Nye metoder skal blokkere ukjente virus

Symantec har nye metoder for å verne mot virus og ormer i det kritiske intervallet før signaturen er kjent.

Tallet på angrep mot PC-er og servere gjennom ondsinnet kode – alt fra ormer som sprer seg direkte til andre maskiners minne over Internett til virus som gjemmer seg i e-post – ble mer enn femdoblet fra 1999 til 2003, viser overvåkningsdata som IT-sikkerhetsselskapet Symantec har samlet inn.

Virkningen av denne økningen forsterkes av to forhold. Det tar stadig kortere tid for ormer og virus å spre seg til nye ofre, og angriperne er stadig raskere til å utvikle ny ondsinnet kode fra det tidspunktet en sårbarhet er kjent.

– I fjor dukket Blaster opp 27 dager etter at den utnyttbare sårbarheten var blitt gjort kjent. I våres fikk vi Sasser 14 dager etter at Microsoft publiserte sårbarheten, sier sikkerhetsrådgiver Stein A. J. Møllerhaug i Symantec Norge. – I fjor vinter brukte Slammer-ormen ti minutter på å smitte 90 prosent av alle ubeskyttede servere verden over.

Symantec bruker betegnelsen «flash-orm» for ondsinnet kode der smitteperioden kan måles i sekunder framfor timer eller dager.

– I en slik situasjon er det klart at vi ikke kan reagere i etterkant. Vi må legge på plass teknologi som beskytter brukerne før IT-sikkerhetsselskapene rekker fram med sine oppdateringer av antivirus, brannmur og innbruddsvern.

Erfaringen med Sasser viser at selv den raskeste varslingen ikke kan nå fram i tide.

– Vårt overvåkingssystem reagerer på unormal trafikk. Vi så at det var enorm aktivitet på en bestemt port, 445, og advarte at porten burde stenges. Da visste vi ikke hva det egentlig dreide seg om. Så fanget vi en kopi av ormen, og sendte ut en signatur. Sasser lot seg ikke fange av vanlig antivirus fordi den smitter fra minne til minne og ikke skriver til disk. Det er innbruddsvernsystemer og brannmurer som merker denne typen trusler først.

Trass i advarselen om å stenge port 445, oppnådde Sasser en nærmest utrolig spredning på svært kort tid.

– Derfor må varsling suppleres av teknologi som er i stand til å fange opp nye trusler før sikkerhetsselskapene avslører dem.

Møllerhaug skisserer fire nye teknologiske løsninger som Symantec arbeider med. To av disse metodene, atferdsblokkering og blokkering av protokollavvik, er allerede innarbeidet i flere av selskapets produkter. De to andre, døpt «virusstruping» og «sårbarhetsblokkering» vil tilbys i løpet av rundt ni måneder.

Atferdsblokkering er operativ i dag og beskytter millioner. Det går ut på å stoppe programmer som bryter bestemte regler for atferd. En enkel regel er at dersom et program prøver å sende en kopi av seg selv, så skal det stanses. MyDoom og Sobig lot seg stanse av dette. I andre tilfeller er det vanskeligere å lage korrekte regler. For eksempel kan en endring av win.exe være en fiks, men den kan også være et virus.

I brannmurer kan man blokkere kode som avviker fra protokollen. Denne teknologien er brukt i Symantecs bedriftsbrannmurer, og vil komme også i de personlige brannmurene.

– Denne teknologien ville stoppet ormer som Code Red, Slammer og Blaster. En forespørsel etter http-protokollen må for eksempel starte med en «get», så sende en overskriftslinje, og den kan ikke følges av data. Kommer det data etter en http-forespørsel, er dette et brudd på protokollen som er typisk for ormer som søker å utnytte usikrede bufre i programvaren på mottakerens maskin. Derfor kan det trygt blokkeres uten videre. Problemene med denne metoden er at det er vanskelig å holde seg oppdatert med alle de ulike protokollene som brukes på nettet, og at protokollsjekken krever mye regnekapasitet. I dag krever metoden at den kjøres på egne prosessorer.

Virusstruping er en idé som stammer fra HP Labs. Prinsippet er å begrense antall nye forbindelser en PC kan foreta per sekund til datamaskiner den ikke har kommunisert med tidligere.

– Motivet for dette er at lynraske ormer gjerne oppretter hundrevis av nye forbindelser per sekund, mens normale programmer holder seg til en eller to nye forbindelser per sekund. Du begrenser altså ormens spredningsdyktighet kraftig. På den andre siden risikerer du å strupe også legitim trafikk, og selv om du lar en orm opprette én ny forbindelse per sekund, åpner dette for en milliard infiseringer på ett minutt, dersom smitten er maksimalt effektiv. Dessuten er det mange trusler som ikke oppretter direkte forbindelser til nye ofre.

Trass i disse innvendingene, mener Møllerhaug at prinsippet kan bidra til et bedre vern. Han viser til et tilfelle der en bedrift var infisert av Sasser og ikke greide å stanse smitten selv om de raskt avgrenset de ni maskinene de ikke hadde rukket å fikse den aktuelle sårbarheten på.

– Det som skjedde, var at to konsulenter hadde koplet sine smittede bærbare PC-er til internnettet. Disse maskinene hadde det så travelt med å spre ormen at de ikke svarte på pakkene som overvåkningsprogrammene sendte ut, slik at de ikke ble oppdaget.

I dette tilfellet hadde virusstruping gjort det mulig å oppspore maskinene, og trekke ut nettkabelen.

Den fjerde strategien kalles generell sårbarhetsblokkering. Prinsippet her er at sikkerhetsprogramvare kan oppdateres med generisk vern mot ondsinnet kode som utnytter bestemte sårbarheter, før disse sårbarhetene gjøres allment kjent.

– Ideen er at kode som utnytter en bestemt sårbarhet må ha en slags felles og gjenkjennelig form. Hvis vi greier å lage en generisk signatur som gjenkjenner denne formen, vil vi kunne stanse alt som utnytter akkurat den sårbarheten. Denne signaturen kan distribueres gjennom sikkerhetsleverandørenes automatiske oppgraderingstjenester, som gir langt raskere vern enn oppgraderinger av operativsystemer og tunge applikasjoner. Den generiske signaturen kan distribueres før selve sårbarheten publiseres. Selv om den kommer hackere i hende, vil den ikke gi tilstrekkelig informasjon om sårbarheten til at de kan utnytte den, i motsetning til det som skjer når Microsoft kunngjør en fiks for Windows.

Når en sårbarhet oppdages, er regelen at den aktuelle leverandøren skal varsles, og gis en frist på 30 dager til å kunngjøre en fiks. Straks fiksen – og sårbarheten – kunngjøres, hiver hackermiljøer seg over den for å finne ut av hvordan sårbarheten kan utnyttes. Som nevnt, tok det 14 dager fra Microsoft kunngjorde både fiks og sårbarhet, til Sasser-ormen dukket opp for å utnytte den. Svært mange organisasjoner, for ikke å si de fleste, hadde ikke installert den aktuelle Windows-oppdateringen på sine servere. Sikkerhetsprogrammene kunne derimot lat seg oppdatere automatisk med den generiske signaturen, og vært oppdatert i god tid før Microsoft publiserte sin fiks til operativsystemet.

– Vi ser på dette som en svært lovende teknologi. Problemet er at mange sårbarheter er svært kompliserte, og det er en utfordring å finne den «fasongen» som avslører all kode som utnytter dem. Vi har gjort noen forsøk som viser at metoden kan fungere svært bra.

Antivirusselskapene er jevnt over opptatt av hvordan man skal tilby vern i den kritiske tidlige fasen i ny smitte. Norman har for eksempel patentert en teknologi kalt «SandBox» der mistenkelig kode kjøres i en lukket virtuell maskin for å avdekke eventuell skadelig oppførsel, se artikkelen Uoppdagede datavirus fanges i et virtuelt nett.

Til toppen