Neve? Besorolása? Felismeri? Válaszoljon!

2010. április 08. 14:20 - Csizmazia Darab István [Rambo]

Az ESET threat blogban nemrég szerepelt egy bejegyzés, amelyben olvasók beküldött kérdéseire feleltek. Mennyire törekednek a különböző antivirus cégek az egységes kártevő elnevezésekre, és hogy lehet hogy például a VirusTotal oldalon egy adott kártevő az egyiknél féreg, míg a másiknál trójai? A felvezetőt és a válaszokat olvasva láttuk, hogy a kérdések izgalmasak, és talán másokat is érdekelhetnek, így mi is közreadjuk ezeket.

Kérdés: Mennyire fontos, hogy a kártevőknek pontos, egyedi neve legyen?
David Harley: Az észlelés és eltávolítás szempontjából ez nem annyira lényeges és az antivírus gyártók névadással ezt nem is tudják időben követni, hiszen a heti százezer új kártevő megjelenésével ez egyenesen kivitelezhetetlen. Az azonnali osztályba sorolás ezzel szemben tényleg kulcsfontosságú. A különböző antivírusok által használt egységes elnevezés bármennyire jó lenne, lehetetlen. Amíg egy adott kártevőt az egyik program felismer, egy másik talán nem, vagy még nem, és sok esetben egy adott kártevőket terjesztő weboldal is sokféle formában terjeszt egy adott kártevőt: visszafejtést gátló exe tömörítőkkel újracsomagolva, a kód szándékos összezavarásával a felismerés megnehezítésével kínálja letöltésre ugyanazt a kórokozót.

Randy Abrams és David Harley

Aki a témában további részletekre kíváncsi, az alábbi dokumentációkban olvashat erről bővebben:
http://www.eset.com/resources/white-papers/cfet2009naming.pdf
http://www.eset.com/resources/white-papers/Harley-Bureau-VB2008.pdf
Randy Abrams: A pontos elnevezés kiemelten fontos, ha egy adott kártevőről és annak viselkedéséről beszélünk. A legtöbb esetben azonban a védekezéshez nincs szükségünk a konkrét névre.

K: Szükséges-e, hogy az egyes kártevők konkrét nevei, illetve az egyes antivírus gyártok kórokozó elnevezései szinkronban legyenek?
DH: Az egységes nevezéktan nem szükséges, az esetleges kivitelezése pedig egyenesen lehetetlen. Vannak persze kezdeményezések, amik legalább fő vonalakban egységesítené a nevezéktani szabályokat - például a Common Malware Enumeration (CME) - de ehhez folyamatosan nagy erőfeszítések kellenének kivétel nélkül minden egyes gyártó részéről.

RA: Szinte lehetetlen ennek a megvalósítása. Ha naponta csak 200 minta feldolgozását vesszük - ami messze csak a töredéke a napi beérkező mennyiségnek - a nevezéktani egyeztetések feladatait már egy külön főállású munkatársnak kellene végeznie, aki csak ezzel foglalkozna, és ugye ezt minden egyes AV cégnél egyszerre kellene végezni. Nem érné meg a ráfordítás. Az elnevezéssel kapcsolatos teendők másodlagosnak tekinthetők a sokkal fontosabb és lényegesebb feldolgozás, felismerés, megelőzés, mentesítés mögött.

K: Sokszor látok hasonló nevű kártevőket, amik az egyik gyártónál mint féreg, a másiknál pedig mint trójai szerepel. Hogy lehetséges ez, és akkor ez pontosan mit jelent?
DH: A terjedése lehet olyan, mint egy féreg, de ezenfelül rendelkezhet olyan jellemzőkkel, mint a trójai programok, amelyek látszólag valamilyen hasznos programnak látszanak, de valójában kártékonyak.

RA: Néha, az is előfordulhat, hogy a virusirtó cégek tévednek. Egy féregnek valóban lehetnek trójai tulajdonságai, de persze nem minden féreg trójai, és a trójaiak többsége nem féreg. Van olyan cég is, amely egy Javascript férget VBS féregnek nevez.

K: Ha egy antivírus minél több különböző kártevőt különböztet meg, akkor ez egyben azt is jelenti, hogy egyben sokkal precízebb is a mentesítési képessége?
DH: Nem, semmiképpen. A generikus felismerés és mentesítés napjainkban a legfontosabb feladat, és ez sokkal inkább megvalósítható, mint minden egyedi minta vagy alváltozat elkülönítése. De persze a végrehajtás előtti felismerés és blokkolás még mindig jobb, mint az utólagos tisztogatás.

RA: A több megkülönböztetett kártevő név nem okvetlenül jelent több felismert kártevőt is egyben. És persze az egyedi felismerési név még nem garantálja a problémamentes eltávolítást. Egy kártevő észlelése egyáltalán nem jelenti annak sikeres eltávolítását, és a mentesítés egyúttal azt is jelenti, hogy kompromisszumot kötünk a biztonság rovására. Aki számára a biztonság végletesen fontos, az nem mentesít, hanem ilyenkor újrahúzza a gépet mentésből. Hiszen egy adott kártevő észlelése nem jelentheti automatikusan azt, hogy százszázalékosan minden összetevőt, fertőzési komponenst sikerült ezzel felfedezni. Ezt akkor értettem meg igazán, amikor a Microsoftnál dolgoztam, ott valóban minden incidensnél újratelepítették a gépeket.

K: Az olyan antivírus motorok, amelyek komolyan támaszkodnak a heurisztikus felismerésre - mint például az ESET is - ezeknél mondhatjuk, hogy az eltávolítási képességeik kevésbé erősek, mint azoknak a programoknak, amelyek inkább a szignatúra alapú detektálásban erősek?
DH: Attól függ, mit nevezünk sikeres eltávolításnak. Láttam már olyan tesztet, ahol az eltávolítási képességet lepontozták amiatt, hogy maradtak hátra olyan összetevők, amik már semmilyen veszélyt nem jelentettek. Az én olvasatomban a sikeres eltávolítás az, amikor annak elvégzése után már semmilyen utólagos probléma nem jelentkezik. Lehetnek a mentesítésnél olyan speciális esetek, amikor egy generikus felismerés nem lenne annyira sikeres, mint egy egyedi alváltozatra kidolgozott eljárás, illetve az is okozhat időnként problémát, ha az ilyen teljesen egyedi variáns vagy közeli alváltozat felismerése, azonosítása hibásan történik. A lényeg, hogy a fejlett heurisztikus felismerés és a viselkedés analízis segítségével még az esetleges fertőzés előtt sikeresen detektálhatunk olyan kártevőket, amelyek még nem is szerepelnek a szignatúra adatbázisban. Amint kapunk bővebb információkat az egyes veszélyekről, úgy bővítjük a felismerési és mentesítési részeket. A heurisztikának nem az a célja, hogy a szignatúra alapú felismerés helyébe lépjen, hanem ez egy olyan technika, amely egyáltalán nem csökkenti a vírusadatbázis fontosságát.

RA: Ahogy David is jelezte, különféle megközelítések léteznek a mentesítésre. Nem ismerek olyan specifikus tesztet, amelyet jelentős mennyiségű és változatos kártevő mintán végeztek volna el. Vagyis ezt az elméletet - miszerint mely program hatékonyabb a mentesítésnél - semmilyen tudományos bizonyítékkal nem tudjuk egyelőre eldönteni. Ami biztos, hogy a felismerési képesség - legyen az szignatúra alapú vagy akár heurisztikát használó - valóban nem azonos az eltávolítási képességgel, és nincs egyenlőségjel ezek között.

K: Mi a különbség a "trojan dropper" és a "trojan downloader" elnevezések között?
DH: Egyszerűen fogalmazva a trojan dropper telepít és elindít egy másik programot (ami nem okvetlenül rosszindulatú, de sokszor trójai, azaz titkolt funkcionalitást hajt végre). Régebben a dropper szót olyan értelemben is használták, mint hogy egy kártevő saját magából további kártékony kódokat csomagolt ki és indított el. Ezzel szemben a trojan downloader letölt valamilyen további kártékony kódot, amit azonban nem okvetlenül telepít is, illetve futtat le. Valójában nincs olyan egységesen elfogadott szabatos meghatározás, amely egységesen jellemezné a különböző antivírusgyártók leírásait, és sok esetben tovább bonyolítja a helyzetet, hogy az antivírus cégek víruslaboratóriumában dolgozó kutatók és a marketing osztályon dolgozó munkatársak is különbözőképpen használják ezeket a kategóriákat. A biztonsági kutatás nehéz terep, és elkerülhetetlen, hogy az osztályozás, besorolás, meghatározás folyamatában viták legyenek, persze ehhez a kártevők egyre növekvő komplexitása is hozzájárul.


RA: Igen, a dropper szócska utal arra, hogy az adott - jellemzően trójai - program "kidob" magából valamilyen másik, többnyire kártékony kódot. A legelső Access makró vírus is ilyen volt, azonban a készítője egy pitiáner szintaktikai hibát vétett, így a dropper funkció meghiúsult benne. A downloader kategória pedig az internetről, esetleg egyéb hálózati kapcsolatról további kódokat letöltő funkcionalitást jelent, és ez igen jellemző a mostani kártevőkre.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása