Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Kontrola zachowań programów - czyli monitory behawioralne

Mało znanym sposobem na zapewnienie sobie dodatkowej warstwy zabezpieczeń jest użycie tzw. behaviour blockera, czyli blokera behawioralnego lub monitora behawioralnego (zachowawczego). Na monitory behawioralne można też powiedzieć behaviour HIPS (host intrusion prevention system), by wskazać różnicę między nimi a klasycznymi monitorami HIPS.

Behaviour to z języka angielskiego słowo oznaczające "zachowanie". Zadaniem blokerów behawioralnych jest monitorowanie działań (zachowań) aplikacji w systemie i rozpoznawanie w ten sposób podejrzanych aplikacji.


Różnica między klasycznym HIPS a behawioralnym HIPS

Różnica polega na momencie podnoszenia alarmu. Klasyczne monitory HIPS podnoszą alarm odrazu po wykryciu dowolnej podejrzanej akcji, natomiast monitory behawioralne będą monitorować działania aplikacji do czasu skompletowania informacji o podejrzanym działaniu, a przy okazji będą monitorować wprowadzane zmiany (by móc je cofnąć).
Poniższy przykład lepiej to zobrazuje:
klasyczny HIPS
uruchomienie programu --> alarm --> załadowanie sterownika --> alarm --> modyfikacja rejestru/pliku systemowego --> alarm

r   e   k   l   a   m   a

monitor behawioralny
uruchomienie programu --> załadowanie sterownika --> modyfikacja rejestru/pliku systemowego --> alarm (zachowanie podobne do szkodliwej aplikacji)

Monitory behawioralne to "inteligentniejsi" bracia klasycznych monitorów. Nie są tak skuteczne, ale z pewnością bardziej ucywilizowane i łatwiejsze w użytkowaniu.
Tego typu aplikacje posiadają zestawy danych o charakterystycznych działaniach cechujących dane zagrożenia, przypomina to trochę sygnatury baz wirusów.

Przykłady aplikacji

Najwięcej z blokerów behawioralnych ma program Threat Fire, dawniej Cyber Hawk, wykupiony przez PC Tools (które zostały wykupione przez Symanteca). Dostępny jest w zasobach Dobrych Programów. Niestety, jego przyszłość nie jest klarowna, mówi się o porzuceniu rozwijania programu przez producenta.

Threat Fire działa dokładnie tak jak powinien działać bloker behawioralny: monitorowanie aplikacji, podnoszenie alarmu w przypadku skompletowania podejrzanych akcji, cofanie wprowadzonych zmian.

Inną ciekawą aplikacją jest program Mamutu, autorstwa austriackiej firmy Emsisoft (znanej z Emsisoft Anti-Malware). Aplikacja jest bardzo lekka, prosta w użyciu. Ma także polski interfejs, który sam własnoręcznie przetłumaczyłem. Działaniem przypomina trochę jednak klasyczne aplikacje HIPS, ma jednak wiele wspólnego z pojęciem blokera behawioralnego. Program jest płatny.

Większość producentów programów antywirusowych rozwija własne monitory behawioralne, m.in.: Panda (mechanizm TruPrevent), G Data, Symantec, AVG (Identity Protection).

Ciekawą aplikacją jest również DSA, czyli Dynamic Security Agent. Ta aplikacja monitoruje przede wszystkim... zużycie zasobów systemowych dla poszczególnych aplikacji. Innymi słowy, jeśli aplikacja zacznie działać na większej liczbie wątków przy zwiększonym zapotrzebowaniu na RAM, może to oznaczać zakażenie. DSA jest wbudowany w zaporę sieciową Private Firewall i nie jest dostępny w postaci samodzielnego programu.

Dziękuję za uwagę. 

Komentarze