Недетские игры злоумышленников: 69% вредоносного ПО с функцией обхода песочниц использовалось для шпионажа

25.11.2020 23:32

Пресс-релиз Positive Technologies

Эксперты Positive Technologies проанализировали 36 семейств ВПО, которые были активны в последние 10 лет и в которых присутствуют функции обнаружения и обхода средств виртуализации (песочниц). Анализ показал, что четверть всех вредоносных программ, вошедших в исследование, была активна в 2019―2020 годах, не менее 23 APT-группировок по всему миру использовали в своих атаках программы из этой выборки, 69% ВПО использовалось с целью шпионажа.

Специалисты проследили изменения в методах обхода песочниц и средств анализа и отметили, что одно и то же ВПО в разные годы использует разные методы. Кроме того, злоумышленники стараются использовать одновременно несколько технологий. В случае если один из методов не сработает и будет перехвачен песочницей, ВПО попытается по какому-то другому признаку определить, что выполняется в среде виртуализации, чтобы вовремя прекратить свою работу.

По данным исследования, чаще всего техники обхода песочниц и обнаружения средств анализа внедряют в ВПО для удаленного доступа (56% среди рассмотренного ВПО) и загрузчики (14%). «Это объясняется тем, что подобные программы используются в разведке и при сборе информации о целевой системе, — комментирует результаты анализа старший аналитик Positive Technologies Ольга Зиненко. — Если злоумышленники обнаружат, что ВПО начало исполнение в виртуальной среде, то они не станут развивать этот вектор атаки и загружать на компьютер жертвы вредоносную нагрузку, а постараются скрыть свое присутствие, прекратив работу ВПО».

Анализ показал, что 25% всех вредоносных программ, вошедших в исследование, были активны в 2019―2020 годы. Кроме того, согласно полученным данным, в 2018―2019 годах увеличилось количество ВПО, которое применяет методы обхода песочниц. Однако, по мнению экспертов, причиной этого вероятнее всего является увеличение числа исследований образцов ВПО экспертами безопасности.

Среди наиболее часто встречающихся способов обхода песочниц эксперты назвали отправку WMI-запросов (25% ВПО) или иные проверки окружения (33% ВПО), а также проверку списка запущенных процессов (19% ВПО). По данным анализа, 69% рассмотренного ВПО применялось в атаках, совершаемых с целью шпионажа. В таких атаках для преступников особенно важно длительное скрытое присутствие в системе жертвы, поэтому они ищут способы как можно дольше оставаться незамеченными.

Специалисты отмечают, что разработчики ВПО применяют методы обфускации (запутывания) кода и стараются затруднить экспертами по безопасности его анализ, в результате чего становится все сложнее проводить статический анализ вредоносных файлов, сопоставлять подозрительные файлы с известными сигнатурами и хеш-суммами.

«Мы видим, что в последние годы разработчики ВПО особенно стали избегать анализаторов кода, — говорит руководитель отдела обнаружения вредоносного ПО Positive Technologies Алексей Вишняков. — Злоумышленники стараются тщательно скрыть вредоносные функции от исследователей безопасности и минимизировать вероятность обнаружения ВПО по известным индикаторам компрометации (indicators of compromise, IOC). Поэтому классические средства защиты могут не справиться с обнаружением вредоносных программ, и мы рекомендуем для выявления современных образцов ВПО анализировать поведение файла в безопасной виртуальной среде. Кроме того, использование песочниц позволяет обогащать базу IOC и применять полученную информацию для реагирования на киберугрозы».

www.ptsecurity.com

Мнение специалиста

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.