной системе используя уязвимости».
Вообще, есть же безопасные системы типа Qubes OS, где любой задаче или группе задач можно назначить свою виртуальную машину, что позволяет, к примеру, иметь три независимые и не подозревающие о существовании друг друга копии браузера — для хождения по сомнительным ссылкам, для повседневной работы и для банковских операций.