Antimalware řešení, které odhalí i nový malware

Je zřejmé, že tradiční ochrana před škodlivým kódem není moc spolehlivá a ani včasná aktualizace veškerého SW, který se na vašem počítači nachází, nestačí.

Antimalware založený jen na signaturách, blacklikstech nebo prostě definicích vzorků škodlivých kódů, proti kterým se kontrola provádí, spoléhají na to, že aktualizace se k uživateli daného produktu dostane dřív, než samotný škodlivý kód. Problém je, že tomu tak být nemusí. Jednak nový škodlivý kód musí někdo nejprve detekovat, zaslat vzorek firmě, který antimalware řešení vyvíjí, ta musí vzorek přidat do své databáze a teprve poté si uživatel může aktualizovanou databázi vzorků malwaru stáhnout do svého počítače. Doba mezi vznikem škodlivého kódu a doručením příslušné signatury na koncový počítač uživatele je příliš dlouhá.

Existuje ale vůbec nějaké řešení, jak se škodlivému kódu úspěšně bránit? V zásadě jsou dvě cesty, kterými by se ochrana před škodlivým kódem mohla ubírat. Určitým řešením je třeba whitelisting, který jak se dá z názvu vytušit, funguje přesně opačně než blacklisting. Musíte udržovat seznam prověřeného SW, který může být spouštěn a všechno ostatní blokovat. Vzhledem k tomu, že každá organizace by měla používat jen licencovaný SW, nainstalovaný z důvěryhodného zdroje a oprávněnou osobou, neměl by to být problém. A stejně tak by to neměl být problém pro domácího uživatele. Tahle myšlenka samozřejmě není nová, ale vzhledem ke stále rostoucímu počtu útoků, objemu škodlivého kódu, a zranitelností nultého dne, bychom se jí měli vážně zabývat. Ovšem ani toto řešení nás spolehlivě neochrání před všemi formami útoku.

Je třeba si uvědomit, na jakém principu whitelisting funguje. Zpravidla je proveden sken systému, uložena cesta k souboru, jeho název, velikost a spočítán kontrolní součet (obvykle MD5 nebo SHA-1). V okamžiku, kdy má dojít ke spuštění daného souboru, tak se pak kontroluje, zda cesta, velikost, název a kontrolní součet odpovídá. Problém může nastat s používáním a spouštěním skriptů, neboť některé produkty jsou schopny blokovat jen interpreter např. VBSscript.dll, nikoliv samotné skripty. Tímto způsobem lze chránit i textové soubory jako jsou nejrůznější konfigurační soubory nebo soubory host, do kterého se malware také často snaží zapsat.

Bohužel největší slabinou některých těchto programů je, že nezohledňují, kdo programy na whitelistu spouští a tak může dojít k jejich zneužití. Stejně tak většinou nedetekují buffer overflow. Ale i na tohle existuje řešení, je jím behaviorální analýza, kdy se vyhodnocuje, jakou činnost kód v systému dělá a zda se nechová nějak nestandardně. Lepší, zpravidla placené antimalware nástroje provádí tuto analýzu již dnes. Tím se dostáváme k tomu, že v zásadě by mělo jen stačit sledovat chování SW a žádné databáze škodlivého kódu by nebylo potřeba stahovat.

Ano, antimalware řešení postavené na behaviorální analýze by mělo problém s drtivou většinou malwaru vyřešit, a odhalit tak i nový malware, neboť škodlivý kód se musí nejprve stáhnout, někam zapsat, a spustit a teprve poté se může pokusit shromažďovat nějaké citlivé informace, a navazovat komunikaci do internetu, aby získal další instrukce nebo předal zcizená data. Předpokladem je, že není kompromitované samotné jádro operačního systému, protože pak již nelze věřit ničemu a takový stroj je třeba resetovat do továrního nastavení a provést reinstalaci. Jen reinstalace nestačí, protože některé druhy malwaru napadají i firmware a jsou schopny se usídlit v čipu motherboardu nebo síťové karty.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Antimalware řešení, které odhalí i nový malware” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: