Угрозы 2018, часть 1

Конец марта 2018-го ознаменовался подведением итогов 2017 года. Вендоры, связанные с антивирусной безопасностью (а защиту от шифровальщиков внедрили у себя многие продукты, ранее не занимавшиеся этой деятельностью), отчитались о росте интереса злоумышленников к майнерам и падению их интереса к шифровальщикам. Были озвучены суммы потерь для экономик страны и мира.

Действительно ушедший год существенно изменил картину мира. Увеличились одни ИТ-риски, уменьшились другие, добавилось задач у системных администраторов и специалис­тов в области ИБ. Но обо всем по порядку.

Начнем с шифровальщиков

Исследователи отдельно отмечают резкое распространение программного обеспечения для майнинга криптовалют на­ряду со столь же заметным сокращением инцидентов, связанных с вирусами шифровальщиками.

Согласно отчетам совершенно неожиданно и вопреки прогнозам трояны шифровальщики резко потеряли свою популярность среди злоумышленников. Количество но­востей о появлении новых разновидностей резко упало и стало исчисляться буквально единицами. Означает ли это, что угроза угла и можно вздохнуть свободно? Увы. Заглянем в статистику (см. рис. 1).

Это всего один день кстати, для интереса можно посмот­реть, сколько записей в антивирусные базы было добавле­но ровно год назад (см. рис. 2).

Существенное падение популярности!

При этом на скриншоте только шифровальщики под ОС Windows. А еще есть Mac, Linux и Android. Вирусописатели не забывают о них, хотя конечно число шифровальщиков под эти ОС существенно меньше.

Как же так получается, что популярность падает, а ко­личество вредоносных программ растет? Очень просто -и это еще одна тенденция.

Созданную вредоносную программу нет смысла выпускать в мир, если ее обнаруживают средства защиты. Это логично. И несколько нет назад стали появляться сер­висы проверки вредоносных программ на обнаружение их антивирусами. В отличии от VirusTotal такие сервисы естественно не сотрудничали (по крайней мере официально) с вендорами — не передавали им загруженные вредоносные программы. Следующим шагом стала автоматизация обнаружения участков кода, на которые реагирует защита. Ну а там стало недалеко и до полной автоматизации разработки.

Сервис мониторит несколько антивирусных продуктов, а когда он замечает, что вариант вредоноса детектируется, он повторно шифрует файл, создавая новый вариант зловреда, который уже избежит детектирования.

Полная победа над защитой? И да и нет. Подобные сер­висы проверяют наличие знаний о вредоносных програм­мах в антивирусных базах. Это достаточно простая про­верка, не требующая запуска вредоносной программы.

Современный антивирус это не только антивирусные базы, но еще и превентивная защита, антиспам (да-да, очень многие вредоносные программы не доходят до потенци­альных жертв именно потому, что письма блокируются как спам), фильтрация доступа к мошенническим сайтам и многое другое, Для тестирования вредоносных программ на необнаружение данными модулями требуется куда больше усилий. Но как ни парадоксально — это не особо и нужно.

Дело в том. что существенную долю антивирусного рынка занимают бесплатные и free решения — не имеющие таких модулей. «Все эти навороты совершено не нужны и про­двигаются вендорами для увеличения цены». И значит при­митивного тестирования вполне достаточно для атак поль­зователей, отказавшихся по сути от антивирусной защиты вообще — при наличии у них установленного антивируса.

С другой стороны почивать на лаврах пользователям, установившим более продвинутые версии защиты не сто­ит, Прошлый год принес запуск сразу нескольких сервисов анализа запущенных приложений. Предназначены они ис­ключительно для анализа приложений, выявления их сиг­натур и прочего. Но лиха беда начало — можно ожидать, что подобные сервисы скоро будут применяться и в целях автоматизации тестирования вредоносных программ — ин­струкции по их созданию уже доступны на популярных ре­сурсах.

И здесь мы возвращаемся к фразе «при наличии у них установленного антивируса» Очень страшную статисти­ку опубликовала компания Microsoft в Microsoft Security Intelligence Report Volume 22 (см. рис. 3).

Желтый цвет — установленный и выключенный анти­вирус. зеленый — установленный, но не обновляемый.

То есть огромное количество пользователей устанавливает антивирус — и отключает его. А зачем? Если антивирус уста­новлен, то защищать он обязан. Думаете шутка?

В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски С:, D: и Е:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\ System32, то есть, по сути, полностью отключена антивирус­ная проверка дисков модулем SpDIer Guard.

Это реальный анализ реальной ситуации по претензии о неработе антивируса, И это не единичное подобное об­ращение.

И вполне возможно, что уменьшение доли синего в стати­стике Microsoft — не рост количества пользователей, устано­вивших антивирус в Windows 8/10, результат незнания поль­зователя факта того, что по умолчанию у них уже работает сервис антивирусной защиты, встроенный в операционную систему.

Что еще можно сказать? Продолжается игнорирование специалистами по информационной безопасности простей­ших норм, в том числе установка обновлений, создание ре­зервных копий. О трояне WannaCryB прошлом году не писал только ленивый. О необходимости установки соответствую­щего обновления прожужжали все уши. И что?

Представители Boeing заявили об обнаружении сле­дов кибератаки в своих системах, предположительно, в них замешан печально известный вредонос-вымогатель WannaCry.

По опросам участников конференций создают резерв­ные копии порядка 10 процентов компании, а процедуры на случай вредоносного заражений отработаны буквально у единиц — при том. что число компаний, сталкивавшихся с атаками вредоносных программ в несколько раз выше.

 

Продолжение в следующей статье…