Fortinet Global Threat Landscape Report: кибер-злоумышленники повышают ставку на тактики обхода и противодействие анализу с целью избежания обнаружения
7, август 2019
Фил Квэйд (Phil Quade), директор по информационной безопасности в Fortinet: « Постоянно расширяющееся разнообразие и изощренность методов атак, которые используют сегодня злоумышленники, напоминают нам о том, что киберпреступники всегда стараются использовать скорость и улучшающиеся возможности подключения в своих интересах. Поэтому при организации защиты важно следовать тем же принципам и постоянно расставлять приоритеты в этих важных аспектах кибербезопасности – таким образом организация сможет эффективнее управлять киберугрозами и минимизировать киберриски. Но чтобы работа по этим ключевым аспектам безопасности приносила свои плоды, организациям важно использовать в отношении каждого элемента своей инфраструктуры безопасности комплексный платформенный подход, который включает в себя сегментацию и интеграцию, действенный анализ угроз и автоматизацию в сочетании с машинным обучением ». Рост ставок на тактики обхода Многие современные вредоносные инструменты уже включают в себя функции для обхода антивирусов или уклонения от других инструментов для обнаружения угроз, при этом, стараясь избежать обнаружения, злоумышленники становятся все более изощренными в своих методах запутывания и противодействия анализу. Например, недавняя спам - кампания показывает, как злоумышленники используют и модернизируют эти методы противодействия защите. Кампания включает в себя создание фишинговых писем с вложениями, которые по сути являются зараженными Excel документами с вредоносным макросом. Этот макрос способен отключать инструменты безопасности и выполнять произвольные команды, вызывая проблемы с памятью, при этом макрос работает только на компьютерах японских пользователей. Кроме того, одним из свойств, которые в частности использует этот макрос, является незадокументированное свойство xlDate. Другой пример включает в себя вариант банковского троянcкого вируса Dridex, который изменяет имена и хэши файлов при каждом входе жертвы в систему, что затрудняет обнаружение вредоносного ПО на зараженных хост-системах. Растущая популярность методов противодействия анализу и все новые тактики обхода служат напоминанием о необходимости многоуровневого подхода к защите и об актуальности средств обнаружения, основанных на анализе поведения. Противодействие сканированию на больших расстояниях Вредоносная программа Zegost, созданная для хищения данных, стала ключевым элементом целенаправленной фишинговоой кампании с применением не совсем обычных методов. Как и у других программ, похищающих данные пользователей, основная цель Zegost заключается в сборе информации об устройстве жертвы и доставке этой информации злоумышленнику. При этом в отличие от других подобных программ, Zegost сконфигурирован таким образом, чтобы оставаться незамеченным. Например, Zegost использует функции для очистки журналов событий. Такие возможности доо сих пор не наблюдались в обычных вредоносных программах. Еще одной любопытной особенностью в Zegost стали его способности обхода защиты, и, в частности, команда, позволяющая этой вредоносной программе оставаться в состоянии покоя до 14 февраля 2014 года, после чего запускался основной вредоносный код. Злоумышленники, создавшие Zegost, используют весь арсенал эксплойтов, чтобы устанавливать и поддерживать соединение с системами жертв, что делает эту угрозу намного более долгосрочной по сравнению с другими угрозами, представленными сегодня. Программы-вымогатели все активнее используются для более таргетированных атак Атаки, нацеленные сразу на несколько городов, на местные органы власти и образовательные учреждения служат напоминанием о том, что программы-вымогатели никуда не уходят и по-прежнему продолжают представлять серьезную угрозу для многих организаций. Атаки с использованием программ-вымогателей продолжают меняться и теперь уже не носят тот массовый, приспособленческий характер, но все чаще нацелены на конкретные организации, которые по, мнению злоумышленников, в состоянии заплатить выкуп, или для которых выкуп станет более удобным и эффективным решением проблемы. В некоторых случаях киберпреступники провели значительную работу по зондированию почвы, и только затем начали разворачивать свои программы-вымогатели на тщательно отобранных системах, чтобы максимально использовать возможности. Например, программа-вымогатель RobbinHood предназначена для атаки на сетевую инфраструктуру организации и способна отключать сервисы Windows, предотвращающие шифрование данных, а также отключать сетевые ресурсы. Еще одна более свежая программа-вымогатель под названием Sodinokibi способна стать новой угрозой для организаций. Функционально она не очень отличается от большинства инструментов вымогателей. Основная ее изюминка заключается в векторе атаки, который использует более новую уязвимость, которая допускает выполнение произвольного кода и не требует какого-либо взаимодействия с пользователем, как другие вымогатели, доставляемые вместе с фишинговой электронной почтой. Независимо от вектора атаки, программы-вымогатели по-прежнему представляют серьезную угрозу для организаций, выступая напоминанием о необходимости установки обновлений безопасности и повышения осведомленности пользователей. Кроме того, уязвимости протокола удаленного рабочего стола (RDP), такие как BlueKeep , являются предупреждением о том, что службы удаленного доступа могут открывать новые возможности для киберпреступников и могут также использоваться в качестве вектора атаки для распространения программ-вымогателей. Новые возможности на цифровой поверхности атаки Между домашними принтерами и критически важной инфраструктурой сегодня также появляется растущая линейка систем управления для дома и малого бизнеса. Эти интеллектуальные системы привлекают сравнительно меньше внимания со стороны злоумышленников, чем их промышленные аналоги, но и это может измениться с учетом возросшей хакерской активности, наблюдаемой в отношении таких устройств, как системы управления окружающей средой, камеры видеонаблюдения и системы безопасности. Было обнаружено, что уязвимость, связанная с решениями для управления зданием, сработала в 1% организаций, что может показаться незначительным, но этот показатель выше, чем обычно для продуктов ICS или SCADA. Киберпреступники ищут новые возможности для захвата управления устройствами контроля в домах и на предприятиях. Иногда эти типы устройств не являются такими приоритетными, как другие, или выходят за рамки традиционного управления ИТ. Безопасность интеллектуальных жилых систем и систем малого бизнеса заслуживает повышенного внимания, особенно потому, что доступ злоумышленника к таким системам может иметь серьезные последствия для безопасности. Это особенно актуально для удаленных рабочих сред, где важен безопасный доступ. Как защитить вашу организацию: глобальная интегрированная и автоматизированная архитектура безопасности Динамический, упреждающий и осуществляемый в режиме реального времени анализ угроз позволяет выявлять тенденции, в частности, меняющийся характер методов атак, ориентированных на поверхность цифровой структуры а также позволяет расставлять приоритеты в отношении кибергигиены. Ценность анализа угроз и способность принимать меры на основании этих данных значительно снижаются, если их нельзя реализовать в режиме реального времени на каждом устройстве безопасности. Только комплексный, интегрированный и автоматизированный подход к безопасности может обеспечить защиту всего сетевого окружения, от IoT до периферии, ядра сети и мультиоблачной инфраструктуры, с сохранением высокой скорости и масштабности. Подробнее об исследовани и индексе В квартальном отчете о глобальном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs , с помощью обширной сети датчиков во 2- м квартале 2019 года. Сбор данных осуществлялся в глобальном и региональном масштабах. В отчет также включен индекс угроз Fortinet Threat Landscape Index (TLI), состоящий из индивидуальных индексов для трех основных и дополнительных аспектов кибер-безопасности – эксплойтов, вредоносного кода и бот-сетей, которые позволяют судить об их распространенности и объеме в текущем квартале. Дополнительные материалы
Подробнее о Fortinet Компания Fortinet (NASDAQ: FTNT) обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. Продукты нашей компании легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Инновационная архитектура экосистемы Fortinet Security Fabric позволяет обеспечить безопасность без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1-е место по количеству проданных средств безопасности и обеспечивает защиту более 415 000 клиентов по всему миру. Подробнее см. на сайте https://www.fortinet.com/ru , в блогах Fortinet Blog или FortiGuard Labs . |
|