24 ноября, 2020 
AdminGWP 
Экспeрты пo инфoрмaциoннoй бeзoпaснoсти зaявили o рoстe пoпулярнoсти ПO с инструмeнтaми oбxoдa oднoй с сaмыx рaспрoстрaнeнныx систeм бeзoпaснoсти типa «пeсoчницa», зaпускaющeй фaйлы в изoлирoвaннoй виртуaльнoй срeдe. Пo иx дaнным, бoльшaя чaсть тaкиx прoгрaмм испoльзуeтся ради шпиoнaжa. Спeциaлисты связывaют рoст пoпулярнoсти испoльзoвaния ПO интересах oбxoдa «пeсoчниц» сo смeщeниeм вeктoрa xaкeрскиx aтaк oт финaнсoвoгo сeктoрa нa прeдприятия, гдe oдним с цeннeйшиx рeсурсoв являeтся кoммeрчeскaя тaйнa.
Зaлeчь нa днo в кибeрпрoстрaнствe
Спeциaлисты Positive Technologies (PT) выяснили, чтo 69% изученных программ с инструментами обхода «песочницы» использовалось в хакерских атаках с целью шпионажа. 31% такого а вредоносного ПО (ВПО) служил злоумышленникам интересах получения финансовой выгоды. Исполнение) этого в компании проанализировали 36 семейств ВПО, которыми бери протяжении последних 10 парение пользовались 23 хакерские группировки.
Тутти вредоносные программы разбили держи пять категорий. Выяснилось, как в 56% случаев техники обхода «песочниц» и систем наблюдения в середине них внедрялись в ВПО исполнение) удаленного доступа. В загрузчики (вредоносные файлы, маскирующиеся подина безопасные, которые при запуске скачивают другое ВПО. — «Известия») они встраивались в 14% случаев. Держи долю программ-шифровальщиков случается 11% исследованного ВПО. Столько а (11%) — у банковских троянов. Вторично 8% — у шпионских программ.
Политично, мошенники: 86,4% россиян сталкивались с кибератаками
В наибольшей степени эффективными методами обмана остаются фишинговые корреспонденция и звонки якобы из службы безопасности бикс
Программам с инструментами обхода «песочницы» PT уделила (налегать именно потому, что возлюбленная является распространенным видом защиты компьютерных систем через ВПО. Метод подразумевает составление изолированного фрагмента, например операционной системы в середке полноценной ОС. В нем маршрутизатор открывает потенциально опасные файлы и тестирует их для наличие вредоносного кода. Лишь после проверки программы в виртуальном пространстве возлюбленная получает доступ к полноценной версии системы.
Нередко главной целью ВПО является огибание «песочницы» или как на плохой конец определение того, что обозреватель запустилась в виртуальной среде. Так же как и «песочница» не вечно детектирует в проверяемом ПО вредоносный алгорифм, само ВПО тоже может приставки не- понять, что оно запустилось в виртуальной среде. Специалисты за информационной безопасности и хакеры неумолчно соревнуются в совершенствовании своих систем детектирования.
Старший чартист Positive Technologies Ольга Зиненко говорит, будто популярность инструментов обхода «песочницы» в До для удаленного доступа и загрузчиках объясняется тем, сколько обычно именно эти программы используются в разведке и сборе информации о целевой системе.
— Если нет злоумышленники обнаружат, что ВПО происхождение исполнение в виртуальной среде, ведь они не станут вырабатывать этот вектор атаки и заваливать на компьютер жертвы вредоносную нагрузку, а постараются замолчать свое присутствие, прекратив работу ВПО, — пояснил диспашер.
Информация дороже денег
Positive Technologies вот и все отмечает, что 25% исследуемых ими группировок по (по грибы) последние 10 лет были активны в частности в последние два года. Данный факт и рост числа ВПО с возможностями обхода виртуализации шаражка связывает с увеличением исследований образцов шпионского В соответствии с экспертами по кибербезопасности.
Акт в шифре: траты на информбезопасность в России увеличат в восемь как-то раз
Львиную долю средств хотят отрядить на криптографию, оставив минус должного внимания защиту персональных данных граждан
Предводитель департамента системных решений Group-IB Ивано-Франковск Фесенко объясняет активность хакерских группировок, вооруженных специфическим ВПО, смещением вектора атак с финансового сектора для предприятия топливно-энергетического комплекса (ТЭК), промышленного как и госсектора.
— В основном эти атаки проводят с целью промышленного шпионажа, перепродажи доступа к инфраструктуре, хищения персональных данных пользователей другими словами клиентов, — сказал эксперт.
«Мы проследили изменения в методах обхода «песочниц» и средств анализа и видим, почему одно и то же ВПО в различные годы использует разные методы. В счёт того, злоумышленники стараются пользоваться одновременно несколько технологий», — говорится в отчете Positive Technologies.
Сюрвейтор Group-IB, в свою очередь, указал нате то, что профессиональные группировки ((очень) давно полагаются на несколько кондуктор обхода «песочниц».
— Просто безотлагательно системы обхода виртуализации маскируются качественнее, нежели раньше. Мы считаем, какими судьбами средства поведенческого анализа должны развиваться, чтобы не допустить обнаружения виртуальной среды внутри, — сообщил Станислав Фесенко.
Рукополагать в подробности работы известных Group-IB хакерских уловок угоду кому) обхода «песочниц» эксперт отказался: находка такой информации может натолкнуть злоумышленникам направление, в котором есть смысл развивать ВПО.
АРТ-группировки
Глава направления аналитики и спецпроектов ГК InfoWatch Андрюха Арсентьев подчеркивает, что прогресс вредоносных программ могут дать разрешение себе только APT-группировки, обладающие мощными финансовыми и кадровыми ресурсами.
Брешным делом: 84% российских компаний имеют IT-уязвимости
Каждую десятую разрыв в безопасности информационной системы может вскрыть начинающий хакер
— Хакерам-одиночкам без малого невозможно развивать подобные инструменты, — пояснил зубр.
По его данным, последние техники обхода «песочниц» предполагают утилизация методов искусственного интеллекта. В частности, хакерские программы могут рассчитывать окружение «песочницы», получать причина об операционных системах, хранилищах и примазываться под поведение пользователей.
— Злоумышленники стараются тщательно замаскировать вредоносные функции от исследователей безопасности и уменьшать вероятность обнаружения ВПО ровно по известным индикаторам компрометации (Indicator of Compromise, IOC), — сообщила Олёна Зиненко.
IOC — это наблюдаемый в Тенёта или на конкретном устройстве мира (или активность), который с изрядный долей вероятности указывает получи и распишись несанкционированный доступ к системе (так есть ее компрометацию). Такие индикаторы используют с целью обнаружения вредоносной активности получи ранней стадии, а также во (избежание предотвращения известных угроз.
Исходя с этого, PT считает, что классические суммы защиты могут не сладить с обнаружением современных образцов вредоносных программ. Почему компания рекомендует для выявления ВПО разбирать по косточкам поведение файлов в безопасной виртуальной среде.
Доверить:
Подпишитесь и получайте новости первыми
ВКонтакте
Почтовое отделение
Яндекс.Дзен
А также читайте «Известия» в Яндекс Новостях
Опубликовано в рубрике