4 августа 2015

Minidionis: зловредный дождь из облака

Бизнес

Только недавно мы отмечали, что новости о программах-вымогателях напоминают сводки с фронта. То же самое в действительности верно и в отношении APT, и по той же причине – из-за повышенного внимания. На самом деле APT, как правило, регулярно подбрасывают для этого поводы. Последняя обнаруженная вредоносная программа APT под кодовым названием Minidionis (или CloudLook), способна использовать облачные диски для своих целей, что является плохой новостью для компаний, активно использующих легальные облачные сервисы для своих нужд.

Minidionis – это ещё один бэкдор от всё той же APT-группы, ответственной за CozyDuke, MiniDuke и CosmicDuke.

«Анализируя эту вредоносную программу, мы заметили, что злоумышленники реализовали облачную функцию хранения вредоноса и его закачки на зараженные системы. Почти год назад мы выделяли APT-группу под именем CloudAtlas, использовавшую облачные диски для хранения украденной информации. Теперь мы видим подобный метод в CloudLook/Minidionis», — пишет Сергей Ложкин на Securelist.

CloudLook также интересен тем, что использует PDF-файлы (содержащие информацию о мировом терроризме) и даже поддельные файлы голосовой почты (в формате .wav) в качестве вложений в спиэрфишинговых письмах.

Этот APT-вредонос на самом деле используется в очень узконаправленных атаках, по-видимому, ему предшествует обширная разведка в целях обеспечения успеха. Технические подробности доступны на Securelist и Palo Alto Networks.

Если вредоносная нагрузка запущена, начинается вторая стадия: дроппер загружает новый боезаряд с облачного сервиса Microsoft Onedrive.

wide

«Вредоносная программа отображает диск хранения Onecloud как сетевой диск, используя жёстко шифрованные логин и пароль, а затем копирует хранящиеся в облаке бэкдоры в локальную систему», — пишет Ложкин и далее высказывает предположение, что такой подход вскоре может стать мейнстримом. «Это фактически обеспечивает преступникам простой способ сокрытия вредоносного поведения», — утверждает Ложкин, отмечая, что распознавание вредоносного трафика с легальных облачных сервисов – штука забористая. На самом деле это требует блокировки вполне законных сервисов.

Облачные сервисы вошли в привычный обиход несколько лет назад. Вопросы безопасности (и уровня контроля владельцем) данных, хранящихся в облаках, встали почти сразу, как сразу возникли и опасения относительно возможности использования облачных сервисов в дурных целях. Как оказалось, такое вполне осуществимо, и это далеко не первый случай, когда эксперты «Лаборатории Касперского» обнаруживают вредоносные программы, исходящие из арендованных систем хранения.

Несмотря на то, как облачные операторы настаивают на высочайшей защищённости своих ресурсов, они мало что могут поделать со злодеями, имеющими личные аккаунты в Onedrive, Dropbox, iCloud и т.п., когда они загружают в них свои новёхонькие инструменты нападения, запутанные и зашифрованные, для того чтобы потом переправить их на машины жертв.

Предприятия, которые используют облачное хранение, едва ли готовы от него отказаться. Это создаёт небольшую (пока), но реальную возможность того, что облако будет эксплуатироваться для доставки вредоносного ПО, связанного или несвязанного с APT.

Как противостоять? Надо иметь локальное защитное решение, сканирующее весь трафик из облачного хранилища. Требуется также антивредоносное решение, которое позволяет проводить анализ поведения для предотвращения исполнения неизвестных вредоносных программ и эксплойтов, и, конечно, инструменты антифишинга являются непреложной необходимостью. Все эти функции присутствуют в наборах защитных программ для бизнеса «Лаборатории Касперского». Смотрите сами.