Технологии превентивной защиты Dr.Web. Превентивная защита. Как найти универсальный способ защиты от хакеров

03.05.2019

Наболело. Решил такой пост забабахать, чтоб на бытовом уровне, простыми буквами рассказать про необходимость защиты домашних компьютеров от вредоносного ПО. А заодно поведать о простейших способах избавления от надоевших баннеров, блокирующих ваш любимый Windows.

Профилактика болезни всегда лучше чем избавление от недуга после основательного заражения инфекцией. Так и здесь – устанавливать антивирусное ПО необходимо сразу после установки операционки, так же не забываем регулярно обновлять антивирусную базу – иначе нужного результата не получить. Потому то превентивная защита и трезвый ум пользователя есть средство уменьшения риска заразиться инфекцией под названием «компьютерный вирус».

Часть 1. Разноцветные презервативы: выбираем антивирусное ПО.

Разнообразие антивирусных программ довольно велико, но на деле, когда нужно привести примеры, мы вспоминаем самые раскрученные бренды.

DrWeb;
- Антивирус Касперского;
- NOD32;
- Symantec (Norton) Antivirus
- Avast! и т.д.

Как по мне так выбор торговой марки дело индивидуального предпочтения, больше нас интересует другая составляющая …

Итак, вариантов использования антивирусного ПО на данный момент несколько (повторюсь, говорим только про домашние ПК ):

Вариант 1: Установить навороченный платный антивирь и начать бесцельные поиски ключей к нему. Искать можно в интернете, у знакомых или стырить лицензию с работы. Вариант спорный, но зная тягу русского человека к халяве – весьма популярный.

Вариант 2: Купить антивирус за деньги и продливать его ежегодно. DrWeb, Касперсикий и подобные разработчики предлагают решения для бытовых нужд за довольно приемлемую цену - годовая лицензия обойдется примерно за 1000 рублей.

Вариант 3: Воспользоваться услугами интернет-провайдера . Крупные компании раздающие интернет и имеющие свою файлообменную сеть предлагают своим абонентам установку и обновление антивирусов как дополнительную услугу. Для примера, компания «СПАРК» предлагает своим пользователям один из пяти антивирусов по цене от 45 до 90 рублей в месяц. Подробнее .

Вариант 4: Установить бесплатную версию антивирусного ПО . Сразу к примеру, у «avast!» есть бесплатная версия для некоммерческого использования «Free Antivirus». Этой программой и пользуюсь уже который год.

Вариант Х: Не устанавливать антивирь . Не хотелось бы рассматривать подобный вариант, но к сожалению практика показывает, что существует определенная горстка пользователей, игнорирующих любые средства компьютерной контроцепции. Счастливые люди, пебывающие в блаженном неведеии. Ну да хрен с ними – эта статья не для них.

2. Homo sapiens – человек разумный: turn «ON» your mind.

Некоторые «пользователи» наивно полагают, что компьютер эта такая штука которая может думать и делать всё за них. Давайте их разочаруем. Компьютер способен лишь помочь или автоматизировать какой-нибудь рутинный процесс и без нормальных человеческих мозгов любой ПК это груда бесполезного железа.

К чему я все это? Применительно к нашей теме скажу следующее – без должного внимания к безопасности ПК со стороны пользователя и происходят всякие вирусные неприятности .

Позволю себе дать несколько советов как снизить риск заражения вредоносным ПО ковыряясь в глобальной сети:

А: Путешествуя по интернету не поддавайтесь на провокации со стороны авторов вирусни которые предлагают вам:

- … обновить ваш браузер . Подлинность окошка с подобным предложением проверяется только визуально (чаще это корявые, с некачественными логотипами странички). Обновить любой браузер можно и вручную через настройки программы либо скачав новую версию непосредственно с сайта разработчика.

- … обновить дополнения. На практике встречался с тем, что компьютеры заражались после того как пользователь тыкал на всплывающем окне якобы обновления Flash-плеера . Опять таки Flash-плеер можно обновить с сайта Adobe .

B: Попытайтесь хоть как-нибудь обучить свой браузер не загружать ненужные вам страницы. Для популярных браузеров хватает плагинов которые заточены именно под это. Например, для FireFox есть замечательный обучаемый плагин NoScript.

C. Если вы использует InternetExplorer – перестаньте использовать его . Люди стараются, пишут для вас качественное ПО, а вы пользуетесь IE. Не хорошо как то получается.

3. … итак вы заболели проказой: удаляем порно-баннеры и блокираторы Windows.

Первый раз я столкнулся с проблемой избавления от блокировки виндОса в декабре 2009 года. В новогодние праздники не было дня чтобы не позвонил какой-нибудь знакомый и не попросил избавить его от баннера-блокировщика. Баннеры обычно просили отправить смс-сообщение на номер указанный на экране, а в замен обещали прислать код разблокировки. За год ситуация чуть поменялась и теперь львиная доля баннеров просит пополнить счет конкретного телефона через терминал.

Попробовать справиться с этим недугом можно следующими способами:

Полученный код вколачиваем в поле ввода баннера и в большинстве случаев этот метод срабатывает.

После удаления блокировщика необходимо зачистить компьютер от заразы – здесь может помочь бесплатная лечащая утилита от DrWeb – CureIT! . Скачать можно отсюда .

В. Использовать для лечения загрузку с «LiveCD», то есть загрузку с внешнего устройства а не со своего локального диска. Опять таки на примере DrWeb. Есть у них в бесплатных утилитах такая штука как «Dr.Web LiveCD «, а недавно появилась и «Dr.Web LiveUSB «. Что бы запустить их необходимо установить в BIOS CD/DVD-привод или USB-HDD в качестве загрузочного соответственно. После остается запустить сканирование жестких дисков, подвергшихся нападению winlocker-а. Детали установки и лечения .

C. Включить зараженный компьютер в сеть и выполнить проверку жестких дисков с другого ПК. Вариант тоже не плохой, но…
- необходимы права администратора ;
- должны быть открыты административные шары (C$, D$ и т.д.).

4. Пара риторических вопросов по теме.

Куда смотрят режиссеры популярных сериалов, например «Южный парк»? Ведь какой зашибенно-популярный мульт можно было бы снять на тему баннеров-блокировщиков! Закрываю глаза и вижу как Картмен пишит очередной вредоносный код и поставляет номер своего телефона…

Куда смотрят сотовые операторы и правоохранительные органы по борьбе с преступлениями в сфере IT ? Ведь через смс-сообщения текут такие финансовые потоки… Или это кому то выгодно?

Вот пожалуй и всё о чем хотелось бы сказать по этой теме.


Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят и технологии превентивной защиты.

Все троянцы делают это:

  • Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций.
  • Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web , действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, - объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.

Перечислим только некоторые из этих технологий.

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.

Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса - при минимальном потреблении ресурсов защищаемой системы .

Dr.Web Process Heuristic контролирует любые попытки изменения системы:

  • распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков);
  • препятствует попыткам вредоносных программ внедриться в процессы других приложений;
  • защищает от модификаций вредоносными программами критических участков системы;
  • выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы;
  • блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере;
  • предотвращает отключение безопасного режима Windows, блокируя изменения реестра;
  • не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом;
  • не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы - начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!

  • Пресекает загрузки новых или неизвестных драйверов без ведома пользователя.
  • Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска.
  • Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства.
  • Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером.
  • Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!

Технология Dr.Web ShellGuard , входящая в состав Dr.Web Script Heuristic , закрывает путь в компьютер для эксплойтов - вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Практически каждый день появляются новости о новых методах идентификации и аутентификации или попросту распознавания на базе биометрических технологий, достаточно открыть поисковую систему и кликнуть на первые ссылки. Из последнего: в США разработали технологию аутентификации по вибрации пальца. Не спорю, что это интересно, к тому же, по словам разработчиков технология недорогая. Однако заявленная точность в 95% явно не порадует специалистов по безопасности. Кстати, сомнения в точности разделяют и многочисленные комментаторы новостей. Подобные технологии имеют право на жизнь, но пока требуют значительной доработки с точки зрения точности.

Предлагаю посмотреть, что же вообще происходит с рынком биометрических решений для распознавания всего и вся. Так, по данным Tractica, по итогам 2016 года глобальный доход от аппаратных и программных биометрических решений составил 2,4 млрд долларов, а к 2025 году эти цифры увеличатся до 15,1 млрд. , то есть среднегодовой темп роста, CAGR, составит более 20%. По мнению J’son & Partners Consulting, в ближайшие 5-7 лет лидерами на мировом рынке станут технологии идентификации по радужной оболочке глаза, голосу и рисунку вен, а пальчиковые технологии, которые лидируют сейчас – отойдут на второй план. Предлагаю поразмышлять, почему все сложится именно таким образом.

Разделение на массовые и специализированные

Первым делом важно разделить технологии, которые практически со 100% точностью выйдут на массовый рынок и будут широко использоваться, например, в сфере услуг. И технологии, которые смогут позволить себе только крупные финансовые, промышленные и оборонные предприятия, где стоимость ошибки идентификации очень высока.

Если говорить про массовый рынок, то уже в ближайшие несколько лет будут активнее и активнее использоваться технологии идентификации по голосу и лицу. Технологии видеоаналитики или машинного зрения уже довольно широко и успешно внедряют в коммерческом секторе для распознавания сотрудников, в ритейле для идентификации посетителей и формирования персонализированных предложений. Голосовая идентификация, полагаю, будет широко использоваться в контакт-центрах. Пока кейсы внедрений касаются больше банков, но в ближайшие годы технологии будут проникать и в другие сферы бизнеса.

Технологии идентификации по радужной оболочке глаза и венозному рисунку ладони обходятся пока в разы дороже, если сравнивать с системами анализа отпечатка пальцев, например. Поэтому выхода на массовый рынок этих технологий ждать все же не стоит. В то же время на закрытых объектах или в зонах с ограниченным доступом, например в банках, на промышленных предприятиях и уж тем более на объектах с повышенной секретностью используются самые прогрессивные технологии, на которые никто не скупится. Но обеспечивают ли они 100% безопасность и за какой технологией будущее?

Великое объединение

Ответ на самом деле прост и логичен: будущее за многофакторными системами идентификации и аутентификации. Желающие поспорить с этим могут обратиться к теории вероятности: если человек проходит 2–3 различные системы биометрической идентификации, вероятность ошибки фактически обнуляется.

При этом безопасность на государственном уровне повышается и за счет более доступных систем. Например, системы машинного зрения активно внедряются в транспортную систему крупных городов, объединяются с базами правоохранительных органов для поиска пропавших или выявления потенциально опасных из «черного списка». Применений таких технологий действительно множество. Кроме того, в ближайшие пару лет софт должен стать значительно умнее, благодаря развитию машинного обучения на базе нейронных сетей, что многократно увеличит количество сценариев использования технологий.

Приложения на основе нейронных сетей многие из нас уже активно используют в повседневной жизни: Prizma, Snapchat, Shazam. Конечно примеры скорее из области развлечений, но хорошо иллюстрируют, как быстро развиваются технологии. В целом во всем мире нет недостатка в новых методах идентификации и аутентификации, а востребованность той или иной технологии - это вопрос ее зрелости. Во многих сферах «на коне» сегодня - комплексный подход к решению задач, и распознавание пользователей/сотрудников не является исключением.

Для массового рынка смартфоны уже стали таким комплексным биометрическим инструментом. В современных моделях, помимо сенсоров отпечатков пальца, используют и идентификацию по лицу (правда пока они имеют разный уровень надежности). По прогнозам Juniper Research , к 2022 году количество таких гаджетов в мире достигнет 760 млн штук. Полагаю, что широкое проникновение таких устройств приведет к тому, что в пользовательской и в коммерческой сфере, а также в государственном секторе комплексная идентификация будет также встречаться все чаще и чаще.

(все те, кто использует клиент Norton для Windows версии 22.5.4 и выше) получат ключевые преимущества от внедрения новой технологии защиты под названием Превентивная Защита от Эксплойтов (Proactive Exploit Protection, PEP), которая предназначена для расширенной защиты устройств Windows от так называемых “атак нулевого дня”.

Атаки нулевого дня - виды атак, который пытаются эксплуатировать неизвестные и неисправленные уязвимости в приложениях Windows или в самой операционной системе. PEP включает три мощные техники защиты, которые остановят несколько видов распространенных атак нулевого дня.

Эффективная защита от мира ‘zero-day’ угроз

Очень часто исследователи безопасности или добропорядочные хакеры обнаруживают уязвимость в программном обеспечении, которое они изучают. Очень часто они оповещают разработчика об обнаруженной ошибке и помогают создавать патч, который устраняет найденную уязвимость. Если, тем не менее, уязвимость впервые обнаружена киберпреступниками, они могут написать вредоносный код, которые будет эксплуатировать уязвимость в надежде получить несанкционированный доступ к устройствам, в которых запущено уязвимое ПО.

За последние несколько лет специалисты Symantec обнаружили существенное увеличение количество эксплойтов нулевого дня, которые используются в Интернет-атаках. Существует большое количество факторов, из-за которых наблюдается данный скачок, но среди исследователей принято считать, что данная картина сложилась из-за роста уровня кооперации и профессионализма в среде хакеров, которые стремятся эксплуатировать уязвимости для получения прибыли.

Количество уязвимостей нулевого дня

Источник: Доклад ISTR об Интернет угрозах, Symantec 2015

Сколько времени требуется для выявления уязвимостей?

Исследования Symantec показывают, что для пяти самых распространенных в 2014 году атак вендорам понадобилось в среднем 59 дней, чтобы выпустить патч для пользователей. Эта цифра не включает время, когда уязвимости оставались неизвестными (обычно от нескольких месяцев до нескольких лет) и дополнительное время, которое требуется пользователям чтобы установить обновления безопасности.

Среднее время для устранения 5 уязвимостей нулевого дня в 2014 году - 59 дней.

Как может PEP защитить от атак нулевого дня?

Технология Превентивной Защиты от Эксплойтов от Norton позволяет обнаруживать широкий спектр шаблонов вредоносного поведения, которые являются главными признаками угроз нулевого дня и блокирует только те программы, которые выполняют подозрительную активность. Одним из ключевых аспектов данного подхода заключается в предоставление защиты от уязвимого ПО в момент его развертывания, а не во время обнаружения или эксплуатирования дыры в безопасности. Это очень важно, потому что большинство зловредов нулевого дня нацелены на уязвимости, которые существовали месяцами и в некоторых случаях, когда еще не были публично обнаружены.

Как может PEP улучшить защиту в реальных условиях?

Давайте приведем пример недавней атаки нулевого дня под названием “Operation Pawn Storm”, которая распространилась в 2015 году и была нацелена на эксплуатирование критической уязвимости в популярной программной среде Java.

Чтобы достичь своей цели атака Operation Pawn Storm эксплуатировала уязвимость в Java для отключения компонента, известного как Менеджер Безопасности Java (Java Security Manager). В то время как пользователи Norton относительно быстро оказались защищенными от данной угрозы, остальные пользователи, которые использовали Java должны были подождать еще пару дней до тех пор, пока компания Oracle не пропатчила Java от Operation Pawn Storm. К сожалению, многие пользователи Java оставались незащищенными в течение месяцев после обнаружения опасности из-за проблем с установкой программных обновлений.

Технология PEP по защите Java предназначена не только для устранения каких-либо задержек в защите, но также обеспечивает полноценную защиту от эксплуатирования уязвимостей Java атаками нулевого дня, которые пытаются отключить Java Security Manager, независимо от того какие типы уязвимостей будут обнаруживаться киберпреступниками в будущем.

Heap Spray и обработчики структурных исключений

Кроме Java атак, за последние два года авторы вредоносного ПО концентрировались также на еще двух категориях атак. Термин Heap spraying относится к атакам, которые пытаются внедрить вредоносный код в предопределенные участки памяти в надежде, что он будет исполнен с помощью уязвимого приложения (обычно веб-браузер или плагины для браузера). Соответственно PEP включает модуль предотвращения Heap spraying, который по сути заранее заполняет определенные ячейки памяти доброкачественных кодом, эффективно блокируя подобные виды атак.

PEP включает также уникальную технологию под названием Structured Exception Handler Overwrite Protection (SEHOP, защита от перезаписи обработчика структурных исключений). Как следует из названия PEP будет предотвращать попытки перезапись вредоносным кодом специальных процедур системы Windows под названием обработчики структурных исключений, которые разработаны для того, чтобы сообщать машине Windows, что нужно делать в случае исключения (или неожиданного события), которое возникает при запуске приложения. Исключение может быть вызвано большим количеством нерегулярных вхождений, например, попытки деления на ноль или попытки доступа по недействительному адресу в памяти. Windows поддерживает уникальный набор обработчиков в каждой категории. К сожалению, предприимчивые киберпреступники обнаружили несколько способов взлома механизма обработки исключений, используя три шага:

  1. Запись вредоносного кода в ячейку памяти
  2. Перезапись процедуры структурного обработчика исключений для конкретного исключения (например, нарушение прав доступа), чтобы он указывал на вредоносный код
  3. Вызов соответствующего исключения таким образом, чтобы Windows обращался к перезаписанной процедуре обработчика исключений для исполнения вредоносного кода

Таким образом, злоумышленники могут получить полный удаленный контроль над устройством, а от пользователя только требуется посетить взломанный или вредоносный веб-сайт. Стратегия защиты PEP очень проста: мониторинг и предотвращение попыток перезаписи обработчика структурных исключений со стороны приложений. Благодаря данному методу, PEP позволяет защитить компьютер от большого количества угроз нулевого дня, применяющих данный подход.

Обещания эффективности Proactive Exploit Protection

PEP является надежной новой технологией защиты, которая обеспечивает ключевые преимущества для клиентов Norton, позволяя им получить моментальную превентивную защиту за счет виртуального исправления уязвимостей еще до того, как они будут обнаружены. Лежащие в основе технологии методы поведенческого анализа остаются высокоэффективными, несмотря на отсутствие необходимости в обновлениях сигнатурных определений. В мире, когда уязвимости остаются неизвестными и не пропатченным на протяжении месяцев и даже лет, а атаки нулевого дня постоянно развиваются, PEP является важным уровнем защиты, который будет иметь значительный положительный эффект на цифровую жизнь пользователей решений Norton.

Нашли опечатку? Нажмите Ctrl + Enter

Похожие статьи