06.08.2015 15:03
Новости.
Просмотров всего: 6111; сегодня: 2.

Эксплойт-наборы и программы-вымогатели становятся все коварнее

Блог Крэйга Уильямса (Craig Williams), главного технолога подразделения Talos (входит в состав компании Cisco, занимается изучением угроз для информационной безопасности).

Современные киберпреступники уже не взламывают сети из простого любопытства. Теперь они преследуют, прежде всего, корыстные цели. Опубликованный недавно полугодовой отчет компании Cisco по информационной безопасности содержит уйму свидетельств того, как киберпреступники постоянно совершенствуют и делают все изощреннее свой инструментарий для кражи и последующей перепродажи ценной коммерческой и персональной информации. Фактически злоумышленники получают финансовое вознаграждение за свои злодеяния, причем пользователи еще и вынуждены зачастую платить «выкуп» за свои же собственные данные.

Эксплойт-набор Angler благодаря своей эффективности и технической продвинутости продолжает оставаться лидером рынка вредоносного ПО. Как отмечается в упомянутом отчете Cisco по информационной безопасности, злоумышленники особенно ценят Angler за то, что он использует уязвимости сразу нескольких технологий: Flash, Java, Internet Explorer и Silverlight. Высокая эффективность Angler объясняется еще и тем, что он в состоянии осуществлять многовекторные атаки. Как показали исследования Cisco, пользователи, столкнувшиеся с Angler, подвергаются заражению в 40% случаев (для других распространенных эксплойт-наборов этот показатель составляет лишь 20%).

При помощи нескольких новаторских методов Angler успешно обманывает пользователей и при этом зачастую избегает обнаружения. В отчете Cisco приводится мнение исследователей о том, что создатели Angler применяют методы научного анализа данных для автоматической генерации целевых интернет-страниц, которые в итоге получаются настолько естественными, что не вызывают подозрения у эвристических сканеров. Вдобавок недавно для уклонения от обнаружения Angler начал применять технологию теневых доменов. (Этот метод дает возможность установить контроль над учетной записью владельца благонадежного доменного имени и создать в пределах этого домена тысячи вредоносных субдоменов). Технология теневых доменов отнюдь не нова, но, как отмечают специалисты Cisco, с 2014 года она стала применяться намного чаще. По мнению специалистов Cisco, более 75% выявленной активности таких теневых субдоменов, используемых создателями эксплойт-наборов, может быть связано с Angler.

Когда Angler внедряет зашифрованное вредоносное ПО (например, программу Bedep), идентифицировать это ПО, как правило, можно лишь с помощью ретроспективных методов анализа. При этом на обнаружение такой угрозы (Time to Detection, TTD) уходит несколько дней. Стандартное же время обнаружения угрозы в отрасли ИБ ныне составляет от 100 до 200 суток. Очевидно, что это чересчур большой отрезок времени, особенно, если учесть, насколько стремительно злоумышленники внедряют новые технологии.

Но есть и хорошие новости: заметно сократилось время, необходимое для обнаружения ранее неизвестных вредоносных кодов средствами Cisco. В декабре 2014 года среднее время обнаружения такой угрозы системой Cisco AMP (Advanced Malware Protection) составляло менее двух суток. В период с января по март текущего года среднее время обнаружения колебалось между 44 и 46 часами, а в апреле оно несколько увеличилось — до 49 часов. К концу мая время обнаружения угрозы средствами Cisco снизилось приблизительно до 41 часа. Приведенная ниже диаграмма показывает, какое количество файлов, изначально определенных Cisco как «неизвестные», в конечном итоге было идентифицировано в качестве «вредоносных». Данные взяты из практического исследования эксплойт-набора Angler.

Программы-вымогатели, внедряемые Angler и другими эксплойт-наборами, тоже стремительно развиваются, чтобы упростить злоумышленникам способы извлечения прибыли из своих киберпреступлений. Как правило, для этого используется так называемая «криптовалюта» — например, биткойны. Каждый доллар, уплаченный в качестве «выкупа», пополняет фонды злоумышленников. При этом, как показывает упомянутый отчет Cisco, кое-кто из наиболее успешных операторов программ-вымогателей занимаются, судя по всему, еще и профессиональной разработкой технологий, способствующих дальнейшему развитию вредоносного ПО.

Цена, устанавливаемая за выкуп данных, более-менее доступна для жертв вымогательства: обычно она составляет две-три сотни долларов (точная сумма зависит от курса обмена биткойна). Судя по всему, злоумышленники провели исследование этого рынка и определили адекватную цену, обеспечивающую оптимальные результаты: плата не столь велика, чтобы жертвы отказывались платить или обращались в правоохранительные органы. При этом операторы программ-вымогателей стараются снизить риск обнаружения до минимума, используя как скрытые каналы коммуникаций, такие как Tor и «Проект “Невидимый Интернет» (I2P), так и технологии обмена криптовалютой, позволяющие утаивать финансовые операции от правоохранительных органов.

Cоздатели эксплойт-наборов и программ-вымогателей делают все возможное, чтобы сделать свои продукты как можно более эффективными и скрытными. В связи с этим специалисты по ИБ просто обязаны реагировать соответствующим образом и предельно внимательно следить за деятельностью киберпреступников. Следует иметь также в виду, что только комплексная защита от угроз, объединяющая в себе возможности целого ряда решений для мониторинга и контроля, учета контекста и аналитической информации об угрозах, в состоянии вовремя обнаруживать современные изощренные, постоянно развивающиеся киберугрозы и успешно противодействовать им.


Ньюсмейкер: Cisco — 3787 публикаций
Поделиться:

Интересно:

Деньги маслом не испортишь
27.12.2024 17:50 Аналитика
Деньги маслом не испортишь
Люди по-разному относятся к деньгам. Для одних это лишь средство к существованию, для других — вопрос личного статуса, для третьих — путь к роскошной жизни. Едва ли не половина мировой литературы посвящена этическим, практическим и символическим аспектам финансового...
Среди крестьян я чувствовала себя настоящим человеком
27.12.2024 12:59 Персоны
Среди крестьян я чувствовала себя настоящим человеком
Невероятная судьба царской сестры Великой княгини Ольги Александровны Романовой (1882–1960). В сказках Золушки становятся принцессами, а в реальной жизни бывает так, что настоящая принцесса становится Золушкой: сама стирает, стряпает обед и копает грядки. Такая метаморфоза произошла с Ольгой...
Самарский купец, промышленник, благотворитель Антон Шихобалов
27.12.2024 10:10 Персоны
Самарский купец, промышленник, благотворитель Антон Шихобалов
Шихобалов Антон Николаевич (1827–1908) – видный самарский благотворитель, купец первой гильдии, коммерции советник, пожертвовал около 1,5 млн руб. Шихобалов происходил из крестьянской семьи, из села Наченалы Ардатовского уезда (сейчас территория Мордовии). Его отец занимался земледелием и...
Как Василий Маргелов с двумя автоматчиками и броневиком город взял
27.12.2024 09:03 Аналитика
Как Василий Маргелов с двумя автоматчиками и броневиком город взял
27 декабря 1908 года в городе Екатеринославе (современный Днепр) родился Василий Филиппович Маргелов – будущий советский военачальник, генерал армии, Герой Советского Союза. В историю он вошел как один из самых результативных командующих Воздушно-десантными войсками, который превратил их в элиту...
«Будь Здоров» оценили проекты студентов ГУУ
27.12.2024 06:29 Мероприятия
«Будь Здоров» оценили проекты студентов ГУУ
В декабре в бизнес-центре Государственного университета управления прошел Демо-день акселерационной программы «Технологии здоровой жизни 2.0», в рамках которого участники представили свои проекты, в числе которых – мобильные устройства для мониторинга здоровья, портативные биоанализаторы и другие...