コンピューターのネットワーク保護。 ローカルネットワーク上のマルウェアとの戦い。 Webインターフェースを備えたマルチレベルシステム

ユーザーのコンピューター上に物理ファイルが作成されるのを待つことを余儀なくされるネットワーク保護は、ネットワークを介してユーザーのコンピューターに到着する着信データストリームの分析を開始し、脅威がシステムに入る前にブロックします。

ノートンライフロックのテクノロジーが提供するネットワーク保護の主な分野は次のとおりです。

ドライブバイダウンロード、Web攻撃。
-ソーシャルエンジニアリング攻撃:FakeAV(偽のアンチウイルス)とコーデック。
-攻撃 ソーシャルメディア Facebookのように;
-マルウェア、ルートキット、ボットに感染したシステムの検出。
-高度な脅威に対する保護。
-ゼロデイ脅威;
-未修正のソフトウェアの脆弱性に対する保護。
-悪意のあるドメインとIPアドレスからの保護。

ネットワーク保護テクノロジー

「ネットワーク保護」レベルには、3つの異なるテクノロジーが含まれます。

ネットワーク侵入防止ソリューション(ネットワークIPS)

ネットワークIPSテクノロジーは、200を超える異なるプロトコルを理解してスキャンします。 バイナリプロトコルとネットワークプロトコルをインテリジェントかつ正確に「突破」し、途中で悪意のあるトラフィックの兆候を探します。 このインテリジェンスにより、強力な保護を提供しながら、より正確なネットワークスキャンが可能になります。 その「中心」には、ほとんど侵入で​​きない保護を備えたオープンな脆弱性を提供するエクスプロイトブロックエンジンがあります。 Symantec IPSのユニークな機能は、このコンポーネントが設定を必要としないことです。 彼らが言うように、そのすべての機能は「箱から出して」機能します。 すべてのノートンコンシューマ製品、およびすべてのSymantec Endpoint Protection製品バージョン12.1以降では、この重要なテクノロジがデフォルトで有効になっています。

ブラウザの保護

このセキュリティエンジンはブラウザ内にあります。 従来のアンチウイルスもネットワークIPSも検出できない最も複雑な脅威を検出できます。 現在、多くのネットワーク攻撃では、検出を回避するために難読化技術が使用されています。 Browser Guardはブラウザー内で実行されるため、実行中のまだ隠されていない(難読化された)コードを調べることができます。 これにより、プログラムのより低い保護レベルで攻撃が見逃された場合に、攻撃を検出してブロックすることができます。

不正ダウンロード保護(UXP)

ネットワーク保護レイヤー内に存在する最後の防衛線は、署名を使用せずに、未知のパッチが適用されていない脆弱性を悪用した結果をカバーして「軽減」するのに役立ちます。 これにより、ゼロデイ攻撃に対する保護の追加レイヤーが提供されます。

問題に焦点を当てる

ファイアウォールテクノロジーは連携して、次の問題を解決します。

ドライブバイダウンロードとWeb攻撃ツールキット

ネットワークIPS、ブラウザ保護、およびUXPテクノロジを使用して、ノートンライフロックのネットワーク保護テクノロジはドライブバイダウンロードをブロックし、実際、マルウェアがユーザーのシステムに到達するのを防ぎます。 Generic Exploit BlockingテクノロジーやWeb攻撃検出ツールなど、これらの同じテクノロジーの使用を含むさまざまな予防方法が実践されています。 一般的なWebベースの侵入検知ツールは、攻撃の標的となる特定の脆弱性に関係なく、一般的なWebベースの攻撃の特性を分析します。 これにより、提供が可能になります 追加の保護新規および未知の脆弱性。 このタイプの保護の最も良い点は、悪意のあるファイルがシステムに「サイレント」に感染した場合でも、システムから事前に停止して削除されることです。これは、従来のウイルス対策製品では通常見られない動作です。 しかし、ノートンライフロックは、他の手段では通常は検出できないマルウェアの数千万の亜種を引き続きブロックしています。

ソーシャルエンジニアリング攻撃

ノートンライフロックのテクノロジーは、転送中のネットワークとブラウザのトラフィックを監視するため、FakeAVや偽のコーデックなどのソーシャルエンジニアリング攻撃を検出します。 テクノロジーは、ユーザーの画面に表示される前にそのような攻撃をブロックするように設計されています。 他のほとんどの競合ソリューションには、この強力な機能は含まれていません。

ノートンライフロックは、ネットワーク脅威保護テクノロジーを使用して、これらの数億の攻撃をブロックします。

ソーシャルメディアアプリケーションを標的とした攻撃

のソーシャルメディアアプリケーション 最近さまざまなメッセージ、興味深いビデオ、情報を何千人もの友人やユーザーと即座に交換できるため、広く求められています。 そのようなプログラムの幅広い分布と可能性は、それらをハッカーの最大の標的にします。 一般的な「ハッカー」のトリックには、偽のアカウントの作成やスパムが含まれます。

Symantec IPSテクノロジーは、これらのタイプの不正行為から保護し、ユーザーがクリックする前に不正行為が発生するのを防ぐことができます。 ノートンライフロックは、ネットワーク脅威保護テクノロジーを使用して、詐欺的およびなりすましのURL、アプリケーション、およびその他の不正行為を阻止します。

マルウェア、ルートキット、ボットに感染したシステムの検出

感染したコンピューターがネットワーク上のどこにあるかを正確に知るのは素晴らしいことではないでしょうか。 ノートンライフロックのIPSソリューションは、この機能を提供します。これには、他の保護層をバイパスできた可能性のある脅威の検出と回復も含まれます。 ノートンライフロックのソリューションは、「アップデート」を自動ダイヤルまたはダウンロードしてシステムでのアクティビティを増加させようとするマルウェアやボットを検出します。 これにより、チェックするシステムの明確なリストを持っているIT管理者は、企業が安全であることを確認できます。 Tidserv、ZeroAccess、Koobface、Zbotなどのルートキットメソッドを使用した多形性および複雑なステルス脅威は、このメソッドを使用して停止および削除できます。

難読化された脅威に対する保護

今日のWeb攻撃は、高度な技術を使用して攻撃をより困難にしています。 ノートンライフロックのブラウザ保護はブラウザの内部にあり、従来の方法では検出できないことが多い非常に高度な脅威を検出できます。

ゼロデイ脅威とパッチが適用されていない脆弱性

同社が追加した過去のセキュリティ追加の1つは、DayZeroの脅威とパッチが適用されていない脆弱性に対する保護の追加レイヤーです。 プログラムは、署名のない保護を使用して、システムAPI呼び出しを傍受し、マルウェアのダウンロードから保護します。 このテクノロジーは、Un-Authorized Download Protection(UXP)と呼ばれます。 これは、ネットワーク脅威防御エコシステム内の最後の防衛線です。 これにより、製品は署名を使用せずに、パッチが適用されていない未知の脆弱性を「隠す」ことができます。 このテクノロジーはデフォルトで有効になっており、ノートン2010のデビュー以降にリリースされたすべての製品で使用されています。

パッチが適用されていないソフトウェアの脆弱性に対する保護

多くの場合、悪意のあるプログラムは、ソフトウェアの脆弱性を使用して、ユーザーの知らないうちにインストールされます。 Symantec Network Securityは、Generic Exploit Blocking(GEB)と呼ばれる追加の保護レイヤーを提供します。 最新のアップデートがインストールされているかどうかに関係なく、GEBは「ほとんど」主要な脆弱性を悪用から保護します。 Oracle Sun Java、Adobeの脆弱性 アクロバットリーダー, アドビフラッシュ、Internet Explorer、ActiveXコントロール、またはQuickTimeがどこにでもあるようになりました。 Generic Exploit Protectionは、「リバースエンジニアリング」によって作成され、ネットワーク上で脆弱性がどのように悪用される可能性があるかを把握し、 ネットワーク層。 単一のGEB、つまり脆弱性シグネチャは、新規および未知の何千ものマルウェアの亜種に対する保護を提供できます。

悪意のあるIPとドメインブロッキング

ノートンライフロックのネットワーク保護には、既知の悪意のあるサイトからのマルウェアとトラフィックを阻止しながら、悪意のあるドメインとIPアドレスをブロックする機能も含まれています。 ノートンライフロックは、STARによってWebサイトデータベースを注意深く分析および更新することにより、絶えず変化する脅威に対するリアルタイムの保護を提供します。

回避耐性の向上

base64やgzipなどの暗号化技術を使用した攻撃検出のパフォーマンスを向上させるために、追加のエンコーディングのサポートが追加されました。

使用ポリシーを実施し、データ漏洩を特定するためのネットワーク監査検出

ネットワークIPSを使用して、企業の使用ポリシーに違反する可能性のあるアプリケーションやツールを特定したり、ネットワーク全体でデータが漏洩するのを防ぐことができます。 IM、P2P、ソーシャルメディア、またはその他の「興味深い」種類のトラフィックなどのトラフィックを検出、警告、または防止することができます。

STARインテリジェンス通信プロトコル

ネットワーク保護技術自体は機能しません。 エンジンは、STAR Intelligence Communication(STAR ICB)プロトコルを使用して他のセキュリティサービスと通信します。 Network IPSエンジンは、Symantec Sonarエンジンに接続してから、InsightReputationエンジンに接続します。 これにより、より有益で正確な保護を提供できます。

次の記事では、「BehaviorAnalyzer」レベルについて見ていきます。

サイトンライフロックによると

アンチウイルスは、すべてのWindowsPCにインストールする必要があります。 長い間、これは黄金律と見なされていましたが、今日、ITセキュリティの専門家はセキュリティソフトウェアの有効性について議論しています。 批評家は、アンチウイルスが常に保護するとは限らず、場合によってはその逆もあると主張しています。不注意な実装により、システムにセキュリティホールが生じる可能性があります。 このようなソリューションの開発者は、印象的な数のブロックされた攻撃でこの意見に対抗し、マーケティング部門は自社製品が提供する包括的な保護を引き続き保証します。

真実は真ん中のどこかにあります。 アンチウイルスは完璧に機能するわけではありませんが、すべてが役に立たないとは言えません。 彼らは多くの脅威を警告しますが、可能な限り最大の Windowsの保護彼らは十分ではありません。 ユーザーとしてのあなたにとって、これは次のことを意味します。アンチウイルスをゴミ箱に捨てるか、やみくもにそれを信頼することができます。 しかし、いずれにせよ、これはセキュリティ戦略のブロックの1つにすぎません(大きなブロックではありますが)。 このような「レンガ」をさらに9つ提供します。

セキュリティの脅威:アンチウイルス

>批評家の意見現在の論争 ウイルススキャナー元Firefox開発者のRobertO'Callahanによって引き起こされました。 彼は、ウイルス対策はWindowsのセキュリティを脅かしているので、削除する必要があると主張しています。 唯一の例外は、MicrosoftのWindowsDefenderです。

>開発者が言うことアンチウイルスクリエーターを含む カスペルスキーラボ、印象的な数字が議論として与えられています。 そのため、2016年に、この研究所のソフトウェアが登録され、ユーザーのコンピューターに対する約7億6000万のインターネット攻撃が防止されました。

> CHIPがアンチウイルスを考えていることは、遺物や万能薬と見なされるべきではありません。 それらはセキュリティビルの単なるレンガです。 コンパクトなアンチウイルスを使用することをお勧めします。 ただし、あまり心配する必要はありません。WindowsDefenderは問題ありません。 単純なサードパーティのスキャナーを使用することもできます。

適切なアンチウイルスを選択してください

以前と同様に、Windowsはウイルス対策保護なしでは考えられないことだと確信しています。 適切な製品を選択するだけです。 Windows 10ユーザーの場合は、組み込みのWindowsDefenderにすることもできます。 私たちのテスト中にそれが最高の認識度を示さなかったという事実にもかかわらず、それは完全に、そして最も重要なことに、セキュリティの問題なしに、システムに組み込まれています。 さらに、MicrosoftはWindows10用のCreatorsUpdateで製品を改善し、管理を容易にしました。

他の開発者によるアンチウイルスパッケージは、多くの場合、Defenderよりも高い認識度を持っています。 コンパクトなソリューションを提唱します。 現時点での評価のリーダーは、カスペルスキーインターネットセキュリティ2017です。ペアレンタルコントロールやパスワードマネージャーなどの追加オプションを拒否できる場合は、カスペルスキーラボのより予算の多いオプションに注意を向ける必要があります。

更新をフォローする

Windowsを安全に保つために1つの手段だけを選択する必要がある場合は、間違いなく更新プログラムを選択します。 もちろん、この場合は、主にWindowsの更新について話しますが、それだけではありません。 Office、Firefox、iTunesなどのインストール済みソフトウェアも定期的に更新する必要があります。 Windowsでは、システムアップデートの取得は比較的簡単です。 「7」と「10」の両方のパッチは、デフォルト設定で自動的にインストールされます。

プログラムの場合、自動更新機能が組み込まれているFirefoxやChromeほど簡単に更新できるわけではないため、状況はさらに難しくなります。 SUMo(ソフトウェアアップデートモニター)ユーティリティは、このタスクをサポートし、アップデートが利用可能になったときに通知します。 姉妹プログラムDUMo(ドライバー更新モニター)は、ドライバーに対して同じ仕事をします。 ただし、どちらの無料アシスタントも新しいバージョンについてのみ通知します。自分でダウンロードしてインストールする必要があります。

ファイアウォールを設定する

Windowsに組み込まれているファイアウォールは適切に機能し、すべての着信要求を確実にブロックします。 ただし、それ以上の能力があります-その可能性はデフォルト構成に限定されません:すべて インストールされたプログラム質問せずにファイアウォールのポートを開く権利があります。 無料のWindowsFirewallControlユーティリティは、より多くの機能を手に入れます。

それを実行し、「プロファイル」メニューで、フィルターを「中程度のフィルター」に設定します。 このおかげで、ファイアウォールは特定のルールセットに従って発信トラフィックも制御します。 そこにどのような対策が含まれるか、あなたは自分で設定します。 これを行うには、プログラム画面の左下隅にあるメモアイコンをクリックします。 したがって、ルールを表示し、ワンクリックで特定のプログラムにアクセス許可を付与したり、プログラムをブロックしたりできます。

特別な保護を使用する

アップデート、ウイルス対策、ファイアウォール-セキュリティ対策のこの素晴らしい三位一体はすでに処理されています。 それは時間です 微調整。 問題 追加プログラム Windowsでは、システムが提供するすべてのセキュリティ機能を使用しているわけではないという事実にあることがよくあります。 EMET(Enhanced Mitigation Experience Toolkit)などのエクスプロイトツールは、インストールされているソフトウェアをさらに強化します。 これを行うには、[推奨設定を使用する]をクリックして、プログラムを自動的に実行します。

暗号化を強化する

個人データを暗号化することで、個人データの保護を大幅に強化できます。 あなたの情報が悪意のある人の手に渡ったとしても、ハッカーは少なくともすぐには、良いコーディングを削除することはできません。 プロフェッショナルバージョンのWindowsには、コントロールパネルからBitLockerユーティリティが既に構成されています。

VeraCryptは、すべてのユーザーの代替手段になります。 このオープンソースプログラムは、数年前に廃止されたTrueCryptの後継プログラムです。 個人情報の保護のみの場合は、「ボリュームの作成」項目で暗号化されたコンテナを作成できます。 [暗号化されたファイルコンテナを作成する]オプションを選択し、ウィザードの指示に従います。 既製のデータセーフへのアクセスは、Windowsエクスプローラーを介して実行されます。 通常のディスク.

ユーザーアカウントを保護する

多くの脆弱性は、コンピューターでの作業が制限された権限を持つ標準アカウントで実行されるためにのみ、ハッカーによって悪用されないままです。 したがって、日常のタスクでは、そのようなアカウントも設定する必要があります。 Windows 7では、これはコントロールパネルと[ユーザーアカウントの追加と削除]項目を介して行われます。 「10」で「設定」と「アカウント」をクリックし、「家族と他の人」を選択します。

家から離れているときにVPNをアクティブにする

ホームイン 無線ネットワークローカルネットワークにアクセスできるユーザーを制御し、暗号化とアクセスコードも担当するため、セキュリティレベルは高くなります。 たとえば、ホットスポットの場合はすべてが異なります。
ホテルで。 ここでは、Wi-Fiは部外者に分散されており、ネットワークアクセスのセキュリティに影響を与えることはできません。 保護のため、VPN(仮想プライベートネットワーク)の使用をお勧めします。 ホットスポットを介してサイトを閲覧する必要がある場合は、組み込みのVPNで十分です。 最新バージョン Operaブラウザ。 ブラウザをインストールし、「設定」で「セキュリティ」をクリックします。 [VPN]セクションで、[VPNを有効にする]チェックボックスをオンにします。

未使用のワイヤレス接続を切断します


わかった

詳細でさえ、状況の結果を決定することができます。 Wi-FiやBluetoothなどの接続を使用していない場合は、それらをオフにして、潜在的な抜け穴を閉じます。 Windows 10では、これを行う最も簡単な方法は、アクションセンターを使用することです。 「7」は、この目的のためにコントロールパネルのセクション「 ネットワーク接続».

パスワードを管理する

各パスワードは1回だけ使用する必要があり、特殊文字、数字、大文字、および 大文字。 また、できるだけ長くします。10文字以上が最適です。 ユーザーが覚えるのが多すぎるため、パスワードセキュリティの概念は今日限界に達しています。 したがって、可能であれば、そのような保護は他の方法に置き換える必要があります。 例としてWindowsサインインを取り上げます。WindowsHello対応のカメラを使用している場合は、顔認識を使用してサインインします。 その他のコードについては、強力なマスターパスワードで保護する必要があるKeePassなどのパスワードマネージャーを使用することをお勧めします。

ブラウザのプライバシーを保護する

オンラインでプライバシーを保護する方法はたくさんあります。 Firefoxの場合、プライバシー設定拡張機能が理想的です。 インストールして「完全プライバシー」に設定します。 その後、ブラウザはインターネット上でのあなたの行動に関する情報を提供しません。

救命浮輪:バックアップ

>バックアップは不可欠です
ウイルスに感染した後だけではありません。 また、ハードウェアに問題が発生した場合にも優れていることがわかりました。 私たちのアドバイス:Windows全体のコピーを1回作成してから、すべての重要なデータを追加して定期的にバックアップします。

>「7つの」モジュール「アーカイブと復元」から継承されたWindowsWindows10の完全なアーカイブ。 これを使用して、システムのバックアップコピーを作成します。 使用することもできます 特別なユーティリティ、TrueImageやMacriumReflectなど。

> True Image FileProtectionと有料版のMacriumReflectは、特定のファイルとフォルダーのコピーを作成できます。 アーカイブの無料の代替手段 重要な情報パーソナルバックアップになります。

写真:製造会社; NicoElNino / Fotolia.com

アレクサンダー・フロロフ、グリゴリー・フロロフ

alexandre @frolov .pp .ru; http://www.frolov.pp.ru、http://www.datarecovery.ru

ウイルス対策保護に関する前回の記事では、主な種類のウイルスとそれらがどのように広がるかについて説明しました。 ここで、この知識に基づいて、ウイルス、トロイの木馬、およびその他の悪意のあるプログラムに対する保護に対処します。 ウイルス感染のリスクを軽減し、ウイルス感染がすでに発生している場合は害を軽減するために必要なソフトウェア、ハードウェア、管理および技術的なソリューションと対策について説明します。

ウイルスを検出するためのソフトウェアとハ​​ードウェアの方法

ウイルス対策プログラムは、ウイルスと戦うための主要な手段であり続けています。 ウイルス対策プログラム(ウイルス対策プログラム)は、それらがどのように機能するかを知らなくても使用できます。 ただし、ウイルス対策デバイスの原理を理解し、ウイルスの種類とその拡散方法を理解しないと、信頼性の高いコンピュータ保護を組織化することは不可能です。 その結果、ウイルス対策ソフトウェアがインストールされている場合でも、コンピューターが感染する可能性があります。

今日、ウイルスを検出して防御するためのいくつかの基本的な方法が使用されています。

走査;

ヒューリスティック分析;

アンチウイルスモニターの使用。

変化の検出;

コンピューターのBIOSに組み込まれているアンチウイルスの使用。

さらに、ほとんどすべてのアンチウイルスプログラムは、感染したプログラムとブートセクタの自動回復を提供します。 もちろん、可能であれば。

走査

最も簡単なウイルススキャン手法は、アンチウイルスプログラムが既知のウイルスのシグネチャをチェックするファイルを順番にスキャンすることです。 シグニチャは、ウイルスに属し、他のプログラムには見られない一意のバイトシーケンスです。

アンチウイルススキャナーは、シグネチャが決定された既知の調査済みウイルスのみを検出できます。 単純なスキャナープログラムを使用しても、新しいウイルスの侵入からコンピューターを保護することはできません。

新しいプログラムやブートセクタに感染したときにコードを完全に変更する可能性のある暗号化されたポリモルフィックウイルスは特定できません。 したがって、単純なアンチウイルススキャナーではポリモルフィックウイルスを検出できません。

ヒューリスティック分析

ヒューリスティック分析を使用すると、これまで知られていなかったウイルスを検出できます。このため、必要に応じて、たとえば以下で説明する変更検出方法によって、ファイルシステムに関するデータを最初に収集する必要はありません。

ヒューリスティック分析方法を実装するウイルス対策プログラムは、プログラムをスキャンし、ディスクとフロッピーディスクのセクターを起動して、それらの中のウイルス固有のコードを検出しようとします。 ヒューリスティックアナライザは、たとえば、テスト対象のプログラムが常駐モジュールをメモリにインストールしたり、プログラムの実行可能ファイルにデータを書き込んだりすることを検出できます。

最新のアンチウイルスプログラムのほとんどすべてが独自のメソッドを実装しています ヒューリスティック分析。 イチジクに 1これらのプログラムの1つであるMcAffeeVirusScanスキャナーを示しました。これは、ディスクのウイルス対策スキャンのために手動で起動されます。

米。 1.McAffeeVirusScanがドライブをスキャンします

アンチウイルスが感染したファイルを検出すると、通常、モニター画面にメッセージを表示し、自身のログまたはシステムログにエントリを作成します。 設定によっては、アンチウイルスは検出されたウイルスに関するメッセージをネットワーク管理者に送信することもできます。

可能であれば、アンチウイルスはその内容を復元することによってファイルを駆除します。 それ以外の場合は、1つのオプションのみが提供されます-感染したファイルを削除してから復元します バックアップ(もちろん、持っている場合を除きます)。

アンチウイルスモニター

また、コンピュータのメモリに常に存在し、他のプログラムによって実行されるすべての疑わしいアクションを監視するアンチウイルスプログラムのクラス全体があります。 このようなプログラムは、アンチウイルスモニターまたはウォッチマンと呼ばれます。

モニターは、実行中のすべてのプログラム、作成、開いて保存されたドキュメント、インターネット経由で受信した、またはにコピーされたプログラムとドキュメントファイルを自動的にチェックします。 HDDフロッピーディスクとCDから。 プログラムが潜在的に危険なアクションを実行しようとすると、ウイルス対策モニターがユーザーに通知します。

Igor Danilov(http:// www .drweb .ru)によって開発された最も高度なDoctor Webスキャナーの1つ(図2)には、ウイルス対策モニターとして機能するSpiderGuardが含まれています。

米。 2.DoctorWebスキャナー

変化検出

ウイルスがコンピュータに感染すると、ハードディスクの内容を変更します。たとえば、プログラムまたはドキュメントファイルにコードを追加し、AUTOEXEC.BATファイルにウイルスプログラムの呼び出しを追加し、ブートセクタを変更して、コンパニオンファイル。 ただし、このような変更は、ディスク上ではなく、OSプロセスのメモリ内に存在する「非実体的な」ウイルスによって行われるものではありません。

ディスク監査人と呼ばれるウイルス対策プログラムは、署名によってウイルスをスキャンしません。 彼らは最初にウイルスによって攻撃されたディスクのすべての領域の特性を記憶し、次にそれらを定期的にチェックします(したがってプログラム監査人の名前)。 監査人は、既知または未知のウイルスによって行われた変更を見つけることができます。

ディスク監査人の例として、DialogNauka CJSC(http:// www .dials .ru、http:// www .adinf .ru)によって開発されたAdvanced Diskinfoscope(ADinf)プログラムと、Kas​​perskyLabによって製造されたAVPInspector監査人を挙げられます。 CJSC»(http://www.kaspersky.ru)。

ADinfと一緒に、ADinf Cure Module(ADinfExt)が使用されます。これは、ファイルに関する以前に収集された情報を使用して、未知のウイルスに感染した後にファイルを回復します。 AVP Inspectorには、ウイルスを除去できる消毒モジュールも含まれています。

コンピューターのBIOSに組み込まれた保護

ウイルスから保護する最も簡単な手段も、コンピューターのマザーボードに組み込まれています。 これらのツールを使用すると、マスターブートレコードへのすべてのアクセスを制御できます。 ハードドライブ、およびディスクとフロッピーディスクのブートセクタ。 プログラムがブートセクタの内容を変更しようとすると、保護がトリガーされ、ユーザーは対応する警告を受け取ります。

ただし、この保護はあまり信頼できません。 コンピュータの不揮発性メモリ(CMOSメモリ)内の一部のセルを変更することにより、BIOSアンチウイルス制御を無効にしようとするウイルス(たとえば、Tchechen.1912および1914)があります。

企業イントラネットを保護する機能

企業のイントラネットには、ワークステーションおよびサーバーとして機能する数百または数千のコンピューターを含めることができます。 このネットワークは通常、インターネットに接続されており、メールサーバー、MicrosoftExchangeやLotusNotesなどのワークフローサーバー、およびカスタム情報システムが含まれています。

にとって 信頼できる保護企業イントラネットは、すべてのワークステーションとサーバーにウイルス対策ソフトウェアをインストールする必要があります。 同時に、ファイルサーバー、電子メールサーバー、およびドキュメント管理システムのサーバーでは、特別なサーバーウイルス対策ソフトウェアを使用する必要があります。 ワークステーションに関しては、従来のアンチウイルススキャナーとモニターで保護できます。

特別なアンチウイルスプロキシサーバーとファイアウォールが開発されており、それらを通過するトラフィックをスキャンして、悪意のあるソフトウェアコンポーネントをそこから削除します。 これらのウイルス対策ソフトウェアは、メールサーバーやドキュメント管理システムサーバーを保護するためによく使用されます。

ファイルサーバーの保護

ファイルサーバーは、ネットワーク経由でアクセスされるすべてのサーバーファイルを自動的にチェックできるウイルス対策モニターを使用して保護する必要があります。 ファイルサーバーを保護するために設計されたアンチウイルスは、すべてのアンチウイルス会社によって作成されているため、幅広い選択肢があります。

メールサーバーの保護

ウイルス対策モニターは、電子メールメッセージ内のウイルスの検出には効果的ではありません。 これには、SMTP、POP3、およびIMAPトラフィックをフィルタリングして、感染したメッセージがユーザーのワークステーションに到達するのを防ぐことができる特別なウイルス対策ソフトウェアが必要です。

メールサーバーを保護するために、メールトラフィックをスキャンするように特別に設計されたアンチウイルスを購入するか、コマンドラインモードで作業できるようにする従来のアンチウイルスをメールサーバーに接続できます。

Doctor Webアンチウイルスデーモンは、Doctor ComminiGatePro、Sendmail、Postfix、Exim、QMail、Zmailerなどの最も有名なすべてのメールサーバーおよびシステムと統合できます。 同様のツールが、KasperskyCorporateSuiteパッケージの一部としてKasperskyLabによって提供されています。

MERAK Mail Serverを使用すると、コマンドラインインターフェイスを備えたさまざまな種類の外部アンチウイルスを接続できます。 一部のメールサーバー(ESerなど)には、ウイルス対策機能が組み込まれています。

さらに、ユーザーワークステーションのPOP3トラフィックを確認することもできます。 これにより、たとえば、POP3プロトコル用のSpIDerMailアンチウイルスプロキシサーバーを作成できます。これは、DoctorWebアンチウイルスと一緒に購入できます。

ドキュメント管理システムのサーバーの保護

MicrosoftExchangeやLotusNotesなどのワークフローサーバーは、独自の形式のデータベースにドキュメントを保存します。 したがって、ドキュメントのウイルス対策スキャンに従来のファイルスキャナーを使用しても、結果は得られません。

このようなシステムのアンチウイルス保護のために特別に設計されたアンチウイルスプログラムがいくつかあります。 これらは、LotusNotes用のTrendMicro ScanMail、McAfeeGroupScanおよびMcAfeeGroupShield、LotusNotes用のNortonAntivirus、MSExchangeServer用のKasperskyBusinessOptimalアンチウイルスなどです。

これらのプログラムは、メールと添付ファイルをスキャンしてすべてのマルウェアをリアルタイムで削除し、フォームとマクロ、スクリプトファイル、およびOLEオブジェクトでマクロウイルスとトロイの木馬を検出します。 検証は、リアルタイムおよびオンデマンドで実行されます。

非標準の情報システムの保護

独自の形式でデータを保存する非標準の情報システムのウイルス対策保護には、システムにウイルス対策エンジンを組み込むか、コマンドラインモードで動作する外部スキャナーを接続する必要があります。

たとえば、Doctor Webアンチウイルスのコアは、FSUE NPO Mashinostroeniyaによって使用され、Sapiens独自のテクノロジ(http://www.npomit.ru)に基づいて作成されたワークフローシステムを保護しました。 このシステムによってデータベースに保存されているすべての情報は、DoctorWebアンチウイルスエンジンによってチェックされます。

責任ある使用のための情報システムの開発者として、「NPO Mashinostroeniya」は、Sapiens登録およびドキュメント実行制御、Sapiensコンピューティングリソースの監視、Sapiens電子アーカイブオブデザインドキュメントなどの開発にアンチウイルス保護を提供しました。

ネットワークアンチウイルスコントロールセンター

イントラネットに数百、数千のコンピューターがある場合は、ウイルス対策プログラムの集中リモート制御とその作業の制御が必要です。 更新の追跡などの「手動」操作の実行 アンチウイルスデータベースネットワークに多数のユーザーがいる場合、またはネットワークが地理的に離れたセグメントで構成されている場合、アンチウイルスプログラムのデータおよびブートモジュール、ワークステーションやサーバーでのウイルス検出の有効性の監視などは効果がありません。

上記の操作をタイムリーかつ効率的に実行できないと、企業ネットワークのウイルス対策技術に違反することになり、遅かれ早かれウイルス感染につながります。 たとえば、ユーザーが誤って構成する可能性があります 自動更新アンチウイルスデータベース、またはそのような更新が実行されている間は単にコンピュータの電源を切ってください。 その結果、自動更新は実行されず、新しいウイルスに感染する可能性があります。

次の機能は、最新のアンチウイルスシステムに実装されています リモコンと制御:

ウイルス対策プログラム、およびウイルス対策データベースのインストールと更新。

アンチウイルスの集中リモートインストールと構成。

企業ネットワークに接続された新しいワークステーションの自動検出と、それに続く 自動インストールアンチウイルスプログラムのこれらのステーションへ。

・任意のネットワークコンピューターでの即時または遅延起動のタスクのスケジュール(プログラムの更新、ウイルス対策データベース、ファイルのスキャンなど)。

・ワークステーションおよびネットワークサーバーでのアンチウイルス操作のリアルタイム表示。

上記のすべての機能またはそれらの多くは、Sophos(http:// www .sophos .com)、Symantec(http:// www .symante c)によって作成された主要な企業アンチウイルス製品のネットワークコントロールセンターに実装されています。 .ru)、Network Associates(http://www.nai.com)、およびKasperskyLab。

ネットワークコントロールセンターを使用すると、システム管理者の1台のワークステーションからネットワーク全体のウイルス対策保護を管理できます。 同時に、低速の通信チャネルを介してメインネットワークに接続されているリモートネットワークにアンチウイルスをインストールするプロセスを高速化するために、これらのネットワークは独自のローカル配布ディレクトリを作成します。

クライアントサーバーアーキテクチャを使用する場合、ネットワークコントロールセンターは、企業ネットワークサーバーの1つにインストールされたウイルス対策サーバーに基づいています。 これは、一方ではネットワークワークステーションにウイルス対策と一緒にインストールされたエージェントプログラムと相互作用し、他方ではウイルス対策保護管理者の管理コンソールと相互作用します(図3)。

米。 3.管理者コンソール、エージェント、およびアンチウイルスサーバー間の相互作用

アンチウイルスサーバーは、アクションの管理と調整を実行します。 ウイルス対策保護に関連し、ネットワーク内のすべてのコンピューターで発生するイベントの一般的なログ、およびタスクのリストとスケジュールを保存します。 アンチウイルスサーバーは、エージェントからメッセージを受信し、ネットワーク内の特定のイベントの発生についてアンチウイルス保護管理者に送信する責任があり、新しいワークステーションまたはワークステーションを検出するためにネットワーク構成の定期的なチェックを実行します。構成の変更 アンチウイルスツール

エージェントに加えて、アンチウイルスが各ワークステーションと企業ネットワークサーバーにインストールされ、ファイルをスキャンして開いたときにファイルをチェックします(スキャナーとアンチウイルスモニター機能)。 アンチウイルス操作の結果は、エージェントを介してアンチウイルスサーバーに送信され、アンチウイルスサーバーがそれらを分析してイベントログに記録します。

コントロールコンソールは、ウィンドウインターフェイスを備えた標準のMicrosoft Windowsアプリケーション、またはMicrosoft Windowsオペレーティングシステムのコントロールパネルコントロールコンソールのアプレット(スナップイン)にすることができます。 最初のアプローチは、たとえば、Sophosアンチウイルス管理システムに実装され、2番目のアプローチはNortonAntiVirus管理システムに実装されます。

管理コンソールのユーザーインターフェイスを使用すると、企業ネットワークのツリー構造を表示し、必要に応じて、特定のユーザーグループまたはドメインの個々のコンピューターにアクセスできます。

Webインターフェースを備えたマルチレベルシステム

Webインターフェイスを備えたマルチレベルシステムのアーキテクチャには、システムのコアとしてWebサーバーを使用することが含まれます。 このコアのタスクは、一方ではユーザーとの対話型の対話型対話の編成であり、他方では特定のシステムのソフトウェアモジュールとの対話型の対話の編成です。

このアプローチの利点は、さまざまなネットワークシステムを管理する方法が統一されていることと、管理者のワークステーションに制御プログラムやコンソールをインストールする必要がないことです。 管理は、任意のネットワークコンピューターから実行できます。ネットワークがインターネットに接続されている場合は、インターネット接続があり、ブラウザーを備えたコンピューターが存在する世界中の任意の場所から実行できます。

制御情報は、SSHプロトコルまたは他の同様の手段(たとえば、HTTPプロトコルの独自の安全な変更)を使用して、インターネットまたは企業イントラネットを介して転送中に保護されます。

イチジクに 図4-5に、Webベースのアンチウイルス保護システムTrend VirusControlSystemのブロック図を示します。 このシステムを使用すると、個々のネットワークフラグメントが異なる国や異なる大陸にある場合でも、1つのワークステーションからブラウザを介して企業のウイルス対策保護システムの運用を完全に管理および制御できます。

米。 4.Webインターフェースを備えたアンチウイルスシステム

この回路は図に示す回路に似ています。 4-1、ただし、ウイルス対策保護管理者は、コンソールアプリケーションではなく、ブラウザを介して操作を管理します。

ワークステーション(PC-cillin、Server Protect、InterScan VirusWall、ScanMailなど)にアンチウイルスがインストールされています。 このアンチウイルスは、エージェントを介してアンチウイルスサーバーによって管理されます。

ウイルス対策サーバーの役割を果たすコンピューターには、MicrosoftIISWebサーバーがインストールされています。 このサーバーで実行されている特別なWebアプリケーションが、アンチウイルスサーバーを管理します。 また、管理者を提供します ユーザーインターフェースアンチウイルス保護システムを管理します。

可能な限りコンピュータープラットフォームから独立するために、Trend VCSサーバーとクライアントアプリケーションは、Javaプログラミング言語とWebアプリケーションの開発に使用される他の言語で記述されています。

企業のウイルス対策保護システムでのイベントの発生に関する通知は、エージェントプログラムによってTrend VCSサーバーに送信され、電子メール、ページングネットワーク、SMSシステムなどを介して送信されます。

保護の管理上および技術上の方法

アンチウイルスプログラムがその機能を効果的に実行するためには、ドキュメントに記載されている使用上の推奨事項に厳密に従う必要があります。 ウイルスデータベースとウイルス対策ソフトウェアコンポーネントの定期的な更新の必要性に特に注意を払う必要があります。 最新のウイルス対策ソフトウェアは、インターネットまたはローカルネットワークを介して更新ファイルをダウンロードできます。 ただし、このためには、それに応じて構成する必要があります。

ただし、ウイルス対策プログラムを使用しなくても、ウイルスがコンピュータに侵入するのを防ぎ、ウイルスが感染した場合に発生する害を減らすことができます。 最初に行うことは次のとおりです。

ウイルス侵入の可能性のあるチャネルをブロックする:コンピュータをインターネットや会社のローカルネットワークに接続しないでください。これが必要ない場合は、デバイスを切断してください 外部メモリ、フロッピーディスクドライブやCD-ROMデバイスなど。

不揮発性BIOSメモリの内容のプログラムによる変更を禁止します。

・ディスク、およびMicrosoft Windows緊急リカバリディスクで動作するアンチウイルスやその他のシステムユーティリティを作成して、システムブートフロッピーを準備します。

・最新バージョンのウイルス対策プログラムを使用して、コンピューターに書き込まれるすべてのプログラムとドキュメントファイル、およびフロッピーディスクを確認します。

インストール ソフトウェアライセンスされたCDからのみ。

・すべてのフロッピーディスクに書き込み保護をインストールし、必要な場合にのみ削除します。

・プログラムとフロッピーディスクの交換を制限します。

データを定期的にバックアップする

・ファイルサーバーのディレクトリへの最低限必要なアクセス権を設定し、ディストリビューションとプログラムファイルのディレクトリを書き込み禁止にします。

アンチウイルス保護に関するユーザー向けの手順をまとめ、アンチウイルスを使用するためのルール、ファイルを操作するためのルール、および Eメール、およびウイルスが検出されたときに実行するアクションについても説明します。

家庭用コンピュータの問題

多くの場合、会社の従業員はオフィスだけでなく自宅でも働いており、自宅のコンピューターとオフィスのワークステーションの間でファイルを交換しています。 会社のシステム管理者は、すべての従業員の自宅のコンピューターをウイルスから保護することはできません。 ウイルスは、インターネットからだけでなく、交換を通じて自宅のコンピュータに侵入する可能性があります ゲームプログラム。 これは、次の場合によく発生します 家庭用コンピューター他の家族や子供がアクセスできます。

従業員が自宅から職場に持ち込むすべてのファイルは、潜在的に危険であると見なす必要があります。 責任ある場合、そのような交換は完全に禁止されるか、厳しく制限されるべきです。 潜在的に危険な「ホーム」ファイルは、ウイルス対策プログラムで開く前にスキャンする必要があります。

パーソナルファイアウォールのインストール

インターネットに接続されている企業ネットワークは、ファイアウォールを使用してハッカーから保護する必要があります。 ただし、これに加えて、AtGuardなどのパーソナルファイアウォールをインストールすることで、ワークステーションとネットワークサーバーをさらに保護することができます(図5)。

米。 5.パーソナルファイアウォールAtGuardの設定

一部のパーソナルファイアウォールは、不要なトラフィックを除外するだけでなく、Javaトロイの木馬アプレットやActiveXコントロールからコンピュータを保護することができます。 このようなコンポーネントはに組み込むことができます メールメッセージトロイの木馬WebサイトのHTML形式とページ。

学習モードと呼ばれるパーソナルファイアウォールは、トロイの木馬、論理爆弾、およびその他の不要なマルウェアからのトラフィックを検出するのに役立ちます。 このようなコンポーネントがハッカーのコンピューターと通信しようとすると、ファイアウォールは画面に警告メッセージを表示します。

ブラウザの設定で、JavaアプレットやActiveXコントロールなどのアクティブなコンポーネントを使用する機能を無効にすることもできることに注意してください。 ただし、パーソナルファイアウォールはより用途が広く、電子メールクライアントなどのプログラムによるそのようなコンポーネントの使用をブロックできます。

ネットワークワームの流行の問題は、どのローカルネットワークにも関係があります。 遅かれ早かれ、ネットワークまたはメールワームがLANに侵入し、使用されているアンチウイルスによって検出されない状況が発生する可能性があります。 ネットワークウイルスは、感染時に閉じられなかったオペレーティングシステムの脆弱性、または書き込み可能な共有リソースを介してLAN上に拡散します。 メールウイルスは、その名前が示すように、クライアントのアンチウイルスとメールサーバー上のアンチウイルスによってブロックされていない限り、電子メールを介して拡散します。 さらに、LANの流行は、インサイダーの活動の結果として内部から組織化することができます。 この記事では、さまざまなツールを使用して、特に著者のツールを使用して、LANコンピュータの運用分析の実用的な方法を検討します。 AVZユーティリティ.

問題の定式化

ネットワーク上でエピデミックまたは何らかの異常なアクティビティが検出された場合、管理者は少なくとも3つのタスクを迅速に解決する必要があります。

  • ネットワーク上の感染したPCを検出します。
  • ウイルス対策ラボに送信するマルウェアサンプルを見つけて、対策戦略を立てます。
  • LAN上でのウイルスの拡散を阻止し、感染したコンピューター上でウイルスを破壊するための対策を講じてください。

インサイダーの活動の場合、主な分析手順は同じであり、ほとんどの場合、インサイダーによってLANコンピューターにインストールされたサードパーティソフトウェアを検出する必要があります。 このようなソフトウェアの例には、リモート管理ユーティリティ、キーロガー、およびさまざまなトロイの木馬ブックマークが含まれます。

各タスクの解決策をさらに詳しく考えてみましょう。

感染したPCを検索する

ネットワーク上で感染したPCを検索するには、少なくとも3つの方法を使用できます。

  • 自動リモートPC分析-実行中のプロセス、ロードされたライブラリとドライバーに関する情報の取得、特徴的なパターンの検索-たとえば、指定された名前のプロセスやファイル。
  • スニファを使用してPCトラフィックを調査する-この方法は、スパムボット、メール、ネットワークワームをキャッチするのに非常に効果的ですが、スニファを使用する際の主な問題は、最新のLANがスイッチに基づいて構築されていることです。その結果、管理者はネットワーク全体のトラフィックを監視できなくなります。 この問題は2つの方法で解決されます。ルーターでスニファを実行する(インターネットとのPCデータ交換を監視できる)方法と、スイッチの監視機能を使用する方法(最近のスイッチの多くでは、監視ポートを割り当てることができます)。管理者によって指定された1つ以上のスイッチポートのトラフィックが重複しています。
  • ネットワーク負荷の調査-この場合、負荷を見積もるだけでなく、管理者が指定したポートをリモートで無効にすることができるスマートスイッチを使用すると非常に便利です。 管理者が、スイッチの対応するポートに接続されているPCとそれらが配置されている場所に関するデータを含むネットワークマップを持っている場合、この操作は大幅に簡素化されます。
  • トラップの使用(ハニーポット)-管理者がタイムリーにエピデミックを検出できるように、ローカルネットワークにいくつかのトラップを作成することを強くお勧めします。

ネットワーク内のPCの自動分析

自動PC分析は、次の3つの主要なステップに減らすことができます。

  • PCの完全な調査の実施-実行中のプロセス、ロードされたライブラリとドライバー、自動実行。
  • 運用調査の実施-たとえば、特徴的なプロセスまたはファイルの検索。
  • 特定の基準に従ってオブジェクトを検疫します。

上記のすべてのタスクは、サーバー上のネットワークフォルダーから起動するように設計され、PCの自動検査用のスクリプト言語をサポートするAVZ作成者のユーティリティを使用して解決できます。 ユーザーのコンピューターでAVZを実行するには、次のことを行う必要があります。

  1. AVZをサーバー上の読み取り可能なネットワークフォルダーに配置します。
  2. このフォルダにLOGおよびQurantineサブディレクトリを作成し、ユーザーがそれらに書き込むことができるようにします。
  3. rexecユーティリティまたはログオンスクリプトを使用して、LANコンピュータでAVZを起動します。

手順3でAVZを開始するには、次のパラメーターを使用して実行する必要があります。

\\ my_server \ AVZ \ avz.exe Priority = -1 nw = Y nq = Y HiddenMode = 2 Script = \\ my_server \ AVZ \ my_script.txt

この場合、Priority = -1パラメータはAVZプロセスの優先度を下げ、nw=Yおよびnq=Yパラメータは検疫を「ネットワーク開始」モードに切り替えます(この場合、サブディレクトリは検疫フォルダに作成されます)名前がPCのネットワーク名と一致する各コンピューターについて、HiddenMode = 2は、GUIおよびAVZコントロールへのユーザーアクセスを拒否するように指示します。最後に、最も重要なパラメーターScriptは、コマンドを使用してスクリプトのフルネームを指定します。そのAVZはユーザーのコンピューターで実行されます。 AVZスクリプト言語は非常に使いやすく、コンピューターの検査と処理の問題の解決にのみ焦点を当てています。 スクリプトを作成するプロセスを簡素化するために、プロンプト、一般的なスクリプトを作成するためのウィザード、およびスクリプトを実行せずに作成されたスクリプトの正確さをチェックするためのツールを含む専用のスクリプトエディターを使用できます(図1)。

米。 1.AVZスクリプトエディター

流行との戦いに役立つ可能性のある3つの典型的なスクリプトを考えてみましょう。 まず、PCリサーチスクリプトが必要です。 スクリプトのタスクは、システムを調べて、特定のネットワークフォルダーに結果を含むプロトコルを作成することです。 スクリプトは次のようになります。

ActivateWatchDog(60 * 10);

//スキャンと分析を開始します

//システムを探索する

ExecuteSysCheck(GetAVZDirectory +

‘\ LOG \’+ GetComputerName +’_ log.htm’);

//AVZをシャットダウンします

このスクリプトの実行中に、LOGフォルダー(サーバー上のAVZディレクトリーに作成され、ユーザーが書き込み可能であると想定されます)に、ネットワークコンピューターの調査結果を含むHTMLファイルが作成されます。調査中のコンピューターの名前は、一意性を確保するためにプロトコル名に含まれています。 スクリプトの開始時に、ウォッチドッグタイマーをオンにするコマンドがあります。これにより、スクリプトの実行中に障害が発生した場合に備えて、10分後にAVZプロセスが強制的に終了します。

AVZプロトコルは手動学習には便利ですが、自動分析にはほとんど役に立ちません。 さらに、管理者はマルウェアファイルの名前を知っていることが多く、存在するかどうかを確認するだけで済みます。 与えられたファイル、および存在する場合は、分析のための検疫。 この場合、次のスクリプトを使用できます。

//ウォッチドッグタイマーを10分間有効にします

ActivateWatchDog(60 * 10);

//名前でマルウェアを検索します

QuarantineFile('%WinDir%\ smss.exe'、'LdPinch.genが疑われます');

QuarantineFile('%WinDir%\ csrss.exe'、'LdPinch.genが疑われます');

//AVZをシャットダウンします

このスクリプトは、指定されたファイルを隔離しようとするQuarantineFile関数を使用します。 管理者は、隔離されたファイルの隔離の内容(フォルダーQuarantine \ network_PC_name \ quarantine_date \)を分析するだけで済みます。 QuarantineFile関数は、セキュアAVZデータベースまたはMicrosoftEDSデータベースによって識別されたファイルの隔離を自動的にブロックすることに注意してください。 にとって 実用化このスクリプトは改善できます。外部テキストファイルからのファイル名の読み込みを整理し、見つかったファイルをAVZデータベースと照合して、作業の結果を含むテキストプロトコルを作成します。

//指定された名前のファイルを検索します

関数CheckByName(Fname:string):boolean;

結果:= FileExists(FName);

結果があれば開始

のケースCheckFile(FName)

1:S:='、ファイルアクセスがブロックされました';

1:S:='、マルウェアとして識別(' + GetLastCheckTxt +')';

2:S:='、ファイルスキャナーによって疑われる(' + GetLastCheckTxt +')';

3:終了; //安全なファイルを無視します

AddToLog('ファイル'+ NormalFileName(FName)+'に疑わしい名前があります'+ S);

//追加 指定されたファイル検疫中

QuarantineFile(FName、'疑わしいファイル'+ S);

SuspNames:TStringList; //疑わしいファイルの名前のリスト

//更新されたデータベースに対してファイルをチェックします

FileExists(GetAVZDirectory +'files.db')の場合、開始します

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('ロードされた名前データベース-エントリ数='+ inttostr(SuspNames.Count));

//検索ループ

for i:= 0 to SuspNames.Count-1 do

CheckByName(SuspNames [i]);

AddToLog('ファイル名のリストの読み込みエラー');

SaveLog(GetAVZDirectory +'\ LOG \'+

GetComputerName +'_ files.txt');

このスクリプトを機能させるには、ユーザーが書き込み用にアクセスできる隔離ディレクトリとLOGディレクトリ、およびAVZフォルダー内のテキストファイルfiles.dbを作成する必要があります。このファイルの各行には、疑わしいファイルの名前が含まれます。 ファイル名にはマクロを含めることができます。最も便利なのは%WinDir%(へのパス Windowsフォルダ)および%SystemRoot%(System32フォルダーへのパス)。 分析のもう1つの方向は、ユーザーのコンピューターで実行されているプロセスのリストを自動的に調査することです。 実行中のプロセスに関する情報はシステム調査ログで入手できますが、自動分析には次のスクリプトフラグメントを使用する方が便利です。

プロシージャScanProcess;

S:=''; S1:='';

//プロセスリストを更新します

RefreshProcessList;

AddToLog('プロセス数='+ IntToStr(GetProcessCount));

//受信したリストの分析サイクル

for i:= 0 to GetProcessCount-1 do begin

S1:= S1 +'、' + ExtractFileName(GetProcessName(i));

//名前でプロセスを検索します

pos('trojan.exe'、LowerCase(GetProcessName(i)))>0の場合

S:= S + GetProcessName(i)+'、';

Sの場合<>''それから

AddLineToTxtFile(GetAVZDirectory +'\ LOG \ _alarm.txt'、DateTimeToStr(Now)+'' + GetComputerName +':' + S);

AddLineToTxtFile(GetAVZDirectory +'\ LOG \ _all_process.txt'、DateTimeToStr(Now)+'' + GetComputerName +':' + S1);

このスクリプトのプロセスの検査は、個別のScanProcessプロシージャとして実行されるため、独自のスクリプトに簡単に配置できます。 ScanProcessプロシージャは、プロセスの2つのリストを作成します。プロセスの完全なリスト(後で分析するため)と、管理者の観点から危険と見なされるプロセスのリストです。 この場合、デモンストレーションでは、「trojan.exe」という名前のプロセスは危険であると見なされます。 危険なプロセスに関する情報は_alarm.txtテキストファイルに追加され、すべてのプロセスに関するデータは_all_process.txtファイルに追加されます。 たとえば、プロセスファイルをセーフファイルデータベースと照合したり、プロセス実行可能ファイルの名前を外部データベースと照合したりすることで、スクリプトを複雑にすることができます。 Smolenskenergoで使用されるAVZスクリプトでも同様の手順が使用されます。管理者は、収集した情報を定期的に調べ、セキュリティポリシーで禁止されているプログラムのプロセス名(ICQやMailRu.Agentなど)を追加してスクリプトを変更します。調査中のPCに禁止されているソフトウェアが存在するかどうかをすばやく確認できます。 プロセスリストのもう1つの用途は、アンチウイルスなどの必要なプロセスが欠落しているPCを見つけることです。

結論として、最後の有用な分析スクリプト、つまり、安全なAVZデータベースとMicrosoftEDSデータベースによって認識されないすべてのファイルを自動隔離するためのスクリプトについて考えてみましょう。

//自動検疫を実行します

ExecuteAutoQuarantine;

自動検疫は、実行中のプロセスとロードされたライブラリ、サービス、ドライバー、約45の自動起動メソッド、ブラウザーとエクスプローラーの拡張モジュール、SPI / LSPハンドラー、スケジューラージョブ、印刷システムハンドラーなどを調べます。 検疫の特徴は、再試行制御でファイルが追加されるため、自動検疫機能を複数回呼び出すことができることです。

自動検疫の利点は、管理者がその助けを借りて、ネットワーク上のすべてのコンピューターから疑わしい可能性のあるファイルをすばやく収集して調査できることです。 ファイルを調査する最も簡単な(しかし実際には非常に効果的な)形式は、最大ヒューリスティックモードでいくつかの一般的なアンチウイルスを使用して受信した検疫を確認することです。 数百台のコンピューターで自動検疫を同時に起動すると、ネットワークとファイルサーバーに高い負荷がかかる可能性があることに注意してください。

交通調査

交通調査は次の3つの方法で行うことができます。

  • スニファを手動で使用します。
  • 半自動モードの場合-この場合、スニファーは情報を収集し、そのプロトコルは手動またはソフトウェアによって処理されます。
  • Snort(http://www.snort.org/)などの侵入検知システム(IDS)またはそれらのソフトウェアまたはハードウェアの対応物を自動的に使用します。 最も単純なケースでは、IDSは、スニファと、スニファによって収集された情報を分析するシステムで構成されます。

侵入検知システムは、ネットワークアクティビティの異常を検出するための一連のルールを作成できるため、最適なツールです。 2番目の利点は次のとおりです。最新のIDSのほとんどでは、トラフィック監視エージェントを複数のネットワークノードに配置できます。エージェントは情報を収集して送信します。 スニファを使用する場合は、tcpdumpUNIXコンソールスニファを使用すると非常に便利です。 たとえば、ポート25(SMTPプロトコル)でのアクティビティを監視するには、次のコマンドでスニファーを実行するだけで十分です。 コマンドラインタイプ:

tcpdump -i em0-ltcpポート25>smtp_log.txt

この場合、パケットはem0インターフェイスを介してキャプチャされます。 キャプチャされたパケットに関する情報は、smtp_log.txtファイルに保存されます。 プロトコルは手動で比較的簡単に分析できます。この例では、ポート25でのアクティビティの分析により、アクティブなスパムボットを備えたPCを計算できます。

ハニーポットアプリケーション

トラップ(ハニーポット)として、古いコンピューターを使用できますが、そのパフォーマンスでは、本番環境の問題を解決するために使用することはできません。 たとえば、作成者のネットワークでは、64MBのPentiumProがトラップとして正常に使用されています。 ランダム・アクセス・メモリ。 このPCでは、LANに最も一般的なオペレーティングシステムをインストールし、次のいずれかの戦略を選択する必要があります。

  • サービスパックなしでオペレーティングシステムをインストールします。これは、このオペレーティングシステムの既知の脆弱性のいずれかを悪用する、ネットワーク上のアクティブなネットワークワームの出現の指標になります。
  • ネットワーク内の他のPCにインストールされているアップデートを使用してオペレーティングシステムをインストールします-ハニーポットは、任意のワークステーションのアナログになります。

それぞれの戦略には長所と短所の両方があります。 作成者は主に更新なしオプションを適用します。 ハニーポットを作成したら、マルウェアによってシステムが損傷した後、システムをすばやく復元するためのディスクイメージを作成する必要があります。 ディスクイメージの代わりに、ShadowUserやその類似物などの変更ロールバックシステムを使用できます。 ハニーポットを構築したら、感染したPCのIPアドレスから数えてIP範囲をスキャンすることにより、多くのネットワークワームが感染したコンピューターを探すことを考慮に入れる必要があります(一般的な一般的な戦略はX.X.X。*、X.X.X+1。*です。 、X.X.X-1。*)、-したがって、理想的には、各サブネットにハニーポットが存在する必要があります。 追加の準備要素として、Honeypotシステム上のいくつかのフォルダーへのアクセスを開く必要があり、さまざまな形式のいくつかのサンプルファイルをこれらのフォルダーに配置する必要があります。最小セットはEXE、JPG、MP3です。

当然、ハニーポットを作成した後、管理者はその操作を監視し、このコンピューターで見つかった異常に対応する必要があります。 監査人は変更を登録する手段として使用でき、スニファはネットワークアクティビティを登録するために使用できます。 重要な点は、ほとんどのスニファが、特定のネットワークアクティビティを検出した場合に管理者にアラートを送信するように設定する機能を提供することです。 たとえば、CommViewスニファでは、ルールには、ネットワークパケットを記述する「式」の指定、または定量的基準の設定(1秒あたりに指定された数以上のパケットまたはバイトを送信する、認識されないIPアドレスまたはMACアドレスにパケットを送信する)が含まれます。図。 2.2。

米。 2.ネットワークアクティビティアラートを作成および構成します

警告として、に送信された電子メールメッセージを使用するのが最も便利です メールボックス管理者-この場合、ネットワーク内のすべてのトラップからリアルタイムの通知を受信できます。 さらに、スニファーで複数のアラートを作成できる場合は、電子メール、FTP / HTTP、TFTP、Telnet、MS Net、1秒あたり20〜30パケットを超えるトラフィックの増加を強調することで、ネットワークアクティビティを区別するのが理にかなっています。任意のプロトコル(図3)。

米。 3.通知書が送付されました
指定された基準に一致するパケットが見つかった場合

トラップを整理するときは、ネットワークで使用されるいくつかの脆弱なネットワークサービスをトラップに配置するか、それらのエミュレーターをインストールすることをお勧めします。 最も単純な(そして無料の)のは、インストールなしで動作する作成者のユーティリティAPSです。 APSの動作原理は、データベースに記述されているTCPポートとUDPポートのセットをリッスンし、接続時に事前定義された、またはランダムに生成された応答を発行することになります(図4)。

米。 4.APSユーティリティのメインウィンドウ

この図は、SmolenskenergoLANでの実際のAPS操作中に撮影されたスクリーンショットを示しています。 図からわかるように、 クライアントコンピュータープロトコルの分析は、試行が定期的であり、ネットワーク内のいくつかのトラップによって修正されることを示しました。これにより、パスワードを推測してFTPサーバーを見つけてハッキングするためにネットワークがスキャンされていると結論付けることができます。 APSはログに記録し、監視対象ポートへの登録済み接続を報告するメッセージを管理者に送信できます。これは、ネットワークスキャンの迅速な検出に役立ちます。

ハニーポットを作成するときは、http://www.honeynet.org/などの主題に関するオンラインリソースを確認することも役立ちます。 このサイト(http://www.honeynet.org/tools/index.html)の[ツール]セクションには、攻撃を記録および分析するための多数のツールがあります。

リモートマルウェアの削除

理想的には、マルウェアサンプルを検出した後、管理者はそれらをアンチウイルスラボに送信し、そこでアナリストが迅速に調査し、対応するシグネチャをアンチウイルスデータベースに追加します。 これらの署名は自動更新を通じてユーザーのPCに付与され、アンチウイルスは管理者の介入なしに悪意のあるプログラムを自動的に削除します。 ただし、このチェーンは常に期待どおりに機能するとは限りません。特に、次のような障害の理由が考えられます。

  • ネットワーク管理者とは関係のないいくつかの理由により、画像がアンチウイルスラボに到達しない場合があります。
  • アンチウイルスラボの効率が不十分です。理想的には、サンプルを調査してデータベースに追加するのに1〜2時間しかかかりません。つまり、1営業日以内に、更新された署名データベースを取得できます。 ただし、すべてのアンチウイルスラボがそれほど迅速に機能するわけではなく、更新は数日間(まれに、場合によっては数週間)期待できます。
  • アンチウイルスの高性能-多くの悪意のあるプログラムは、アクティベーション後、アンチウイルスを破壊するか、さもなければそれらの作業を妨害します。 古典的な例-持ち込み ホストファイルアンチウイルス自動更新システムの通常の動作をブロックするエントリ、アンチウイルスプロセス、サービス、およびドライバの削除、それらの設定の損傷など。

したがって、このような状況では、マルウェアに手動で対処する必要があります。 ほとんどの場合、これは難しいことではありません。コンピューターの分析結果は、マルウェアファイルのフルネームだけでなく、感染したPCであることがわかっているからです。 リモート削除を実行するだけです。 悪意のあるプログラムが削除から保護されていない場合は、次の形式のAVZスクリプトを使用して破壊することができます。

// ファイルを削除する

DeleteFile('ファイル名');

ExecuteSysClean;

このスクリプトは、指定された1つのファイル(またはスクリプト内に無制限の数のDeleteFileコマンドが存在する可能性があるため、複数のファイル)を削除してから、実行します。 自動クリーニング登録。 より複雑なケースでは、悪意のあるプログラムが削除から自分自身を保護したり(たとえば、ファイルとレジストリキーを再作成することによって)、ルートキットテクノロジを使用して自分自身を偽装したりする可能性があります。 この場合、スクリプトはより複雑になり、次のようになります。

//アンチルートキット

SearchRootkit(true、true);

//AVZGuardコントロール

SetAVZGuardStatus(true);

// ファイルを削除する

DeleteFile('ファイル名');

//BootCleanerロギングを有効にします

BC_LogFile(GetAVZDirectory +'boot_clr.log');

//スクリプトによって削除されたファイルのリストをBootCleanerタスクにインポートします

BC_ImportDeletedList;

//BootCleanerをアクティブ化します

//システムのヒューリスティッククリーニング

ExecuteSysClean;

RebootWindows(true);

このスクリプトには、ルートキットに対する積極的な抵抗、AVZGuardシステム(これはマルウェアアクティビティブロッカー)の使用、およびBootCleanerシステムが含まれています。 BootCleanerは、システムブートの初期段階で、再起動中に特定のオブジェクトをKernelModeから削除するドライバーです。 実践によれば、そのようなスクリプトは既存のマルウェアの大部分を破壊することができます。 例外は、再起動のたびに実行可能ファイルの名前を変更するマルウェアです。この場合、システムの調査中に見つかったファイルの名前を変更できます。 この場合、コンピューターを手動で駆除するか、独自のマルウェア署名を作成する必要があります(署名検索を実装するスクリプトの例はAVZヘルプに記載されています)。

結論

この記事では、ウイルス対策製品を使用せずに、LANの流行に手動で対処するためのいくつかの実用的な手法について説明しました。 説明されている手法のほとんどは、ユーザーのコンピューターで外部PCやトロイの木馬のブックマークを検索するためにも使用できます。 マルウェアの検出や駆除スクリプトの作成が困難な場合、管理者はフォーラムhttp://virusinfo.infoの「ヘルプ」セクションまたはフォーラムhttp://forum.kaspersky.com/の「ウイルスとの戦い」セクションを使用できます。 index.php?showforum=18。 プロトコルの研究と治療の支援は両方のフォーラムで無料で行われ、PC分析はAVZプロトコルに従って実行され、ほとんどの場合、治療は感染したPCでAVZスクリプトを実行することになります。これらのフォーラム。

関連記事