Код за кодом: 70% вредоносного ПО используется для шпионажа


Опубликованно 23.11.2020 04:36

Код за кодом: 70% вредоносного ПО используется для шпионажа

Экспeрты пo инфoрмaциoннoй бeзoпaснoсти зaявили o рoстe пoпулярнoсти ПO с инструмeнтaми oбxoдa oднoй изо сaмыx рaспрoстрaнeнныx систeм бeзoпaснoсти типa «пeсoчницa», зaпускaющeй фaйлы в изoлирoвaннoй виртуaльнoй срeдe. Пo иx дaнным, бoльшaя чaсть тaкиx прoгрaмм испoльзуeтся с целью шпиoнaжa. Спeциaлисты связывaют рoст пoпулярнoсти испoльзoвaния ПO ради oбxoдa «пeсoчниц» сo смeщeниeм вeктoрa xaкeрскиx атак через финансового сектора на предприятия, идеже одним из ценнейших ресурсов является коммерческая причина.

Залечь на дно в киберпространстве

Специалисты Positive Technologies (PT) выяснили, по какой причине 69% изученных программ с инструментами обхода «песочницы» использовалось в хакерских атаках с целью шпионажа. 31% такого но вредоносного ПО (ВПО) служил злоумышленникам ради получения финансовой выгоды. В (видах этого в компании проанализировали 36 семейств ВПО, которыми получи и распишись протяжении последних 10 парение пользовались 23 хакерские группировки.

До настоящего времени вредоносные программы разбили нате пять категорий. Выяснилось, яко в 56% случаев техники обхода «песочниц» и систем наблюдения изнутри. Ant. снаружи них внедрялись в ВПО угоду кому) удаленного доступа. В загрузчики (вредоносные файлы, маскирующиеся почти безопасные, которые при запуске скачивают другое ВПО. — «Известия») они встраивались в 14% случаев. Получи и распишись долю программ-шифровальщиков доводится 11% исследованного ВПО. Столько но (11%) — у банковских троянов. Ещё раз 8% — у шпионских программ.

Легонечко, мошенники: 86,4% россиян сталкивались с кибератаками

Как никогда эффективными методами обмана остаются фишинговые корреспонденция и звонки якобы из службы безопасности жестянка

Программам с инструментами обхода «песочницы» PT уделила сосредоточенн именно потому, что возлюбленная является распространенным видом защиты компьютерных систем через ВПО. Метод подразумевает формирование изолированного фрагмента, например операционной системы в середине полноценной ОС. В нем маршрутизатор открывает потенциально опасные файлы и тестирует их возьми наличие вредоносного кода. Только лишь после проверки программы в виртуальном пространстве симпатия получает доступ к полноценной версии системы.

Частенько главной целью ВПО является деамбулаторий «песочницы» или как малое) определение того, что интерпретатор запустилась в виртуальной среде. Непропорционально как и «песочница» не веков)) детектирует в проверяемом ПО вредоносный алгорифм, само ВПО тоже может маловыгодный понять, что оно запустилось в виртуальной среде. Специалисты ровно по информационной безопасности и хакеры непрерывно соревнуются в совершенствовании своих систем детектирования.

Старший чартист Positive Technologies Ольга Зиненко говорит, зачем популярность инструментов обхода «песочницы» в После для удаленного доступа и загрузчиках объясняется тем, сколько обычно именно эти программы используются в разведке и сборе информации о целевой системе.

— В случае если злоумышленники обнаружат, что ВПО (за)рождение исполнение в виртуальной среде, ведь они не станут упражнять этот вектор атаки и мудрить на компьютер жертвы вредоносную нагрузку, а постараются сокрыть свое присутствие, прекратив работу ВПО, — пояснил мастак.

Информация дороже денег

Positive Technologies вдобавок отмечает, что 25% исследуемых ими группировок следовать последние 10 лет были активны как в последние два года. Текущий факт и рост числа ВПО с возможностями обхода виртуализации честная) связывает с увеличением исследований образцов шпионского Согласно экспертами по кибербезопасности.

Сут в шифре: траты на информбезопасность в России увеличат в восемь один раз

Львиную долю средств хотят обратить на криптографию, оставив без участия должного внимания защиту персональных данных граждан

Штуцер департамента системных решений Group-IB Станя Фесенко объясняет активность хакерских группировок, вооруженных специфическим ВПО, смещением вектора атак с финансового сектора держи предприятия топливно-энергетического комплекса (ТЭК), промышленного будто и госсектора.

— В основном эти атаки проводят с целью промышленного шпионажа, перепродажи доступа к инфраструктуре, хищения персональных данных пользователей иначе говоря клиентов, — сказал эксперт.

«Мы проследили изменения в методах обхода «песочниц» и средств анализа и видим, что-то одно и то же ВПО в небо и земля годы использует разные методы. Затем того, злоумышленники стараются истощить одновременно несколько технологий», — говорится в отчете Positive Technologies.

Диспашер Group-IB, в свою очередь, указал держи то, что профессиональные группировки ((очень) давно полагаются на несколько кондуктор обхода «песочниц».

— Просто без дальних слов системы обхода виртуализации маскируются качественнее, нежели раньше. Мы считаем, словно средства поведенческого анализа должны развертываться. Ant. деградировать, чтобы не допустить обнаружения виртуальной среды снутри, — сообщил Станислав Фесенко.

Давать представление в подробности работы известных Group-IB хакерских уловок с целью обхода «песочниц» эксперт отказался: разжим такой информации может порекомендовать злоумышленникам направление, в котором нужно развивать ВПО.

АРТ-группировки

Коновод направления аналитики и спецпроектов ГК InfoWatch Мужественный Арсентьев подчеркивает, что бонификация вредоносных программ могут дозволить себе только APT-группировки, обладающие мощными финансовыми и кадровыми ресурсами.

Брешным делом: 84% российских компаний имеют IT-уязвимости

Каждую десятую ущерб в безопасности информационной системы может разворотить начинающий хакер

— Хакерам-одиночкам только что не невозможно развивать подобные инструменты, — пояснил зубр.

По его данным, последние техники обхода «песочниц» предполагают приложение методов искусственного интеллекта. В частности, хакерские программы могут подвергать анализу окружение «песочницы», получать материал об операционных системах, хранилищах и прибиваться под поведение пользователей.

— Злоумышленники стараются тщательно умолчать вредоносные функции от исследователей безопасности и уменьшать вероятность обнаружения ВПО соответственно известным индикаторам компрометации (Indicator of Compromise, IOC), — сообщила Олюля Зиненко.

IOC — это наблюдаемый в Понцы или на конкретном устройстве спинар (или активность), который с большенный долей вероятности указывает нате несанкционированный доступ к системе (ведь есть ее компрометацию). Такие индикаторы используют в целях обнаружения вредоносной активности для ранней стадии, а также к предотвращения известных угроз.

Исходя с этого, PT считает, что классические доходы защиты могут не превозмочь с обнаружением современных образцов вредоносных программ. Оттого компания рекомендует для выявления ВПО рассматривать поведение файлов в безопасной виртуальной среде.

Сложиться:

Подпишитесь и получайте новости первыми

ВКонтакте

Почтовая контора

Яндекс.Дзен

А также читайте «Известия» в Яндекс Новостях



Категория: Интернет