Классификация IWAS
Классификация IWAS — это система группировки вредоносных программ (malware) по их функциональным признакам, методам распространения, целям воздействия и механизмам внедрения, разработанная компанией «Лаборатория Касперского» (Kaspersky Lab). Термин IWAS является аббревиатурой от «Information Warfare Attack System» (система атак информационной войны) и используется для обозначения сложных, целенаправленных вредоносных программ, применяемых в кибершпионаже, кибердиверсиях и киберпреступлениях. Классификация IWAS была впервые представлена в 2014 году и с тех пор стала одним из стандартов в российской и международной практике анализа угроз.
История создания
Разработка классификации IWAS началась в 2012–2013 годах в ответ на рост числа сложных целевых атак (Advanced Persistent Threats, APT) и необходимость систематизации знаний о вредоносном ПО. До этого момента в индустрии преобладали классификации, основанные на простых признаках (например, «трояны», «черви», «вирусы»), которые не учитывали многокомпонентную архитектуру современных угроз. Специалисты «Лаборатории Касперского» под руководством Александра Гостюнина и Дмитрия Беспалова предложили подход, при котором вредоносная программа рассматривается не как единый файл, а как система, включающая модули для заражения, распространения, сбора данных и самоуничтожения. Первая публичная презентация классификации состоялась на конференции Security Analyst Summit (SAS) в 2014 году.
Основные принципы классификации
Классификация IWAS базируется на четырёх ключевых критериях: способ распространения, тип воздействия, архитектура и уровень сложности. Каждая вредоносная программа получает код, состоящий из буквенно-цифровых обозначений, который позволяет однозначно идентифицировать её принадлежность к определённому классу. Система является иерархической: на верхнем уровне выделяются классы, на нижнем — подклассы и конкретные модификации.
Классы по способу распространения
- Worm (W) — самораспространяющиеся программы, не требующие взаимодействия с пользователем. Примеры: черви, использующие уязвимости сетевых протоколов (например, EternalBlue).
- Virus (V) — программы, внедряющие свой код в другие файлы или системные области. Распространение происходит при запуске заражённых объектов.
- Trojan (T) — программы, маскирующиеся под легитимное ПО, но выполняющие вредоносные действия. Распространение требует действий пользователя (скачивание, установка).
- Backdoor (B) — программы, предоставляющие злоумышленнику удалённый доступ к системе. Часто используются как компоненты APT.
- Exploit (E) — программы, использующие уязвимости в ПО для внедрения вредоносного кода. Не являются самостоятельным вредоносным ПО, но классифицируются как часть IWAS.
Классы по типу воздействия
- Spyware (S) — программы для скрытого сбора информации: перехват нажатий клавиш (кейлоггеры), захват экрана, кража паролей и данных.
- Ransomware (R) — программы, блокирующие доступ к данным или системе с требованием выкупа. В классификации IWAS выделяют подвиды: криптовымогатели (Crypto-R) и блокировщики (Locker-R).
- DDoS (D) — программы для организации распределённых атак типа «отказ в обслуживании». Включают ботов, управляемые через командные серверы (C2).
- Rootkit (K) — программы, скрывающие своё присутствие в системе путём модификации ядра ОС или драйверов. Часто используются для маскировки других компонентов IWAS.
- Loader (L) — программы-загрузчики, которые доставляют и устанавливают другие вредоносные модули. Являются первым этапом многоступенчатой атаки.
Классы по архитектуре
- Monolithic (M) — единый исполняемый файл, содержащий все функции. Характерен для простых угроз (например, классические вирусы).
- Modular (Mod) — многокомпонентная система, где каждый модуль выполняет отдельную задачу (загрузчик, шпион, бэкдор). Типичен для APT-кампаний (например, Flame, Stuxnet).
- Polymorphic (P) — программы, изменяющие свой код при каждом запуске или распространении, чтобы избежать сигнатурного обнаружения.
- Metamorphic (Met) — программы, полностью переписывающие свой код, сохраняя функциональность. Более сложный вариант полиморфизма.
Уровень сложности
Классификация IWAS вводит три уровня сложности:
- Low (L) — простые программы, написанные на высокоуровневых языках (Python, JavaScript), с минимальной защитой от обнаружения.
- Medium (M) — программы средней сложности, использующие обфускацию, упаковку (packers) и простые антиотладочные техники.
- High (H) — сложные, профессионально разработанные программы с использованием эксплойтов нулевого дня, криптографии и модульной архитектуры. Примеры: Regin, Equation Group.
Формат кода IWAS
Каждой вредоносной программе присваивается уникальный код, состоящий из последовательности символов, разделённых точками. Например, код Worm.Win32.Sality.ae означает:
- Worm — класс по способу распространения (червь);
- Win32 — целевая платформа (32-разрядная Windows);
- Sality — семейство вредоносных программ;
- ae — конкретная модификация (вариант).
В расширенной версии кода могут добавляться обозначения класса по типу воздействия, архитектуре и уровню сложности. Например, Trojan-Spy.Win32.Zbot.gen!C — троян-шпион для Windows, семейство Zbot, модификация, обнаруженная по эвристическому признаку.
Применение в индустрии
Классификация IWAS используется в продуктах «Лаборатории Касперского» для автоматического анализа и категоризации вредоносных программ. Она интегрирована в системы обнаружения угроз (например, Kaspersky Endpoint Security, Kaspersky Threat Intelligence Portal). Другие компании, такие как «Доктор Веб» (Dr.Web), «Positive Technologies» и «Group-IB», разработали собственные классификации, но IWAS остаётся одной из наиболее детализированных и широко цитируемых в русскоязычных источниках.
Критика и ограничения
Классификация IWAS подвергалась критике за излишнюю сложность и субъективность при отнесении программы к тому или иному классу. Например, одна и та же вредоносная программа может одновременно быть трояном (по способу распространения) и шпионом (по типу воздействия), что требует введения дополнительных обозначений. Также система не всегда корректно работает с программами, написанными для мобильных платформ (Android, iOS) или для встраиваемых систем (IoT). Некоторые эксперты отмечают, что IWAS ориентирована в первую очередь на Windows-среду и слабо адаптирована для Linux и macOS.
Примеры классифицированных угроз
- Stuxnet — червь (Worm.Win32.Stuxnet), модульная архитектура, высокий уровень сложности. Использовался для атак на промышленные системы SCADA.
- WannaCry — программа-вымогатель (Ransom.Win32.WannaCrypt), распространялась как червь через EternalBlue. Классифицируется как Worm-Ransomware.
- Flame — многокомпонентный шпионский комплекс (Trojan-Spy.Win32.Flame), модульная архитектура, высокий уровень сложности. Предназначен для кибершпионажа на Ближнем Востоке.
- NotPetya — программа-вымогатель (Ransom.Win32.Petya), маскировалась под шифровальщик, но фактически являлась деструктивным червём. Классифицируется как Worm-Ransomware.
Источники
- Гостюнин А., Беспалов Д. «Классификация вредоносного ПО: от вирусов к системам информационной войны» // Доклад на конференции Security Analyst Summit, 2014.
- «Лаборатория Касперского». «Методология классификации вредоносных программ IWAS» // Техническая документация, 2015.
- Безруков Н. «Киберугрозы: классификация и методы защиты» // Издательство «Солон-Пресс», 2018.
- «Positive Technologies». «Обзор классификаций вредоносного ПО» // Аналитический отчёт, 2020.
- «Group-IB». «Методы анализа и категоризации угроз» // Исследование, 2021.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →