06.08.2015 15:03
Новости.
Просмотров всего: 6075; сегодня: 1.

Эксплойт-наборы и программы-вымогатели становятся все коварнее

Блог Крэйга Уильямса (Craig Williams), главного технолога подразделения Talos (входит в состав компании Cisco, занимается изучением угроз для информационной безопасности).

Современные киберпреступники уже не взламывают сети из простого любопытства. Теперь они преследуют, прежде всего, корыстные цели. Опубликованный недавно полугодовой отчет компании Cisco по информационной безопасности содержит уйму свидетельств того, как киберпреступники постоянно совершенствуют и делают все изощреннее свой инструментарий для кражи и последующей перепродажи ценной коммерческой и персональной информации. Фактически злоумышленники получают финансовое вознаграждение за свои злодеяния, причем пользователи еще и вынуждены зачастую платить «выкуп» за свои же собственные данные.

Эксплойт-набор Angler благодаря своей эффективности и технической продвинутости продолжает оставаться лидером рынка вредоносного ПО. Как отмечается в упомянутом отчете Cisco по информационной безопасности, злоумышленники особенно ценят Angler за то, что он использует уязвимости сразу нескольких технологий: Flash, Java, Internet Explorer и Silverlight. Высокая эффективность Angler объясняется еще и тем, что он в состоянии осуществлять многовекторные атаки. Как показали исследования Cisco, пользователи, столкнувшиеся с Angler, подвергаются заражению в 40% случаев (для других распространенных эксплойт-наборов этот показатель составляет лишь 20%).

При помощи нескольких новаторских методов Angler успешно обманывает пользователей и при этом зачастую избегает обнаружения. В отчете Cisco приводится мнение исследователей о том, что создатели Angler применяют методы научного анализа данных для автоматической генерации целевых интернет-страниц, которые в итоге получаются настолько естественными, что не вызывают подозрения у эвристических сканеров. Вдобавок недавно для уклонения от обнаружения Angler начал применять технологию теневых доменов. (Этот метод дает возможность установить контроль над учетной записью владельца благонадежного доменного имени и создать в пределах этого домена тысячи вредоносных субдоменов). Технология теневых доменов отнюдь не нова, но, как отмечают специалисты Cisco, с 2014 года она стала применяться намного чаще. По мнению специалистов Cisco, более 75% выявленной активности таких теневых субдоменов, используемых создателями эксплойт-наборов, может быть связано с Angler.

Когда Angler внедряет зашифрованное вредоносное ПО (например, программу Bedep), идентифицировать это ПО, как правило, можно лишь с помощью ретроспективных методов анализа. При этом на обнаружение такой угрозы (Time to Detection, TTD) уходит несколько дней. Стандартное же время обнаружения угрозы в отрасли ИБ ныне составляет от 100 до 200 суток. Очевидно, что это чересчур большой отрезок времени, особенно, если учесть, насколько стремительно злоумышленники внедряют новые технологии.

Но есть и хорошие новости: заметно сократилось время, необходимое для обнаружения ранее неизвестных вредоносных кодов средствами Cisco. В декабре 2014 года среднее время обнаружения такой угрозы системой Cisco AMP (Advanced Malware Protection) составляло менее двух суток. В период с января по март текущего года среднее время обнаружения колебалось между 44 и 46 часами, а в апреле оно несколько увеличилось — до 49 часов. К концу мая время обнаружения угрозы средствами Cisco снизилось приблизительно до 41 часа. Приведенная ниже диаграмма показывает, какое количество файлов, изначально определенных Cisco как «неизвестные», в конечном итоге было идентифицировано в качестве «вредоносных». Данные взяты из практического исследования эксплойт-набора Angler.

Программы-вымогатели, внедряемые Angler и другими эксплойт-наборами, тоже стремительно развиваются, чтобы упростить злоумышленникам способы извлечения прибыли из своих киберпреступлений. Как правило, для этого используется так называемая «криптовалюта» — например, биткойны. Каждый доллар, уплаченный в качестве «выкупа», пополняет фонды злоумышленников. При этом, как показывает упомянутый отчет Cisco, кое-кто из наиболее успешных операторов программ-вымогателей занимаются, судя по всему, еще и профессиональной разработкой технологий, способствующих дальнейшему развитию вредоносного ПО.

Цена, устанавливаемая за выкуп данных, более-менее доступна для жертв вымогательства: обычно она составляет две-три сотни долларов (точная сумма зависит от курса обмена биткойна). Судя по всему, злоумышленники провели исследование этого рынка и определили адекватную цену, обеспечивающую оптимальные результаты: плата не столь велика, чтобы жертвы отказывались платить или обращались в правоохранительные органы. При этом операторы программ-вымогателей стараются снизить риск обнаружения до минимума, используя как скрытые каналы коммуникаций, такие как Tor и «Проект “Невидимый Интернет» (I2P), так и технологии обмена криптовалютой, позволяющие утаивать финансовые операции от правоохранительных органов.

Cоздатели эксплойт-наборов и программ-вымогателей делают все возможное, чтобы сделать свои продукты как можно более эффективными и скрытными. В связи с этим специалисты по ИБ просто обязаны реагировать соответствующим образом и предельно внимательно следить за деятельностью киберпреступников. Следует иметь также в виду, что только комплексная защита от угроз, объединяющая в себе возможности целого ряда решений для мониторинга и контроля, учета контекста и аналитической информации об угрозах, в состоянии вовремя обнаруживать современные изощренные, постоянно развивающиеся киберугрозы и успешно противодействовать им.


Ньюсмейкер: Cisco — 3787 публикаций
Поделиться:

Интересно:

Рыцари на Руси
04.12.2024 12:03 Аналитика
Рыцари на Руси
Тема может вызвать недоумение: разве были рыцари на Руси? В поисках ответа нужно рассмотреть два аспекта вопроса: что означает термин «рыцарь» и есть ли сходство в основных характеристиках рыцарей Западной Европы и древнерусских воинов. О термине «рыцарь» Как появилось слово «рыцарь»? Одна из...
В кинопарке «Москино» пройдет реконструкция битвы за Москву
04.12.2024 09:46 Мероприятия
В кинопарке «Москино» пройдет реконструкция битвы за Москву
В рамках проекта «Зима в Москве» в кинопарке «Москино» представят масштабную историческую реконструкцию, посвященную битве за Москву. 7 и 8 декабря гости смогут увидеть сражение за поселок (ныне — микрорайон) Красная Поляна и бой за село Белый Раст. А еще посетят курсы саперов...
Крупнейшие города Российской империи
03.12.2024 16:34 Аналитика
Крупнейшие города Российской империи
Развитие страны определяется её экономическими и политическими показателями, привлекательность – достопримечательностями и природными красотами, а величие – её городами. Во времена Российской империи, просуществовавшей почти два века – с 1721 по 1917 годы – могущество страны быстро росло, а к концу...
Всего 6% женщин доверяют рекомендациям врача при выборе косметики
03.12.2024 14:39 Аналитика
Всего 6% женщин доверяют рекомендациям врача при выборе косметики
Траты россиянок на уходовую и декоративную косметику за последние два года заметно выросли — рост среднего чека отмечают 65% женщин. Такие данные приводятся в исследовании Инго Экосистемы от «Ингосстраха». У 41% респонденток за последние два года расходы выросли в среднем на 10-20%, у 17%...
День Неизвестного Солдата сегодня отмечают в России
03.12.2024 09:03 Новости
День Неизвестного Солдата сегодня отмечают в России
3 декабря 2024 года вся Россия склоняет головы в память о героях, чьи имена остались неизвестными. В этот день страна отмечает День Неизвестного Солдата — дату, которая является символом беспримерного подвига советских и российских воинов, отдавших жизнь за свободу и...