Вирус Flashback получил известность, как первое вредоносное ПО, сумевшее в массовом порядке заразить тысячи компьютеров Apple (порядка 600 000 машин на пике эпидемии). Однако была у него и ещё одна особенность, которая осталась известной, по сути, лишь специалистам по компьютерной безопасности. Речь идёт об его умении подстраиваться под зараженный компьютер.
Создатели Flashback применили технологию, напоминающую DRM, которую используют для защиты от копирования мультимедийного контента. В итоге, вирус получал некоторые особенности, благодаря которым его нельзя было запустить на другом компьютере. Это означает сложности для анализа вируса в специальных лабораториях.
Полиморфные компьютерные вирусы, или “вирусы-призраки”, известны ещё с 1990 года, когда появился 1296, созданный программистом Марком Вашбёрном. Благодаря умению постоянно изменять свою структуру «полиморф» отличается большей устойчивостью к антивирусному ПО, его труднее детектировать. А ведь сложность программного кода непрестанно растёт, вирусы становятся всё сложнее и «умнее».
Так вполне вероятно скоро появление вредоносных программ, автоматический анализ которых будет невозможен, либо очень труден. Так считает исследователь Пауль Ройал (на фото), который поделился своими размышлениями на конференции Black Hat, проходящей в Лас-Вегасе на этой неделе.
Ройал и его коллеги обнаружили, что вирус, подобный Flashback, сумеет модифицировать свои наиболее важные фрагменты так, что использовать их будет возможно только на том компьютере, который был им инфицирован.
Отныне первоначальный анализ будет начинаться с выделения подмножества вирусов, которые могут быть проанализированы только при участии человека, — рассказал Ройал.
Дело в том, что для защиты используется шифрование, ключи для которого составляются на основе информации, полученной из системы жертвы. Автоматический анализ этих фрагментов на другом компьютере становится невозможным.
Разработчики антивирусов создают целые коллекции из определяющих характеристик, называемых подписями (signature), подобно тому, как микробиологи собирают коллекции штаммов. Так, коллекция Symantec включает в себя 19 миллионов подписей и постоянно увеличивается. При этом специалисты компании отмечают нехорошую тенденцию — в 2011 году ими было проанализировано на 41% вирусов больше, чем в 2010. Без автоматизации эта задача будет намного сложнее.
Поскольку подписи очень важны для выявления вирусов, разработчики вредоносного ПО делают всё, чтобы затруднить их анализ. Ну, а появление вирусов, отличающихся высокой сложностью анализа, означает, что разработчики антивирусов будут просто не успевать за создателями вирусов. Анализ придётся проводить индивидуально для каждого вируса, что займет несравненно больше времени.
Если появятся вирусы, привязанные к конкретным компьютерам и не годящиеся для автоматического анализа, то это здорово усложнит нашу жизнь, — говорил Роэль Шоувенберг, старший научный сотрудник Лаборатории Касперского.
Антивирусные компании могут попробовать использовать для анализа виртуальные машины, идентичные системам жертв. Однако тут встает вопрос неприкосновенности личной жизни. Не все захотят, чтобы их компьютер клонировали, пусть даже и для использования в благих целях. К тому же, чтобы сделать анализ ещё более сложным, авторы вредоносных программ могут использовать ключи, в основу которых положена информация о сетевой папке компьютера. То есть будут использоваться особенности не только самого компьютера, но и сети, в которой он находится.
Появление Flashback должно стать предупреждением для всех разработчиков антивирусного ПО. Им следует уже начинать готовиться. Похоже, что в деле безопасности нас ждут большие перемены. Так, многие эксперты уверены, что пора отказываться от практики создания громоздких антивирусных программ, а эра «классических» антивирусов уходит в прошлое.
Мы должны отказаться от того, чтобы строить линии Мажино, которые только выглядят непреодолимыми, но которые на самом деле легко преодолеть, — проводя аналогию с событиями Второй мировой, отметил Кристин Николас, исследователь из Университета Карнеги-Меллона.
Программы, которые являются краеугольным камнем безопасности, устарели. Перед учёными и специалистами по компьютерной безопасности стоит непростая задача по разработке принципиально новых методов анализа.