В 1918 году на ипподроме в Нью-Йорке фокусник Гарри Гудини продемонстрировал изумленной публике исчезновение слона. А в 1904 году английский иллюзионист и изобретатель Невил Маскелайн фактически стал первым в мире хакером, сорвав Гульельмо Маркони демонстрацию беспроводных технологий и подтвердив тем самым опрометчивость заявлений Маркони о разработанной им «безопасной и конфиденциальной связи».
Но какое отношение все эти знаменитые иллюзионисты имеют к положению дел в области кибер-угроз столетие спустя? Дело в том, что киберпреступникам нравится внезапно исчезать. Современные методы иллюзий состоят из запутывания и уверток, а злоумышленники в стремлении уклониться от служб безопасности и правоохранительных органов меняют тактику с пугающей частотой. Их цифровые следы, подобно слону Гудини, весьма эфемерны.
Хорошая стратегия кибербезопасности должна совершать противоположный трюк — делать киберугрозы видимыми и предотвращать исчезновение критически важных сетевых ресурсов. Знание особенностей последних угроз помогает защититься от них. Именно этому и посвящен отчет «Threat Landscape Report», опубликованный компанией Fortinet в?I квартале 2018 года.
Криптоджекинг. В нашем последнем отчете уже упоминались атаки криптоджекинга (или криптомайнинга). При атаках такого типа вредоносная программа использует компьютер жертвы для майнинга криптовалюты. С тех пор ситуация еще более усугубилась. Уровень распространения вредоносных программ криптомайнинга по сравнению с предыдущим кварталом вырос более чем в два раза — с 13 до 28%. Вредоносные программы такого рода активно развиваются, что затрудняет их обнаружение и нейтрализацию.
Вредоносные программы криптомайнинга отличаются необыкновенным разно-образием для столь молодого вида угроз. Киберпреступники создают невидимые бесфайловые вредоносные программы, встраивающие свой код в браузеры. Обнаружить его весьма затруднительно. Майнеры нацеливаются на разные операционные системы и разные криптовалюты, в том числе на биткойн и монеро. Методы тонкой настройки вредоносных программ, их доставки и распространения заимствуются у других атак и учитывают прошлые успехи и неудачи, что позволяет улучшить статистические показатели.
Коротко говоря, преступники идут за деньгами и активно используют новые возможности для достижения своих целей. Они четко поняли, что системы захвата компьютеров для добычи криптовалют являются весьма прибыльным предприятием, поэтому можно ожидать продолжения инвестиций в эту бизнес-модель и появления здесь инновационных решений.
Ботнеты. Если тенденции развития эксплойтов и вредоносных программ обычно отражают ситуацию с безопасностью перед заражением, то ботнеты позволяют взглянуть на нее уже после заражения. Будучи инфицированной, система зачас-тую связывается с вредоносными хостами, а обнаружение соответствующего трафика в корпоративной среде свидетельствует о том, что что-то идет не так. Набор данных такого рода представляет ценность с точки зрения «работы над ошибками».
Мы обнаружили, что 58% инфицированных узлов ботнета сохраняют активность в течение всего одного дня и лишь у 5% время активности превышает неделю. Длительность заражения, определяемая как число последовательных дней, в течение которых регистрируются сеансы связи, говорит о том, что кибергигиена не должна ограничиваться только установкой обновлений. Необходимо заниматься и чисткой систем. У 42% организаций зараженный код не вычищается из системы на протяжении 1–9 дней, а у 6% он остается в ней больше недели.
Сегодня все знают, что время от времени заражения неизбежны. Им подвержены даже самые укрепленные сети. Но обнаружение и быстрая ликвидация этих заражений с устранением угроз (и предотвращение повторных заражений) являются признаком успешности программ кибербезопасности.
Ушедшее, но незабытое. Ботнет Andromeda, известный также как Win32/Gamarue, представляет собой модульный HTTP-ботнет, успешно заражающий компьютеры с момента своего появления в 2011 году. Andromeda продолжает появляться на наших радарах несмотря на масштабную операцию по его нейтрализации, проведенную правоохранительными органами в?IV квартале прошлого года. По своему объему и уровню распространения в?I квартале 2018 года он оставался в тройке ведущих ботнетов. На первый взгляд, это говорит о том, что операция по ликвидации Andromeda была не слишком успешной. Однако дальнейший анализ указывает на слабую гигиену в области безопасности.
Мы изучили организации, все еще зараженные ботнетом Andromeda, который в «дикой природе» больше не существует, и постарались определить, страдают ли они и от других угроз. Оказалось, что так оно и есть. Компании, подвергшиеся в?I квартале заражению Andromeda, имели в своей среде в три раза больше активных ботнет-узлов по сравнению с другими организациями. Вполне вероятно, что системы, зараженные Andromeda, могут использоваться в качес-тве посредника при плохой гигиене безопасности и/или медленной реакции на возникающие инциденты.
Деструктивные и проектируемые атаки. Воздействие деструктивных программ остается достаточно высоким, особенно когда преступники используют их в своих проектируемых атаках. Перед проведением таких целенаправленных атак прес-тупники проводят тщательную разведку организации, что способствует повышению вероятности успеха. Проникнув в сеть, атакующие осторожно перемещаются по ее периферии и только затем приступают к наиболее разрушительной части запланированной атаки. Примерами таких проектируемых атак с деструктивной нагрузкой, обеспечивающей максимально разрушительное воздействие, являются вредоносная программа Olympic Destroyer и появившийся позднее вымогатель SamSam.
Объединение проектных заданий с деструктивными тенденциями приводит к созданию вредоносных программ, появление которых не может не беспокоить. Ключевой задачей ныне считаются обнаружение и оперативная реакция. Но с учетом того, что на передний план вновь выходят черви и деструктивные вредоносные программы, настало время задуматься об усилении защиты.
Держите руку на пульсе. Стремясь повысить вероятность достижения успеха, кибепреступники продолжают развивать свои методы совершения атак, начиная от криптоджекинга и заканчивая ботнетами и вредоносными программами. Но помните, что предупрежден — значит вооружен. Если Гудини учил нас не верить тому, что видим, то факты, приведенные в этом отчете, свидетельствуют о том, что чем больше мы сможем увидеть, тем проще будет защититься.Они говорят о том, что нельзя успокаиваться на достигнутом и забывать про основы, в частности про кибергигиену.И в нынешней динамично меняющейся среде группы ИТ-безопасности имеют гораздо больше шансов защититься от новейших киберсхем, когда знают, что нужно искать.
Андрей Терехов, системный инженер Fortinet