Zaštita računarske mreže. Borba protiv zlonamjernog softvera na lokalnoj mreži. Sistemi na više nivoa sa Web interfejsom

Koje su primorane da čekaju kreiranje fizičkog fajla na računaru korisnika, zaštita mreže počinje da analizira dolazne tokove podataka koji ulaze u računar korisnika preko mreže i blokira pretnje pre nego što uđu u sistem.

Glavna područja zaštite mreže koju pružaju Symantec tehnologije su:

Preuzimanja, web napadi;
- Napadi “Društvenog inženjeringa”: FakeAV (lažni antivirusi) i kodeci;
- Napadi kroz društvenim medijima like Facebook;
- Otkrivanje malvera, rootkita i sistema zaraženih botovima;
- Zaštita od naprednih prijetnji;
- Prijetnje nultog dana;
- Zaštita od nezakrpljenih softverskih ranjivosti;
- Zaštita od zlonamjernih domena i IP adresa.

Tehnologije za zaštitu mreže

Nivo "Zaštita mreže" uključuje 3 različite tehnologije.

Rješenje za prevenciju mrežnih upada (mrežni IPS)

Mrežna IPS tehnologija razumije i skenira preko 200 različitih protokola. Inteligentno i precizno prodire u binarne i mrežne protokole, tražeći znakove zlonamjernog prometa na putu. Ova inteligencija omogućava preciznije mrežno skeniranje, a istovremeno pruža robusnu zaštitu. U njegovom “srcu” je mehanizam za blokiranje eksploatacije koji pruža otvorene ranjivosti sa praktično neprobojnom zaštitom. Jedinstvena karakteristika Symantec IPS je da ova komponenta ne zahtijeva nikakvu konfiguraciju. Sve njegove funkcije rade, kako kažu, "iz kutije". Svaki Norton potrošački proizvod i svaki Symantec Endpoint Protection proizvod verzije 12.1 i noviji imaju ovu kritičnu tehnologiju omogućenu prema zadanim postavkama.

Zaštita pretraživača

Ovaj sigurnosni mehanizam se nalazi unutar pretraživača. Sposoban je da otkrije najsloženije prijetnje koje ni tradicionalni antivirus ni mrežni IPS ne mogu otkriti. Danas, mnogi mrežni napadi koriste tehnike zamagljivanja kako bi izbjegli otkrivanje. Budući da se zaštita pretraživača pokreće unutar pretraživača, može naučiti kod koji još nije skriven (zamaskiran) dok se izvršava. Ovo vam omogućava da otkrijete i blokirate napad ako je propušten na nižim nivoima zaštite programa.

Zaštita od neovlaštenog preuzimanja (UXP)

Smještena unutar sloja mrežne odbrane, zadnja linija odbrane pomaže pri pokrivanju i ublažavanju efekata nepoznatih i nezakrpljenih ranjivosti, bez upotrebe potpisa. Ovo pruža dodatni sloj zaštite od napada Zero Day.

Fokusiranje na probleme

Radeći zajedno, tehnologije mrežne sigurnosti rješavaju sljedeće probleme.

Drive-by preuzimanja i kompleti za web napade

Koristeći mrežni IPS, zaštitu pretraživača i UXP tehnologiju, Symantecove tehnologije za zaštitu mreže blokiraju Drive-by preuzimanja i u suštini sprečavaju zlonamjerni softver da čak i dosegne korisnikov sistem. Prakticiraju se različite preventivne metode koje uključuju korištenje istih tehnologija, uključujući Generic Exploit Blocking tehnologiju i alate za otkrivanje web napada. Uobičajeni alat za otkrivanje web napada analizira karakteristike uobičajenog web napada, bez obzira na konkretnu ranjivost na koju cilja napad. To nam omogućava da osiguramo dodatna zaštita nove i nepoznate ranjivosti. Najbolja stvar u vezi sa ovom vrstom zaštite je da ako bi zlonamjerna datoteka "tiho" zarazila sistem, ona bi i dalje bila proaktivno zaustavljena i uklonjena iz sistema: upravo to je ponašanje koje tradicionalni antivirusni proizvodi obično propuštaju. Ali Symantec nastavlja blokirati desetine miliona varijanti zlonamjernog softvera koji se obično ne mogu otkriti drugim sredstvima.

Napadi socijalnog inženjeringa

Budući da Symantec-ova tehnologija prati promet mreže i pretraživača dok putuje, ona otkriva napade "društvenog inženjeringa" kao što su FakeAV ili krivotvoreni kodeci. Tehnologije su dizajnirane da blokiraju takve napade prije nego što se pojave na ekranu korisnika. Većina drugih konkurentskih rješenja ne uključuje ovu moćnu mogućnost.

Symantec blokira stotine miliona ovih vrsta napada pomoću tehnologije zaštite od prijetnji na mreži.

Napadi usmjereni na aplikacije društvenih medija

Aplikacije društvenih medija u u poslednje vreme postale su široko popularne jer vam omogućavaju trenutnu razmjenu raznih poruka, zanimljivih videa i informacija sa hiljadama prijatelja i korisnika. Široka distribucija i potencijal takvih programa čine ih metom broj 1 za hakere. Neki uobičajeni hakerski trikovi uključuju kreiranje lažnih naloga i slanje neželjene pošte.

Symantec IPS tehnologija može zaštititi od ovih vrsta metoda prevare, često ih sprečavajući prije nego što korisnik i klikne na njih. Symantec zaustavlja lažne i lažne URL-ove, aplikacije i druge tehnike prevare pomoću tehnologije zaštite od prijetnji na mreži.

Otkrivanje zlonamjernog softvera, rootkita i sistema zaraženih botovima

Zar ne bi bilo lijepo znati gdje se tačno na mreži nalazi zaraženi računar? Symantec-ova IPS rješenja pružaju ovu mogućnost, uključujući otkrivanje i oporavak prijetnji koje su možda zaobišle druge slojeve zaštite. Symantec rješenja otkrivaju zlonamjerni softver i botove koji pokušavaju da izvrše automatsko biranje ili preuzmu "ažuriranja" kako bi povećali svoju aktivnost na sistemu. Ovo omogućava IT menadžerima, koji imaju jasnu listu sistema za pregled, da budu sigurni da je njihovo preduzeće sigurno. Polimorfne i složene stealth prijetnje korištenjem rutkit tehnika kao što su Tidserv, ZeroAccess, Koobface i Zbot mogu se zaustaviti i ukloniti pomoću ove metode.

Zaštita od prikrivenih prijetnji

Današnji web napadi koriste složene tehnike kako bi povećali složenost svojih napada. Symantecova zaštita pretraživača nalazi se unutar pretraživača i može otkriti vrlo složene prijetnje koje tradicionalne metode često ne mogu otkriti.

Prijetnje nultog dana i nezakrpljene ranjivosti

Jedan od prošlih sigurnosnih dodataka koje je kompanija dodala je dodatni sloj zaštite od prijetnji nultog dana i nezakrpljenih ranjivosti. Koristeći zaštitu bez potpisa, program presreće System API pozive i štiti od preuzimanja zlonamjernog softvera. Ova tehnologija se zove Un-Authorized Download Protection (UXP). To je posljednja linija podrške unutar ekosistema zaštite od mrežnih prijetnji. Ovo omogućava proizvodu da "pokrije" nepoznate i nezakrpljene ranjivosti bez upotrebe potpisa. Ova tehnologija je omogućena prema zadanim postavkama i nalazi se u svakom proizvodu objavljenom od Nortona 2010. godine.

Zaštita od nezakrpljenih softverskih ranjivosti

Zlonamjerni programi se često instaliraju bez znanja korisnika, koristeći ranjivosti u softveru. Symantec mrežna sigurnost pruža dodatni sloj zaštite pod nazivom Generic Exploit Blocking (GEB). Bez obzira na to da li su najnovije nadogradnje instalirane ili ne, GEB "uglavnom" štiti temeljne ranjivosti od eksploatacije. Ranjivosti u Oracle Sun Java, Adobe Acrobatčitalac, Adobe Flash, Internet Explorer, ActiveX kontrole ili QuickTime su sada sveprisutni. Generička zaštita od eksploatacije kreirana je "obrnutim inženjeringom" otkrivanjem kako bi se ranjivost mogla iskoristiti na mreži, istovremeno pružajući posebnu zakrpu za mrežni nivo. Jedan GEB, ili potpis ranjivosti, može pružiti zaštitu od hiljada varijanti zlonamjernog softvera, novih i nepoznatih.

Zlonamjerne IP adrese i blokiranje domena

Symantec-ova mrežna zaštita uključuje i mogućnost blokiranja zlonamjernih domena i IP adresa uz zaustavljanje zlonamjernog softvera i prometa sa poznatih zlonamjernih lokacija. Kroz STAR rigoroznu analizu i ažuriranje web stranice, Symantec pruža zaštitu u realnom vremenu od prijetnji koje se stalno mijenjaju.

Poboljšana otpornost na izbjegavanje

Dodata je podrška za dodatna kodiranja kako bi se poboljšala efikasnost otkrivanja napada korištenjem tehnika šifriranja kao što su base64 i gzip.

Detekcija revizije mreže za provođenje politika korištenja i identificiranje curenja podataka

Mrežni IPS se može koristiti za identifikaciju aplikacija i alata koji mogu kršiti korporativne politike korištenja ili za sprječavanje curenja podataka preko mreže. Moguće je otkriti, upozoriti ili spriječiti promet poput IM-a, P2P-a, društvenih medija ili druge "zanimljive" vrste prometa.

STAR Intelligence Communication Protocol

Mrežna sigurnosna tehnologija ne radi sama. Motor komunicira s drugim sigurnosnim službama koristeći STAR Intelligence Communication (STAR ICB) protokol. Mrežni IPS mehanizam povezuje se sa Symantec Sonar motorom, a zatim sa Insight Reputation motorom. To vam omogućava da pružite informativniju i precizniju zaštitu.

U sljedećem članku ćemo pogledati nivo analizatora ponašanja.

Zasnovan na materijalima kompanije Symantec

Antivirus mora biti instaliran na svakom Windows računaru. Dugo se ovo smatralo zlatnim pravilom, ali danas stručnjaci za IT sigurnost raspravljaju o efikasnosti sigurnosnog softvera. Kritičari tvrde da antivirusi ne štite uvijek, a ponekad čak i suprotno - zbog nepažljive implementacije, mogu stvoriti rupe u sigurnosti sistema. Programeri ovakvih rješenja suprotstavljaju se ovom mišljenju impresivnim brojem blokiranih napada, a odjeli marketinga ih nastavljaju uvjeravati u sveobuhvatnu zaštitu koju njihovi proizvodi pružaju.

Istina je negdje u sredini. Antivirusi ne rade besprijekorno, ali se svi ne mogu nazvati beskorisnim. Upozoravaju na mnoge prijetnje, ali na najveće moguće Windows zaštita nema ih dovoljno. Za vas kao korisnika to znači sljedeće: možete ili baciti antivirus u smeće ili mu slijepo vjerovati. Ali na ovaj ili onaj način, to je samo jedan od blokova (iako veliki) u sigurnosnoj strategiji. Mi ćemo vam obezbijediti još devet ovih „cigli“.

Sigurnosna prijetnja: Antivirusi

>O čemu govore kritičari Trenutna debata antivirusni skeneri koju je izazvao bivši programer Firefoxa Robert O'Callaghan. On tvrdi: antivirusi ugrožavaju sigurnost Windowsa i treba ih ukloniti. Jedini izuzetak je Windows Defender od Microsofta.

> Šta programeri kažu Kreatori antivirusa, uključujući Kaspersky Lab, kao argument navode impresivne brojke. Tako je u 2016. softver iz ove laboratorije registrovao i spriječio oko 760 miliona internet napada na korisničke računare.

> Šta CHIP misli Antiviruse ne treba smatrati ni reliktom ni panacejom. Oni su samo cigla u zgradi bezbednosti. Preporučujemo korištenje kompaktnih antivirusnih programa. Ali ne brinite previše: Windows Defender je u redu. Možete čak koristiti jednostavne skenere trećih strana.

Odaberite pravi antivirus

Kao i do sada, uvjereni smo da je Windows nezamisliv bez antivirusne zaštite. Potrebno je samo odabrati pravi proizvod. Za desetke korisnike, ovo bi čak mogao biti i ugrađeni Windows Defender. Uprkos činjenici da tokom naših testova nije pokazao najbolji stepen prepoznavanja, savršeno je integrisan u sistem i, što je najvažnije, bez ikakvih bezbednosnih problema. Osim toga, Microsoft je poboljšao svoj proizvod u Creators Update-u za Windows 10 i pojednostavio upravljanje njime.

Antivirusni paketi drugih programera često imaju veću stopu prepoznavanja od Defendera. Zalažemo se za kompaktno rješenje. Lider našeg rejtinga na trenutno je Kaspersky Internet Security 2017. Oni koji mogu odbiti takve dodatne opcije kao što su roditeljske kontrole i menadžer lozinki, trebalo bi da usmere pažnju na povoljniju opciju kompanije Kaspersky Lab.

Pratite ažuriranja

Kada bismo morali odabrati samo jednu mjeru za sigurnost Windowsa, definitivno bismo odabrali ažuriranja. U ovom slučaju, naravno, prije svega govorimo o ažuriranjima za Windows, ali ne samo. Instalirani softver, uključujući Office, Firefox i iTunes, također treba redovno ažurirati. Na Windows-u, dobijanje sistemskih ažuriranja je relativno lako. I u "sedam" i "deset" zakrpe se instaliraju automatski koristeći zadane postavke.

U slučaju programa, situacija postaje teža, jer nisu svi tako jednostavni za ažuriranje kao Firefox i Chrome, koji imaju ugrađenu funkciju automatskog ažuriranja. Uslužni program SUMo (Software Update Monitor) će vas podržati u rješavanju ovog zadatka i obavijestiti vas o dostupnosti ažuriranja. Srodni program, DUMo (Driver Update Monitor), će obaviti isti posao za drajvere. Oba besplatna pomoćnika vas, međutim, samo obavještavaju o novim verzijama - morat ćete ih sami preuzeti i instalirati.

Postavite zaštitni zid

Ugrađeni zaštitni zid u Windows-u dobro radi svoj posao i pouzdano blokira sve dolazne zahtjeve. Međutim, sposoban je za više – njegov potencijal nije ograničen zadanom konfiguracijom: sve instalirane programe imaju pravo da otvaraju portove u firewall-u bez traženja. Free utility Windows kontrola zaštitnog zida stavlja vam više funkcija na dohvat ruke.

Pokrenite ga i u meniju “Profili” postavite filter na “Medium Filtering”. Zahvaljujući tome, firewall će također kontrolirati odlazni promet prema datom skupu pravila. Vi sami odlučujete koje mjere će biti uključene. Da biste to učinili, u donjem lijevom kutu ekrana programa kliknite na ikonu bilješke. Na ovaj način možete pogledati pravila i jednim klikom dati dozvolu određenom programu ili ga blokirati.

Koristite posebnu zaštitu

Ažuriranja, antivirus i firewall - već ste se pobrinuli za ovo veliko trojstvo sigurnosnih mjera. Došlo je vrijeme fino podešavanje. Problem dodatni programi pod Windowsom često ne koriste sve sigurnosne funkcije koje nudi sistem. Pomoćni program protiv eksploatacije kao što je EMET (Enhanced Mitigation Experience Toolkit) dodatno jača instalirani softver. Da biste to učinili, kliknite na "Koristi preporučene postavke" i pustite da se program automatski pokrene.

Ojačajte enkripciju

Možete značajno poboljšati zaštitu ličnih podataka tako što ćete ih šifrirati. Čak i ako vaši podaci dođu u pogrešne ruke, haker neće moći ukloniti dobro kodiranje, barem ne odmah. U profesionalnim verzijama Windows već Postoji BitLocker uslužni program koji se može konfigurisati preko kontrolne table.

VeraCrypt će biti alternativa za sve korisnike. Ovaj program otvorenog koda je neslužbeni nasljednik TrueCrypt-a, koji je ukinut prije nekoliko godina. Ako govorimo samo o zaštiti osobnih podataka, možete kreirati šifrirani spremnik putem stavke "Kreiraj volumen". Odaberite opciju "Kreiraj spremnik šifriranih datoteka" i slijedite upute čarobnjaka. Pristup gotovom sefu sa podacima vrši se preko Windows Explorera, kao u običan disk.

Zaštitite korisničke naloge

Mnoge ranjivosti ostaju neiskorišćene od strane hakera samo zato što se rad na računaru obavlja pod standardnim nalogom sa ograničenim pravima. Dakle, za svakodnevne zadatke trebate postaviti i jedan ovakav račun. U operativnom sistemu Windows 7 to se radi preko kontrolne table i stavke „Dodaj i ukloni korisničke naloge“. U prvih deset kliknite na "Postavke" i "Računi", a zatim odaberite "Porodica i drugi ljudi".

Aktivirajte VPN izvan kuće

Kuće u bežičnu mrežu vaš nivo sigurnosti je visok jer samo vi kontrolišete ko ima pristup lokalna mreža, a također su odgovorni za šifriranje i pristupne kodove. Sve je drugačije u slučaju vrućih tačaka, npr.
u hotelima. Ovdje se Wi-Fi distribuira među korisnicima trećih strana, a vi ne možete utjecati na sigurnost pristupa mreži. Radi zaštite preporučujemo korištenje VPN-a (virtuelne privatne mreže). Ako samo trebate pretraživati web stranice putem pristupne točke, ugrađeni VPN najnovija verzija Opera pretraživač. Instalirajte pretraživač i u "Postavke" kliknite na "Sigurnost". U odjeljku "VPN" označite okvir za "Omogući VPN".

Prekinite nekorištene bežične veze

Čak i detalji mogu odlučiti o ishodu situacije. Ako ne koristite veze kao što su Wi-Fi i Bluetooth, jednostavno ih isključite kako biste zatvorili potencijalne rupe. U Windowsu 10, najlakši način da to učinite je preko Akcionog centra. “Sedam” nudi odjeljak na kontrolnoj tabli za ovu svrhu “ Mrežne veze».

Upravljajte lozinkama

Svaka lozinka mora se koristiti samo jednom i također mora sadržavati posebne znakove, brojeve, velika i velika slova velika slova. I također biti što je moguće duži - po mogućnosti deset ili više znakova. Princip sigurnosti lozinke danas je dostigao svoje granice jer korisnici moraju previše toga da pamte. Stoga, gdje je to moguće, takvu zaštitu treba zamijeniti drugim metodama. Uzmimo na primjer prijavu na Windows: ako imate kameru koja podržava Windows tehnologije Zdravo, koristite metodu prepoznavanja lica za prijavu. Za druge kodove preporučujemo korištenje upravitelja lozinki kao što je KeePass, koji bi trebao biti zaštićen jakom glavnom lozinkom.

Osigurajte svoju privatnost u pretraživaču

Postoji mnogo načina da zaštitite svoju privatnost na mreži. Ekstenzija Postavke privatnosti idealna je za Firefox. Instalirajte ga i postavite na "Puna privatnost". Nakon ovoga, pretraživač neće pružati nikakve informacije o vašem ponašanju na Internetu.

Kolut za spašavanje: rezervna kopija

> Sigurnosne kopije su izuzetno važne Sigurnosne kopije se isplate
sebe ne samo nakon infekcije virusom. Takođe dobro funkcioniše kada se pojave problemi sa hardverom. Naš savjet: jednom napravite kopiju svih Windowsa, a zatim dodatno i redovno pravite sigurnosne kopije svih važnih podataka.

> Potpuno arhiviranje Windows Windows 10 naslijeđeno od "sedam" modula "Arhiviranje i vraćanje". Koristeći ga, kreiraćete rezervnu kopiju sistema. Također možete koristiti specijalnih uslužnih programa, na primjer True Image ili Macrium Reflect.

> True Image zaštita datoteka i plaćena verzija Macrium Reflecta mogu napraviti kopije određenih datoteka i mapa. Besplatna alternativa za arhiviranje važne informacijeće postati program Personal Backup.

FOTO: proizvodne kompanije; NicoElNino/Fotolia.com

Aleksandar Frolov, Grigorij Frolov

alexandre @frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

U prethodnom članku o antivirusnoj zaštiti pogledali smo glavne vrste virusa i kako se šire. Sada ćemo se na osnovu ovih saznanja baviti zaštitom od virusa, trojanaca i drugih zlonamjernih programa. Govorit ćemo o softverskim, hardverskim, administrativnim i tehnološkim rješenjima i mjerama potrebnim za smanjenje rizika od virusne infekcije i smanjenje štete ako je do takve infekcije već došlo.

Softverske i hardverske metode za otkrivanje virusa

Antivirusni programi bili su i ostali glavno sredstvo borbe protiv virusa. Možete koristiti antivirusne programe (antiviruse) bez da imate pojma kako oni rade. Međutim, bez razumijevanja principa antivirusnog softvera, poznavanja vrsta virusa, kao i načina njihovog širenja, nemoguće je organizirati pouzdanu zaštitu računala. Kao rezultat toga, računar može biti zaražen čak i ako je na njemu instaliran antivirusni softver.

Danas se koristi nekoliko osnovnih tehnika za otkrivanje i zaštitu od virusa:

· skeniranje;

· heuristička analiza;

· korištenje antivirusnih monitora;

· otkrivanje promjena;

· korišćenje antivirusa ugrađenih u BIOS računara.

Osim toga, gotovo svi antivirusni programi omogućavaju automatski oporavak zaraženih programa i sektora za pokretanje. Naravno, ako je moguće.

Skeniranje

Najjednostavniji način traženja virusa je da antivirusni program sekvencijalno skenira skenirane datoteke u potrazi za potpisima poznatih virusa. Potpis je jedinstveni niz bajtova koji pripada virusu i koji se ne nalazi u drugim programima.

Antivirusni skeneri mogu pronaći samo već poznate i proučavane viruse za koje je definiran potpis. Upotreba jednostavnih programa za skeniranje ne štiti vaše računalo od prodora novih virusa.

Za šifriranje i polimorfne viruse koji mogu potpuno promijeniti svoj kod kada su zaraženi novi program ili boot sektor, nemoguće je izdvojiti potpis. Stoga jednostavni antivirusni skeneri ne mogu otkriti polimorfne viruse.

Heuristička analiza

Heuristička analiza vam omogućava da otkrijete ranije nepoznate viruse, a za to ne morate prvo prikupljati podatke o sistemu datoteka, kao što je potrebno, na primjer, metodom otkrivanja promjena o kojoj se govori u nastavku.

Antivirusni programi koji implementiraju metod heurističke analize skeniraju programe i boot sektore diskova i disketa, pokušavajući otkriti kod tipičan za viruse. Heuristički analizator može otkriti, na primjer, da program koji se testira instalira rezidentni modul u memoriju ili upisuje podatke u izvršnu datoteku programa.

Gotovo svi moderni antivirusni programi implementiraju vlastite metode heuristička analiza. Na sl. 1 prikazali smo jedan od takvih programa - skener McAffee VirusScan, pokrenut ručno za antivirusno skeniranje disk.

Rice. 1. McAffee VirusScan provjerava disk

Kada antivirus otkrije zaraženu datoteku, obično prikazuje poruku na ekranu monitora i unosi unos u svoj ili sistemski dnevnik. Ovisno o postavkama, antivirus može poslati i poruku o otkrivenom virusu administratoru mreže.

Ako je moguće, antivirus dezinficira datoteku, vraćajući njen sadržaj. U suprotnom, jedina ponuđena opcija je da izbrišete zaraženu datoteku, a zatim je vratite iz nje rezervna kopija(ako ga, naravno, imate).

Antivirusni monitori

Postoji još jedan cijeli razred antivirusni programi, koji se stalno nalaze u memoriji računara i prate sve sumnjive radnje koje izvode drugi programi. Takvi programi se nazivaju antivirusni monitori ili čuvari.

Monitor automatski provjerava sve pokrenute programe, dokumente kreirane, otvorene i sačuvane, programske datoteke i dokumente primljene putem interneta ili kopirane na hard disk sa diskete i CD-a. Antivirusni monitor će obavijestiti korisnika ako bilo koji program pokuša izvršiti potencijalno opasnu radnju.

Komplet jednog od najnaprednijih Doctor Web skenera (slika 2), koji je razvio Igor Danilov (http://www.drweb.ru), uključuje štitnik Spider Guard, koji obavlja funkcije antivirusnog monitora.

Rice. 2. Doctor Web skener

Change Detection

Kada virus inficira računar, on mijenja sadržaj tvrdog diska, na primjer, dodaje svoj kod u program ili datoteku dokumenta, dodaje poziv virusnom programu u datoteku AUTOEXEC.BAT, mijenja sektor za pokretanje i kreira satelitski fajl. Takve promjene, međutim, ne čine “betjelesni” virusi koji ne žive na disku, već u memoriji OS procesa.

Antivirusni programi, koji se nazivaju revizori diska, ne skeniraju viruse putem potpisa. Prvo pamte karakteristike svih područja diska koja su napadnuta virusom, a zatim ih povremeno provjeravaju (otuda i naziv programa revizije). Ispitivač može pronaći promjene koje je napravio poznati ili nepoznati virus.

Primjeri inspektora diskova uključuju program Advanced Diskinfoscope (ADinf) razvijen u DialogNauka CJSC (http://www.dials.ru, http://www.adinf.ru) i revizora AVP Inspector koji proizvodi Kaspersky Lab CJSC "(http ://www.kaspersky.ru).

Zajedno sa ADinf-om koristi se iscjeliteljski modul ADinf Cure Module (ADinfExt) koji koristi prethodno prikupljene informacije o datotekama kako bi ih vratio nakon infekcije nepoznatim virusima. AVP Inspector također uključuje modul za liječenje koji može ukloniti viruse.

Zaštita ugrađena u BIOS računara

IN matične ploče Računari također imaju ugrađenu osnovnu zaštitu od virusa. Ovi alati vam omogućavaju da kontrolišete sve pozive ka glavnom boot entry tvrdi diskovi, kao i na sektore za pokretanje diskova i disketa. Ako bilo koji program pokuša promijeniti sadržaj boot sektora, aktivira se zaštita i korisnik dobiva odgovarajuće upozorenje.

Međutim, ova zaštita nije baš pouzdana. Postoje virusi (na primjer, Tchechen.1912 i 1914) koji pokušavaju onemogućiti BIOS antivirusnu kontrolu mijenjanjem nekih ćelija u nepromjenjivoj memoriji (CMOS memorija) računara.

Karakteristike zaštite korporativnog intraneta

Korporativni intranet se može sastojati od stotina i hiljada računara koji se ponašaju kao radne stanice i serveri. Ova mreža je obično povezana na Internet i sadrži servere pošte, servere sistema za automatizaciju dokumenata kao što su Microsoft Exchange i Lotus Notes i nestandardne informacione sisteme.

Za pouzdana zaštita korporativni intranet treba da instalira antivirusni softver na svim radnim stanicama i serverima. U ovom slučaju, na serverima datoteka, serverima e-pošte i serverima sistema za upravljanje dokumentima treba koristiti poseban antivirusni softver baziran na serveru. Što se tiče radnih stanica, one se mogu zaštititi konvencionalnim antivirusnim skenerima i monitorima.

Razvijeni su specijalni antivirusni proxy serveri i firewall koji skeniraju promet koji prolazi kroz njih i uklanjaju zlonamjerne softverske komponente iz njega. Ovi antivirusi se često koriste za zaštitu servera pošte i servera sistema za upravljanje dokumentima.

Zaštita servera datoteka

Datotečni serveri bi trebali biti zaštićeni antivirusnim monitorima koji mogu automatski skenirati sve serverske datoteke kojima se pristupa preko mreže. Antiviruse dizajnirane za zaštitu servera datoteka proizvode sve antivirusne kompanije, tako da imate širok izbor.

Zaštita mail servera

Antivirusni monitori su neefikasni u otkrivanju virusa u porukama e-pošte. Ovo zahtijeva posebne antivirusne programe koji mogu filtrirati SMTP, POP3 i IMAP promet, sprječavajući zaražene poruke da dođu do korisničkih radnih stanica.

Da biste zaštitili servere e-pošte, možete kupiti antivirusne programe posebno dizajnirane za skeniranje prometa pošte ili povezati obične antivirusne programe koji mogu raditi u načinu komandne linije na vaš mail server.

Doctor Web antivirusni demon može se integrirati sa svim najpoznatijim mail serverima i sistemima, kao što su Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail i Zmailer. Slične alate obezbeđuje Kaspersky Lab kao deo Kaspersky Corporate Suite.

MERAK Mail Server mail server omogućava povezivanje eksternih antivirusa različitih tipova koji imaju interfejs komandne linije. Neki serveri za poštu (kao što je EServ) dolaze sa ugrađenim antivirusom.

Također možete dodatno skenirati POP 3 promet na radnim stanicama korisnika. To može, na primjer, učiniti antivirusni proxy server SpIDer Mail za POP 3 protokol, koji se može kupiti uz Doctor Web antivirus.

Zaštita servera sistema za upravljanje dokumentima

Serveri sistema za upravljanje dokumentima, kao što su Microsoft Exchange i Lotus Notes, čuvaju dokumente u bazama podataka sopstvenog formata. Stoga korištenje konvencionalnih skenera datoteka za antivirusno skeniranje dokumenata neće dati nikakve rezultate.

Postoji veliki broj antivirusnih programa posebno dizajniranih za antivirusnu zaštitu takvih sistema. To su Trend Micro ScanMail za Lotus Notes, McAfee GroupScan i McAfee GroupShield, Norton Antivirus za Lotus Notes, Kaspersky Business Optimal antivirus za MS Exchange Server i neki drugi.

Ovi programi skeniraju e-poštu i priloge datoteka, uklanjaju sav zlonamjerni softver u realnom vremenu, otkrivaju makro viruse i trojance u obrascima i makroima, datotekama skripta i OLE objektima. Verifikacija se vrši u realnom vremenu i na zahtjev.

Zaštita nestandardnih informacionih sistema

Za nestandardnu antivirusnu zaštitu informacioni sistemi koji pohranjuju podatke u vlastitim formatima, morate ili integrirati antivirusni kernel u sistem ili povezati vanjski skener koji radi u načinu komandne linije.

Na primjer, antivirusno jezgro Doctor Weba koristilo je FSUE NPO Mashinostroeniya za zaštitu sistema za upravljanje dokumentima kreiranog na osnovu Sapiensove vlastite tehnologije (http://www.npomit.ru). Sve informacije koje ovaj sistem čuva u bazi podataka provjerava antivirusni mehanizam Doctor Web.

Kao programeri informacionih sistema za odgovorno korišćenje, NPO Mashinostroyenia je obezbedila antivirusnu zaštitu za svoje razvoje kao što su Sapiens registracija i kontrola izvršenja dokumenata, Sapiens nadgledanje računarskih resursa, Sapiens elektronska arhiva projektne dokumentacije.

Mrežni antivirusni kontrolni centar

Ako intranet ima stotine i hiljade računara, onda je neophodno centralizovano daljinsko upravljanje antivirusnim programima i kontrola njihovog rada. Izvršite ručne operacije kao što je praćenje ažuriranja antivirusna baza podataka podataka i modula učitavanja antivirusnih programa, praćenje efikasnosti detekcije virusa na radnim stanicama i serverima i sl., neefikasno je ako je na mreži veliki broj korisnika ili ako se mreža sastoji od segmenata koji su geografski udaljeni jedan od drugog.

Ukoliko ne osigurate pravovremenu i efikasnu implementaciju navedenih operacija, tehnologija antivirusne zaštite korporativne mreže će sigurno biti ugrožena, što će prije ili kasnije dovesti do zaraze virusom. Na primjer, korisnici mogu pogrešno konfigurirati automatsko ažuriranje antivirusnu bazu podataka ili jednostavno isključite svoje računare dok se vrši takvo ažuriranje. Kao rezultat toga, neće se izvršiti automatsko ažuriranje i postoji potencijalna prijetnja zaraze novim virusima.

Moderni antivirusni sistemi implementiraju sljedeće funkcije: daljinski upravljač i kontrolu:

· instalacija i ažuriranje antivirusnih programa, kao i antivirusnih baza podataka;

· centralizirana daljinska instalacija i konfiguracija antivirusa;

· automatska detekcija novih radnih stanica povezanih na korporativnu mrežu, a zatim automatska instalacija na ove antivirusne softverske stanice;

· planiranje zadataka za trenutno ili odloženo pokretanje (kao što je ažuriranje programa, antivirusne baze podataka, skeniranje datoteka, itd.) na bilo kojem računaru na mreži;

· prikaz u realnom vremenu procesa rada antivirusa na radnim stanicama i mrežnim serverima.

Sve gore navedene funkcije ili mnoge od njih implementirane su u mrežnim kontrolnim centrima vodećih korporativnih antivirusnih proizvoda koje su kreirali Sophos (http://www.sophos.com), Symantec (http://www.symante s.ru) , Network Associates (http://www.nai.com) i Kaspersky Lab.

Mrežni kontrolni centri vam omogućavaju da upravljate antivirusnom zaštitom cijele vaše mreže sa jedne radne stanice administratora sistema. Istovremeno, da bi se ubrzao proces instaliranja antivirusa u udaljene mreže povezane na glavnu mrežu putem sporih komunikacijskih kanala, ove mreže kreiraju vlastite lokalne distribucijske direktorije.

Kada se koristi arhitektura klijent-server, osnova kontrolnog centra mreže je antivirusni server instaliran na jednom od servera u korporativnoj mreži. Sa njim komuniciraju, s jedne strane, agentski programi instalirani zajedno sa antivirusnim programima na mrežnim radnim stanicama, as druge strane, kontrolna konzola administratora antivirusne zaštite (slika 3).

Rice. 3. Interakcija između administratorske konzole, agenata i antivirusnog servera

Antivirusni server vrši radnje kontrole i koordinacije. Pohranjuje opći dnevnik događaja koji se odnose na antivirusnu zaštitu i koji se dešavaju na svim računarima u mreži, listu i raspored zadataka. Antivirusni server je odgovoran za primanje poruka od agenata i slanje administratoru antivirusne zaštite o nastanku određenih događaja na mreži, povremeno provjeravajući mrežnu konfiguraciju u cilju otkrivanja novih radnih stanica ili radnih stanica sa promijenjenom konfiguracijom antivirusnog programa. -virusni alati, itd.

Pored agenata, na svakoj radnoj stanici i serveru u korporativnoj mreži instaliran je i antivirus koji skenira datoteke i provjerava datoteke kada se otvore (funkcije skenera i antivirusnog monitora). Rezultati antivirusnog rada se preko agenata prenose na antivirusni server, koji ih analizira i bilježi u dnevnik događaja.

Kontrolna konzola može biti standardna Microsoft Windows aplikacija sa prozorskim interfejsom ili aplet (snap-in) kontrolne konzole kontrolne table operativnog sistema Microsoft Windows. Prvi pristup implementiran je, na primjer, u Sophos antivirusni sistem upravljanja, a drugi - u sistem upravljanja Norton AntiVirus.

Korisnički interfejs upravljačke konzole vam omogućava da vidite strukturu stabla korporativne mreže, dobijajući pristup, ako je potrebno, pojedinačnim računarima određenih korisničkih grupa ili domena.

Sistemi na više nivoa sa Web interfejsom

Arhitektura sistema na više nivoa sa Web interfejsom podrazumeva korišćenje Web servera kao jezgra sistema. Zadatak ovog kernela je, s jedne strane, da organizuje interaktivnu interakciju sa korisnikom, as druge strane sa softverskim modulima određenog sistema.

Prednosti ovog pristupa su objedinjavanje metoda za upravljanje različitim mrežnim sistemima, kao i odsustvo potrebe za instaliranjem bilo kakvih upravljačkih programa ili konzola na radnoj stanici administratora. Administracija se može vršiti sa bilo kog računara na mreži, a ako je mreža povezana na Internet, onda sa bilo kog mesta u svetu gde postoji internet i računar sa pretraživačem.

Za zaštitu kontrolnih informacija kada se prenose preko Interneta ili korporativnog intraneta, koriste se SSH protokoli ili druga slična sredstva (na primjer, zaštićene vlasničke modifikacije HTTP protokola).

Na sl. 4-5 prikazali smo blok dijagram sistema antivirusne zaštite sa Web interfejsom Trend Virus Control System. Ovaj sistem vam omogućava da u potpunosti upravljate i kontrolišete rad korporativnog sistema antivirusne zaštite sa jedne radne stanice preko pretraživača, čak i ako se pojedini delovi mreže nalaze u različitim zemljama ili na različitim kontinentima.

Rice. 4. Antivirusni sistem sa Web interfejsom

Ovo kolo je slično kolu prikazanom na sl. 4-1, međutim, antivirusni administrator upravlja svojim radom preko pretraživača, a ne putem konzolne aplikacije.

Antivirus je instaliran na radnim stanicama (PC-cillin, Server Protect, InterScan VirusWall, ScanMail, itd.). Ovaj antivirus kontroliše antivirusni server preko agenta.

Microsoft IIS Web server je instaliran na računaru koji ima ulogu antivirusnog servera. Posebna Web aplikacija koja radi na ovom serveru kontroliše antivirusni server. Također pruža administratora korisnički interfejs za upravljanje sistemom antivirusne zaštite.

Kako bi se osigurala maksimalna neovisnost od računalnih platformi, Trend VCS Server i klijentska aplikacija su napisane u programskom jeziku Java i drugim jezicima koji se koriste za razvoj Internet aplikacija.

Što se tiče obavještenja o nastanku događaja u sistemu korporativne antivirusne zaštite, ona se agentskim programima prenose na Trend VCS server i šalju e-poštom, putem pejdžing mreža, putem SMS sistema itd.

Administrativne i tehnološke metode zaštite

Da bi antivirusni programi efikasno obavljali svoje funkcije, potrebno je striktno pridržavati se preporuka za njihovu upotrebu opisanih u dokumentaciji. Posebnu pažnju treba obratiti na potrebu redovnog ažuriranja virusnih baza podataka i komponenti antivirusnog softvera. Moderni antivirusi mogu preuzimati datoteke ažuriranja preko Interneta ili preko lokalne mreže. Međutim, da biste to učinili, potrebno ih je konfigurirati u skladu s tim.

Međutim, čak i bez upotrebe antivirusnih programa, možete pokušati spriječiti viruse da uđu u vaše računalo i smanjiti štetu koju će uzrokovati ako se zaraze. Evo šta biste prvo trebali učiniti:

· blokirati moguće kanale prodora virusa: ne povezivati računar na internet i lokalnu mrežu kompanije osim ako je potrebno, isključite uređaje eksternu memoriju kao što su floppy disk drajvovi i CD-ROM uređaji;

Sprečavanje softverske modifikacije sadržaja BIOS nepromjenjive memorije;

· napraviti disketu za pokretanje sistema, za snimanje antivirusa i drugih sistemskih uslužnih programa za rad sa diskom na njoj, kao i disk za hitni oporavak Microsoft Windows;

· skenirajte sve programe i dokumente snimljene na računaru, kao i diskete koristeći najnovije verzije antivirusnih programa;

· instalirati softver samo sa licenciranih CD-ova;

· instalirajte zaštitu od pisanja na sve diskete i uklonite je samo ako je potrebno;

· ograničiti razmjenu programa i disketa;

redovno izvoditi backup podaci;

· postaviti minimalna potrebna prava pristupa direktorijumima servera datoteka, zaštititi od pisanja direktorije distributivnih kompleta i programskih datoteka;

· sastaviti uputstva za korisnike o antivirusnoj zaštiti, opisujući u njima pravila za korišćenje antivirusa, pravila za rad sa fajlovima i emailom, a također opisati radnje koje treba poduzeti kada se otkriju virusi.

Problem sa kućnim računarom

Često zaposleni u kompaniji rade ne samo u kancelariji, već i kod kuće, razmjenjujući datoteke između svog kućnog računara i kancelarijske radne stanice. Sistem administrator Kompanije nisu u mogućnosti da zaštite kućne računare svih zaposlenih od virusa. Virusi mogu doći na vaš kućni računar sa interneta, kao i kao rezultat razmjene programi za igre. Ovo se često dešava ako kućni računar drugi članovi porodice i djeca imaju pristup.

Sve datoteke koje zaposleni donose od kuće na posao treba smatrati potencijalno opasnim. U kritičnim slučajevima, takvu razmjenu treba u potpunosti zabraniti ili strogo ograničiti. Potencijalno opasne "kućne" datoteke moraju se skenirati prije otvaranja antivirusnim programima.

Instaliranje ličnih zaštitnih zidova

Korporativna mreža povezana na Internet mora biti zaštićena od napada hakera koristeći zaštitni zid. Međutim, pored ovoga, možete dodatno zaštititi radne stanice i mrežne servere instaliranjem ličnih zaštitnih zidova na njih, kao što je AtGuard (slika 5).

Rice. 5. Postavljanje AtGuard ličnog firewall-a

Pored filtriranja neželjenog saobraćaja, neki lični zaštitni zidovi mogu zaštititi vaš računar od Java trojanskih apleta i ActiveX kontrola. Takve komponente se mogu ugraditi mail poruke HTML formatu i na stranice trojanskih web stranica.

Lični zaštitni zidovi koji su u onome što je poznato kao način učenja mogu pomoći u otkrivanju prometa od trojanaca, logičkih bombi i drugih neželjenih zlonamjernih komponenti. Kada takva komponenta pokuša da komunicira sa računarom hakera, zaštitni zid će prikazati poruku upozorenja na ekranu.

Treba napomenuti da u postavkama vašeg pretraživača možete onemogućiti i mogućnost korištenja aktivnih komponenti kao što su Java apleti i ActiveX kontrole. Međutim, lični zaštitni zidovi su univerzalniji i omogućavaju vam da blokirate korištenje takvih komponenti od strane bilo kojeg programa, na primjer, klijenta e-pošte

Problem epidemije mrežnih crva relevantan je za svaku lokalnu mrežu. Prije ili kasnije, može doći do situacije kada mrežni ili e-mail crv prodre u LAN i antivirus koji se koristi ne otkrije ga. Mrežni virus se širi LAN-om preko ranjivosti operativnog sistema koje nisu bile zatvorene u vrijeme infekcije ili putem zajedničkih resursa za pisanje. Virus e-pošte, kao što ime govori, širi se putem e-pošte, pod uslovom da ga ne blokiraju klijentski antivirus i antivirus na mail serveru. Osim toga, epidemija na LAN-u može se organizirati iznutra kao rezultat aktivnosti insajdera. U ovom članku ćemo razmotriti praktične metode za operativnu analizu LAN računara korištenjem različitih sredstava, posebno korištenjem autorskih AVZ uslužni programi.

Izjava o problemu

Ako se na mreži otkrije epidemija ili neka nenormalna aktivnost, administrator mora brzo riješiti najmanje tri zadatka:

otkriti zaražene računare na mreži;
pronaći uzorke zlonamjernog softvera za slanje u antivirusnu laboratoriju i razviti strategiju protivmjera;
poduzeti mjere za blokiranje širenja virusa na LAN-u i njegovo uništavanje na zaraženim računarima.

U slučaju insajderske aktivnosti, glavni koraci analize su identični i najčešće se svode na potrebu otkrivanja softvera treće strane koji je insajder instalirao na LAN računarima. Primjeri takvog softvera uključuju uslužne programe za udaljenu administraciju, keyloggere i razne trojanske oznake.

Razmotrimo detaljnije rješenje svakog od zadataka.

Potražite zaražene računare

Za traženje zaraženih računara na mreži možete koristiti najmanje tri metode:

automatska analiza udaljenog računara - dobijanje informacija o pokrenutim procesima, učitanim bibliotekama i drajverima, traženje karakterističnih obrazaca - na primer, procesi ili datoteke sa datim imenima;
proučavanje PC saobraćaja pomoću njuškala - ova metoda je vrlo efikasna za hvatanje spam robota, emaila i mrežnih crva, međutim, glavna poteškoća u korištenju njuškala je zbog činjenice da je moderna LAN mreža izgrađena na bazi prekidača i, kao rezultat toga, administrator ne može pratiti promet cijele mreže. Problem se može riješiti na dva načina: pokretanjem sniffera na ruteru (koji vam omogućava da nadgledate razmjenu podataka između PC-a i Interneta) i korištenjem funkcija nadzora prekidača (mnogi moderni prekidači vam omogućavaju da dodijelite port za praćenje koji je dupliran saobraćaj jednog ili više portova komutatora koje je odredio administrator);
proučavanje mrežnog opterećenja - u ovom slučaju je vrlo zgodno koristiti pametne prekidače, koji vam omogućavaju ne samo procjenu opterećenja, već i daljinsko onemogućavanje portova koje je odredio administrator. Ova operacija je znatno pojednostavljena ako administrator ima mapu mreže, koja sadrži informacije o tome koji su računari povezani na odgovarajuće portove komutatora i gde se nalaze;
korištenje honeypota - preporučljivo je napraviti nekoliko honeypota na lokalnoj mreži koji će omogućiti administratoru da blagovremeno otkrije epidemiju.

Automatska analiza računara na mreži

Automatska PC analiza se može svesti na tri glavne faze:

provođenje kompletnog skeniranja računara - pokrenuti procesi, učitane biblioteke i drajveri, autostart;
provođenje operativnih istraživanja - na primjer, traženje karakterističnih procesa ili datoteka;
karantena objekata prema određenim kriterijumima.

Svi gore navedeni problemi mogu se riješiti korištenjem autorskog uslužnog programa AVZ, koji je dizajniran za pokretanje iz mrežne mape na serveru i podržava skriptni jezik za automatsku inspekciju računara. Da biste pokrenuli AVZ na korisničkim računarima morate:

Postavite AVZ u mrežni folder na serveru koji je otvoren za čitanje.
Kreirajte poddirektorije LOG i Qurantine u ovoj fascikli i dozvolite korisnicima da pišu u njih.
Pokrenite AVZ na LAN računarima koristeći uslužni program rexec ili skriptu za prijavu.

Pokretanje AVZ-a u koraku 3 treba obaviti sa sljedećim parametrima:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

U ovom slučaju, parametar Priority=-1 snižava prioritet AVZ procesa, parametri nw=Y i nq=Y prebacuju karantin u način rada „mrežno pokretanje“ (u ovom slučaju se kreira poddirektorij u mapi karantina za svaki računar, čije ime odgovara mrežnom imenu računara), HiddenMode=2 nalaže da korisniku zabrani pristup GUI i AVZ kontrolama, i na kraju, najvažniji parametar Script specificira puno ime skripte sa komande koje će AVZ izvršiti na računaru korisnika. AVZ skriptni jezik je prilično jednostavan za korištenje i fokusiran je isključivo na rješavanje problema kompjuterskog pregleda i liječenja. Da biste pojednostavili proces pisanja skripti, možete koristiti specijalizovani uređivač skripti, koji sadrži prompt na mreži, čarobnjak za kreiranje standardnih skripti i alate za proveru ispravnosti napisane skripte bez njenog pokretanja (slika 1).

Rice. 1. AVZ uređivač skripte

Pogledajmo tri tipična skripta koja mogu biti korisna u borbi protiv epidemije. Prvo, potrebna nam je skripta za PC istraživanje. Zadatak skripte je da ispita sistem i kreira protokol sa rezultatima u datom mrežnom folderu. Skripta izgleda ovako:

ActivateWatchDog(60 * 10);

// Pokreni skeniranje i analizu

// Istraživanje sistema

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Shutdown AVZ

Tokom izvršavanja ove skripte, HTML fajlovi sa rezultatima istraživanja mrežnih računara biće kreirani u folderu LOG (pod pretpostavkom da je kreiran u AVZ direktorijumu na serveru i dostupan korisnicima za pisanje), a da bi se osiguralo jedinstvenost, naziv računara koji se ispituje je uključen u naziv protokola. Na početku skripte nalazi se komanda za omogućavanje watchdog tajmera, koji će nasilno prekinuti AVZ proces nakon 10 minuta ako dođe do kvarova tokom izvršavanja skripte.

AVZ protokol je zgodan za ručno proučavanje, ali je od male koristi za automatsku analizu. Osim toga, administrator često zna ime datoteke zlonamjernog softvera i samo treba provjeriti prisustvo ili odsustvo ovaj fajl, i ako je dostupno, u karantin radi analize. U ovom slučaju možete koristiti sljedeću skriptu:

// Omogući watchdog timer na 10 minuta

ActivateWatchDog(60 * 10);

// Traži malware po imenu

QuarantineFile('%WinDir%\smss.exe', 'Sumnjivo u vezi LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sumnja na LdPinch.gen');

//Shutdown AVZ

Ova skripta koristi funkciju QuarantineFile da pokuša staviti u karantin navedene datoteke. Administrator može analizirati samo sadržaj karantina (fascikla Quarantine\ime_mreže_PC\quarantine_date\) na prisustvo datoteka u karantinu. Imajte na umu da funkcija QuarantineFile automatski blokira karantin datoteka identificiranih bezbednom AVZ bazom podataka ili Microsoft bazom podataka digitalnih potpisa. Za praktična primjena ova skripta se može poboljšati - organizirati učitavanje naziva datoteka iz vanjske tekstualne datoteke, provjeriti pronađene datoteke u odnosu na AVZ baze podataka i generirati tekstualni protokol s rezultatima rada:

// Traži datoteku sa navedenim imenom

funkcija CheckByName(Fname: string) : boolean;

Rezultat:= FileExists(FName) ;

ako je rezultat onda počnite

case CheckFile(FName) of

1: S:= ‘, pristup datoteci je blokiran’;

1: S:= ‘, otkriveno kao zlonamjerni softver (‘+GetLastCheckTxt+’)’;

2: S:= ‘, na koju skener datoteka sumnja (‘+GetLastCheckTxt+’)’;

3: izlaz; // Sigurne datoteke se zanemaruju

AddToLog(‘Datoteka ‘+NormalFileName(FName)+’ ima sumnjivo ime’+S);

//Add specificirani fajl u karantinu

Datoteka karantina (FName, 'sumnjiva datoteka'+S);

SuspNames: TStringList; // Lista imena sumnjivih datoteka

// Provjera datoteka u odnosu na ažuriranu bazu podataka

ako FileExists(GetAVZDirectory + 'files.db') onda počnite

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Učitana baza podataka imena - broj zapisa = '+inttostr(SuspNames.Count));

// Petlja pretraživanja

za i:= 0 do SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Greška pri učitavanju liste imena datoteka');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Da bi ova skripta funkcionisala, potrebno je u AVZ folderu kreirati direktorijume Karantena i LOG koji su dostupni korisnicima za pisanje, kao i tekstualni fajl files.db - svaki red ove datoteke će sadržati naziv sumnjive datoteke. Nazivi datoteka mogu uključivati makroe, od kojih su najkorisniji %WinDir% (put do Windows folder) i %SystemRoot% (putanja do fascikle System32). Drugi pravac analize mogao bi biti automatsko ispitivanje liste procesa koji se pokreću na korisničkim računarima. Informacije o pokrenutim procesima nalaze se u protokolu za istraživanje sistema, ali je za automatsku analizu pogodnije koristiti sljedeći fragment skripte:

procedure ScanProcess;

S:= ''; S1:= '';

//Ažuriranje liste procesa

RefreshProcessList;

AddToLog(‘Broj procesa = ‘+IntToStr(GetProcessCount));

// Ciklus analize primljene liste

za i:= 0 do GetProcessCount - 1 počinje

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Traži proces po imenu

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 onda

S:= S + GetProcessName(i)+’,’;

ako je S<>''onda

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Proučavanje procesa u ovoj skripti se izvodi kao zasebna ScanProcess procedura, tako da ga je lako smjestiti u vlastitu skriptu. ScanProcess procedura gradi dvije liste procesa: puna lista procese (za naknadnu analizu) i listu procesa koji se, sa stanovišta administratora, smatraju opasnima. U ovom slučaju, u svrhu demonstracije, proces pod nazivom "trojan.exe" smatra se opasnim. Informacije o opasnim procesima se dodaju u tekstualnu datoteku _alarm.txt, podaci o svim procesima se dodaju u datoteku _all_process.txt. Lako je uočiti da skriptu možete zakomplikovati dodavanjem, na primjer, provjeravanjem procesnih datoteka u bazi podataka sigurnih datoteka ili provjerom imena izvršne datoteke procesa na eksternoj osnovi. Sličan postupak se koristi u AVZ skriptama koje se koriste u Smolenskenergu: administrator povremeno proučava prikupljene informacije i modificira skriptu, dodajući joj nazive procesa programa zabranjenih sigurnosnom politikom, na primjer ICQ i MailRu.Agent, što omogućava možete brzo provjeriti prisustvo zabranjenog softvera na računarima koji se proučavaju. Druga upotreba liste procesa je pronalaženje računara kojima nedostaje potreban proces, kao što je antivirusni program.

U zaključku, pogledajmo posljednju od korisnih skripti za analizu - skriptu za automatsku karantin svih datoteka koje ne prepoznaju sigurna AVZ baza podataka i Microsoftova baza digitalnih potpisa:

// Izvršiti autokarantin

ExecuteAutoQuarantine;

Automatska karantena ispituje pokrenute procese i učitane biblioteke, servise i drajvere, oko 45 metoda automatskog pokretanja, module proširenja pretraživača i istraživača, SPI/LSP rukovaoce, poslove rasporeda, rukovaoce sistema za štampanje itd. Posebna karakteristika karantene je da joj se datoteke dodaju uz kontrolu ponavljanja, tako da se funkcija autokarantina može više puta pozivati.

Prednost automatske karantene je što uz njenu pomoć administrator može brzo prikupiti potencijalno sumnjive datoteke sa svih računara na mreži radi pregleda. Najjednostavniji (ali vrlo efikasan u praksi) oblik proučavanja datoteka može biti provjera rezultirajućeg karantina s nekoliko popularnih antivirusa u maksimalno heurističkom načinu. Treba napomenuti da istovremeno pokretanje auto-karantina na nekoliko stotina računara može stvoriti veliko opterećenje na mreži i serveru datoteka.

Traffic Research

Istraživanje saobraćaja može se provesti na tri načina:

ručno korištenjem njuškala;
u poluautomatskom načinu rada - u ovom slučaju njuškalo prikuplja informacije, a zatim se njegovi protokoli obrađuju ili ručno ili nekim softverom;
automatski koristeći sisteme za otkrivanje upada (IDS) kao što je Snort (http://www.snort.org/) ili njihove softverske ili hardverske analoge. U najjednostavnijem slučaju, IDS se sastoji od njuškala i sistema koji analizira informacije prikupljene pomoću njuškala.

Sistem za otkrivanje upada je optimalan alat jer vam omogućava da kreirate skupove pravila za otkrivanje anomalija u mrežnoj aktivnosti. Njegova druga prednost je sljedeća: najmoderniji IDS omogućavaju postavljanje agenata za praćenje prometa na nekoliko mrežnih čvorova – agenti prikupljaju informacije i prenose ih. U slučaju korištenja sniffera, vrlo je zgodno koristiti konzolni UNIX sniffer tcpdump. Na primjer, za praćenje aktivnosti na portu 25 (SMTP protokol), dovoljno je pokrenuti njuškalo sa komandna linija tip:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

U ovom slučaju, paketi se hvataju preko em0 interfejsa; informacije o uhvaćenim paketima će biti pohranjene u smtp_log.txt datoteci. Protokol je relativno lako analizirati ručno, u ovom primeru, analiza aktivnosti na portu 25 vam omogućava da identifikujete računare sa aktivnim spam botovima.

Primjena Honeypot

Zastarjeli računar čije performanse ne dozvoljavaju da se koristi za rješavanje proizvodnih problema može se koristiti kao medanica. Na primjer, Pentium Pro sa 64 MB uspješno se koristi kao zamka u autorovoj mreži RAM. Na ovom računaru trebate instalirati najčešći LAN operativni sistem i odaberite jednu od strategija:

Instalirajte operativni sistem bez paketa ažuriranja - to će biti pokazatelj pojave aktivnog mrežnog crva na mreži, koji koristi bilo koju od poznatih ranjivosti za ovaj operativni sistem;
instalirajte operativni sistem sa ažuriranjima koja su instalirana na drugim računarima na mreži - Honeypot će biti analogan bilo kojoj od radnih stanica.

Svaka strategija ima svoje prednosti i nedostatke; Autor uglavnom koristi opciju bez ažuriranja. Nakon kreiranja Honeypot-a, trebali biste kreirati sliku diska za brz oporavak sistem nakon što ga je oštetio zlonamjerni softver. Kao alternativu slici diska, možete koristiti sisteme za vraćanje promjena kao što su ShadowUser i njegovi analozi. Nakon što ste napravili Honeypot, trebalo bi da uzmete u obzir da određeni broj mrežnih crva traži zaražene računare skeniranjem IP opsega, računajući od IP adrese zaraženog računara (uobičajene tipične strategije su X.X.X.*, X.X.X+1.*, X.X.X-1.*), - dakle, u idealnom slučaju, u svakoj od podmreža bi trebalo da postoji meda. Kao dodatne elemente pripreme svakako treba otvoriti pristup nekoliko foldera na Honeypot sistemu, au ove foldere treba staviti nekoliko uzoraka fajlova različitih formata, minimalni set je EXE, JPG, MP3.

Naravno, nakon što je kreirao Honeypot, administrator mora pratiti njegov rad i odgovoriti na sve anomalije otkrivene na ovaj računar. Auditori se mogu koristiti kao sredstvo za evidentiranje promjena; Važna stvar je da većina njuškača ima mogućnost da konfiguriše slanje upozorenja administratoru ako se otkrije određena mrežna aktivnost. Na primjer, u CommView njuškalu pravilo uključuje navođenje “formule” koja opisuje mrežni paket ili navođenje kvantitativnih kriterija (slanje više od određenog broja paketa ili bajtova u sekundi, slanje paketa na neidentificirane IP ili MAC adrese) - Fig. 2.

Rice. 2. Kreirajte i konfigurirajte upozorenje o mrežnoj aktivnosti

Kao upozorenje, najpogodnije je koristiti poruke e-pošte na koje se šalju poštansko sanduče administrator - u ovom slučaju možete primati brza upozorenja od svih zamki u mreži. Osim toga, ako vam njuškalo omogućava kreiranje nekoliko upozorenja, ima smisla razlikovati mrežnu aktivnost, naglašavajući rad s e-poštom, FTP/HTTP, TFTP, Telnet, MS Net, povećan promet od više od 20-30 paketa u sekundi u bilo kojem protokol (slika 3) .

Rice. 3. Pismo obavještenja poslano
ako se otkriju paketi koji odgovaraju navedenim kriterijima

Prilikom organiziranja zamke, dobra je ideja na nju postaviti nekoliko ranjivih mrežnih servisa koji se koriste na mreži ili za njih instalirati emulator. Najjednostavniji (i besplatni) je vlasnički APS uslužni program koji radi bez instalacije. Princip rada APS-a se svodi na slušanje mnogih TCP i UDP portova opisanih u njegovoj bazi podataka i izdavanje unapred određenog ili nasumično generisanog odgovora u trenutku povezivanja (slika 4).

Rice. 4. Glavni prozor APS uslužnog programa

Slika prikazuje snimak ekrana napravljen tokom prave APS aktivacije na Smolenskenergo LAN. Kao što se može vidjeti na slici, pokušaj povezivanja jednog od klijentski računari na portu 21. Analiza protokola je pokazala da su pokušaji periodični i evidentirani od strane nekoliko zamki na mreži, što nam omogućava da zaključimo da se mreža skenira radi traženja i hakovanja FTP servera pogađanjem lozinki. APS vodi evidenciju i može slati poruke administratorima sa izvještajima o registrovanim vezama na nadgledane portove, što je zgodno za brzo otkrivanje mrežnih skeniranja.

Prilikom kreiranja honeypota, također je korisno upoznati se s internetskim resursima na tu temu, posebno http://www.honeynet.org/. U odeljku Alati ove stranice (http://www.honeynet.org/tools/index.html) možete pronaći brojne alate za snimanje i analizu napada.

Daljinsko uklanjanje zlonamjernog softvera

U idealnom slučaju, nakon što otkrije uzorke zlonamjernog softvera, administrator ih šalje u antivirusnu laboratoriju, gdje ih analitičari odmah proučavaju i odgovarajući potpisi dodaju u antivirusnu bazu podataka. Ovi potpisi se automatski ažuriraju na računaru korisnika, a antivirus automatski uklanja malver bez intervencije administratora. Međutim, ovaj lanac ne funkcionira uvijek kako se očekuje, a mogući su sljedeći razlozi za neuspjeh:

iz brojnih razloga nezavisnih od administratora mreže, slike možda neće stići u antivirusnu laboratoriju;
nedovoljna efikasnost antivirusne laboratorije - u idealnom slučaju nije potrebno više od 1-2 sata za proučavanje uzoraka i njihovo unošenje u bazu podataka, što znači da se ažurirane baze potpisa mogu dobiti u roku od jednog radnog dana. Međutim, ne rade sve antivirusne laboratorije tako brzo, a na ažuriranja možete čekati nekoliko dana (u rijetkim slučajevima, čak i sedmicama);
visoke performanse antivirusa - određeni broj zlonamjernih programa nakon aktivacije uništava antivirusne programe ili na drugi način ometa njihov rad. Klasični primjeri - uključivanje u hosts fajl unosi koji blokiraju normalan rad antivirusnog sistema za automatsko ažuriranje, brišu procese, usluge i antivirus drajvere, oštećuju njihova podešavanja itd.

Stoga ćete se u gore navedenim situacijama morati ručno nositi sa zlonamjernim softverom. U većini slučajeva to nije teško, jer rezultati kompjuterskog pregleda otkrivaju zaražene računare, kao i pune nazive malver fajlova. Ostaje samo da ih uklonite na daljinu. Ako zlonamjerni program nije zaštićen od brisanja, može se uništiti pomoću sljedeće AVZ skripte:

// Brisanje datoteke

DeleteFile('ime datoteke');

ExecuteSysClean;

Ova skripta briše jednu specificiranu datoteku (ili nekoliko datoteka, budući da u skripti može postojati neograničen broj naredbi DeleteFile), a zatim izvodi automatsko čišćenje registar U složenijem slučaju, zlonamjerni program se može zaštititi od brisanja (na primjer, ponovnim kreiranjem svojih datoteka i ključeva registratora) ili se prikriti korištenjem rootkit tehnologije. U ovom slučaju, skripta postaje složenija i izgledat će ovako:

// Anti-rootkit

SearchRootkit(true, true);

// Kontrola AVZGuard

SetAVZGuardStatus(true);

// Brisanje datoteke

DeleteFile('ime datoteke');

// Omogući BootCleaner evidentiranje

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Uvozite u zadatak BootCleaner listu datoteka koje je skripta izbrisala

BC_ImportDeletedList;

// Aktiviraj BootCleaner

// Heurističko čišćenje sistema

ExecuteSysClean;

RebootWindows(true);

Ova skripta uključuje aktivno suzbijanje rootkita, korištenje AVZGuard sistema (ovo je blokator aktivnosti zlonamjernog softvera) i BootCleaner sistema. BootCleaner je drajver koji uklanja određene objekte iz KernelModea tokom ponovnog pokretanja, u ranoj fazi pokretanja sistema. Praksa pokazuje da je takva skripta u stanju da uništi veliku većinu postojećeg zlonamjernog softvera. Izuzetak je zlonamjerni softver koji mijenja nazive svojih izvršnih datoteka pri svakom ponovnom pokretanju - u ovom slučaju, datoteke otkrivene tokom skeniranja sistema mogu se preimenovati. U tom slučaju, morat ćete ručno dezinficirati računalo ili kreirati vlastite potpise zlonamjernog softvera (primjer skripte koja implementira pretragu potpisa opisan je u AVZ pomoći).

Zaključak

U ovom članku pogledali smo neke praktične tehnike za suzbijanje LAN epidemije ručno, bez upotrebe antivirusnih proizvoda. Većina opisanih tehnika može se koristiti i za traženje stranih računara i trojanskih oznaka na korisničkim računarima. Ako imate bilo kakvih poteškoća u pronalaženju zlonamjernog softvera ili kreiranju skripti za liječenje, administrator može koristiti odjeljak "Pomoć" na forumu http://virusinfo.info ili odjeljak "Borba protiv virusa" na forumu http://forum.kaspersky.com /index.php?showforum= 18. Proučavanje protokola i pomoć u liječenju se obavljaju na oba foruma besplatno, PC analiza se vrši prema AVZ protokolima, au većini slučajeva liječenje se svodi na izvršavanje AVZ skripte na zaraženim računarima, koju kompajliraju iskusni stručnjaci sa ovih foruma. .

Sve o mobilnoj tehnologiji

Tehnologije za zaštitu mreže

Fokusiranje na probleme

Odaberite pravi antivirus

Pratite ažuriranja

Postavite zaštitni zid

Koristite posebnu zaštitu

Ojačajte enkripciju

Zaštitite korisničke naloge

Aktivirajte VPN izvan kuće

Prekinite nekorištene bežične veze

Upravljajte lozinkama

Osigurajte svoju privatnost u pretraživaču

Softverske i hardverske metode za otkrivanje virusa

Skeniranje

Heuristička analiza

Antivirusni monitori

Change Detection

Zaštita ugrađena u BIOS računara

Karakteristike zaštite korporativnog intraneta

Zaštita servera datoteka

Zaštita mail servera

Zaštita servera sistema za upravljanje dokumentima

Zaštita nestandardnih informacionih sistema

Mrežni antivirusni kontrolni centar

Sistemi na više nivoa sa Web interfejsom

Administrativne i tehnološke metode zaštite

Problem sa kućnim računarom

Instaliranje ličnih zaštitnih zidova

Izjava o problemu

Potražite zaražene računare

Automatska analiza računara na mreži

Traffic Research

Primjena Honeypot

Daljinsko uklanjanje zlonamjernog softvera

Zaključak

POVEZANI ČLANCI