В начале этого года в заголовках новостей информационной безопасности доминировали два слова: Meltdown и Spectre. Обнаружение двух значительных уязвимостей центральных процессоров было подтверждено производителями чипов и поставщиками операционных систем.


Уязвимости Meltdown и Spectre, позволяющие вредоносным приложениям получать доступ к потенциально конфиденциальным данным из памяти, были обнаружены исследователями работающими в группе Google Project Zero, наряду с другими исследовательскими группами и академическими институтами.

Конечно, напряженность ситуации заключается в том, что злоумышленники уже тестируют образцы вредоносных программ, которые используют эти уязвимости. Без стабильных патчей, организации рискуют оказаться беззащитными, в то время, как потенциальная возможность этих атак просто висит над ними.

Хотя это «главное событие» привлекает всеобщее внимание, остальная часть вредоносных программ не стоит на месте.

Использование Meltdown и Spectre — это лишь один из приоритетов, над которым работают некоторые хакеры. У других есть много дополнительных инициатив, которые могут быть не столь высокопрофильными, но, безусловно, столь же опасными.

Проанализировав данные об атаках за последнее время, можно выделить три направления, которые находятся на подъеме:

Больше атак происходит «без кликов», в обход взаимодействия с пользователем

В течение многих лет конечные пользователи считались «самым слабым звеном» в области ИТ-безопасности. Организации вложили значительные средства в тренинги по повышению осведомленности в области безопасности с целью уменьшения вероятности того, что сотрудники могут случайно щелкнуть вредоносную ссылку или приложение.

Увидев, что пользователи становятся все более осторожными, и что показатели успеха снижаются для старых типов атак, злоумышленники начали выводить конечных пользователей из уравнения, увеличивая количество атак без кликов.

Вспышки WannaCry и NotPetya в прошлом году — два выдающихся примера, обе вредоносные программы полностью отказались от взаимодействия с конечным пользователем в пользу использования общих точек доступа, таких как SMB и RDP-порты Microsoft, которые остались открытыми и уязвимыми. EternalBlue и другие вымогатели использовали эти уязвимости, и стоит ожидать, что эта тенденция сохранится.

Чтобы подготовиться, службы безопасности должны начинать с самых старых рекомендаций по безопасности в отрасли, гарантируя, что они не отстают от патчей, особенно это важно для открытых сервисов. Помимо этого, можно определить и ограничить доступ к открытым портам и внедрить инструменты, которые могут выявлять вредоносную активность как в сети, так и на  хосте.

Злоумышленники все чаще избегают обнаружения, используя технику “living off the land”

Это одна из самых досадных форм атаки: использование ваших собственных инструментов и процессов в качестве оружия. Злоумышленники, использующие технику “living off the land”, все чаще используют программы, которые уже установлены у потенциальных жертв, чтобы избежать обнаружения и активно распространять инфекции.

NotPetya взял на вооружение этот метод, используя PSExec и инструментарий управления Windows (WMI) для распространения. Другие вредоносные программы все чаще захватывают PowerShell, Windows Credentials Editor (WCE), объекты групповой политики (GPO) и другие. Эти инструменты обычно не класифицируются как угрозы, потому что они являются легитимным программным обеспечением, соответственно не будут пойманы сканерами, а также потому что они полезны при управлении большими сетями. В результате, являясь инструментом заражения или распространения, они действуют быстро и остаются в значительной степени не обнаруженными. Это усложняет работу команд ИТ-безопасности, поскольку размывается грань между вредоносным ПО и инструментом администрирования. Специалисты информационной безопасности вынуждены пересмотреть распределение полномочий и разрешений для инструментов, которым они всегда доверяли.

Чтобы снизить риск нападений изнутри, ИТ-команды должны отключать неиспользуемые инструменты и компоненты при развертывании системы защиты конечных точек, которая не зависит только от сканирования файлов или использования белого списка, поскольку их можно легко обойти с помощью захваченных системных инструментов.

Черви «Plug-and-play» находятся на подъеме  

При проведении вирусных атак все больше используются возможности червя для распространения, что делает их значительной угрозой и расширяет их охват за пределами исходной зараженной сети. Компонент червя WannaCry, например, распространил вирус-вымогатель на внешние жертвы, за короткое время собрав около 400 000 зараженных машин в 150 странах. Другие вирусные кампании, такие как Emotet, QakBot и TrickBot, также использовали эти возможности, собирали или взламывали учетные данные для удаленного использования и упрощали распространение вируса через сетевые ресурсы.

Удаление такого рода вредоносных программ может быть чрезвычайно сложным из-за его возможностей сохранения. Они оставляют за собой задние двери и запланированные задачи, при помощи которых переустанавливают сами себя, превращаясь в повторяющийся кошмар безопасности.

Необходимо, чтобы ИТ-команды меняли свой подход, не зацикливаясь на заражении одной конечной точки. Теперь эта единственная машина может быть превращена в заложника вредоносной программы, который будет автоматически распространять вирус, быстро разрушая целые сети — как внутренние, так и внешние. Чтобы снизить риск распространения, ИТ-команды должны вкладывать средства в защиту, которая сможет блокировать инфекцию с самого начала. Ожидание подтверждения того, что система была скомпрометирована, создает вероятность того, что вирус быстро распространится по сети.

Единственным действительно эффективным средством защиты от быстро развивающихся атак является развертывание решений, которые могут распознавать общие шаблоны поведения и элементы вирусов, развиваясь и обучаясь вместе с развитием вредоносных программ. Защита должна автоматически узнавать о новых угрозах и повышать степень защиты в режиме реального времени. Применяя инструменты, использующие машинное обучение, мы сможем оказаться на шаг впереди злоумышленников.