Пять «зловредов» которые изменят индустрию безопасности

Киберпреступность — это профессия, которая не сводится только к созданию вредоносного кода. Все больше и больше случаев, когда безопасное программное обеспечение изменяется так, что его можно использовать для организации атак или распространения вирусов.

Всемирно известная исследовательская компания Gartner прогнозирует, что в 2020 году до 30% международных компаний станут жертвами прямой атаки преступных груп или независимых киберпреступников. Вредоносное программное обеспечение и разного рода инструменты очень часто распостраняються как безопасное ПО. Более того, несмотря на огромные затраты на защиту — как говорят в Gartnera, компании потратили в 2014 г. 71 млрд долларов на безопасность, и в тоже время компании потеряли в этот период в результате действий кибер-преступников до 400 млрд долларов.

Сегодняшние безопасность основанная на предположении, что мы способны различать, что хорошо, а что плохо (например, контент-фильтры). Такой подход недостаточен, если угрозы меняются очень быстро и в состоянии победить новейшие технологии безопасности. Поэтому стоит рассмотреть несколько инновационных рисков, которые могут иметь большое влияние на отрасль ИТ-безопасности.

Regin

Это программное обеспечение используется, по крайней мере с 2008 года. чтобы шпионить за правительствами, инфраструктурами операторов, научно-исследовательскими учреждениями, а также отдельными пользователями. В отличие от других сложных угроз, Regin не был разработан для быстрого получения прибыли. Это зловред проводит атаку в пяти стадиях, используя полное шифрование передаваемого кода и модульную конструкцию. Кроме того, тот факт, что он в использовании с 2008 года, говорит за то, что стоит взглянуть на него поближе.

Возможность расширения базового кода (ядра) дополнительного модуля (payload),делает с Regin целую платформу, используемую для продолжительного сбора данных и постоянного мониторинга пользователей. Это первый случай вредоносного кода, который служил одновременно для шпионажа и за корпорациями и за государственными учреждениями. Несмотря на его сложность, Regin заражает компьютеры в достаточно распространенный способ, используя уязвимости в веб-браузерах и поддельные сайты (фишинг).

QWERTY

В январе 2015 года исследователи обнаружили вредоносный код, который получил название QWERTY. Это плагин для Regina предназначенный для записи нажатия клавиш на клавиатуре (keylogger). Обнаружение этого плагина имело большое значение для отрасли безопасности, но несмотря на это, Regin продолжает заражать компьютеры. Модуль QWERTY сохраняется внутри зашифрованного и сжатого файловой системы Virtual File System. Иначе говоря, файлы этого плагина не сохраняются непосредственно на компьютере пользователя. Этот вредитель успешно ускользает от антивирусов, которые используют базы сигнатур для обнаружения инфекции или запускают подозрительный код в изолированной среде. Поскольку мы используем Интернет все больше и больше,вредоносное ПО передающиеся через интернет-сайты будут случаться все чаще и чаще. Количество вариаций вредоносного кода растет так быстро, что разработчики приложений для обеспечения безопасности не успевают за созданием новых баз данных.

SoakSoak

В декабре 2014 более 100 тысяч сайтов, сделанных на WordPress были заражены вредителем SoakSoak, который превратил эти сайты в платформу для атак. Это пример использования уязвимой услуги в качестве вектора для дальнейшей атаки. При более чем 70 миллионах веб-сайтов, использующих WordPress, авторы этого вредителя имели потенциально очень большую базу для использования. В то время Google распознает эту угрозу только в 10% зараженных сайтов. Без ведома владельцев, сайты были использованы для дальнейшего распространения вредоносного кода.

Skeleton Key

Компьютерные угрозы становятся все более и более сложные и умные. Одновременно очень часто случается простое хищение данных. В январе 2015 года был обнаружено вредоносное ПО под названием Skeleton Key, которые ориентировано на контроллеры домена Active Directory. Инфекция начинается с администраторов AD (как правило, через сайты). Данная вредоносная программа изменяет работу контроллера домена, благодаря чему может маскировать свое присутствие и получить доступ к данным или сообщениям электронной почты. Вредоносная программа не создает необычное трафика в сети, во избежание обнаружения, механизмами реагирования на аномалии в сети. Проблемы с ее разоблачением есть и у систем защити, которые действуют на основе сигнатуры угроз и запускают подозрительный код в виртуальной среде. Перед индустрией безопасности становится вопрос, как избавиться от такого рода вредоносного кода.

Google AdSense (malvertising)

Каждый день в Интернете появляется 100 тысяч новых сайтов. Преступники начали в январе 2015 года использовать Google AdSense для распространения вредоносной рекламы, одностраничный сайт мог содержать до восьми различных сценариев от внешних компаний и относился к ресурсам распределенным по 250 доменах. Google не проверяет (даже не может этого делать) контент, доступный через эту платформу, распознается только 1 из 1600 сайтов как зараженный.

ОСТАВЬТЕ ОТВЕТ