Пол Ройял (Paul Royal), исследователь из Центра
информационной безопасности при Технологическом институте шт. Джорджия (США),
заявил о намерении обнародовать свою работу по новой методике разработке
вирусов. Согласно выводам Ройяла, в ближайшем будущем можно ожидать массового
появления вирусов с защитой от копирования. Аналогично крупным голливудским
компаниям, которые защищают музыку и фильмы от копирования путем шифрования с
помощью индивидуальных для каждого клиента ключей, вирусописатели уже начинают
использовать шифрование тела вируса с ключом, индивидуальным для каждой
зараженной машины. Для производителей антивирусов опасность заключается в том,
что они уже не смогут собирать образцы вирусов для анализа на своих ресурсах
вирус будет выполнять свои задачи корректно только на той машине, которую он
целенаправленно заразил.
Техника шифрования вирусов с использованием уникального
машинно-зависимого ключа впервые была обнаружена «в диком виде», когда в начале
текущего года компьютеры Mac поразила эпидемия вируса Flashback. Кроме того,
что этот вирус на пике эпидемии заразил не менее 600 тысяч машин с операционной
системой, считавшейся неподверженной вирусам, экспертов по компьютерной
безопасности сильнее насторожил тот факт, что каждая копия Flashback жестко
привязывается к зараженной машине. В своей работе Пол Ройял с максимальной
глубиной анализирует технику, примененную в вирусе Flashback и прогнозирует,
что с распространением этой техники работа антивирусных компаний сильно
осложнится, если вообще останется возможной.
Почти апокалиптические прогнозы Ройяла имеют под собой
основание. Сейчас работа антивирусных компаний выглядит следующим образом: они
собирают образцы зараженных файлов с компьютеров своих клиентов, а потом
выполняют автоматический анализ этих образцов для выявления общих особенностей.
В результате анализа генерируются наборы характерных признаков, по которым
можно опознать и обезвредить каждый конкретный вирус – в обиходе этот набор
называется вирусной сигнатурой. Корпорация Symantec поддерживает базу данных из
19 миллионов таких сигнатур. Только за 2011 года специалисты и компьютеры
Symantec провели автоматизированный анализ 403 миллионов уникальных вариантов вредоносного
ПО против 286 миллионов в 2010 г. Без автоматизации эта задача была бы гораздо
сложней. «Лаборатория Касперского», в свою очередь, сообщает, что через ее
систему автоматизированного анализа за 2011 год прошло более миллиарда разных
образцов с подозрением на вирусы. Это очень большие цифры, которые еще раз
показывают, как сложно работать производителям антивирусов даже сейчас, когда
копии вируса в разных системах практически не отличаются друг от друга. С
массовым внедрением индивидуального шифрования тела вируса для каждой отдельной
системы задача анализа грозит стать недоступно дорогостоящей.
Теоретически, антивирусная компания может решить проблему с
шифрованием тел вирусов, создав виртуальную машину, идентичную зараженной
системе клиента. Однако, это может вызвать серьезную озабоченность среди
пользователей относительно неприкосновенности своих персональных данных. Задачу
борцов с вирусами осложняет и тот факт, что вирусописатели могут создать
функции, которые будут интерпретировать команды вирусу от центров управления с
помощью ключа, созданного на основании информации о размещении компьютера. Этот
метод уже получил название «локализация набора инструкций»: в результате его
применения команда для машины в Москве будет совершенно непонятна другому (или
тому же) компьютеру в Берлине.
Представители антивирусных вендоров уже выразили надежду,
что Ройял будет продолжать обсуждение проблемы на высоком уровне, чтобы не
давать злоумышленникам помощи и четких инструкций по привязке своих вирусов к
каждой заражаемой машине. В свою очередь, сам Ройял заявляет, что его работа
должна послужить предупреждением для всех специалистов по защите, чтобы они
взялись за проблему с максимальной тщательностью и скоростью. По его словам,
это не повод выбрасывать старые инструменты для анализа вредоносного ПО, но
повод к их быстрой модернизации. Полное содержание своей работы Ройял
собирается представить на хакерской конференции Black Hat в Лас-Вегасе на этой
неделе.
По материалам сайта MIT Technology Review.
|
