Код за кодом: 70% вредоносного ПО используется для шпионажа

Залечь на дно в киберпространстве

Специалисты Positive Technologies (PT) выяснили, что 69% изученных программ с инструментами обхода «песочницы» использовалось в хакерских атаках с целью шпионажа. 31% такого же вредоносного ПО (ВПО) служил злоумышленникам для получения финансовой выгоды. Для этого в компании проанализировали 36 семейств ВПО, которыми на протяжении последних 10 лет пользовались 23 хакерские группировки.

Все вредоносные программы разбили на пять категорий. Выяснилось, что в 56% случаев техники обхода «песочниц» и систем наблюдения внутри них внедрялись в ВПО для удаленного доступа. В загрузчики (вредоносные файлы, маскирующиеся под безопасные, которые при запуске скачивают другое ВПО. — «Известия») они встраивались в 14% случаев. На долю программ-шифровальщиков приходится 11% исследованного ВПО. Столько же (11%) — у банковских троянов. Еще 8% — у шпионских программ.

Программам с инструментами обхода «песочницы» PT уделила внимание именно потому, что она является распространенным видом защиты компьютерных систем от ВПО. Метод подразумевает создание изолированного фрагмента, например операционной системы внутри полноценной ОС. В нем компьютер открывает потенциально опасные файлы и тестирует их на наличие вредоносного кода. Только после проверки программы в виртуальном пространстве она получает доступ к полноценной версии системы.

Зачастую главной целью ВПО является обход «песочницы» или как минимум определение того, что программа запустилась в виртуальной среде. Равно как и «песочница» не всегда детектирует в проверяемом ПО вредоносный алгоритм, само ВПО тоже может не понять, что оно запустилось в виртуальной среде. Специалисты по информационной безопасности и хакеры постоянно соревнуются в совершенствовании своих систем детектирования.

Старший аналитик Positive Technologies Ольга Зиненко говорит, что популярность инструментов обхода «песочницы» в ПО для удаленного доступа и загрузчиках объясняется тем, что обычно именно эти программы используются в разведке и сборе информации о целевой системе.

— Если злоумышленники обнаружат, что ВПО начало исполнение в виртуальной среде, то они не станут развивать этот вектор атаки и загружать на компьютер жертвы вредоносную нагрузку, а постараются скрыть свое присутствие, прекратив работу ВПО, — пояснил эксперт.

Информация дороже денег

Positive Technologies также отмечает, что 25% исследуемых ими группировок за последние 10 лет были активны именно в последние два года. Этот факт и рост числа ВПО с возможностями обхода виртуализации компания связывает с увеличением исследований образцов шпионского ПО экспертами по кибербезопасности.

Руководитель департамента системных решений Group-IB Станислав Фесенко объясняет активность хакерских группировок, вооруженных специфическим ВПО, смещением вектора атак с финансового сектора на предприятия топливно-энергетического комплекса (ТЭК), промышленного типа и госсектора.

— В основном эти атаки проводят с целью промышленного шпионажа, перепродажи доступа к инфраструктуре, хищения персональных данных пользователей или клиентов, — сказал эксперт.

«Мы проследили изменения в методах обхода «песочниц» и средств анализа и видим, что одно и то же ВПО в разные годы использует разные методы. Кроме того, злоумышленники стараются использовать одновременно несколько технологий», — говорится в отчете Positive Technologies.

Эксперт Group-IB, в свою очередь, указал на то, что профессиональные группировки давно полагаются на несколько техник обхода «песочниц».

— Просто сейчас системы обхода виртуализации маскируются качественнее, чем раньше. Мы считаем, что средства поведенческого анализа должны эволюционировать, чтобы не допустить обнаружения виртуальной среды изнутри, — сообщил Станислав Фесенко.

Посвящать в подробности работы известных Group-IB хакерских уловок для обхода «песочниц» эксперт отказался: раскрытие такой информации может подсказать злоумышленникам направление, в котором стоит развивать ВПО.

АРТ-группировки

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев подчеркивает, что улучшение вредоносных программ могут позволить себе только APT-группировки, обладающие мощными финансовыми и кадровыми ресурсами.

— Хакерам-одиночкам практически невозможно развивать подобные инструменты, — пояснил эксперт.

По его данным, последние техники обхода «песочниц» предполагают использование методов искусственного интеллекта. В частности, хакерские программы могут анализировать окружение «песочницы», получать данные об операционных системах, хранилищах и подстраиваться под поведение пользователей.

— Злоумышленники стараются тщательно скрыть вредоносные функции от исследователей безопасности и минимизировать вероятность обнаружения ВПО по известным индикаторам компрометации (Indicator of Compromise, IOC), — сообщила Ольга Зиненко.

IOC — это наблюдаемый в Сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть ее компрометацию). Такие индикаторы используют для обнаружения вредоносной активности на ранней стадии, а также для предотвращения известных угроз.

Исходя из этого, PT считает, что классические средства защиты могут не справиться с обнаружением современных образцов вредоносных программ. Поэтому компания рекомендует для выявления ВПО анализировать поведение файлов в безопасной виртуальной среде.

Роман Кильдюшкин