Защита от вредоносных программ: основы и методы защиты

Защита данных

Вредоносное ПО — всего лишь фрагмент кода, который пытается скрыться в системе и выполнить заранее определенный набор действий, чтобы получить доступ к конфиденциальным данным или вызвать нарушение работы зараженного компьютера.

Защита от вредоносных программ направлена на предотвращение атак вредоносных программ. Этим термином часто злоупотребляют, когда хотят продать конечным пользователям какую-либо систему обеспечения безопасности, не вдаваясь в подробности. На корпоративном уровне вредоносные программы угрожают текущему состоянию вашей безопасности: они направленно выполняют действия, противоречащие политике безопасности, и тем самым нарушают целостность ваших конфиденциальных документов или информации.

В настоящее время, когда личные и коммерческие системы тесно связаны (вы можете принести на работу свой компьютер или работать из домa), нередко случается, что вредоносные программы попадают с личных устройств в корпоративную сеть. Для максимальной безопасности вашей компании крайне важно иметь четкое представление о том, как выглядит вредоносное ПО и какие типы защиты от него вы можете внедрить в свою систему безопасности для улучшения защиты физических и цифровых активов.

Это может быть простое фишинговое письмо с ботом для сбора биткойнов или более сложное вредоносное ПО, как например, троян, устанавливающий прямой бэкдор в инфраструктуру вашего предприятия. Вам крайне важно знать, какие средства контроля необходимо использовать для точного обнаружения и быстрого регулирования каждой ситуации.

Чтобы узнать подробную информацию об основах работы вредоносного ПО, пройдите наш бесплатный вводный курс по вирусам-вымогателям, который проводит Трой Хант.

Как работает вредоносное ПО?

Вредоносные программы используют несколько методов, чтобы полностью скрыть свои действия от оператора. Чаще всего вредоносное ПО скрывает вредоносный код от антивируса во избежание обнаружения. В основном для этого используется обфускация.

Обфускация

Обфускация заключается в переименовании вредоносного ПО на то же имя, что и у надежного антивирусного ПО. Вот как всё происходит:

  1. Вредоносное ПО передается на устройство конечного пользователя путем фишинга
  2. Вирус устанавливается как легитимное ПО
  3. Исходный код открывает маршрут через локальный брандмауэр компьютера
  4. Это позволяет скрыть весь трафик от локального антивирусного ПО через аналогичный порт зараженного вирусом файла

Всё это происходит в течение нескольких секунд после того, как конечный пользователь перешел по ссылке в фишинговом письме.

Скрытые функции, или вредоносное ПО, которое не является вредоносным

Кроме того, существует вредоносное ПО, которое на самом деле таковым не является. Это легитимное приложение, которое ведет себя как вредоносное. Например, легитимный файл, обнаруженный в ноутбуках HP — Mictray64.exe или “бесфайловое вредоносное ПО“, благодаря которому злоумышленники живут за ваш счет и используют приложения на вашем компьютере для атаки.

Драйвер MicTray64.exe был разработан с единственной целью — собирать данные о нажатии клавиш и отправлять их обратно в HP для устранения неполадок (если это разрешено). Большинство организаций не пользуются локальной отладкой HP для надежного устранения неполадок, поэтому при установке эта функция по умолчанию отключена.

К сожалению, компании чаще всего не знают, была ли эта функция включена. Хакеры могут включить MicTray64.exe, поменять место устранения неполадок на то, к которому у них есть доступ, чтобы таким образом фиксировать все нажатия клавиш.

Это отличный пример того, как оригинальный файл может быть использован против пользователя, а также в обход локального антивирусного ПО.

Этапы типичной атаки вредоносного ПО

Вредоносные программы действуют циклически, хакеры просто меняют отдельные векторы в своей технологии, чтобы приспособить вредоносное ПО к определенной конечной цели, которая обычно связана с получением финансовой выгоды. Данный цикл выглядит следующим образом:

  1. Инфицирование

Так или иначе вредоносному ПО необходимо найти способ проникнуть в систему или сеть. Для этого существует несколько различных методов. Наиболее распространенные — путем фишинга, через USB-устройства и API-соединения.

  1. Реализация полезной нагрузки

Основа любого вредоносного ПО — способность успешно выполнять поставленную задачу без обнаружения или предотвращения атаки.

  1. Извлечение данных

И последний этап: вредоносному ПО необходимо найти возможность завершить свою миссию либо путем отправки данных, либо путем предоставления злоумышленнику возможности монетизировать ситуацию (вирус-вымогатель).

Методы и тактика работы с каждым типом вредоносного ПО различаются, но конечная цель и последовательность действий остаются неизменными.

Типы вредоносного ПО

Теперь, когда мы понимаем общую цель вредоносных программ, рассмотрим некоторые из их конкретных типов, чтобы лучше понять механизмы управления, необходимые для их обнаружения и предотвращения. Каждый из следующих типов вредоносного ПО потребует отдельных операций для их полной идентификации и успешного устранения в течение допустимого периода времени.

Вирус

С течением времени назначение вирусов кардинально изменилось. Раньше вирусы в основном создавались только для того, чтобы сеять панику и беспорядок. Сейчас преступники стали создавать специальные вирусы для целенаправленных атак.

По определению, вирус — это фрагмент кода, который после запуска распространяется на другие программы на компьютере. Основная причина такого распространения — избежать безвозвратного удаления вируса. Даже если вы удалите исходный файл, он всё еще может находиться в другом месте на компьютере и таким образом, продолжать выполнять свою единственную миссию.

Программы-вымогатели

Вирус-вымогатель — один из наиболее известных типов вредоносных программ. Массовые заражения им широко освещаются в средствах массовой информации. Этот тип вредоносного ПО шифрует файлы на компьютере или в системе хранения, а затем оставляет инструкции для получения расшифрованных данных (за определенную плату).

Вирусы-вымогатели — один из основных типов вредоносных программ, от которых страдают компании, так как обычно они наносят серьезный ущерб корпоративной сети.

Совет: No More Ransom — хороший ресурс, который помогает определить наличие общедоступного ключа для дешифрования ваших зашифрованных файлов.

Троянский вирус

Цель этого вредоносного ПО с таким метким названием — успешно внедриться в систему, избежать обнаружения и оставить лазейку (“бэкдор”), через которую злоумышленник сможет вернуться в систему позже. Троянские кони дают киберпреступникам возможность собирать информацию о внутренней системе или сети и совершать более глубокие атаки, специально разработанные для случаев взлома.

Руткиты и бэкдоры

Как говорилось в статье ранее, руткиты и бэкдоры по существу позволяют хакерам получать удаленный доступ и управлять системой, при этом оставаясь незамеченными. Руткиты дают злоумышленникам полный “корневой” доступ к системе, где они могут затем запускать новые команды, начинать извлечение данных или изменять журналы и программы для избежания обнаружения.

“Бэкдоры” — это общий термин для обозначения любых маршрутов, которые оставляют хакеры или инсайдеры для удаленного доступа или доступа без аутентификации к внутренней системе.

Как только злоумышленники устанавливают надежный бэкдор и получают доступ к сети, становится сложнее и отменить этот доступ, и определить (с использованием методов криминалистики), какие данные находятся в их распоряжении. Без надлежащего заблаговременного мониторинга это может оказаться невозможным.

Трояны удаленного доступа (RAT)

RAT (или инструменты удаленного администрирования) — разновидность техники “бэкдора”, которую хакеры используют для получения и сохранения удаленного доступа к системе. Этот процесс все еще часто встречается в настоящее время. Для того чтобы RAT работал должным образом, ему необходим агент или файл на стороне сервера, который постоянно работает в сети; это позволяет внешней стороне получать доступ и осуществлять контроль. Чтобы оставаться незамеченными, такие файлы часто маскируются под стандартные файлы.

Как предотвратить заражение вредоносным ПО с помощью Varonis

Сейчас, когда у нас есть общее представление о ежедневной активности вредоносного ПО, рассмотрим несколько способов, благодаря которым Varonis обеспечивает защиту от вредоносных программ и помогает вашей компании их оперативно обнаруживать и устранять.

Защита от вирусов: борьба с вредоносными ПО с помощью Varonis

Varonis не является типичной программой для защиты от вредоносных программ, она помогает разделить события на две основные категории: деятельность человека и деятельность компьютера. Благодаря Varonis и решению DatAlert вы получаете оповещения об обнаружении и предотвращении вредоносной активности с минимальным количеством ложных срабатываний.

Благодаря постоянному отслеживанию и определению типичного поведения пользователя в вашей среде Varonis может оперативно проанализировать, является ли подозрительная активность обычным явлением. Для этого Varonis использует стандартные модели угроз.

Давайте подробно рассмотрим некоторые из этих моделей угроз и разберемся, как Varonis может помочь в обеспечении/предотвращении некоторых из них на вашем предприятии.

Модель угроз №1. Шифрование нескольких файлов

Принцип действия. Varonis ищет в этой модели угрозы два конкретных вектора: несколько случаев изменения файла пользователем и включают ли эти изменения расширения файлов, которые были сочтены вредоносными. Если данный факт подтвержден, запускается триггерная рассылка по событию.

Общая суть. Такой алгоритм действий противостоит большинству современных атак вирусов-вымогателей, когда аккаунт пользователя, который обычно не шифрует данные (или большой объем данных), начинает шифровать огромное количество данных в формате, которым пользуются злоумышленники во всем мире. Varonis может мгновенно заблокировать зараженное оборудование и аккаунт пользователя для предотвращения дальнейшего ущерба до тех пор, пока ваша команда не проведет расследование.

Модель угроз №2. Аномальное поведение: удалено нетипичное количество файлов

Принцип действия. Varonis DatAlert ищет файлы, которые были удалены в течение определенного периода.

Общая суть Эта активность может указывать на несколько разных сценариев. Недовольный сотрудник, который только что узнал, что его уволили, может удалять файлы, чтобы вызвать хаос, или злонамеренный инсайдер пытается скрыть свои следы, поскольку планирует украсть секреты компании. В конечном итоге Varonis предотвратит дальнейшее развитие этой активности, изолируя профиль пользователя.

Модель угроз №3. Аномальное поведение: удалено нетипичное количество файлов с конфиденциальной информацией

Принцип действия. Эта модель угроз является продолжением предыдущей за счет сравнения активности с параметрами в модели классификации данных Varonis и таким образом определяет, являются ли удаляемые данные конфиденциальными.

Общая суть Действие может быть таким же, как и в предыдущем примере. Пользователь пытается удалить данные по злонамеренным причинам или кто-то просто очищает файловый ресурс от данных, которые больше не нужны. Действие по этому предупреждению будет таким же, но триггер нарушения будет оценен как более серьезная проблема.

Решения Varonis для защиты от вредоносных программ

Модели угроз защиты от вредоносных программ — сильная сторона Varonis, в которой большинство пользователей видят наиболее последовательные действия по обнаружению и предотвращению проникновения вредоносных программ. Большинство действий, обнаруженных этими моделями, содержат меньше случаев “ложной тревоги”, поскольку активность на уровне системных файлов не является обычным действием для большинства пользователей.

Среднестатистический пользователь в компании любого размера, как правило, не должен осуществлять какие-либо действия на уровне бэкдора или руткитов на своем устройстве; таким образом, наборы правил для этих моделей угроз намного более агрессивны. Давайте в целом рассмотрим некоторые модели и определим, как Varonis существенно повышает степень безопасности.

Модель угроз №4: Подозрительная активность доступа: доступ без прав администратора к файлам запуска и скриптам

Принцип действия. DatAlert тщательно отслеживает папки автозагрузки на данном компьютере и предупреждает о любых действиях, выполняемых пользователем без прав администратора. В типичной корпоративной среде обычные пользователи не должны иметь полного административного доступа для управления своим устройством. Если же у них он есть, Varonis поможет вам расширить область действия оповещений, чтобы охватить мониторинг любого аккаунта в указанных папках.

Общая суть Varonis ищет файлы запуска системы, которые мог изменить злоумышленник. Вредоносное программное обеспечение, загружаемое на компьютер, может эффективно скрыться внутри процесса запуска устройства, что очень затрудняет его обезвреживание. Таким образом это ПО гарантирует хакеру постоянный доступ к устройству.

Varonis противодействует этому процессу за счет обнаружения активности на достаточно ранней стадии. Это позволяет изолировать “троян” и удалить его до того, как он распространится и обоснуется в системе. Если “троян” внедрится, единственным вариантом исправить ситуацию будет полностью переустановить операционную систему на устройстве.

Сфера применения. В настоящее время Varonis поддерживает только следующие системы для модели угроз №4; Windows, Unix, Unix SMB, HP NAS.

Модель угроз №5. Доступ к программному обеспечению для эксплуатации

Принцип действия. Varonis ведет перечень инструментов, которые хакеры используют для проникновения в системы. Модель угроз №5 ищет возможности использования этих инструментов в отслеживаемых системах.

Общая суть. Если вы не входите в группу безопасности, вам не следует использовать некоторые из доступных в Интернете хакерских инструментов с открытым исходным кодом в корпоративной среде. Группа безопасности оперативно определяет, когда и где используются эти инструменты, и принимает обоснованное решение о том, оправдано это действие или нет.

Защита от вредоносных программ — от руткитов и бэкдоров

После того, как хакер закрепился в устройстве или сети, отличить обычную активность от нетипичной становится сложно. К счастью, Varonis поддерживает несколько моделей угроз, которые ищут активность, указывающую на наличие бэкдора.

Данные модели угроз сосредоточены на тенденциях активности и поведении, а не только на отдельных событиях.

Среди всех поддерживаемых моделей угроз, наибольшего внимания для точной настройки требуют те, которые относятся к руткитам и бэкдорам. После установки Varonis помогает отслеживать и идентифицировать аккаунты служб, которые показывают признаки горизонтального перемещения по сети, а также иные подозрительные аккаунты.

Модель угроз №6. Аномальное поведение служб, доступ к нетипичным файлам

Принцип действия. Аккаунты служб настраивать проще всего, поскольку они обычно многократно выполняют один и тот же набор действий без участия пользователя. Varonis отслеживает все аккаунты служб на предмет любых действий, выходящих за рамки повседневных рутинных операций.

Что это означает. Если Varonis обнаруживает модель угроз № 6 где-либо в вашем окружении, важно быстро выяснить, в чем заключается данная аномалия. Хакеры будут использовать сервисные учетные записи в качестве отправной точки для проверки внутренней сети с целью получения дополнительного расширенного доступа к конфиденциальным данным. Очень важно проанализировать эти случаи как можно оперативнее, чтобы изолировать потенциальную угрозу.

Модель угроз №7. Аномальное поведение администратора: кумулятивное увеличение количества блокировок отдельных административных аккаунтов

Принцип действия. Varonis отслеживает чрезмерное количество событий блокировки, сгенерированных для аккаунта с административными правами в течение указанного периода.

Общая суть. Модель угроз №7 ищет аккаунты администратора, в которые хакер пытается войти для получения дополнительного расширенного доступа к сети. Злоумышленник попытается взломать аккаунт, который, по его мнению, имеет привилегии администратора, чтобы успешно “угадать” пароль.

В большинстве корпоративных сред применяются строгие правила блокировки при неправильном вводе пароля для предотвращения такой активности. Varonis предупреждает, когда эта блокировка происходит с чрезмерной частотой, чтобы быть готовым изолировать угрозу.

Модель угроз №8. Изменения в группе администраторов

Принцип действия. В модели угроз №8 также реализован мониторинг повышения привилегий. Varonis обнаруживает любые изменения привилегий аккаунта, не входящие в “обычный” процесс изменений.

Общая суть. Если хакер попытается повысить привилегии одного из сервисных аккаунтов до привилегий аккаунта администратора, это запустит триггерную рассылку, так как данное действие не является обычным при предоставлении прав в службах каталогов.

Хакер пытается получить доступ к определенному ресурсу, повышая привилегии аккаунта, к которому у него есть доступ. Varonis может быстро идентифицировать эту угрозу и отметить ее как ожидающую проверки операционным центром обеспечения безопасности (SOC) для подтверждения достоверности.

Защита от вредоносных программ RAT с помощью Varonis

Объединяя сводки данных об угрозах с такими векторами, как геолокация и DNS, Varonis быстро выявляет аномалии в сети, которые могут быть попытками эксфильтрации данных. Рассмотрим некоторые модели угроз, которые смогут прояснить определение эксфильтрации данных.

Модель угроз №9. Аномальное поведение: активность из нового географического местоположения

Принцип действия. Varonis отслеживает любую активность, связанную с геолокацией, которая соответствует списку подозрительных действий. Эту модель угроз также можно настроить исключительно на местоположение, с которым не связан ваш бизнес.

Общая суть. Если ваша компания ведет бизнес только в США, но вы видите транзакции и события, происходящие за пределами США, это повод насторожиться, и Varonis может мгновенно изолировать угрозу до тех пор, пока не будет проведено расследование.

Сфера применения. В настоящее время эта модель поддерживается только через VPN.

Модель угроз №10. Хищение данных путем DNS-туннелирования

Принцип действия.  Varonis проверяет ваш входящий/исходящий DNS-трафик по нескольким различным факторам, включая трафик на известных вредоносных сайтах и несвязанные с DNS команды, которые отправляются через DNS.

Общая суть. Если обнаружена модель угроз №9, вероятно, в вашей сети есть RAT и злоумышленник пытается подключиться к нему через интернет. Varonis оперативно принимает меры и при определенных настройках изолирует угрозу.

Сфера применения. Мониторинг DNS-трафика.

Восстановление прав доступа к данным и советы для ИТ-специалистов

При восстановлении прав доступа к данным нужно учитывать несколько важных моментов:

Коммуникация. Без четкого канала связи вы можете столкнуться с проблемами, которые затронут другие отделы или области вашего бизнеса (например, введение ограничительного контроля).

Бдительность. Независимо от имеющегося решения или процесса обнаружения уязвимостей и их устранения, крайне важна скорость реакции. Своевременное реагирование на предупреждения помогает предотвратить дальнейший ущерб.

План принятия мер. И последнее, но не менее важное: убедитесь, что у вас есть план реагирования на возможные инциденты. Этот план действий следует тестировать несколько раз в год. Участие в этом процессе всех заинтересованных сторон уменьшит панику и количество ошибок, если такая ситуация возникнет на самом деле.

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.