Вредоносные программы

1. Общая характеристика вредоносных программ

1.1 Вредоносное программное обеспечение

1.2 Виды вредоносного ПО

1.3 Способы проникновения вредоносных программ в систему

2. Обзор Windows

2.1 Маркеры доступа

2.2 Список управления доступом

2.3. Привилегии

2.4 Уровни целостности

3. Исследовательская часть

3.1 Условия экспериментов

3.2 Разработанное ПО

3.3 Разработка разгружаемого мини фильтра файловой системы

3.4 Результаты исследования

Заключение

Список используемой литературы

1.1 Вредоносное программное обеспечение

Вредоносное программное обеспечение - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путём копирования, искажения, удаления или подмены информации. [1]
Борьба с вредоносными программами - это циклическая гонка вооружений: поскольку защитники и аналитики улучшают свои методы, злоумышленники также улучшают свои методы. Новые версии вредоносного ПО часто включают в себя новые методы сокрытия и обфускации, которые призваны не только обмануть пользователей, но и администраторов безопасности и продукты для защиты от вредоносных программ.
...

1.2 Виды вредоносного ПО

В настоящее время известно большое количество программных вирусов, их можно классифицировать по следующим основным признакам:
среда обитания;
операционная система (ОС);
особенности алгоритма работы;
деструктивные возможности.
Будем рассматривать вирусы в зависимости от особенности работы и по деструктивным возможностям.
Компьютерный вирус является экземпляром вредоносного ПО, которое при его выполнении реплицирует себя, вставляя свой собственный код в файлы данных (часто в виде мошеннических макросов), «загрузочные сектора» жестких дисков или других компьютерных программ. Как и биологические вирусы, компьютерные вирусы требуют хостов для распространения. Хоть вирусы по-прежнему наносят огромный урон, но большую угрозу представляют трояны и черви.
Компьютерный червь (представляет собой отдельную часть вредоносного ПО, которая реплицирует себя без необходимости использования какого-либо хоста для распространения.
...

1.3 Способы проникновения вредоносных программ в систему

Большинство киберпреступников теперь финансово мотивированы на разработку новых видов вредоносных программ. В последнее время веб-вредоносное ПО стало свидетелем огромного роста из-за широкого внедрения мобильных устройств. В отличие от интернет-червей, которые могут автоматически реплицироваться, вредоносное ПО обычно атакует узлы, используя уязвимости веб-страниц и расширяя их посредством социальной инженерии. Таким образом, пользовательское вмешательство характеризует процесс распространения такого типа вредоносного ПО. Хосты, зараженные веб-вредоносными программами, могут пострадать от модификации настроек браузера (например, домашняя страница по умолчанию, панели поиска, панели инструментов), вызывают изменение реестра пользователя, отображают всплывающие рекламные окна или даже передают информацию о ваших привычках веб-браузера рекламодателям или третьим третьим лицам без вашей осведомленности.
...

2.1 Маркеры доступа

Любой процесс в системе исполняется в контексте какого-либо пользователя или системы. Этот контекст также называют контекстом защиты (security context). В нем хранится вся необходимая информация для реализации контроля доступа к защищаемым объектам системы (securable objects). Все именованные объекты системы и некоторые неименованные (процессы, потоки) являются защищаемыми и имеют дескриптор безопасности (security descriptor). Дескриптор безопасности содержит информацию безопасности (security information) для данного объекта, что позволяет обеспечивать универсальный контроль доступа для любых типов объектов, в том числе и определенных пользователем.
Каждый процесс в системе исполняется в определенном контексте защиты, который определяет маркер доступа.
...

2.2 Список управления доступом

Список управления доступом (ACL) представляет собой список записей управления доступом (ACE). Каждый ACE в ACL идентифицирует доверенного лица и указывает права доступа, разрешенные или запрещенные для этого доверительного управляющего. Дескриптор безопасности для защищаемого объекта может содержать два типа списков управления доступом: а DACL и SACL.
Список дискреционных прав доступа (DACL) идентифицирует доверенных лиц, которым разрешен или запрещен доступ к защищаемому объекту. Когда процесс пытается получить доступ к защищаемому объекту, система проверяет ACE в DACL объекта, чтобы определить, предоставлять ли ему доступ к нему. Если у объекта нет DACL, система предоставляет полный доступ всем. Если у DACL объекта нет ACE, система отказывает в попытках доступа к объекту, потому что DACL не разрешает никаких прав доступа.
...

2.3. Привилегии

Учетные записи пользователей и групп являются доверенными объектами системы. Доверенные объекты – это сущности, которым может быть предоставлен или отклонен доступ к защищаемым объектам или ресурсам системы. [3]
Привилегии – это права доверенного объекта на совершение каких-либо действий по отношению ко всей системе. Под системой понимается компьютер, на котором пользователь зарегистрировался (logon). Следовательно, привилегии пользователя на одном компьютере не распространяются на другой. При каждом интерактивном или неинтерактивном входе в систему формируется новый маркер доступа, и он может содержать другой набор привилегий.
При выполнении каких-либо привилегированных операций система проверяет, обладает ли пользователь соответствующей привилегией. О привилегированных операциях речь пойдет ниже, а сейчас важно отметить, что даже наличие определенной привилегии в маркере доступа не означает успешного результата проверки.
...

2.4 Уровни целостности

Microsoft представила новую функцию безопасности ядра с Windows Vista: уровни целостности. Каждый процесс имеет уровень целостности: низкий, средний, высокий или системный. Процесс с более низким уровнем целостности не может записывать объект с более высоким уровнем целостности.
Для процессов это означает, что процесс с низким уровнем целостности не может открыть дескриптор с полным доступом к процессу со средним уровнем целостности.
Не все прикладные программы будут работать правильно в процессе с низкой целостностью. Низкий процесс целостности не имеет права на запись в большинство областей в локальной области профиля пользователя в файловой системе или в реестре. Невозможность для процесса с низкой степенью целостности для получения доступа на запись к профилю пользователя является хорошей вещью, если программа является нежелательным вредоносным программным обеспечением.
...

3. Исследовательская часть

Критический маршрут выполнения функциональных объектов - такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов [14]. В данной работе предполагается, что процессы могут получать несанкционированный доступ к файлам, при этом данные возможности не задокументированы и у нас нет возможности их исследовать.
Была проведена исследовательская работа, в которой было изучено поведение процессов с ограниченными возможностями и правами. Для формирования статистики использовались следующие данные:
- некорректное поведение программ;
- экстренное завершение программ;
- поведение, приводящее к BSOD.
Так же была проведена оценка различных методов защиты от НСД процессов.


3.1 Условия экспериментов

Использовались следующие принципы, которые позволяли производить корректное оценивание эффективности:
• правильные наборы данных – выбор достаточных данных;
• прозрачность - получение необходимой информацию для понимания и тиражирования экспериментов;
• реализм – сделать эксперименты более приближенными к реальности;
• безопасность – не затрагивать другие системы.
Для изучения вредоносных программ большинство исследователей используют Cuckoo Sandbox. Cuckoo Sandbox - это ведущая автоматизированная система анализа вредоносных программ с открытым исходным кодом. Но из-за её открытости, большинство современных вирусов не проявляют своё присутствие в системе [15]. Поэтому для исследования потребовалось создать собственный стенд, созданный в виртуальной среде Oracle VM VirtualBox 5.2.
...

3.2 Разработанное ПО

Был разработан программный комплекс с использованием языков программирования C/C++ в среде разработки Visual Studio 2017. Данный программный комплекс состоит из “Монитора процессов” и загружаемого мини фильтра файловой системы, который позволяет блокировать доступ к файлам. Монитор процессов работает в User Mode и использует библиотеки WinAPI. MiniFilter драйвер работает в Kernel Mode и использует NativeAPI. На рисунке 2 представлена схема проекта и взаимодействия компонентов.


Рис. 2 – Схема проекта

Монитор процессов позволяет получать информацию о процессах, такую как:
имя процесса;
ID процесса;
путь к исполняемому файлу;
родительский процесс;
владельца процесса;
SID владельца процесса;
использование ASLR;
использование DEP;
используемые DLL;
включённые привилегии.
На рисунке 3 представлен скриншот разработанного программного средства. На рисунке 4 представлен скриншот с более подробной информацией о процессе.


Рис 3. Скриншот монитора процессов

Рис 4.
...

3.3 Разработка разгружаемого мини фильтра файловой системы

На всех операционных системах Windows установлен менеджер фильтров. Диспетчер фильтров переключается в активный режим только при загрузке драйвера minifilter. Менеджер фильтров работает, присоединяясь к стеку файловой системы и тем самым приобретая место в целевом томе. С другой стороны, драйвер minifilter имеет косвенную привязку к целевому объекту, регистрируя себя с помощью менеджера фильтров. Драйвер minifilter может зарегистрироваться в диспетчере фильтров для выполнения фильтрации выбранного набора операций ввода-вывода. На рисунке 8 представлена схема обработки операций ввода-вывода.

Рис. 8 Обработка запросов ввода-вывода
Все драйверы minifilter присоединяются к стеку файловой системы в определенном порядке. Уникальный идентификатор, называемый последовательностью, определяет порядок прикрепления мини-драйвера.
...

3.4 Результаты исследования

С сайта VirusShare были скачаны, подходящие по функциональному описанию, 100 образцов ВПО, которые шифруют файлы и изменяют ключи реестра. VirusShare - это хранилище образцов вредоносных программ для исследователей и судебных аналитиков, который содержит образцы реального вредоносного кода.
Использование ACL
Для исследования потребовалось создать еще одного пользователя. Разрешить только ему доступ к файлу. Далее с помощью разработанного процесса мониторов данный пользователь был назначен владельцем процессов Microsoft Office Word и Internet Explorer.
В таблице 1 представлены события и их частота при использовании ACL для защиты тестового файла и реестра.
Таблица 1. Результат использования ACL
Наблюдаемое событие
Процент событий
Некорректное поведение
0%
Ошибки приложений
0%
Ошибки BSOD
0%

Как видно из результатов, 68% ВПО смогли изменить внести свои записи в реестр. В Windows нет механизма запрета на доступ к реестру с помощью ACL.
...