Интернет
Наравне с почтой, и в последнее время особенно часто, для проникновения на компьютер вредоносные программы используют поток данных непосредственно из Интернет. Соответствующие угрозы можно разделить на несколько классов:
- Загрузка зараженных программ через Интернет по инициативе пользователя— подобные события могут происходить в силу неосведомленности пользователя, по недосмотру или оплошности, в результате успешного использования методов социальной инженерии
- Принудительная загрузка и запуск файлов через Интернет в процессе навигации по сети Интернет— происходит в результате использования на веб-страницах вредоносных скриптов, эксплуатирующих уязвимости в Интернет-агентах (браузерах)
- Удаленная атака на сетевые службы и приложения с внедрением кода непосредственно в адресное пространство уязвимых процессов и последующим выполнением этого кода- происходит при наличии соответствующих уязвимых процессов и прямого доступа к компьютеру из сети Интернет (что крайне редко встречается в случае корпоративных сетей и наоборот, именно этот сценарий является стандартным для домашнего пользователя)
С угрозами первых двух типов успешно справляется средство проверки файловой системы при доступе - загруженный файл будет проверен в момент записи на диск. Кроме этого могут использоваться и другие технологии.
Так, большинство менеджеров загрузки обладают возможностью запускать антивирусную проверку всех загружаемых файлов. Для эффективного использования этой возможности антивирус должен поддерживать передачу объектов для проверки и параметров проверки через командную строку.
Пример. В Антивирусе Касперского для Windows Workstations имеется возможность запускать проверку по требованию через интерфейс командной строки, передавая параметры проверки при помощи ключей командной строки. Аналогичная возможность реализована и в других версиях Антивируса Касперского: Personal, Personal Pro, для Windows File Servers.
Для защиты от использования на веб-страницах вредоносных скриптов, инициирующих несанкционированную загрузку и выполнение программ может использоваться специальный компонент проверки скриптов. Как известно, для выполнения скриптов, написанных на языках VBScript и JavaScript в ОС семейства Windows используется специальный компонент - Windows Script Host, допускающий интеграцию внешних фильтров. В некоторых антивирусах реализован отдельный модуль, проверяющий все скрипты, выполняемые посредством Windows Script Host, обеспечивая защиту не только от веб-страниц, но также от содержащих скрипты писем в html-формате и просто от сохраненных на диске скриптов.
Пример. В Антивирусе Касперского для Windows Workstations (равно как и в персональных версиях, и в версии для серверов Windows) имеется аналогичный компонент для проверки скриптов. В нем реализованы две технологии - передача скриптов на проверку антивирусному ядру с использованием антивирусных баз (сигнатурный метод) и метод поведенческого анализа, оценивающий опасность скриптов по выполняемым ими действиям.
Удаленная атака на сетевые службы является более серьезной проблемой, которую стандартными антивирусными средствами решить не удается - постоянный контроль адресного пространства в ОС Windows невозможен. Для защиты от подобных атак в антивирусные средства интегрируется часть функций персональных брандмауэров либо полноценный персональный брандмауэр. Таким образом, антивирус превращается в более сложный и многофункциональный программный продукт, способный отслеживать сетевые соединения и блокировать атаки на переполнение буфера, которые чаще всего и используются для удаленного внедрения и выполнения кода.
Пример. В Антивирусе Касперского Personal реализован частичный функционал персонального брандмауэра - защита от сетевых атак, специально предназначенный для блокирования атак на известные уязвимости в службах ОС Windows. Кроме этого в линейке продуктов Лаборатории Касперского имеется специализированное решения для защиты от сетевых атак - Kaspersky Anti-Hacker и интегрированное решение, объединяющее в себе антивирус, персональный брандмауэр и персональное средство защиты от спама - Kaspersky Internet Security. Все эти средства являются персональными, т.к. Антивирус Касперского для Windows Workstations ориентирован на использование в корпоративных сетях, где прямой доступ из Интернет обычно контролируется межсетевым экраном и/или прокси-сервером.
В целом же защиту от атак на сетевые службы следует обеспечивать не антивирусными средствами, а установкой обновлений, устраняющих уязвимости. В крупных компаниях такой подход должен быть закреплен организационными мерами в рамках комплексного подхода к построению системы антивирусной защиты.
Дата добавления: 2015-06-12; просмотров: 560;