Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Kontrola zachowań programów - czyli monitory behawioralne

Mało znanym sposobem na zapewnienie sobie dodatkowej warstwy zabezpieczeń jest użycie tzw. behaviour blockera, czyli blokera behawioralnego lub monitora behawioralnego (zachowawczego). Na monitory behawioralne można też powiedzieć behaviour HIPS (host intrusion prevention system), by wskazać różnicę między nimi a klasycznymi monitorami HIPS.

Behaviour to z języka angielskiego słowo oznaczające "zachowanie". Zadaniem blokerów behawioralnych jest monitorowanie działań (zachowań) aplikacji w systemie i rozpoznawanie w ten sposób podejrzanych aplikacji.

Różnica między klasycznym HIPS a behawioralnym HIPS

Różnica polega na momencie podnoszenia alarmu. Klasyczne monitory HIPS podnoszą alarm odrazu po wykryciu dowolnej podejrzanej akcji, natomiast monitory behawioralne będą monitorować działania aplikacji do czasu skompletowania informacji o podejrzanym działaniu, a przy okazji będą monitorować wprowadzane zmiany (by móc je cofnąć).
Poniższy przykład lepiej to zobrazuje:
klasyczny HIPS
uruchomienie programu --> alarm --> załadowanie sterownika --> alarm --> modyfikacja rejestru/pliku systemowego --> alarm

monitor behawioralny
uruchomienie programu --> załadowanie sterownika --> modyfikacja rejestru/pliku systemowego --> alarm (zachowanie podobne do szkodliwej aplikacji)

Monitory behawioralne to "inteligentniejsi" bracia klasycznych monitorów. Nie są tak skuteczne, ale z pewnością bardziej ucywilizowane i łatwiejsze w użytkowaniu.
Tego typu aplikacje posiadają zestawy danych o charakterystycznych działaniach cechujących dane zagrożenia, przypomina to trochę sygnatury baz wirusów.

Przykłady aplikacji

Najwięcej z blokerów behawioralnych ma program Threat Fire, dawniej Cyber Hawk, wykupiony przez PC Tools (które zostały wykupione przez Symanteca). Dostępny jest w zasobach Dobrych Programów. Niestety, jego przyszłość nie jest klarowna, mówi się o porzuceniu rozwijania programu przez producenta.

Threat Fire działa dokładnie tak jak powinien działać bloker behawioralny: monitorowanie aplikacji, podnoszenie alarmu w przypadku skompletowania podejrzanych akcji, cofanie wprowadzonych zmian.

Inną ciekawą aplikacją jest program Mamutu, autorstwa austriackiej firmy Emsisoft (znanej z Emsisoft Anti-Malware). Aplikacja jest bardzo lekka, prosta w użyciu. Ma także polski interfejs, który sam własnoręcznie przetłumaczyłem. Działaniem przypomina trochę jednak klasyczne aplikacje HIPS, ma jednak wiele wspólnego z pojęciem blokera behawioralnego. Program jest płatny.

Większość producentów programów antywirusowych rozwija własne monitory behawioralne, m.in.: Panda (mechanizm TruPrevent), G Data, Symantec, AVG (Identity Protection).

Ciekawą aplikacją jest również DSA, czyli Dynamic Security Agent. Ta aplikacja monitoruje przede wszystkim... zużycie zasobów systemowych dla poszczególnych aplikacji. Innymi słowy, jeśli aplikacja zacznie działać na większej liczbie wątków przy zwiększonym zapotrzebowaniu na RAM, może to oznaczać zakażenie. DSA jest wbudowany w zaporę sieciową Private Firewall i nie jest dostępny w postaci samodzielnego programu.

Dziękuję za uwagę. 

Komentarze

0 nowych
Maxi_S   4 #1 25.08.2011 18:25

Poruszyłeś ciekawy temat. Szkoda że urwałeś w najciekawszym momencie. Może skusisz się na kolejny wpis o tej tematyce?

adam993   4 #2 25.08.2011 18:45

Cześć!
Dlaczego nie? Czy masz na myśli DSA?
P.S.: Nie wiem jak to możliwe, ale każdy opublikowany przeze mnie artykuł trafia na stronę główną :)
Piszę dość nieregularne... może grupka wiernych czytelników nakieruje mnie na częstsze wpisy?

  #3 25.08.2011 22:37

Idziesz w stronę bezpieczeństwa, więc bardzo chętnie poczytałbym coś jeszcze na ten temat. Apetyt bowiem niezaspokojony...

Może jakiś OBIEKTYWNY test aplikacji, opis wybranych (acz popularnych) infekcji, różne "myki" zwiększające bezpieczeństwo...

Przyjemnie czyta mi się artykuły z tej tematyki, a kto wie - może i dokształcę się przy okazji :)

ichito   11 #4 26.08.2011 03:12

Adam...napisz coś o HIPSach...to wiele pewnie wyjaśni, a równocześnie wyczerpie moje plany "wydawnicze". Z podobnym wątkiem przymierzałem się od jakiegoś czasu, ale nie starczyło czasu i zapału :)
Odnośnie samego DSA...można go samodzielnego jeszcze znaleźć na niektórych portalach a jest na tyle dobry, że niektórzy użytkownicy instalując Privatfirewall wtłaczają jego działanie w zaporze i instalują wcześniejszą, samodzielną wersję. Poza tym ma również funkcję wykrywania potencjalnie niebezpiecznych załączników w poczcie mailowej tzw. "Email Anomaly Detection" która monitoruje i ostrzega przed próba nawiązania połączeń wychodzących.
Nie ma się co rozpisywać o różnicach miedzy blokerami behawioralnymi a HIPSami, ale dodam tylko, że
- bloker to najogólniej rzecz mówiąc to ostrzeżenie o podejrzanej akcji/zachowaniu, a HIPS o podejrzanym procesie/programie
- bloker może nawet ostrzega również o zachowaniu komponentów systemu czy znanych i zaufanych programów i stąd wiele nieścisłości i błędów w ocenie tego typu programów. Wystarczy poczytać komentarze pod ThreaFire, w których wielokrotnie zarzuca się "sypanie fałszywkami"...a w tym przypadku, jak i w przypadku HIPSów nie można mówić i fałszywych wskazaniach, ponieważ obydwa programy z definicji nie używają sygnatur
- ważna równica jeszcze...w blokerach nie ma raczej możliwości ustalenia reguł indywidualnych dla programu (np. w jakie obszary systemu może ingerować, co modyfikować, czy może nawiązywać połączenia wychodzące), można co najwyżej dodać go do zaufanych, wyłączyć z monitorowania lub monitorować/filtrować to zachowanie...HIPS daje możliwość ustalenia takich reguł indywidualnie dla aplikacji lub dla całych grup programów (wystarczy spojrzeć na Malware Defender czy NetChina albo na HIPSy wewnątrz pakietów IS)
Na koniec...mała popularność tego typu programów i tym samym niska ocena (np. TreatFire na DP) wynika raczej z niewiedzy i braku umiejętności opanowania monitorów systemu, a przecież te moduły głównie odpowiadają za ochronę przeciw zagrożeniom "0-day", a ich skuteczność od wielu lat jest znana i potwierdzona.

adam993   4 #5 26.08.2011 10:40

Napisałem artykuł bo spotkałem się z opinią że nie ma różnicy między hipsem behawioralnym a normalnym, klasycznym.

Maxi_S   4 #6 26.08.2011 10:59

Sądzę, że podstawowym problemem jest właśnie nierozróżnianie sposobów działania poszczególnych rodzajów zabezpieczeń. Swego czasu Mamutu zbierało baty na Matousec i nie pomagało tłumaczenie, że jest to właśnie bloker behawioralny.

@czytelnik92
Testy użytkowników ogólnie nie są obiektywne. Do obiektywności potrzeba odpowiedniego doboru próbek, właściwej ich liczby, że o podstawowej znajomości statystyki nie wspomnę.

@ichtio
Troszeczkę namieszałeś z tym rozróżnieniem HIPS-a i blokera behawioralnego, gdyż HIPS też informuje o podejrzanej akcji. Ogólna różnica jest taka, jak opisał ją Adam: bloker behawioralny "prowadzi program na smyczy".

Tematyka wpisu jest ciekawa, gdyż sięga dalej niż klasyczne "ile wykrył mój antywirus". Właśnie sposoby wykrywania "zero-day" spędzają sen z powiek producentom oprogramowania AV/IS. Stąd czasami pojawiają się takie rodzynki jak Mamutu ThreatFire czy DSA, które nie przyprawiają przeciętnego użytkownika o ból głowy kwestiami konfiguracji.

ichito   11 #7 26.08.2011 11:20

@Maxi_S
Masz rację, ale żeby naświetlić zasadnicze różnice musiałem zastosować pewne uogólnienia...i stąd takie, a nie inne sformułowanie. Dokładnie takie same uogólnienia zastosował Adam podając przykłady czynności programów i momenty alertów BB i HIPSa. Jeśli włączysz reguły zaawansowane w TF i jeszcze dodasz swoje własne, to alerty TF mogą dotyczyć tych samych momentów, jakie wyłapałby HIPS.
Niuansów i zależności jest sporo, bo o ile kiedyś tego typu programy można było łatwo zdefiniować i zaszeregować do jakiejś kategorii, to współcześnie wiele mechanizmów przeniknęło do innych kategorii monitorów...choćby DSA, w którym można ustawić własne reguły dla aplikacji (nie chodzi o połączenia sieciowe), choć nie są dokładnie te same co HIPSach, które monitorują obszary systemu, a nie zachowanie.

Maxi_S   4 #8 26.08.2011 11:20

[cytat "adam993"]
Napisałem artykuł bo spotkałem się z opinią że nie ma różnicy między hipsem behawioralnym a normalnym, klasycznym.
[/cytat]

Problem tkwi w rozumieniu sformułowania HIPS. Najszersze, z którym się spotkałem, obejmuje zestaw firewall+AV+IDS+"coś jeszcze", gdzie w zasadzie IDS jest tym, co rozumiemy pod postacią klasycznego HIPS-a, natomiast "coś jeszcze" może być wykrywaniem przepełnień bufora, wstrzykiwania kodu itp. To jest właśnie niekonsekwencja o której pisałem w poprzednim komentarzu. Zauważ że np. Threat Fire łączy w sobie blokera behawioralnego z regułami i wykrywaniem opartym na sygnaturach. Z kolei DSA jest klasycznym IPS-em, podczas gdy np. Prevx bazuje na chmurze i zaawansowanej heurystyce, łącząc w sobie cechy typowego antywirusa i IDS.