Введение
В настоящее время веб-ресурсы, сайты, социальные сети, форумы, блоги представляют большой интерес для различных хакерских элементов. Кража баз данных, содержащих в том числе персональные данные, внедрение вирусных скриптов, спам рассылки, блокировка доступа к ресурсу это лишь небольшая часть угроз безопасности для современных Интернет ресурсов. Исходя из многолетнего опыта работы в сфере веб-безопасности, в частности большого числа аудита безопасности веб-ресурсов, а также расследования инцидентов, связанных со взломом сайтов, очевидной становится проблема качественного обеспечения информационной безопасности веб-ресурсов.
Существует множество методик взлома Интернет ресурсов, но как показывает практика все они сводятся в конечном итоге к внедрению на атакуемый сайт вредоносных скриптов, позволяющих осуществлять удаленный доступ к ресурсу и последующий скрытый контроль за ним. Такие скрипты получили широкое распространение среди хакерских сообществ всего мира под названием веб-шеллы (web-shell). Количество таких вредоносных скриптов растет с каждым днем, в настоящее время насчитывается порядка 5000 разновидностей.
На первый взгляд веб-шеллы являются обычными скриптами, написанными на различных языках веб-программирования, использующих те же функции и команды, что и обычные движки. Данный факт делает их выявление антивирусными средствами достаточно нетривиальной задачей. При этом, современные экземпляры веб-шеллов перед внедрением в систему проходят многоступенчатую, рекурсивную обфускацию (запутывание кода — приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции) с использованием различных полиморфных методик, что делает их обнаружение антивирусными сигнатурными методами не возможным на 100%. Учитывая тот факт, что все существующее на текущий момент серверные антивирусы не реализуют сканирование в реальном режиме (при обращении к скриптам) проблема борьбы с внедрением и использованием вредоносных скриптов, в частности веб-шеллов является основной при обеспечении безопасности веб-ресурсов.
В результате многолетних исследований нашим специалистам удалось разработать уникальную методику по выявлению обфусцированных вредоносных скриптов и разработать эффективное программное средство Веб Антивирус (Web AntiVirus, WAV). В ходе проведения различных видов тестирования WAV показал 100% результативность по обнаружению обфусцированных вирусных скриптов в реальном режиме. Дополнительными преимуществами разработанного ПО является возможность обнаруживать обычные вирусные скрипты в реальном режиме, а также отсутствие повышения значительной нагрузки на сервер, что подтверждается нагрузочным тестированием на различных Интернет ресурсах.
Основные возможности
Программное обеспечение (ПО) Веб Антивирус (Web AntiVirus, WAV) версии 2.0 предназначено для выявления и блокировки работы вредоносного ПО, разработанного на языке программирования PHP и используемого хакерами для атаки на веб сайты в сети Интернет.
Основными возможностями ПО являются:
1. Выявление вредоносных скриптов на PHP в реальном времени (при обращении к скрипту)
2. Выявление обфусцированных скриптов (не детектируемых существующими АВ)
3. Учет и контроль ранее проверенных скриптов (повышение скорости работы)
4. Подключение различных серверных антивирусных движков (актуальные базы вирусов)
5. Гибкая настройка реагирования на обнаружение вредоносного скрипта (блокировка выполнения, уведомление администратора, перемещение в карантин)
6. Расширенная система логирования информации об инциденте (время инцидента, имя скрипта, сетевой адрес нарушителя и т.д.)