Код за кодом: 70% вредоносного ПО используется для шпионажа

Эксперты по информационной безопасности заявили о росте популярности ПО с инструментами обхода одной из самых распространенных систем безопасности типа «песочница», запускающей файлы в изолированной виртуальной среде. По их данным, большая часть таких программ используется для шпионажа. Специалисты связывают рост популярности использования ПО для обхода «песочниц» со смещением вектора хакерских атак от финансового сектора на предприятия, где одним из ценнейших ресурсов является коммерческая тайна.

Залечь на дно в киберпространстве

Специалисты Positive Technologies (PT) выяснили, что 69% изученных программ с инструментами обхода «песочницы» использовалось в хакерских атаках с целью шпионажа. 31% такого же вредоносного ПО (ВПО) служил злоумышленникам для получения финансовой выгоды. Для этого в компании проанализировали 36 семейств ВПО, которыми на протяжении последних 10 лет пользовались 23 хакерские группировки.

Все вредоносные программы разбили на пять категорий. Выяснилось, что в 56% случаев техники обхода «песочниц» и систем наблюдения внутри них внедрялись в ВПО для удаленного доступа. В загрузчики (вредоносные файлы, маскирующиеся под безопасные, которые при запуске скачивают другое ВПО. — «Известия») они встраивались в 14% случаев. На долю программ-шифровальщиков приходится 11% исследованного ВПО. Столько же (11%) — у банковских троянов. Еще 8% — у шпионских программ.

Программам с инструментами обхода «песочницы» PT уделила внимание именно потому, что она является распространенным видом защиты компьютерных систем от ВПО. Метод подразумевает создание изолированного фрагмента, например операционной системы внутри полноценной ОС. В нем компьютер открывает потенциально опасные файлы и тестирует их на наличие вредоносного кода. Только после проверки программы в виртуальном пространстве она получает доступ к полноценной версии системы.

Зачастую главной целью ВПО является обход «песочницы» или как минимум определение того, что программа запустилась в виртуальной среде. Равно как и «песочница» не всегда детектирует в проверяемом ПО вредоносный алгоритм, само ВПО тоже может не понять, что оно запустилось в виртуальной среде. Специалисты по информационной безопасности и хакеры постоянно соревнуются в совершенствовании своих систем детектирования.

Старший аналитик Positive Technologies Ольга Зиненко говорит, что популярность инструментов обхода «песочницы» в ПО для удаленного доступа и загрузчиках объясняется тем, что обычно именно эти программы используются в разведке и сборе информации о целевой системе.

— Если злоумышленники обнаружат, что ВПО начало исполнение в виртуальной среде, то они не станут развивать этот вектор атаки и загружать на компьютер жертвы вредоносную нагрузку, а постараются скрыть свое присутствие, прекратив работу ВПО, — пояснил эксперт.

Информация дороже денег

Positive Technologies также отмечает, что 25% исследуемых ими группировок за последние 10 лет были активны именно в последние два года. Этот факт и рост числа ВПО с возможностями обхода виртуализации компания связывает с увеличением исследований образцов шпионского ПО экспертами по кибербезопасности.

Руководитель департамента системных решений Group-IB Станислав Фесенко объясняет активность хакерских группировок, вооруженных специфическим ВПО, смещением вектора атак с финансового сектора на предприятия топливно-энергетического комплекса (ТЭК), промышленного типа и госсектора.

— В основном эти атаки проводят с целью промышленного шпионажа, перепродажи доступа к инфраструктуре, хищения персональных данных пользователей или клиентов, — сказал эксперт.

«Мы проследили изменения в методах обхода «песочниц» и средств анализа и видим, что одно и то же ВПО в разные годы использует разные методы. Кроме того, злоумышленники стараются использовать одновременно несколько технологий», — говорится в отчете Positive Technologies.

Эксперт Group-IB, в свою очередь, указал на то, что профессиональные группировки давно полагаются на несколько техник обхода «песочниц».

— Просто сейчас системы обхода виртуализации маскируются качественнее, чем раньше. Мы считаем, что средства поведенческого анализа должны эволюционировать, чтобы не допустить обнаружения виртуальной среды изнутри, — сообщил Станислав Фесенко.

Посвящать в подробности работы известных Group-IB хакерских уловок для обхода «песочниц» эксперт отказался: раскрытие такой информации может подсказать злоумышленникам направление, в котором стоит развивать ВПО.

АРТ-группировки

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев подчеркивает, что улучшение вредоносных программ могут позволить себе только APT-группировки, обладающие мощными финансовыми и кадровыми ресурсами.

— Хакерам-одиночкам практически невозможно развивать подобные инструменты, — пояснил эксперт.

По его данным, последние техники обхода «песочниц» предполагают использование методов искусственного интеллекта. В частности, хакерские программы могут анализировать окружение «песочницы», получать данные об операционных системах, хранилищах и подстраиваться под поведение пользователей.

— Злоумышленники стараются тщательно скрыть вредоносные функции от исследователей безопасности и минимизировать вероятность обнаружения ВПО по известным индикаторам компрометации (Indicator of Compromise, IOC), — сообщила Ольга Зиненко.

IOC — это наблюдаемый в Сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть ее компрометацию). Такие индикаторы используют для обнаружения вредоносной активности на ранней стадии, а также для предотвращения известных угроз.

Исходя из этого, PT считает, что классические средства защиты могут не справиться с обнаружением современных образцов вредоносных программ. Поэтому компания рекомендует для выявления ВПО анализировать поведение файлов в безопасной виртуальной среде.

Роман Кильдюшкин

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch, Positive Technologies, Group-IB