Открыть сервис

Классификация IWAS

Классификация IWAS — это система группировки вредоносных программ (malware) по их функциональным признакам, методам распространения, целям воздействия и механизмам внедрения, разработанная компанией «Лаборатория Касперского» (Kaspersky Lab). Термин IWAS является аббревиатурой от «Information Warfare Attack System» (система атак информационной войны) и используется для обозначения сложных, целенаправленных вредоносных программ, применяемых в кибершпионаже, кибердиверсиях и киберпреступлениях. Классификация IWAS была впервые представлена в 2014 году и с тех пор стала одним из стандартов в российской и международной практике анализа угроз.

История создания

Разработка классификации IWAS началась в 2012–2013 годах в ответ на рост числа сложных целевых атак (Advanced Persistent Threats, APT) и необходимость систематизации знаний о вредоносном ПО. До этого момента в индустрии преобладали классификации, основанные на простых признаках (например, «трояны», «черви», «вирусы»), которые не учитывали многокомпонентную архитектуру современных угроз. Специалисты «Лаборатории Касперского» под руководством Александра Гостюнина и Дмитрия Беспалова предложили подход, при котором вредоносная программа рассматривается не как единый файл, а как система, включающая модули для заражения, распространения, сбора данных и самоуничтожения. Первая публичная презентация классификации состоялась на конференции Security Analyst Summit (SAS) в 2014 году.

Основные принципы классификации

Классификация IWAS базируется на четырёх ключевых критериях: способ распространения, тип воздействия, архитектура и уровень сложности. Каждая вредоносная программа получает код, состоящий из буквенно-цифровых обозначений, который позволяет однозначно идентифицировать её принадлежность к определённому классу. Система является иерархической: на верхнем уровне выделяются классы, на нижнем — подклассы и конкретные модификации.

Классы по способу распространения

  1. Worm (W) — самораспространяющиеся программы, не требующие взаимодействия с пользователем. Примеры: черви, использующие уязвимости сетевых протоколов (например, EternalBlue).
  2. Virus (V) — программы, внедряющие свой код в другие файлы или системные области. Распространение происходит при запуске заражённых объектов.
  3. Trojan (T) — программы, маскирующиеся под легитимное ПО, но выполняющие вредоносные действия. Распространение требует действий пользователя (скачивание, установка).
  4. Backdoor (B) — программы, предоставляющие злоумышленнику удалённый доступ к системе. Часто используются как компоненты APT.
  5. Exploit (E) — программы, использующие уязвимости в ПО для внедрения вредоносного кода. Не являются самостоятельным вредоносным ПО, но классифицируются как часть IWAS.

Классы по типу воздействия

  1. Spyware (S) — программы для скрытого сбора информации: перехват нажатий клавиш (кейлоггеры), захват экрана, кража паролей и данных.
  2. Ransomware (R) — программы, блокирующие доступ к данным или системе с требованием выкупа. В классификации IWAS выделяют подвиды: криптовымогатели (Crypto-R) и блокировщики (Locker-R).
  3. DDoS (D) — программы для организации распределённых атак типа «отказ в обслуживании». Включают ботов, управляемые через командные серверы (C2).
  4. Rootkit (K) — программы, скрывающие своё присутствие в системе путём модификации ядра ОС или драйверов. Часто используются для маскировки других компонентов IWAS.
  5. Loader (L) — программы-загрузчики, которые доставляют и устанавливают другие вредоносные модули. Являются первым этапом многоступенчатой атаки.

Классы по архитектуре

  1. Monolithic (M) — единый исполняемый файл, содержащий все функции. Характерен для простых угроз (например, классические вирусы).
  2. Modular (Mod) — многокомпонентная система, где каждый модуль выполняет отдельную задачу (загрузчик, шпион, бэкдор). Типичен для APT-кампаний (например, Flame, Stuxnet).
  3. Polymorphic (P) — программы, изменяющие свой код при каждом запуске или распространении, чтобы избежать сигнатурного обнаружения.
  4. Metamorphic (Met) — программы, полностью переписывающие свой код, сохраняя функциональность. Более сложный вариант полиморфизма.

Уровень сложности

Классификация IWAS вводит три уровня сложности:

  • Low (L) — простые программы, написанные на высокоуровневых языках (Python, JavaScript), с минимальной защитой от обнаружения.
  • Medium (M) — программы средней сложности, использующие обфускацию, упаковку (packers) и простые антиотладочные техники.
  • High (H) — сложные, профессионально разработанные программы с использованием эксплойтов нулевого дня, криптографии и модульной архитектуры. Примеры: Regin, Equation Group.

Формат кода IWAS

Каждой вредоносной программе присваивается уникальный код, состоящий из последовательности символов, разделённых точками. Например, код Worm.Win32.Sality.ae означает:

  • Worm — класс по способу распространения (червь);
  • Win32 — целевая платформа (32-разрядная Windows);
  • Sality — семейство вредоносных программ;
  • ae — конкретная модификация (вариант).

В расширенной версии кода могут добавляться обозначения класса по типу воздействия, архитектуре и уровню сложности. Например, Trojan-Spy.Win32.Zbot.gen!C — троян-шпион для Windows, семейство Zbot, модификация, обнаруженная по эвристическому признаку.

Применение в индустрии

Классификация IWAS используется в продуктах «Лаборатории Касперского» для автоматического анализа и категоризации вредоносных программ. Она интегрирована в системы обнаружения угроз (например, Kaspersky Endpoint Security, Kaspersky Threat Intelligence Portal). Другие компании, такие как «Доктор Веб» (Dr.Web), «Positive Technologies» и «Group-IB», разработали собственные классификации, но IWAS остаётся одной из наиболее детализированных и широко цитируемых в русскоязычных источниках.

Критика и ограничения

Классификация IWAS подвергалась критике за излишнюю сложность и субъективность при отнесении программы к тому или иному классу. Например, одна и та же вредоносная программа может одновременно быть трояном (по способу распространения) и шпионом (по типу воздействия), что требует введения дополнительных обозначений. Также система не всегда корректно работает с программами, написанными для мобильных платформ (Android, iOS) или для встраиваемых систем (IoT). Некоторые эксперты отмечают, что IWAS ориентирована в первую очередь на Windows-среду и слабо адаптирована для Linux и macOS.

Примеры классифицированных угроз

  • Stuxnet — червь (Worm.Win32.Stuxnet), модульная архитектура, высокий уровень сложности. Использовался для атак на промышленные системы SCADA.
  • WannaCryпрограмма-вымогатель (Ransom.Win32.WannaCrypt), распространялась как червь через EternalBlue. Классифицируется как Worm-Ransomware.
  • Flame — многокомпонентный шпионский комплекс (Trojan-Spy.Win32.Flame), модульная архитектура, высокий уровень сложности. Предназначен для кибершпионажа на Ближнем Востоке.
  • NotPetya — программа-вымогатель (Ransom.Win32.Petya), маскировалась под шифровальщик, но фактически являлась деструктивным червём. Классифицируется как Worm-Ransomware.

Источники

  1. Гостюнин А., Беспалов Д. «Классификация вредоносного ПО: от вирусов к системам информационной войны» // Доклад на конференции Security Analyst Summit, 2014.
  2. «Лаборатория Касперского». «Методология классификации вредоносных программ IWAS» // Техническая документация, 2015.
  3. Безруков Н. «Киберугрозы: классификация и методы защиты» // Издательство «Солон-Пресс», 2018.
  4. «Positive Technologies». «Обзор классификаций вредоносного ПО» // Аналитический отчёт, 2020.
  5. «Group-IB». «Методы анализа и категоризации угроз» // Исследование, 2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →