Где скрывается вредоносное ПО: три истории

531 прочитал  •  3,5 мин.

F6

размещено на Промо​​​​​​​Страницах

Чтобы похитить данные или уничтожить ИТ-инфраструктуру, злоумышленникам сначала нужно в нее проникнуть — незаметно открыть двери компании для вредоносного ПО. Как это происходит и когда нужно быть начеку — рассмотрим на трех примерах. А также расскажем о решении, которое не пропустит вредоносное ПО в инфраструктуру.

История 1. Архивная

Злоумышленники часто используют архивы для упаковки вредоносных элементов. Зашифрованный архив с файлом-приманкой позволяет им обойти детектирование традиционными средствами защиты.

Как может начаться такая история: на корпоративную почту приходит письмо с договором в архиве, пароль указан в сообщении.

Пример письма с зашифрованным архивом

Когда получатель введет пароль и откроет архив, он видит документ-приманку. В то же время в фоновом режиме запускается вредоносный исполнительный файл — это может стать началом кибератаки.

Как не стать жертвой такой атаки? Использовать песочницу для защиты почты, которая способна «разобрать» такую файловую «матрешку». Продвинутая sandbox использует пароль из письма и проанализирует содержимое архива. В том числе вредоносный исполнительный файл, который запускается в фоновом режиме, пока жертва смотрит документ-приманку.‬

Анализ зашифрованного архива с вредоносным кодом

История 2. Шаблон документа на сайте-приманке

Сотрудники часто ищут нормативные документы в интернете. Этой «лазейкой» пользуются злоумышленники.

Как это происходит: сотрудник ищет очередной шаблон документа в интернете и скачивает его с первого сайта в поисковой выдаче.

Пример сайта-приманки

Но он попадает на сайт-приманку: за кнопкой «Скачать документ» скрывается ВПО, которое способно надолго остановить работу в компании и привести к финансовым и репутационным потерям.

Как не стать жертвой? Если в инфраструктуре есть песочница для защиты от скачиваемых вредоносных объектов, которая умеет интегрироваться с прокси по протоколу ICAP, то атака будет остановлена на первом этапе.

Как sandbox может остановить атаку

История 3. Ссылка-инструкция в письме

Вредоносное ПО может скрываться и в ссылках внутри писем. Хитрый прием злоумышленников: добавить в письмо ссылку на страницу, где есть кнопка «Скачать». Стандартные средства защиты проверяют только прямые ссылки, которые система воспринимает как ссылки на скачивание.

Пример истории: на рабочую почту сотрудника пришло письмо с пугающим посылом и ссылкой: необходимо срочно установить сертификаты Минцифры, иначе будут проблемы с доступом на сайт Госуслуг и в онлайн-банкинг.

Письмо выглядит официально, адрес отправителя не вызывает подозрений.

Письмо от якобы Минцифры России. Злоумышленники использовали технику спуфинга — подделали почту отправителя так, чтобы она выглядела как легитимный адрес

Сотруднику не нужны проблемы с доступом, поэтому он нажимает «Скачать». После этого загружается исполнительный файл, кажется, что ничего не происходит. Но на устройстве уже обосновался стилер — шпионское ПО собирает чувствительные данные с компьютера жертвы.

Схема типовой атаки на инфраструктуру, вектор атаки — почта

Все может закончиться хищением данных или уничтожением ИТ-инфраструктуры, что приведет к репутационным и финансовым потерям. Киберпреступники могут продать доступ к инфраструктуре другой группировке, а она зашифрует инфраструктуру и потребует выкуп.

Как не стать жертвой: использовать песочницу, которая умеет проверять ссылки и обнаруживать по ним вредоносное ПО.

Где еще скрывается ВПО: сетевой трафик

Точкой начала кибератаки может стать:

• корпоративный файлообменник — злоумышленники могут загрузить на него ВПО для развития атаки шифровальщика;
• мессенджер — в нем сотруднику может прийти опасный файл, замаскированный под договор;
• корпоративная система документооборота, куда злоумышленник может загрузить ВПО.

Как отфильтровать вредоносное ПО до того, как оно попадет в инфраструктуру компании?

Для этого используются решения класса Sandbox. Песочница проверяет потенциально опасные файлы и ссылки в изолированной виртуальной среде. Как в детской песочнице дети строят и разрушают песочные замки без последствий, так и в sandbox-решении можно запускать файлы без последствий для инфраструктуры.

Пример такого решения: F6 Malware Detonation Platform. Оно помогает анализировать, как файлы и программы ведут себя в условиях, максимально приближенных к рабочей среде.

Какие параметры учитывает Malware Detonation Platform для имитации реальной инфраструктуры

Решение позволяет анализировать потенциально опасные ссылки и файлы с разными расширениями (более 300 форматов) из корпоративной почты, сетевого трафика, рабочих станций. Обнаруживает ВПО под Windows, Linux, а также под Android. Проверять файлы можно автоматически или в ручном режиме.

Malware Detonation Platform позволяет не просто убедиться во вредоносности объекта, но и изучить поведение ВПО с помощью графа процессов. Граф позволяет посмотреть, какие артефакты оставляет ВПО после себя. А также увидеть индикаторы об атаках и сетевые соединения, которые устанавливает ВПО, чтобы использовать эту информацию для Threat Hunting (проактивного поиска угроз).

Граф процессов строится в MDP автоматически во время проверки

Не ждите, пока пара кликов по файлу или ссылке приведут к кибератаке и убыткам — защитите ИТ-инфраструктуру с помощью sandbox-решения.

Листая дальше, вы перейдёте на f6.ru