Что такое HIPS. Принцип работы HIPS

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС . В случае попытки выполнения потенциально опасного действия со стороны ПО , HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.

Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы:

  • файлы и системный реестр (объект – файлы, ключи реестра);
  • системные права (объект – системные права на выполнение тех или иных действий);
  • сети (объект – -адреса и их группы, порты и направления).

Виды HIPS

  • HIPS, в которых решение принимается пользователем - когда перехватчик Application Programming Interface (API) -функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
  • HIPS, в которых решение принимается системой - решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
  • «Смешанная» HIPS система - решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.

Преимущества HIPS

  • Низкое потребление системных ресурсов.
  • Не требовательны к аппаратному обеспечению компьютера.
  • Могут работать на различных платформах.
  • Высокая эффективность противостояния новым угрозам.
  • Высокая эффективность противодействия руткитам , работающим на прикладном уровне (user-mode).

Недостатки HIPS

  • Низкая эффективность противодействия руткитам , работающим на уровне ядра.
  • Большое количество обращений к пользователю.
  • Пользователь должен обладать знаниями о принципах функционирования

Что означает HIPS в общем смысле?

Это означает "Хост-система предотвращения вторжений" (H ost I ntrusion P revention S ystem). В сущности, это программа, которая выдает оповещения пользователю, когда вредоносная программа, такая как вирус, возможно пытается запуститься на компьютере пользователя, или когда неавторизованный пользователь, такой как хакер, возможно получил доступ к компьютеру пользователя.

Происхождение и предыстория

Несколько лет назад классифицировать вредоносные программы было относительно просто. Вирус был вирусом, были и другие виды, но они прекрасно различались! В наше время "жучки" изменились, и определяющие границы между ними стали более размытыми. Мало того, что стало больше угроз в виде троянских коней, червей и руткитов, теперь различные вредоносные продукты часто скомбинированы. Это и есть причина, почему вредоносные программы теперь часто упоминаются собирательно как "вредоносное ПО", а приложения, созданные для борьбы с ними, как программы "широкого спектра действия".

В прошлом программы обнаружения при выявлении вредоносного ПО опирались прежде всего на его сигнатуры. Этот метод, несмотря на то, что он надежен, хорош лишь настолько, насколько часто производятся обновления. Существует дополнительная сложность в том, что большая часть сегодняшних вредоносных программ постоянно видоизменяется. В процессе этого изменяются и их сигнатуры. Для борьбы с этим были разработаны HIPS-программы, способные "узнавать" вредоносное программное обеспечение скорее по его поведению, чем по сигнатурам. Это "поведение" может быть попыткой управлять другим приложением, запустить службу Windows или изменить ключ реестра.

Иллюстрация сайта EUobserver.com

Это слегка напоминает поимку преступника по его поведению, а не по отпечаткам пальцев. Если он действует как вор, он, вероятнее всего, вор. Так же и с компьютерной программой: если она действует как вредоносная, значит, вероятнее всего, она является вредоносной программой.

Проблема здесь состоит в том, что иногда совершенно легальные программы могут действовать немного подозрительно, и это может привести к тому, что HIPS ошибочно обозначит законную программу как вредоносное ПО. Эти так называемые ложные тревоги являются настоящей проблемой для HIPS-программ. Вот почему лучшие HIPS-программы это те, которые используют комбинированный сигнатурно-поведенческий метод. Но об этом позже.

Что в действительности делает HIPS-программа?

В общих чертах HIPS-программа стремится сохранить целостность системы, в которой она установлена, предотвращая произведение изменений в этой системе неодобренными источниками. Обычно она делает это, показывая всплывающее окно-предупреждение безопасности, спрашивая пользователя, должно ли быть разрешено то или иное изменение.

Comodo: Всплывающее окно-предупреждение HIPS

Эта система хороша настолько, насколько хороши ответы пользователя на всплывающие запросы. Даже если HIPS-программа правильно идентифицирует угрозу, пользователь может непреднамеренно одобрить неправильное действие, и ПК все же может подвергнуться заражению.

Правильное поведение также может быть неверно истолковано как вредоносное. Эти так называемые "ложные тревоги" являются настоящей проблемой для HIPS-продуктов, хотя, к счастью, они стали менее распространены, поскольку HIPS-программы становятся все более проработанными.

Положительная сторона здесь это то, что вы можете использовать некоторые HIPS-программы, чтобы управлять правами доступа легальных приложений, хотя это было бы желательно лишь для опытных пользователей. Позже я более подробно разъясню и это, и почему вам стоило бы использовать их. Другой взгляд на HIPS состоит в том, чтобы использовать ее в качестве фаервола, управляющего приложениями и службами, а не просто доступом в интернет.

Тип продукта

Современное вредоносное ПО стало настолько совершенным, что программы обеспечения безопасности больше не могут опираться лишь на один только сигнатурный метод обнаружения. Теперь для того, чтобы выявлять и блокировать угрозы вредоносного ПО, многие приложения используют комбинацию различных методов. В результате, в нескольких различных видах защитных продуктов теперь используют HIPS. Сегодня совсем не редкость увидеть HIPS в составе антивирусной или антишпионской программы, хотя, безусловно, наиболее распространена HIPS как составная часть фаервола. В самом деле, в наиболее современных фаерволах к их возможностям фильтрации IP теперь добавлены защитные HIPS-элементы.

Комплексный антивирус Comodo Internet Security

В целях повышения эффективности в HIPS-программах используют множество методов обнаружения. В дополнение к распознаванию по сигнатурам HIPS-программы также наблюдают за поведением, соответствующим действиям вредоносного ПО. Это значит, что они стремятся выявлять действия или события, которые, как известно, типичны для поведения вредоносного ПО.

Некоторые программы поведенческого анализа более автоматизированы, чем другие, и несмотря на то, что это может показаться хорошей идеей, на практике это может приводить к осложнениям. Иногда сложившиеся обстоятельства могут выглядеть так, что вполне легальное действие приложения окажется подозрительным, что вызовет его завершение. Вы можете даже не узнать об этом, пока что-нибудь не перестанет работать! Это довольно безопасно и просто раздражает, пока процесс обратим, но иногда это может приводить к нестабильности в системе. Несмотря на то, что такие события редки, их влияние может быть серьезным, поэтому желательно учитывать это во время принятия решения.

Установка и настройка

HIPS-программа должна устанавливаться с ее настройками по умолчанию и так же использоваться до тех пор, пока либо у нее не закончится некий требуемый период обучения, либо пока ее функциональность не станет для вас привычной. Позже вы всегда сможете отрегулировать уровни чувствительности и добавить дополнительные правила, если вы почувствуете, что это необходимо. Приложения, имеющие по умолчанию "период обучения", разработаны таким образом неспроста. Может появиться соблазн сократить срок обучения, но этим вы можете также понизить эффективность. Обычно производители прилагают PDF-руководство, и никогда не бывает лишним прочитать его перед установкой.

ESET NOD32 Антивирус: Настройка HIPS

Ранее я упоминал о возможности использования HIPS-программы с целью контроля над использованием еще и легальных приложений. Мы уже делаем это в наших фаерволах, ограничивая использование портов. Вы можете использовать HIPS-программу подобным образом, чтобы блокировать или ограничивать доступ к системным компонентам и службам. В общих словах, чем сильнее вы ограничиваете Windows, тем безопаснее в ней будет работать. Я где-то читал, что самая безопасная Windows-система называется Linux! Но это уже другая проблема. Иногда легальные программы при инсталляции устанавливают такой уровень доступа к системе, который сильно превышает то, что они фактически должны выполнять в рамках своих обычных функций. Ограничение работы приложений до уровня "разрешено считывать" (с жесткого диска), если они при этом по умолчанию не нуждаются в "разрешении на запись", является одним из способов снижения риска. Для этого вы можете, к примеру, использовать настройку модуля "Защита+" в составе Comodo Internet Security.

Когда потенциальная угроза выявлена

Большинство HIPS-программ, когда что-либо происходит, оповещают пользователей о потенциальных угозах с помощью интерактивного всплывающего окна. Некоторые программы автоматизируют этот процесс и сообщают об этом (может быть!) уже позже. Важно то, чтобы самому не стать "автоматизированным" при ответах. Ни от каких приложений безопасности не будет толку, если вы вслепую будете щелкать по кнопке "Да", отвечая на любые вопросы. Всего несколько секунд размышления перед принятием решения может сохранить часы работы в дальнейшем (если не упоминать о потере данных). Если уведомление оказывается ложной тревогой, вы можете иногда сохранять его как "исключение", чтобы предотвратить такое уведомление в будущем. Также, о ложных тревогах рекомендуется уведомлять производителей, чтобы они могли устранять их в последующих версиях.

Что, если вы не уверены?

Показатели разнятся в зависимости от того, что вы читаете, но до 90% всей вредоносной заразы приходит из интернета, поэтому большую часть всплывающих оповещений безопасности вы будете получать, будучи в онлайне. Рекомендуемое действие - остановить данное событие и поискать в Google информацию о показанном файле (-ах). Местонахождение зафиксированной угрозы может быть столь же важным, как и имя файла. Более того, "Ispy.exe" может быть легальным ПО, но "ispy.exe" может быть вредоносным. Отчеты журнала "HijackThis" в этом могли бы помочь, но результаты, предоставляемые автоматизированной службой, могут быть не совсем однозначными. Вообще, вы будете допускать некоторый вред, блокируя или изолируя происходящее событие, пока не научитесь, что с ним делать. Такое бывает лишь при удалении чего-либо и незнании, что это могло привести к плачевным результатам!

Сегодняшняя тенденция - включать во всплывающие уведомления рекомендации от сообщества. С помощью этих систем вам стараются помогать безошибочно отвечать на уведомления безопасности, сообщая, как ответили в подобных случаях другие.

Это привлекательная идея в теории, но на практике результаты могут быть неутешительными. Например, если 10 человек ранее видели определенное уведомление, и девять из них сделали неправильный выбор, то когда вы видите рекомендацию с 90%-м рейтингом о блокировании программы, вы следуете их примеру! Я называю это "синдром стада". С увеличением количества пользователей должна увеличиваться и надежность рекомендаций, но так бывает не всегда, поэтому необходима некоторая осторожность. Вы всегда можете поискать в Google другое мнение.

Несколько средств защиты или "многоуровневый подход"?

Несколько лет назад использование единых комплектов безопасности не давало уровня производительности, сопоставимого с использованием нескольких отдельных приложений безопасности для достижения "многоуровневой" защиты. Хотя, недавно производители инвестировали значительные средства на разработку комплектов, и это теперь отразилось на их продуктах. Впрочем, некоторые все еще содержат по крайней мере один слабый компонент, и если это фаервол, то вам следовало бы сделать выбор в пользу чего-то другого. Общее мнение таково, что комбинация отдельных элементов все еще будет давать высокую производительность и лучшую общую надежность. Что они делают по большому счету, это конечно предлагают больше выбора и большую гибкость. Comodo был первым серьезным комплектом, который действительно бесплатен, но теперь Outpost (примечание Comss.ru: к сожалению, данный продукт не развивается в последнее время ) и ZoneAlarm также выпускают бесплатные комплекты. Все они предлагают серьезную альтернативу платному программному обеспечению.

Бесплатный ZoneAlarm Free Antivirus + Firewall

Автомобиль хорош настолько, насколько хорош его водитель, то же применимо и к программному обеспечению. Нет такой вещи, как программа безопасности разряда "установил и забыл". Постарайтесь выбрать то, что вы можете понять и что вам нравится использовать. Это все равно, что сравнивать фаерволы Sunbelt-Kerio и Comodo. Да, если вы хотите твердо стоять на земле, Comodo может дать лучшую защиту, но он еще и более труден для понимания. Если вы полагаете, что с Kerio проще работать, вы скорее всего будете использовать его эффективно, и в конечном счете это было бы лучшим выбором (только вплоть до Windows XP. Пользователи Windows 7 и выше могут попробовать TinyWall). В качестве ориентира используйте результаты различных тестов, но только для этого. Никакой тест никогда не сможет подменить ваш компьютер, вашу программу и привычки вашего серфинга.

Критерии выбора

Приложения для себя я всегда выбирал следующим образом. Вы, конечно, можете думать по-другому!

Нужно ли оно мне?

Многие люди оспаривают целесообразность использования некоторого программного обеспечения, когда возражают против того, чего оно позволяет достичь. Если в вашем фаерволе уже есть хороший компонент HIPS (как, например, в Comodo, Privatefirewall или Online Armor) то, возможно, этого достаточно. Однако, такие программы, как Malware Defender, используют различные методы, которые позволяют предоставить дополнительную защиту при некоторых обстоятельствах. Только вы можете решить, необходимо ли вам это. Эксперты по прежнему не советуют запускать более чем одно защитное ПО одного и того же вида.

Смогу ли я им пользоваться?

Установка любой HIPS-программы создает немало работы в смысле необходимости настройки и управления оповещениями. В целом, то, что находят HIPS-программы, может быть несколько неоднозначным, поэтому вы должны быть готовы к проверке их результатов. Только со средними познаниями вы можете посчитать это проблемой при интерпретации результатов.

Поможет ли оно?

Методы на основе HIPS эффективны лишь там, где пользователь правильно отвечает на всплывающие оповещения, которые показывает HIPS. Новички и равнодушные пользователи вряд ли будут способны давать такие ответы.

У старательных и опытных пользователей для HIPS-программ есть место в сфете безопасности ПК, поскольку HIPS адаптирует иной подход к традиционному сигнатурному ПО. Используемый отдельно или вместе с фаерволом, HIPS добавит вам возможностей для обнаружения.

Не испортит ли оно мою систему?

Программы обеспечения безопасности по самой своей природе, чтобы быть эффективными, должны вторгаться в святая святых вашего ПК. Если у вас реестр уже похож на тарелку со спагетти, если у вас в программных файлах "папки-призраки", если у вас появляются "синий экран", сообщения Windows об ошибках и не запрашиваемые страницы в Internet Explorer, то установка HIPS-программы приведет лишь к неприятностям. Даже на чистой машине принятие неверного решения может привести к необратимой нестабильности. Хотя, в принципе вы можете нанести такой же ущерб и при работе в программе очистки реестра.

Могу ли я использовать более чем одно приложение?

Я не вижу преимущества в использовании совместно двух HIPS-программ. Эксперты все еще не советуют запускать более одного активного защитного приложения одного и того же вида. Опасность возникновения конфликта перевешивает любые возможные преимущества.

Заключение

Пользователям, прежде чем размышлять о HIPS, может быть стоит позаботиться о повышении безопасности их браузера, первым делом заменив IE на Chrome, Firefox или Opera и используя песочницу. Люди, использующие стандартный фаервол, для дополнительной защиты могли бы ввести в работу Malware Defender. А пользователи CIS или Online Armor не получат от этого никаких преимуществ. Нагрузка на систему и использование ресурсов - это то, что должно учитываться, хотя это, главным образом, важно при использовании старых машин. В действительности, нет никакого категоричного решения, кроме того, чтобы сказать, что слишком много исключений из правил, слишком много! В общем, все дело в балансе. Самой большой угрозой для моего компьютера всегда буду я сам!


Каждый день появляются новые вирусы, шпионские программы, модули, показывающие рекламу. Работа без антивируса сродни самоубийству: если раньше вопрос звучал как «Заразишься или нет?», то теперь он звучит «Как быстро заразишься?». Чем активнее пользователь проводит время в Интернете, скачивает файлы, посещает сомнительные сайты, тем выше вероятность заражения компьютера. Особую опасность представляют файлы, полученные из обменных сетей. Именно эти сети, наряду со спамом, используются для распространения новых вирусов. И антивирусы в этом случае пасуют: в их базах ещё нет сигнатур, они пропускают скачанные файлы как «чистые». Лишь после запуска такого файла пользователь может по косвенным признакам (вдруг появившийся большой исходящий трафик, странные сообщения на экране, снижение производительности компьютера, запущенная программа не выполняет тех функций, для которых она была якобы создана и так далее) догадаться о заражении компьютера. Большинство пользователей ничего не заметят, а работающий антивирусный мониторинг создаст ложное чувство безопасности. Лишь через несколько часов, а иногда и дней, после того, как описание нового вируса будет добавлено в антивирусные базы, после того, как антивирус скачает и установит обновления, новый вирус, возможно, будет обнаружен. И только после этого начнётся лечение компьютера. А за эти дни или часы компьютер распространял новый вирус со скоростью подключения к Интернету, рассылал спам, использовался для исполнения атак на серверы, иначе говоря, был зомби, который пополнил армию таких же зомби, внеся ещё одну каплю хаоса в Сеть.

На данном этапе развития компьютерной техники мы подходим к пониманию того, что существующие сейчас технологии обнаружения вирусов, использование антивирусных баз с сигнатурами, не эффективно. При нынешних скоростях распространения файлов в Сети (обменные сети, спам) антивирусы всегда будут в роли догоняющих.

Совсем недавно автор этой статьи вручную вычищал компьютер от нового вируса, который не обнаруживался антивирусом, установленным на компьютере пользователя. Производителя антивируса, весьма известную во всём мире и успешную компанию, по понятным причинам называть не стану. После обнаружения библиотеки вируса она была проверена всеми доступными антивирусами со свежими базами описаний. Ни один, за исключением Dr.Web, не обнаружил в библиотеке ничего опасного. Тем не менее, вирус успешно собирал информацию об адресах посещаемых пользователем сайтов, его логины и пароли, вводимые на этих сайтах, а затем отправлял собранную информацию автору вируса. Судя по механизму заражения, компьютер был инфицирован при посещении какого-то сайта и, очень вероятно, что источником вируса был баннер, показанный на одной из страниц (изучение истории посещений в браузере не выявило в списке какого-либо криминала).

Ещё более удручающим выглядит заражение компьютера вирусом, который спамил на почтовые адреса домена Microsoft.com, открывал на прослушивание порт и сообщал своему автору IP и порт готового к использованию прокси-сервера. Перед открытием порта вирус в буквальном смысле сносил встроенный в Windows XP SP2 файрвол, удаляя в реестре всю информацию о его службе. После обнаружения библиотеки вируса она была проверена несколькими наиболее популярными антивирусами. Только Dr.Web и Антивирус Касперского опознали её как вирус. Два известных и популярных западных антивируса до сих пор не обнаруживают этот файл, не смотря на то, что, судя по информации из поисковых систем, первые сообщения об этом вирусе появились в Сети 4 месяца назад.

Таких примеров можно привести огромное количество. Уже сегодня есть понимание того, что у антивирусов в их нынешнем виде нет будущего. Это тупик. Разрыв по времени между появлением новых вирусов и добавлением их сигнатур в базы антивирусов будет только увеличиваться, что неизбежно приведёт к новым волнам вирусных эпидемий. Халатное отношение западных антивирусных компаний к поиску новых вирусов и добавлению их описаний в базы приводит к появлению у пользователя ложного чувства защищённости. В итоге, вред от такого «расслабления» пользователя может быть бо льшим, чем работа вообще без антивируса, когда пользователь сотню раз подумает, работать ли ему под учётной записью с правами администратора и открывать ли вложения из письма от неизвестного отправителя, предлагающего запустить приложенный файл.

Помимо самих вирусов активно распространяется несколько других типов зловредного программного обеспечения: шпионское – собирает и отправляет информацию о пользователе, рекламное – самостоятельно открывает окна браузера с рекламой и так далее. Это ПО не классифицируется как вирусы, поскольку оно не наносит прямого вреда ни компьютеру, ни данным. Тем не менее, при заражении пользователь испытывает дискомфорт и вынужден устанавливать в дополнение к антивирусу ещё один тип ПО для борьбы со spyware и adware. Этот тип ПО так же, как и антивирус, имеет свои базы описаний зловредных объектов, которые он ищет и уничтожает в системе.

Ровно такая же ситуация наблюдается и в борьбе со спамом. Если раньше, фактически, единственным средством борьбы были «черные списки» серверов или даже целых подсетей, из которых рассылался спам, то на сегодняшний день всё большее количество администраторов убеждается в том, что технология «черных списков» отживает своё. Она слишком медлительная, не гибкая, требует больших усилий от администратора списка на поддержание актуальности. Очень часто из-за двух-трёх спамеров, купивших диал-ап доступ для рассылок, в черный список попадают целые подсети провайдеров, после чего почта от пользователей из этих подсетей начинает помечаться как спам и фильтроваться получателями. В результате мы видим всё большее распространение интеллектуальных систем оценки содержимого писем. Систем, которые могут «прочитать» письмо, включая служебные заголовки, выполнить ряд проверок и вынести заключение: спам это или нет. Можно с уверенностью сказать о том, что через несколько лет данная технология борьбы со спамом полностью вытеснит использование чёрных списков.

Мы незаметно проигрываем в войне: появляются новые и новые угрозы, а вместо совершенствования и создания новых технологий борьбы с ними штампуется метод описания и распространения баз описаний.

К счастью, первые шаги для исправления ситуации предпринимаются, и появляется новый класс программ для комплексной защиты компьютера и от вирусов и от разного рода adware-spyware, который не использует в работе баз описаний. По аналогии с антиспамом, это некий интеллектуальный алгоритм, который отслеживает действия запущенных приложений. Если какие-то действия алгоритму кажутся опасными, то он блокирует их. Можно долго спорить по поводу слишком большой самостоятельности таких программ, но альтернативы нет. Пусть лучше будет несколько ложных срабатываний, чем десятки мегабайт трафика на обновление антивирусных баз и 2-3 приложения, постоянно находящихся в памяти, снижающих производительность файловых операций и требующих значительных системных ресурсов.

В этом обзоре мы познакомимся с одним из представителей нового класса программ проактивной защиты компьютера: Defense Wall HIPS. Нестандартность подхода к борьбе со зловредным ПО, простота настройки и незаметность работы отличают этот продукт от массы других. Он не скачивает никаких баз описаний. Вместо этого, пользователь самостоятельно определяет приложения, через которые на компьютер может быть получен зараженный файл. По умолчанию, в недоверенные приложения включены популярные почтовые клиенты, браузеры, некоторые системные утилиты (ftp.exe). Таким образом, создаётся список всех «дверей», через которые может проникнуть заражённый файл.

Любой файл, который был получен из Сети через недоверенное приложение, Defense Wall HIPS пометит как недоверенный. После запуска такого файла, все действия, которые предпримет в системе запущенное приложение, будут журнализированы, то есть, у пользователя всегда будет возможность просмотреть, например, список разделов реестра, которые созданы запущенным приложением и нажатием одной кнопки удалить их.

Сайт программы
Размер дистрибутива 1,2 мегабайта.
Цена Defense Wall HIPS 500 рублей.Установка

Установка Defense Wall HIPS выполняется мастером. В ходе его работы необходимо согласиться с условиями лицензионного соглашения, выбрать папку для установки программы, выбрать режим работы между экспертным и обычным. Для окончания установки компьютер должен быть перезагружен.

Различия между экспертным режимом работы и обычным существенны: в обычном режиме работы все файлы, которые создаются недоверенным приложением, автоматически заносятся в список недоверенных. В экспертном режиме никакие файлы автоматически в список недоверенных не заносятся – это должен сделать пользователь вручную. Рекомендуется работать в обычном режиме.

После перезагрузки на экран будет выведено окно регистрации продукта.

Если программа была приобретена, то для её регистрации можно ввести полученный от разработчика ключ. В демонстрационном режиме программа проработает 30 дней без ограничения функциональных возможностей.Интерфейс

Программа добавляет в трей значок, при помощи которого можно изменить режимы работы и открыть главное окно.

Центр очистки

Центр очистки предоставляет быстрый доступ к просмотру следов работы недоверенных приложений.

При помощи кнопки Следы на диске и в реестре можно просмотреть список всех изменений, которые были сделаны недоверенными приложениями.

На этом скриншоте перечислены разделы реестра, которые создал FAR и файл text.txt, который был создан из командной строки. Справа от списка размещены кнопки, при помощи которых можно управлять изменениями. К сожалению, из названий совершенно не очевидно то, какое действие выполнит программа после нажатия кнопки. Назначение кнопок более-менее становится понятно после прочтения всплывающих подсказок, которые появляются над кнопками, если над ними задержать указатель мыши. Справочную систему для элементов этого окна вызвать невозможно: нет ни кнопки Справка на форме, ни кнопки в заголовке окна.

Первая кнопка - Убрать - удаляет строку из списка. Изменения, сделанные процессом (разделы реестра, файлы), не удаляются.

Кнопка Удалить позволяет отменить зафиксированное изменение: удалить созданный приложением раздел реестра, папку или файл.

Кнопка Откатить позволяет отменить сразу несколько зафиксированных изменений. Для этого необходимо выделить какую-либо запись и нажать кнопку. Все изменения, с первого по выделенное, будут отменены (удалены разделы реестра, файлы и папки).

Убрать все позволяет очистить список.

При выполнении отката Defense Wall HIPS просит подтвердить выполняемое действие.

В этом запросе нет кнопок Удалить всё и Отменить откат . Если была предпринята попытка откатить 50, например, изменений, то на подобный запрос придётся ответить 50 раз.

На записях списка нет контекстного меню, вызываемого по щелчку правой кнопки мыши. Вместо двойного щелчка для открытия редактора реестра и просмотра созданного раздела или запуска Проводника, приходится запускать их вручную и искать файл или раздел.

Список изменений не обновляется автоматически. Если недоверенное приложение создаст раздел в реестре в то время, когда список был открыт, то новая запись в списке будет показана лишь после закрытия-открытия списка.

Для удаления объектов, созданных недоверенным приложением, необходимо закрыть все недоверенные приложения. Например, если открыты браузер, клиент обменной сети и FAR (и все они внесены в список недоверенных приложений), то чтобы удалить раздел реестра, созданный FAR, придётся закрыть и клиент и браузер.

Вторая кнопка на вкладке Центр очистки позволяет просмотреть списки доверенных и недоверенных процессов, работающих в системе.

В этом окне нет возможности переместить процесс из списка доверенных в недоверенные. Помимо этого, можно завершить любой процесс из работающих в системе.

Вряд ли неподготовленный пользователь будет рад такому экрану. Не говоря уже о том, что в момент завершения winlogon.exe у пользователя могут быть открыты какие-то файлы, над которыми он работал продолжительное время, но не успел сохранить изменения.

Третья кнопка в Центре очистки большого размера и красного цвета. Результат её нажатия соответствует окраске – сколько бы и каких недоверенных процессов (браузер, почтовый клиент) не было запущено – все они будут завершены без каких-либо предупреждений и без сохранения данных.

Добавить или удалить недоверенные


В этом списке перечислены все недоверенные приложения, которые были обнаружены на компьютере во время установки Defense Wall HIPS. Список приложений, которые по умолчанию считаются программой недоверенными, достаточно широк: в него входят наиболее популярные браузеры, почтовые клиенты, клиенты для обмена мгновенными сообщениями и так далее. В список могут быть добавлены любые процессы, папки или приложения, за исключением системных. Например, explorer.exe добавить не получится.

При нажатии кнопки Убрать открывается меню, при помощи пунктов которого приложение можно удалить из списка, а можно временно исключить, сделав его доверенным. Кнопка Как довер. позволяет запустить экземпляр приложения из списка как доверенное. При помощи кнопки Сдвинуть вверх записи в списке можно перемещать. Зачем это делать и почему нет кнопки Сдвинуть вниз понять не удалось (нет ни всплывающих подсказок, ни упоминаний в справке).


События, вызываемые недоверенными процессами, фиксируются в журнале. На этой вкладке можно просмотреть их и при необходимости, при помощи фильтра, оставить в списке события, вызванные работой определённого процесса. Как и в предыдущем случае, события, происходящие в тот момент, когда список открыт, в него не попадают. Чтобы их увидеть, необходимо закрыть-открыть окно.

Закрытые файлы


Любое недоверенное приложение не сможет получить доступ ко всем файлам и папкам, перечисленным в этом списке.Интеграция

Defense Wall HIPS создаёт группу ярлыков в контекстном меню Проводника. Щёлкнув правой кнопкой мыши по любому файлу или папке можно быстро выполнить над ними основные действия.

При запуске недоверенных приложений в их заголовок добавляется статус.

Тестирование

Первым делом была предпринята попытка обойти запрет на добавление в список недоверенных приложений системных процессов. После добавления в Недоверенные приложения папки Windows, все стандартные приложения стали запускаться как недоверенные.

Косынка – недоверенное приложение

Как и следовало того ожидать, Проводник, который невозможно добавить в список недоверенных через пункт меню Добавить приложение в недоверенные , утратил доверие Defense Wall HIPS. В меню Пуск перестали работать пункты Выполнить, Поиск, Справка и поддержка. Блокнот начал создавать недоверенные файлы, а после отката изменений и согласия с требованием закрыть перед этим все недоверенные приложения, оболочка была перезагружена.

После того, как оболочка перезагрузилась, Windows попросила вставить компакт-диск для восстановления файлов. Дабы не усугублять ситуацию, было принято решение отказаться от восстановления файлов. Список недоверенных процессов после перезагрузки Проводника показан на рисунке ниже.

Естественно, что нажатие большой красной кнопки Завершить все недоверенные процессы привело к BSOD, так как в список недоверенных попал winlogon.exe. Во время перезагрузки Windows сообщила, что:

После нажатия OK Windows ушла в циклическую перезагрузку с таким же сообщением на каждом витке. Для восстановления пришлось загрузиться в безопасном режиме, найти в реестре настройки Defense Wall HIPS (сама программа в этом режиме не работает, поскольку не загружается её служба) и удалить из списка недоверенных папку Windows. После этого ОС нормально загрузилась в обычном режиме.

Было решено проверить, что произойдёт, если добавить в список недоверенных папку, куда установлен Defense Wall HIPS.

Рецепт лечения тот же: удаление из списка недоверенных папки Defense Wall HIPS через правку реестра.

По сути, это небольшие замечания к интерфейсу программы, которые без особых проблем могут быть устранены автором. На следующем этапе тестировалась основная функция программы: отслеживание активности процессов и отметка создаваемых ими файлов как недоверенных.

Для проведения теста был написан vbs-скрипт. Он имитировал поведение вируса и выполнял следующие действия:

  • Удалял в реестре раздел, где хранятся настройки Defense Wall, список недоверенных приложений и журнал их действий.
  • Скачивал с сайта небольшой исполняемый файл dwkill.exe.
  • Завершал процесс defensewall.exe (консоль управления).
  • Создавал задание Планировщика Windows, которое запускало утилиту dwkill.exe под учётной записью SYSTEM после входа в систему пользователя.

Такая последовательность действий была определена после длительного и разностороннего изучения механизмов работы Defense Wall. Понятно, что данный скрипт ориентирован на работу с Defense Wall и вряд ли будет использоваться вирусами до массового распространения продукта на рынке. Тем не менее, этот скрипт выявил в работе Defense Wall несколько существенных недоработок:

  • Список недоверенных приложений может быть легко очищен. После первой перезагрузки все ранее скачанные и полученные по почте файлы начнут запускаться как доверенные.
  • Список действий недоверенных приложений так же может быть удалён, что делает невозможным откат изменений.
  • После запуска скрипта и первой перезагрузки существует возможность запуска любого приложения как доверенного.

Помимо этого, была обнаружена очень неприятная проблема: при перемещении недоверенного файла из одной папки в другую он удалялся из списка недоверенных и, соответственно, из новой папки запускался как доверенный.

Файл справки Defense Wall содержит множество опечаток и ошибок.

Несмотря на все серьёзные недочёты, программа заслуживает внимания. Хочется верить в то, что автор исправит ошибки и расширит функционал. В идеале видится создание модуля, который будет перехватывать весь сетевой трафик, определять приложение его создающее и, если оно новое, то после запроса к пользователю добавлять в список доверенных или недоверенных. По результатам тестирования очевидно, что все настройки программы должны храниться не в реестре, а в собственной базе данных Defense Wall. Служба должна иметь защиту своей загрузки, проверяя при остановке наличие в реестре соответствующих ключей.

Тем не менее, Defense Wall HIPS выполняет свои основные функции: недоверенное приложение не может создать или изменить ключи реестра, не может удалить или перезаписать файлы. Как показало тестирование, эта защита в версии программы 1.71 обходится достаточно просто.

В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы.

Краткое содержание:

Введение

Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Наиболее сложная задача защиты при этом сводится к недопущению проникновения вредоносной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0). Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.

Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе. Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения вредоносной программы в Ring 0.

В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.

Отбор вредоносных программ для тестирования

Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):

  1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
    Встречаемость ITW: высокая
  2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
    Встречаемость ITW: высокая
  3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
    Встречаемость ITW: средняя
  4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
    Встречаемость ITW: редкая
  5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
    Встречаемость ITW: высокая
  6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
    Встречаемость ITW: высокая
  7. \ Device \ PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
    Встречаемость ITW: средняя
  8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
    Встречаемость ITW: средняя
  9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
    Встречаемость ITW: средняя

Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.

Методология сравнительного тестирования

Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:

  1. PC Tools Firewall Plus 5.0.0.38
  2. Jetico Personal Firewall 2.0.2.8.2327
  3. Online Armor Personal Firewall Premium 3.0.0.190
  4. Kaspersky Internet Security 8.0.0.506
  5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
  6. Comodo Internet Security 3.8.65951.477

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить проникновения в ядро ОС у них объективно нет шансов.

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.

Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.

Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей вредоносной программы производился возврат системы до сохраненного в начале снимка.

В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.

Шаги проведения тестирования:

  1. Создание снимка чистой виртуальной машины (основной).
  2. Установка тестируемого продукта с максимальными настройками.
  3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
  4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.
  5. Отключение режима автообучения (если такой имеется).
  6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
  7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
  8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты сравнительного тестирования

Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыть диск на посекторное чтение и произвести запись.

Таблица 1: Результаты сравнительного тестирования HIPS-компонент

Метод проникновения в Ring 0 PC Tools Jetico Online Armor Kaspersky Agnitum Comodo
StartServiceA
 -
 + + + -
 +
SCM
 -
 + + + -
 +
KnownDlls
 -
 + + -
 + +
RPC
 -
 + + + -
 +
ZwLoadDriver
 +
 -
 + + -
 +
ZwSystemDebugControl
 -
 + + + + +
\Device\PhysicalMemory
 + + + + + +
ZwSetSystemInformation
 -
 + + + + +
CreateFileA \\.\PhysicalDriveX
 -
 -
 +
 + + +
Итого пресечено:
2
 		7
 		9
 		8
 		5
 		9
Количество оповещений и запросов действий пользователя
Мало
 Очень много Много Мало Средне
 Много

Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.

Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.

Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.

Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.

«Поведенческий анализ является более эффективным способом предупреждения заражения неизвестной вредоносной программой, чем эвристические методы, основанные на анализе кода исполняемых файлов. Но в свою очередь они требуют определенных знаний со стороны пользователя и его реакции на те или иные события в системе (создание файла в системном каталоге, создание ключа автозагрузки неизвестным приложением, модификация памяти системного процесса и т.п.)», - комментирует Василий Бердников, эксперт сайт .

«В данном сравнении были отобраны самые известные продукты, имеющие на борту HIPS. Как видно, только три продукта смогли достойно препятствовать проникновению в нулевое кольцо. Так же очень важный параметр - кол-во сообщений (алертов) возникающих при повседневной работе за ПК и требующих решения пользователя. Именно тут и определяется технологическое преимущество продуктов - максимально контролировать систему и при этом использовать всевозможные технологии, для снижения кол-ва вопросов, задаваемых HIPS при запуске, инсталляции программ», - отмечает эксперт.

В настоящее время существует бесчисленное количество разнообразных вредоносных программ. Эксперты в области антивирусного ПО прекрасно понимают, что решения, основанные только на базах данных сигнатур вирусов не могут быть эффективны против некоторых видов угроз. Многие вирусы умеют адаптироваться, изменять размер, имена файлов, процессов и служб.

Если нельзя обнаружить потенциальную опасность файла по внешним признакам, можно определить его вредоносную природу по поведению. Именно поведенческим анализом занимается система предотвращения вторжений Host Intrusion Prevention System (HIPS).

HIPS является специализированным программным обеспечением, которое наблюдает за файлами, процессами и службами в поисках подозрительной активности. Другими словами, проактивная защита HIPS служит для блокировки вредоносных программ по критерию опасного выполнения кода. Применение технологии позволяет поддерживать оптимальную безопасность системы без необходимости обновления баз.

HIPS и фаерволы (брандмауэры) являются тесно связанными компонентами. Если брандмауэр управляет входящим и исходящим трафиком, основываясь на наборах правил, то HIPS управляет запуском и работой процессов на основании выполняемых изменений в компьютере согласно правилам контроля.

Модули HIPS защищают компьютер от известных и неизвестных видов угроз. При выполнении подозрительных действий вредоносной программой или злоумышленником, HIPS блокирует данную активность, уведомляет пользователя и предлагает дальнейшие варианты решения. На какие именно изменения обращает внимание HIPS?

Приведем приблизительный список действий, за которыми в первую очередь пристально наблюдает HIPS:

Управление другими установленными программами. Например, отправление электронных сообщений с помощью стандартного почтового клиента или запуск определенных страниц в браузере по умолчанию;

Попытка внести изменения в определенные записи системного реестра, чтобы программа запускалась при определенных событиях;

Завершение других программ. Например, отключение антивирусного сканера;

Установка устройств и драйверов, которые запускаются перед другими программами;

Межпроцессорный доступ к памяти, который позволяет внедрять вредоносный код в доверительную программу

Что ожидать от успешной HIPS?

HIPS должна иметь достаточные полномочия для прекращения активности вредоносной программы. Если для остановки работы опасной программы требуется подтверждение пользователя, эффективность системы мала. Система предотвращения вторжений должна иметь определенный набор правил, который может применить пользователь. Должны быть доступны операции создания новых правил (хотя должны быть и определенные исключения). Пользователь, работая с HIPS должен четко понимать последствия своих изменений. В противном случае, возможен конфликты программного обеспечения и системы. Дополнительную информацию о работе системы предотвращения вторжения можно узнать на специализированных форумах или в файле справке антивируса.

Обычно технология HIPS работает при запуске процесса. Она прерывает действия во время их выполнения. Однако встречаются HIPS-продукты с предварительным обнаружением, когда потенциальная опасность исполняемого файла определяется еще до его непосредственного запуска.

Существуют ли риски?

Рисками, связанными с HIPS являются ложные срабатывания и неверные пользовательский решения. Система отвечает за определенные изменения, выполняемые другими программами. Например, HIPS всегда отслеживает путь системного реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run , отвечающий за автозагрузку программ при старте системы.

Очевидно, что множество безопасных программ использует данную запись реестра для автоматического запуска. Когда будут выполняться изменения в данном ключе, HIPS опросит пользователя о дальнейшем действии: разрешить или запретить изменения. Очень часто пользователи просто нажимают разрешить, не вникая в информацию, особенно если они в этот момент устанавливают новое ПО.

Некоторые HIPS информируют об аналогичных решениях других пользователей, однако при небольшом их количестве они нерелевантны и могут вводить пользователя в заблуждение. Остается надеяться, что большинство пользователей сделали правильный выбор до Вас. Система прекрасно работает при определении потенциальной опасности и выводе тревожного сообщения. Далее, даже если HIPS корректно определила угрозу, пользователь может выполнить неправильное действие и тем самым инфицировать ПК.

Заключение: HIPS является важным элементом многоуровневой защиты. Рекомендуется также использовать совместно с системой другие модули защиты. Для оптимальной и эффективной работы HIPS пользователь должен обладать определенными знаниями и квалификацией.

По материалам блога Malwarebytes Unpacked

Нашли опечатку? Выделите и нажмите Ctrl + Enter