Разнообразие защитных инструментов во многом обусловлено не только количеством «точек входа» в разные ИС, но и количеством разного рода вредоносных программ, каждая из которых может решать конкретную задачу или сразу несколько.

Вредоносное программное обеспечение (ВПО) или вредоносные программы – это собирательное название всех утилит и программ, которые используются для вредоносного воздействия на инфраструктуру или отдельное устройство.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

Ранее в учебниках говорилось о трех основных вредоносах. Было принято делить такое ПО на вирусы, черви и троянские программы. Сейчас вредоносны стали намного разнообразней, появились такие программы, как руткиты, бэкдор, загрузчики. У каждой из этих программ есть свои особенности. Например, руткит позволяет хакеру закрепиться во взломанной системе и скрыть как следы своей деятельности, так и следы самого присутствия руткита в системе.

Сейчас ВПО – это большой ассортимент программных продуктов, которые поставляются самыми разными способами, от бесплатного бесконтрольного распространения через форумы до продаж по сервисной модели или разработки в формате «только для своих».

В этой статье будут разобраны основные виды ВПО, специфика применения отдельных программ, их происхождение и способы распространения как в сети, так и внутри инфраструктуры отдельной компании.

Виды вредоносных программ

Александр Новиков

Руководитель службы исследований, кибераналитики и развития Группы Т1

В настоящий момент ВПО практически любого класса можно найти в свободном доступе. Это могут быть как OpenSource-проекты, так и "слитые" версии Malware, использовавшиеся в реальных атаках. Основное отличие от непубличных экземпляров, используемых профессиональными атакующими, заключается в реализации вредоносного функционала и обходе детектирования защитными решениями и антивирусами.

Также активно развивается рынок продажи и аренды различного ВПО на теневых форумах, что понижает порог вхождения для, так называемых, Script kiddie (неопытных и малоквалифицированных хакеров, обладающих низкими техническими знаниями). Среди них распространено использование криптомайнеров и стилеров, похищающих платежную информацию и данные авторизации различных сервисов.

Высококвалифицированные хакеры, относящиеся к профессиональным киберпреступным финансово мотивированным группировкам, в настоящее время активно используют шифровальщики. APT-группировки зачастую имеют в качестве основной цели проведение долгосрочного шпионажа, что приводит к разработке и применению сложного кастомного шпионского ПО и бэкдоров, а также руткитов для поддержания скрытного нахождения в инфраструктуре жертв.

В актуальных условиях, категоризация вредоносного ПО – довольно сложный процесс, поскольку современные вредоносы часто сочетают в себе признаки сразу нескольких видов. Наиболее простую градацию можно провести, исходя из цели использования тех или иных программ:

1. Шпионаж. Это группа программ, которая используется для сбора данных и их последующей передачи злоумышленнику. Например, часто используются клавиатурные шпионы (кейлоггеры), которые позволяют узнать данные аутентификации конкретных пользователей.
2. Нарушение функционирования (бизнес-процессов). Нарушение может быть как необратимым, если цели деструктивны (например, вайпер Azov), так обратимым, что дает возможность злоумышленнику требовать выкуп за дешифровку данных.
3. Управление или использование ресурса устройства. Цель вредоносных программ такого рода – получить доступ к мощностям ПК (или другого устройства) для последующего использования. Например, ботнеты используются для майнинга или организации DDoS-атак.
4. «Транзит». К этой группе можно отнести все программные средства, которые помогают злоумышленнику скрывать свое присутствие в системе и добираться до целевых данных (чаще всего – путем повышения привилегий). Наиболее распространенные примеры такого ПО – это руткиты и буткиты.

Помимо этого, стоит выделить отдельную большую категорию программ, задача которых – это распространение реклама. Прямого вредоносного воздействия они не несут, поэтому их принято относить к категории потенциально нежелательных (ПНП).

Антон Кузнецов

Ведущий инженер информационной безопасности в компании R-Vision

ВПО удобно делить на следующие основные типы:

• Downloader – вредоносное ПО для загрузки дополнительных компонентов со сторонних интернет- ресурсов);
• Backdor – вредоносный код для открытия удаленного доступа злоумышленникам на компьютер;
• Launcher – зловред для запуска дополнительного вредоносного кода;
• Stealer – вредоносное ПО для сбора информации жертв и передачи на удаленный сервер;
• RootKit – вредонос, скрывающий свое присутствие в системе;
• BootKit – аналогичен RootKit, только загружается до запуска основной операционной системы и способен контролировать все средства защиты, включая Антивирусное средство;
• Вирусы и Черви – вредоносные программы, способные самостоятельно распространять свои копии с одного устройства на другое через сеть;
• Ботнет – ВПО, нацеленное на заражение как можно большего количества пользователей для последующих DDoS атак и распространения другого ПО, например ransomware.

В нынешних реалиях поделить вредоносное ПО на перечисленные выше группы задача непростая, так как один образец может совмещать в себе код сразу нескольких групп. Например, вредонос Emotet подпадает сразу под: бэкдор, stealer, RootKit. А всем известный тип Ransomware as a Service (шифровальщик) - может содержать код присущий группе червей, энкодеров, бэкдоров и stealer’ов. Таким образом, делить вредоносное ПО на группы не столь важно, сколько важно понимать какой функционал в этом ПО заложен. 

Важно также сказать о самом рынке ВПО. В современных реалиях – это уже далеко не просто набор узкоспециализированных площадок «только для своих», сейчас купить или найти ту или иную вредоносную программу может любой человек, а ориентированность ряда «производителей» на категорию с невысокими техническими знаниями позволяет «запустить» шифровальщик или другой вредонос даже начинающему хакеру, который едва освоил азы.

Александр Моисеев

Ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»)

Если говорить про сегмент enterprise, то распространенность в последнее время можно отметить следующим образом:

1. Шифровальщики.
2. Банковские трояны.
3. Инструментарий удаленного администрирования.
4. Загрузчики.
5. Инфостиллеры.

Обусловлено это прежде всего тем, что сегмент Enterprise чувствителен к нарушению операционной надежности и непрерывности, и здесь шифровальщикам нет равных – они достаточно быстро могут парализовать бизнес и технологические процессы в организации. А ведь зачастую простой в 2-3 дня обходится намного больше, чем та сумма, которую можно было бы потратить на создание эшелонированной системы защиты информации, и средств, требуемых злоумышленниками за выкуп.

Второй момент связан с тем, что организации охотней идут на оплату выкупа, если конфиденциальные данные перед шифрованием еще и скопировать на ресурсы злоумышленников, т.к. репутационные потери, штрафы и стоимость ноу-хау могут быть еще больше стоимости потерь от прямого простоя на время восстановления ИТ-инфраструктуры после атаки.

Банковские трояны, а также ВПО для кражи и подмены данных криптовалютных кошельков популярны, т.к. обеспечивают быструю монетизацию за счет прямых несанкционированных финансовых операций с активами жертвы.

Следующие три позиции используются для комбинированных кибератак и компаний (таргетированных атак), и могут использоваться с широким инструментарием и техниками, а также протекать в течение длительного периода времени до достижения целей или до обнаружения их в инфраструктуре.

ВПО для атаки на бизнес и государство

В этом году в заголовках СМИ чаще всего мелькали DDoS-атаки на российские компании и сервисы. Для них, как правило, использовались разного рода ботнеты и стрессеры, которые позволяют аккумулировать и огромную нагрузку на целевые сервисы.

Однако, DDoS часто используется как один из элементов атаки, цель которой – не « положить» ресурс, а проникнуть в инфраструктуру и осуществить вредоносное воздействие. Например, похитить или зашифровать данные, разместить политическое заявление (т.н. дефейс).

Если говорить конкретно о бизнес-среде и деятельности компаний, то их чаще всего атакуют с тремя целями:

• шифрование;
• кража данных;
• шпионаж.

Так или иначе, все эти процессы нацелены либо на получение выкупа с самой компании, либо на монетизацию полученных данных на теневых форумах. Отдельно стоит выделить корпоративный (и государственный) шпионаж. Как правило, в таких случаях в компании или учреждении присутствует инсайдер, который и становится точкой входа для злоумышленников. Однако, есть прецеденты и с использованием ВПО, например, деятельность китайской группировки TA428 в начале этого года.

Анастасия Винчевская

Руководитель платформы кибербезопасности TheWall

К самому распространенному ВПО относятся шифровальщики и вайперы. Они проникают в локальную сеть предприятий и мгновенно шифруют или удаляют любые конфиденциальные данные, такие как базы данных, резервные копии. Данные шифруются с целью шантажа. Расшифровать их практически невозможно, так как неэтичные хакеры точно знают свою цель, они хорошо готовятся и практически всегда свое вредоносное ПО пишут с нуля. Именно поэтому, очень важно устанавливать защитное ПО, а лучше многоуровневые системы безопасности, которые детектируют и предотвращают WEB-атаки.

Любое оборудование, станок, камера имеющая доступ в интернет может являться дырой в безопасности предприятия или даже дома, квартиры. Люди с большим удовольствием устанавливают IoT-вещи у себя в квартирах, но никто не задумывается, кто кроме них может подключаться к камерам, холодильникам и прочей технике. Любая локальная сеть должна быть защищена, и не важно, из скольких приборов она состоит.

Однако, каким бы не была цель использования вредоноса и сколь бы эксклюзивным он не был, программа будет бесполезна, если не получится доставить ее в целевую систему. Для этого используются самые разные техники и методы.

Как распространяются вредоносные программы

Для «доставки» вредоноса в целевую инфраструктуру или на конкретное устройство используются разные методы. Часть из них можно отнести к программному уровню. Например, методы, связанные с эксплуатацией уязвимостей. В частности, многие APT-группировки «любят» использовать 0-day уязвимости для получения доступа к целевой системе. Однако, наиболее распространенные сценарии связаны с использованием методов социальной инженерии.

Чаще всего злоумышленники используют следующие точки входа:

• электронная почта;
• всплывающие окна;
• браузерные расширения;
• уязвимости инфраструктуры;
• физические носители;
• бэкдоры (преднамеренные и непреднамеренные);
• комбинации точек.

Если говорить о решениях для обеспечения минимального уровня защиты, которые «минимально требовательны» к бюджету компании и сравнительно легко интегрируются, то к ним можно отнести антивирусы, песочницы (Sandbox) и межсетевые экраны. Использование других инструментов в каждом конкретном случае зависит от целого ряда факторов, от требований регуляторов, до модели рисков и приоритизации уязвимостей конкретной организации.

Итоги

Мир вредоносного программного обеспечения обширен и разнообразен. Появление новых технологий и их популяризация неизбежно влечет за собой появление адаптированных средств взлома и эксплуатации. С большой долей вероятности можно прогнозировать популяризацию ВПО, нацеленного на взлом IoT-устройств, а в долгосрочной перспективе – вредоносов, влияющих на искусственный интеллект.

В то же время, атаки с использованием ВПО становятся все более массовыми, ввиду снижения «порога вхождения» для взаимодействия с такого рода программами. Хакеру уже не нужно знать, как устроен условный руткит или кейлоггер, достаточно просто нажать несколько кнопок для запуска.

Вирусы, вайперы, черви и другие вредоносные программы, будут встречаться все чаще, «поднимая» киберриски по уровню актуальности на самый верх для самых разных компаний. 

Источник: Cyber Media