зловреды
Логика подсказывает, что самый надежный способ предотвратить киберинцидент — не допустить проникновения зловредов в инфраструктуру компании. Поэтому при разработке ИБ-стратегии специалисты часто фокусируются на защите от самых очевидных векторов атаки, вкладываясь в первую очередь в безопасность почты. Большинство атак действительно начинаются с письма от злоумышленников, однако не стоит забывать, что в арсенале киберпреступников есть множество других методов доставки вредоносного ПО. Эксперты из команды Kaspersky Global Research and Analysis Team рассказали об альтернативных методах заражения и распространения зловредов, причем эти способы встретились им при анализе достаточно свежих угроз.
Тайпсквоттинг для подмены инструмента
Создатели зловреда, получившего название AdvancedIPSpyware, решили внедрить свой код в инструмент для системных администраторов Advanced IP Scanner. Они создали два сайта, названия доменов которых отличались от легитимного на одну букву, а дизайн скопировали с официальной страницы ПО. То есть действовали они в расчете на то, что жертва при поиске инструмента для контроля локальных сетей не поймет, какой сайт настоящий, и скопирует программу с закладкой. Интересно, что вредоносный вариант Advanced IP Scanner был подписан легальным цифровым сертификатом, который, по всей видимости, был украден.
Ссылка под роликом на Youtube
Операторы атаки OnionPoison пытались провернуть что-то похожее — они создали собственный вредоносный вариант браузера Tor (хорошо, что хоть на этот раз хоть без цифровой подписи). Но распространять свой поддельный браузер они решили через ссылку под видео с инструкциями по установке Tor, на популярном канале об анонимности в Сети. Зараженная версия не умела обновляться и содержала бэкдор, через который зловред получал дополнительную библиотеку. Та, в свою очередь, помогала злоумышленникам выполнять произвольные команды в системе, отправляла историю браузера операторам атаки, а также пересылала им идентификаторы учетных записей WeChat и QQ.
Зловред через торренты
Создатели CLoader маскировали установщики своего вредоносного ПО под пиратские игры и полезные программы. В целом этот метод скорее нацелен на домашних пользователей, однако сейчас, с удаленной работой, де-факто ставшей нормой, и, как следствие, с размытием понятия «корпоративный периметр», зловредные торренты могут нести угрозу и рабочим компьютерам. Жертва, попытавшаяся установить на свой компьютер скачанное с торрентов пиратское ПО, вместо этого получала зловреды, способные работать на зараженной машине как прокси-сервер, устанавливать дополнительное вредоносное ПО или обеспечивать удаленный доступ посторонних к системе.
Горизонтальное распространение с помощью легитимных инструментов
Новые версии шифровальщика BlackBasta получили возможность распространяться по локальной сети, используя несколько технологий Microsoft. Заразив один компьютер, он может подключиться к Active Directory при помощи библиотеки LDAP, добыть список компьютеров в локальной сети, скопировать на них зловред и удаленно запустить его, используя модель компонентных объектов (Component Object Model, COM). Такой метод оставляет меньше следов в системе и усложняет выявление.
Как оставаться в безопасности
Все эти примеры показывают, что корпоративная инфраструктура нуждается во всесторонней защите. Да, решение, сканирующее всю входящую почту на предмет фишинга, вредоносных ссылок и вложений, скорее всего, защитит от большей части атак. Однако не стоит забывать, что любой компьютер, имеющий выход в Интернет, следует оснастить и собственной защитой от зловредов. А для того чтобы лучше понимать, что происходит в вашей корпоративной сети, вероятно, нелишне использовать и решения класса EDR.
Советы