Jak pracují dobří hackeři

Znají více programovacích jazyků, jsou obeznámeni s nástroji pro ladění a analýzu a jsou posedlí technickými detaily. Hackeři a bezpečnostní experti jsou si na první pohled podobní, přitom ale stojí na opačných stranách. Ti první chtějí získat vaše data a peníze, využít bezpečnostní mezery nebo uvrhnout svět do chaosu. Ti druzí tomu chtějí předejít. Existuje však mezi nimi samozřejmě více rozdílů. Chip vám ukáže, jak ti „dobří“ hackeři pracují a chrání naše systémy, a to na příkladu pracovníků Kaspersky Lab. I většina ostatních poskytovatelů AV produktů však pracuje při hledání a analýze malwaru podobně.

Závod mezi hackery a analytiky virů a dalších hrozeb odstartují hackeři. Startovacím signálem pro bezpečnostní pracovníky je pak například nějaká nová hrozba, jako ransomware, bezpečnostní mezera populárního programu nebo webové stránky, únik dat a přihlašovacích údajů a podobně. „Analytici virů z Kaspersky Lab používají různé zdroje a nástroje, aby se o hrozbách co nejdříve dozvěděli a objevili je,“ říká Christian Funk, vedoucí německého výzkumného a analytického týmu.

Honeypoty: Jde o malwarové návnady rozptýlené po celém světě, které simulují jednotlivá zařízení, ale i celé počítačové sítě. Shromažďují informace o útocích na nich probíhajících a o chování hackerů a předávají je k další analýze.

Zprávy od uživatelů a expertů : Někteří uživatelé aktivně hlásí podezřelé soubory nebo posílají vzorky malwaru k analýze odborníkům.

Výměna s bezpečnostními experty: I když se někdy jedná o produkty konkurence, pokud jde o detekci malwaru, vývojáři antimalwarových skenerů úzce spolupracují. Důležitým kontaktním místem je stránka virustotal.com. Všechny soubory, které jsou prostřednictvím této on-line služby, již vlastní a provozuje Google, oskenovány, jsou k dispozici odborníkům v oblasti antivirové bezpečnosti pro detailní analýzu. Výzkum: Stejně jako řada dalších technologických společností i Kaspersky Lab investuje do vědeckých výzkumů, samozřejmě se zaměřením na bezpečnost IT. Ty lze poté použít k odvození trendů nových hrozeb nebo technik útoku.

Analýza malwaru za použití AI

Bezpečnostní experti si na nedostatek práce opravdu nemohou stěžovat. „Každý den Kaspersky Lab zaregistruje zhruba 350 000 nových vzorků malwaru,“ říká k tomu Funk. Velkou výzvou je tedy otestovat a zanalyzovat tak velké množství malwaru a pak najít vhodné ochranné opatření. Tak velký počet nových hrozeb nemohou otestovat sami analytici. Proto zde existuje koncept nazvaný HuMachine, kde Hu je zkratka pro human, tedy člověka. Člověk a stroj si rozdělují práci mezi sebou. V praxi probíhá první analýza datových toků automaticky v cloudu Kaspersky Security Network (KSN). Hlavní analytik doplňuje: „Pro tyto automatizované funkce se používá strojové učení.“

V Kaspersky Lab se asi dvacetiletá zkušenost s analýzou virů nalila do nástroje, který pak automaticky analyzuje kód nových vzorků a v případě potřeby je také spustí v sandboxu. V nejlepším případě poskytne AI (umělá inteligence) zprávu o analýze po několika sekundách a klasifikuje nový malware. Pak se zjišťuje, zda jde o již známý malware, nebo alespoň o jeho podobnou variantu, nebo zda jde o úplně novou a neznámou hrozbu. Přibližně 70 % každodenních útoků, ke kterým dochází, je už v Kaspersky Lab známých a jde o malware, proti kterému je již dostupná ochrana. Ve skutečnosti tedy jen asi 30 % představuje nové nebezpečí.

Ochrana proti neznámým hrozbám

Analytici virů samozřejmě nemusí přepsat svůj bezpečnostní program kvůli každému novému malwaru. V minulosti se antivirové skenery opíraly čistě o tzv. signatury, podle kterých se rozpoznaly jednotlivé rodiny škodlivého softwaru a které se pak stahovaly do počítače prostřednictvím aktualizací. Ty stále existují a jsou do zařízení uživatelů distribuovány často i každou hodinu. Jen tento typ ochrany už ale nestačí. „Signatury určitě stále hrají důležitou roli, ale je poměrně nákladné je vyvíjet, musí se otestovat a nahrát přes internet na miliony zařízení uživatelů,“ to je to, co Funk považuje za nevýhodné.

Někdy může zabrat i několik hodin, než je tato nová ochrana nahrána do systémů uživatelů. To jiné mechanismy obrany jsou mnohem rychlejší. Kaspersky a další vývojáři antivirových skenerů proto používají hybridní koncept ochrany, který zahrnuje i proaktivní prvky.

Heuristika : Heuristická analýza souborů se skládá ze statické a dynamické části. V rámci statické části analytický nástroj vyhledá v souboru podezřelé příkazy, jako je například změna kódu programu. Při dynamické analýze se ve virtuálním adresním prostoru emuluje start souboru a kontrolují se jeho případné podezřelé akce.
Rozpoznávání chování: V tomto případě se analyzuje skutečná procesní činnost v reálném čase a sledují se škodlivé vlastnosti. Zaznamenává se každá změna systému. Pokud je chování klasifikováno jako škodlivé, lze běžící proces zastavit. Automatický rollback pak všechny změny navrátí do původního stavu. Ochrana z cloudu: Stále významnější je v posledních letech ochrana z firemního cloudu Kaspersky Security Network (KSN). KSN je široce distribuované serverové prostředí, ve kterém se shromažďují a vyhodnocují informace o všech hrozbách uživatelů programů od Kaspersky Lab. „Pro nás, jako bezpečnostní odborníky, to kromě jiného slouží jako zpětná vazba, zda naše ochrana dobře funguje v praxi,“ říká Funk.

Ale KSN nabízí i další vrstvu ochrany. Programy spouštěné pod Windows nebo načítané webové stránky v prohlížeči mohou být z větší části on-line testovány pomocí automatických funkcí. Pokud si například stáhnete a nainstalujete nový program, třeba Firefox, nejprve se provede dotaz na jeho reputaci a integritu. Je správný kontrolní součet, odpovídá certifikát, mají i další uživatelé na svém počítači takovýto program, zaznamenali nějaké anomálie? V případě softwaru, jako je Firefox, který je v takovém množství používán, lze o tom, zda v jeho případě hrozí nějaké nebezpečí, rozhodnout během chvilky. Pokud je ale rozpoznána zmanipulovaná verze programu, je jeho spuštění zakázáno.

Analýza virů v akci: Ti dobří hackeři

Ne všechny hrozby je ale možné odhalit pomocí strojového učení a umělé inteligence a automaticky je zablokovat. Nové hrozby tak často musí zastavit lidští analytici virů. „Ale nevypadá to jako v hollywoodských filmech o hackerech,“ říká o oblíbeném klišé Funk. A analytici také pracují jinak než hackeři, kteří si pohodlně vyvíjejí škodlivý kód ve vývojových nástrojích. Analytici totiž musí jít mnohem hlouběji, aby kód řádně prozkoumali, takže používají hexaeditory a provádějí statickou i dynamickou analýzu. Potenciální malware také zkoumají v sandboxu a zjišťují, jak se chová. Často jim na rozhodnutí, zda jde, nebo nejde o škodlivý kód, stačí jen několik minut, protože ve většině případů jde naštěstí jen o upravenou verzi již známého typu malwaru. Existují ale samozřejmě i mnohem složitější případy, při kterých analytici virů spoléhají na vlastnoručně vyvinuté nástroje a které zaberou podstatně více času.
Další postup pak závisí na typu škodlivého softwaru. V nejsložitějších případech analytik naprogramuje novou signaturu, ale často stačí implementovat obecnější detekci, například prostřednictvím již existující signatury nebo prostřednictvím heuristiky. Pro zvolení správného postupu dobří analytici spolupracují s jinými týmy a behaviorálními specialisty. Společně pak rozhodnou o tom, které mechanismy je potřeba zvolit a co je potřeba upravit pro zastavení malwaru.

Snadná distribuce aktualizací

„Díky proaktivním modulům často virové skenery chrání i před neznámým malwarem,“ vysvětluje Funk model vícevrstvé ochrany. Uživatelé tedy mají k dispozici ochranu před novým škůdcem i bez aktualizace antiviru. Dotazy na reputaci programů nebo webových stránek lze pomocí KSN zodpovídat prakticky v reálném čase. Nejdéle trvají aktualizace signatur, protože v tomto případě je prováděna rozsáhlá kontrola jejich kvality. A mezitím se už pravděpodobně pracuje na nových hrozbách.

***

Praktický test antivirových skenerů

Chip testoval antivirové skenery společně se specialisty z AV Testu. V rámci testu byl kromě detekce známých virů proveden i komplexní test v reálném provozu, kdy byly systémy cíleně vystavovány aktuálním hrozbám. Pro tyto testy se používá speciální analytický nástroj, který si na začátku vytvoří čistý operační systém. Testeři se pak pokouší s počítačem navštívit škodlivé webové stránky nebo otevírat e-maily s infikovanými přílohami. Použitý analytický nástroj pak vyhodnocuje, zda byl malware antivirem skutečně detekován a zablokován, a umožňuje tak přesné vyhodnocení jeho chování. Špičkové antivirové skenery jsou při tomto testu stoprocentně úspěšné. Výsledky těchto testů najdete na webových stránkách Chipu v části TOP10 & Testy pod názvem Antiviry pro Windows. Podívejte se na podrobné výsledky k jednotlivým programům a podstatný je z tohoto pohledu výsledek testu »Detekce Zero day útoků«.

Foto popis| Mapa hrozeb Na stránce cybermap. kaspersky.com najdou uživatelé on-line mapu 1 se zaznamenanými hrozbami od Kaspersky a také další statistické údaje 2 .
Foto popis| Nejčastější zablokované hrozby v 1. čtvrtletí 2018 Jak nepostradatelný je antivirový skener, lze odvodit ze statistik ohrožení, kterým zabránily produkty Kaspersky Lab.
Foto popis| Signatury Signatury jsou stále důležitou součástí ochrany - pro poskytovatele antivirových řešení je ale jejich použití nákladné.
Foto popis| Při heuristice se používají dynamické i statické analýzy souborů. Pro pomalejší počítače nastavte »Nízká«, pro rychlejší pak »Vysoká«.
Foto popis| Ochranu před napadenými webovými stránkami a zmanipulovanými programy zajišťuje on-line Kaspersky Security Network (KSN).
Foto popis| Napadené programy a aplikace Hackeři zneužívají zranitelnosti populárních programů a nástrojů. Zde je přehled nejčastějších cílů v prvním čtvrtletí 2018.
Foto popis| Test antivirů Na stránkách Chipu najdete srovnávací test AV programů, včetně míry detekce.

O autorovi| JÖRG GEIGER, autor@chip.cz