19 ноября 2013

Вредоносные документы: заражения продолжаются

Новости Угрозы

Отправка в сообщениях электронной почты инфицированных вложений является эффективным и самым популярным способом распространения вредоносных программ и заражения компьютеров.

Вложенные файлы до сих пор опасны

 

Бесчисленное количество компьютеров по всему миру ежедневно заражается, когда пользователи открывают полученные по почте вложенные документы.

Это испытанный прием. Пытается ли злоумышленник добавить в ботнет как можно больше компьютеров, пробует ли достать информацию из корпоративной сети при помощи целенаправленной APT-атаки или же хочет завладеть вашим банковским счетом через троян — во всех случаях вредоносные вложения были и остаются самым востребованным способом атаки в течение многих лет. Пользователи компьютеров хорошо знают о том, что открывать файлы Word, PDF, изображения и прочие типы документов, присланные с незнакомых и подозрительных адресов, которые могут выглядеть совсем безобидно, может быть весьма опасно. Кроме того, вся антивирусная индустрия, а также веб-разработки, почтовые сервисы — все направлено на внедрение новых технологий борьбы с зараженными вложениями. И все это происходит одновременно с тем, что производители программного обеспечения выпускают крайне эффективные патчи, устраняющие многие уязвимости.

И несмотря на это, бесчисленное количество компьютеров по всему миру ежедневно заражается, когда пользователи открывают полученные по почте вложенные документы. Как так получается, что все усилия умнейших людей планеты и вся индустрия высоких технологий оказываются бессильными перед кучкой злоумышленников, которые к тому же не организованы в группы?

В целом причина довольно проста. Нападающие, многие из которых работают либо поодиночке, либо небольшими группами, имеют специально разработанные инструменты, позволяющие эффективно работать. В то же время создатели браузеров, почтовых сервисов и прочие технологические гиганты намного инертнее, как и любая крупная компания со множеством бюрократических барьеров. Но мы не можем винить во всем только бизнес, так как большинство пользователей осознанно отказываются от установки обновлений, а многие открывают вложения в сомнительные письма, хотя и не должны этого делать.

Отдадим должное нападающим — они не так глупы. Они внимательно смотрят за реакцией компаний на свои действия, делают выводы и оперативно изменяют тактику нападений. Они собирают разведданные на людей, которые являются целью их атаки, через социальные сети и прочие ресурсы, где те могут засветиться. Затем шлют им письма, в которых упоминают некоторые факты, повышающие доверие к отправителю.

Моя самоуверенность заставляла меня думать, что злоумышленнику придется сильно потрудиться, чтобы я стал жертвой фишинга. Однако эксперт «Лаборатории Касперского» по вопросам безопасности Курт Баумгартнер вернул меня с небес на землю, объяснив, что любой из нас, вне зависимости от своей продвинутости, может открыть присланный файл, если тот будет от человека, которому мы доверяем. И поэтому необходима защита, основанная на типичном поведении, а не на человеческой интуиции.

Например, последнее обновление безопасности от Microsoft исправило уязвимость Internet Explorer, но не исправило одну из известных уязвимостей нулевого дня в MS Office. Пользуясь этим, злоумышленники могут рассылать вредоносные документы, используя зараженные вложения. Конечно, если нападающий использует инструменты, которые знает ваш антивирус, то вы в безопасности. Но он способен оперативно изменить опознаваемые части кода или инструмент атаки, чтобы нанести свой удар, оставаясь в невидимости для антивирусов.

Не буду слишком хвалить злоумышленников. В конце концов, хорошие парни всегда лучше плохих, хотя и более медленные. Хорошие парни неплохо зарабатывают, имеют социальную защиту, им не нужно опасаться тюрьмы. Поэтому они спокойно изучают работу плохих парней, равно как и плохие парни тоже изучают работу хороших.

Именно так все происходит с разработчиками в «Лаборатории Касперского». Исследователи наблюдали за способами атак, которые злоумышленники использовали в течение многих лет. Для защиты от вредоносного ПО использовался принцип проверки подписи программ и поиска известных сигнатур вредоносных программ. Но сейчас уже стало ясно, что этого недостаточно. Таким образом, была разработана технология автоматического предотвращения эксплойта (AEP), которая сканирует систему на наличие уязвимостей и известного вредоносного поведения. Когда AEP видит, что программа запускает странный код или производит впечатление эксплойта, то запускается механизм защиты. Таким образом, пользователь защищен почти от любой угрозы, в том числе и от вышеупомянутой угрозы нулевого дня.