Positive Technologies

Вредоносное ПО: исследование поведения и каналов распространения

Вредоносное ПО: исследование поведения и каналов распространения

Введение

Использование вредоносного программного обеспечения (ВПО) стало одним из наиболее популярных методов атак, к которым прибегают злоумышленники в современном цифровом мире. Вредоносные программы могут нанести значительный ущерб пользователям и организациям: зашифровать или удалить важные сведения, украсть учетные данные криптовалютных кошельков и аккаунтов в различных сервисах, включая интернет-банкинг, остановить работу как одного отдела, так и целой организации. Например, в феврале 2024 года немецкий разработчик программного обеспечения для сложных производственных и логистических процессов PSI Software SE сообщил о том, что стал жертвой кибератаки с использованием программы-вымогателя. Эта атака затронула внутреннюю инфраструктуру компании. В целях безопасности все внешние соединения и системы, в том числе клиентские, были незамедлительно отключены. В результате атаки системы десятков различных компаний, являющихся клиентами PSI Software SE, не работали почти неделю.

Рисунок 1. Динамика частоты использования злоумышленниками различных методов атак

Одной из причин популярности ВПО является его относительная простота в использовании: злоумышленники могут создавать, применять для атак и распространять вредоносное программное обеспечение с невысокими затратами и минимальными усилиями. Исследование ВПО имеет решающее значение для обеспечения кибербезопасности, поскольку защита от этих угроз требует понимания их работы.

Существует множество каналов распространения вредоносного ПО, часть из которых опирается на человеческий фактор. Фишинговые атаки с использованием электронной почты, вредоносных веб-сайтов и социальных сетей играют ключевую роль в распространении ВПО. Понимание способов доставки вредоносного ПО поможет разработать эффективные стратегии противодействия киберугрозам, выстроить комплексную систему защиты, включающую в себя как использование современных технических средств, так и организационные меры.

В данном исследовании мы выясним, какие типы ВПО чаще всего используются в кибератаках, а также по каким каналам злоумышленники доставляют вредоносы; проанализируем, как действуют вредоносные программы, и сопоставим эти действия с техниками MITRE ATT&CK; а также предложим меры, которые помогут защититься от атак с использованием ВПО.

MITRE ATT&CK — это база знаний о тактиках и методах противника, основанная на реальных наблюдениях. MITRE ATT&CK является проектом с открытым исходным кодом и предоставляет общую таксономию тактик и техник для лучшей классификации поведения противника.

Исследование основано на публичных сведениях об инцидентах информационной безопасности, собственной экспертизе Positive Technologies, результатах анализа вредоносного ПО продуктом PT Sandbox на территории РФ, а также на исследованиях авторитетных организаций и экспертов.

Современное ВПО: какое оно?

В настоящее время использование вредоносного программного обеспечения в атаках на корпоративные сети является одним из устоявшихся трендов киберпреступного мира. Данные, собранные в рамках нашего исследования, свидетельствуют о том, что применение вредоносов является наиболее распространенным методом, применяемым злоумышленниками в атаках на организации. При этом в атаках на частных лиц соотношение несколько отличается: лидирующая позиция здесь за атаками с использованием методов социальной инженерии, в то время как ВПО занимает второе место по популярности.

Рисунок 2. Методы атак (доля успешных атак, 2023 год)

Стоит отметить, что доля успешных атак с использованием ВПО в общем числе инцидентов выросла по сравнению с 2022 годом с 55% до 60% для организаций и с 53% до 59% — для частных лиц. Социальная инженерия также стала использоваться чаще в атаках c целью компрометации как сетей организаций, так и устройств отдельных пользователей.

Успешное внедрение ВПО в сеть компании дает атакующему широкий выбор действий в зависимости от преследуемой им цели и типа используемого вредоносного программного обеспечения. Принято выделять несколько таких типов ВПО, основываясь на их функциональных возможностях:

  • Вымогательское ПО (ransomware) — программы для блокировки доступа пользователей к данным путем шифрования отдельных файлов или файловой системы в целом. Обычно доступ возвращается после выплаты злоумышленникам выкупа в цифровой валюте, однако известны случаи, когда файлы так и не были расшифрованы.
  • Шпионское ПО (spyware) — средства для скрытного отслеживания действий пользователей и кражи различной конфиденциальной информации, например, учетных записей, финансовых данных, данных криптокошельков.
  • ВПО для удаленного управления (remote access trojan, RAT) — программы для управления устройством, на которое они были установлены. Такое ВПО может использоваться для кражи, изменения или удаления информации на устройстве, а также служить точкой входа в сеть и применяться для дальнейшего развития атаки. Важно также отметить, что большинство троянов удаленного доступа имеют функции шпионского ПО: такие программы умеют скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры.
  • Загрузчики (downloader) — вспомогательное ПО для загрузки дополнительных компонентов с управляющих серверов злоумышленника или сторонних интернет-ресурсов. В качестве загрузчика могут быть использованы легитимные утилиты, с которыми обычно работают администраторы сети – это позволяет замаскировать вредоносные действия и скрыть присутствие злоумышленника в сети.
  • Майнеры (miner) — программы, использующие аппаратные мощности устройства для добычи криптовалюты. Такие вредоносы работают скрытно, в них используются особые приемы для маскировки их деятельности и предотвращения обнаружения.
  • Банковские трояны (banking trojan) — программы, разработанные специально для кражи с устройства финансовой информации и учетных данных банковских приложений и сервисов.
  • Рекламное ПО (adware) — программы, которые отображают нежелательную или вредоносную рекламу на экране зараженного устройства. Кроме того, такое ВПО может перенаправлять результаты поиска на рекламные сайты и собирать данные пользователей для последующей отправки рекламодателям без согласия этих пользователей. 

Стоит упомянуть, что не все рекламные программы являются вредоносными, некоторые из них легальны и безопасны для использования.

Кроме широкого набора возможностей, популярность ВПО среди злоумышленников обусловлена низким порогом вхождения — многие образцы таких программ продаются в даркнете за относительно небольшие суммы или даже распространяются на бесплатной основе, часто с подробной инструкцией. Большую популярность приобретает бизнес-модель «Вредоносное ПО как услуга» (malware-as-a-service, MaaS), в рамках которой злоумышленники за определенную плату предоставляют своим партнерам доступ к определенному виду ВПО и инфраструктуре для его использования. Существует несколько вариаций оплаты такой услуги — это может быть единоразовая покупка ВПО, оформление подписки на определенный срок или выплата процента от прибыли в случае проведения успешной атаки (например, доля от выкупа при использовании программы-шифровальщика).

Анализ сообщений в дарквебе показал, что цена на ВПО начинается с 50 долл. США и доходит до 80 000 долл. США за программу. За 50 долл. США можно купить стилер с функционалом для кражи данных из браузеров, файлов cookie, истории, паролей, а также файлов с компьютера. За 500 долл. США можно приобрести drainer, dropper или reverse shell. Покупка загрузчика (downloader) обойдется в сумму от 500 до 80 000 долл. США, его аренда — от 1500 долл. США в месяц. Средняя цена готового ВПО для банков, банкоматов и POS-терминалов составляет 6000 долл. США. При этом важно отметить, что стоимость разработки вредоносного ПО под заказ в десятки раз выше, чем цена готового вредоноса, так как от разработчика требуются специфические знания о сетевых технологиях, операционных системах, а также в других областях. Так, стоимость разработки индивидуального шпионского ПО под конкретные цели начинается от 10 000 долл. США и может значительно возрасти в зависимости от запрашиваемого функционала ВПО.

Drainer — набор инструментов для кражи средств из криптокошельков. 

Dropper — ВПО, предназначенное для доставки и скрытой установки на зараженное устройство другого вредоносного ПО. 

Reverse Shell — инструмент для создания обратной оболочки и управления скомпрометированным устройством.

Стоит также отметить, что с развитием технологий искусственного интеллекта у злоумышленников появляется серьезное подспорье в создании вредоносного ПО. Так, в отчете компании Recorded Future описано, как с помощью ИИ можно создать самосовершенствующееся ВПО, способное обходить традиционные антивирусные средства защиты. В рамках проведенных экспериментов с помощью языковой модели был изменен исходный код ВПО STEELHOOK — полученный в итоге модифицированный вредонос смог избежать обнаружения по простым YARA-правилам. Однако авторы исследования говорят, что существует довольно много ограничений, связанных с таким методом изменения ВПО: современные ИИ все еще сталкиваются с рядом проблем при создании синтаксически корректного кода. Кроме того, исследователи тестировали ВПО с помощью довольно простой логики YARA, такой как сравнение строк на основе шаблона, и не использовали более сложные методы обнаружения. Однако киберпреступники уже активно изучают возможность создания и улучшения кода с помощью нейросетей, наравне с попытками использовать искусственный интеллект для других методов и этапов атак, таких как генерация фишинговых писем и проведение разведки потенциальных целей.

Рассмотрим данные о популярности разных типов ВПО у злоумышленников. По имеющимся у нас данным, в 2023 году лидирующее место занимают программы-шифровальщики. По сравнению с 2022 годом доля успешных атак с их участием на организации выросла с 54% до 57%.

Рисунок 3. Типы вредоносного ПО (доля успешных атак с использованием ВПО, 2023 год)

В 2023 году атакам с использованием шифровальщиков наиболее часто подвергались медицинские учреждения — атаки на них составили 18% от общего числа таких инцидентов. Организации в сфере науки и образования оказались на втором месте с долей в 14%, в то время как промышленные организации заняли третье место с 12% от общего числа атак.

Рисунок 4. Категория жертв среди организаций (доля успешных атак с использованием вымогательского ПО, 2023 год)

Характерным примером использования программы-вымогателя стала кибератака на медицинскую компанию Change Healthcare в феврале 2024 года. Киберинцидент затронул несколько сотен поставщиков медицинских услуг, которым Change Healthcare предоставляла услуги по управлению доходами и платежным циклом, связывающим поставщиков, плательщиков и пациентов. В число пострадавших вошли клиники, больницы, аптеки, частно практикующие врачи и другие участники рынка здравоохранения в США. Ответственность за атаку взяла на себя группировка киберпреступников ALPHV/Blackcat. Сообщалось, что Change Healthcare заплатила выкуп в размере 22 млн долл. США, однако компания публично этого не подтвердила. У истории было и продолжение: немного позднее относительно новая группа вымогателей, RansomHub, выступила с заявлением о том, что приобрела украденные данные у бывшего филиала ALPHV, и потребовала оплаты, угрожая публикацией сведений. Оплата не была произведена, и RansomHub начала выполнять свою угрозу. В сеть просочились скриншоты, которые, по-видимому, фиксируют соглашения об обмене данными между Change Healthcare и несколькими ее клиентами, а также некоторые файлы, содержащие данные пациентов. 

Другим примером является атака на Университет прикладных наук Кайзерслаутерна (HS Kaiserslautern), в результате которой была отключена вся ИТ-инфраструктура вуза, включая электронную почту и систему телефонии. Администрация также предупредила сотрудников, чтобы они не включали свои рабочие компьютеры.

Один из самых распространенных шифровальщиков, используемых в атаках на организации, — LockBit. В июле 2023 года крупнейший порт Японии Нагоя подвергся вымогательской атаке с использованием этого шифровальщика. Инцидент повлек за собой приостановку процессов работы порта по погрузке и разгрузке контейнеров на терминалах, что привело к огромным финансовым потерям. Другие известные жертвы атак с использованием LockBit — Королевская почта Великобритании (Royal Mail), Boeing, разработчик ПО ION Group

LockBit распространяется по модели RaaS (ransomware-as-a-service, «программы-вымогатели как услуга» — одна из разновидностей модели MaaS) и отличается широкой партнерской программой. Это кросс-платформенное ВПО, то есть оно опасно не только для компьютеров на базе ОС Windows, но и для устройств под управлением MacOS, Linux и других, менее распространенных операционных систем. Стоит отметить, что вредоносное ПО любого типа может быть написано в кросс-платформенном исполнении, — это опровергает устоявшийся миф о том, что в опасности только пользователи ОС Windows. 

В феврале 2024 года правоохранителями из 11 стран мира была проведена операция Cronos, в рамках которой удалось взломать инфраструктуру вымогательской группы LockBit. В результате операции были арестованы два участника группировки, отключено множество сайтов, связанных с LockBit, а также конфискованы более 200 криптовалютных кошельков, использовавшихся в том числе для получения выкупа от пострадавших компаний. Кроме того, правоохранители смогли извлечь с полученных серверов более 1000 ключей для расшифрования данных, на основе которых был создан бесплатный дешифратор для данных, пострадавших в результате атак LockBit 3.0 Black Ransomware. 

Рост популярности был зафиксирован не только для шифровальщиков, но и для шпионского ПО (с 12% до 23% в атаках на организации и с 44% до 51% — на частных лиц). Это продолжает тенденцию, которую мы уже отмечали в исследовании 2022 года. Этот тип вредоносов способен собирать и передавать различные данные с зараженного устройства — в частности, скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры и многое другое. 

Одни из наиболее распространенных представителей данного типа ВПО — AgentTesla и FormBook. AgentTesla — это ВПО для удаленного доступа, которое злоумышленники используют на протяжении довольно длительного времени. Впервые этот троян был замечен еще в 2014 году, однако встречается и в настоящее время. Изначально AgentTesla был обычным кейлоггером, собиравшим введенную с клавиатуры информацию, однако с тех пор ПО подверглось значительным изменениям и усовершенствованиям. Сейчас AgentTesla может делать снимки экрана рабочего стола пользователя, записывать нажатия клавиш на физической и виртуальных клавиатурах, красть содержимое буфера обмена, собирать учетные данные из различных приложений (например, Google Chrome, Mozilla Firefox, Microsoft Outlook, IceDragon, FileZilla), делать снимки с помощью веб-камеры пользователя и автоматически переносить свои копии на USB-накопители, чтобы распространять их среди других компьютеров.

FormBook — это вредоносное ПО, которое было впервые обнаружено в 2016 году. Оно крадет из зараженных систем различную информацию, включая кэшированные в веб-браузерах учетные данные, делает снимки экрана и регистрирует нажатия клавиш. Это ВПО также может выступать в качестве загрузчика, что позволяет ему загружать и запускать дополнительные вредоносные файлы. Оно распространяется по модели Malware-as-a-Service (MaaS), при которой киберпреступники могут приобрести доступ к вредоносному ПО по относительно низкой цене, что делает его весьма доступным и привлекательным для злоумышленников.

В 4-м квартале 2023 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) зафиксировали активность финансово-мотивированных злоумышленников, которые рассылали стилеры AgentTesla и FormBook на адреса электронной почты различных коммерческих организаций, маскируя указанные вредоносные программы под различные финансовые документы (чеки, сметы, уведомления о требовании оплатить услуги). Атаке подвергались организации из разных стран и секторов; в некоторых случаях злоумышленники адаптировали текст письма под профили деятельности и страны, к которым принадлежали атакуемые компании. 

Рисунок 5. Фишинговое письмо, содержащее файл с Agent Tesla

Рисунок 5. Фишинговое письмо, содержащее файл с Agent Tesla

Распространенные семейства ВПО и их поведение

На основании данных, полученных в результате анализа вредоносных программ продуктом PT Sandbox на территории РФ, были выявлены наиболее часто встречающиеся семейства ВПО — они представлены на рисунке 6. В полученных результатах прослеживается региональная специфика, а именно: вопреки общемировым показателям, в изученных атаках чаще встречаются представители шпионского ВПО (в частности, семейств FormBook и AgentTesla), а шифровальщики используются значительно реже.

Рисунок 6. Основные семейства ВПО, обнаруженные PT Sandbox

Рисунок 6. Основные семейства ВПО, обнаруженные PT Sandbox

На основе полученных данных удалось выявить наиболее часто наблюдаемое поведение вредоносов и отразить его на матрицу MITRE ATT&CK, а именно — определить используемые ими тактики (то есть цели, которых пытается достичь противник) и техники (то есть действия, которые злоумышленник выполняет, чтобы достичь тактики). Компания Positive Technologies перевела бо́льшую часть матрицы MITRE на русский язык и продолжает адаптировать данный инструмент.

Результаты работы песочницы PT Sandbox, которая производит анализ поведения ВПО в изолированной среде, позволили нам выявить наиболее популярные техники, которые выполняются вредоносным ПО при попадании на устройство жертвы.

Рисунок 7. Тепловая карта техник MITRE ATT&CK

Рисунок 7. Тепловая карта техник MITRE ATT&CK

Скачать тепловую карту

При анализе полученных результатов мы также выявили десять наиболее популярных техник, выполняемых вредоносными программами:

  1. T1010    Изучение открытых приложений
    Вредоносное ПО может попытаться получить список открытых окон приложений. Списки окон могут содержать информацию, которая помогает злоумышленникам определить, какие данные собирать и какие инструменты безопасности (Security Software Discovery) следует обойти. Так, например, троян удаленного доступа njRAT собирает информацию об открытых окнах во время первичного заражения.
  2. T1562    Ослабление защиты
    ВПО может модифицировать компоненты среды жертвы, чтобы нарушить работу защитных механизмов или отключить их. Это включает ослабление не только превентивных средств защиты, таких как межсетевые экраны, IPS и антивирусы, но и функций обнаружения, которые могут использоваться для аудита активности и выявления вредоносного поведения. Техника может затрагивать как штатные средства защиты, так и дополнительные, установленные пользователями и администраторами. Так, например, вредоносное ПО TangoDelta из семейства Lazarus Group пытается завершить различные процессы, связанные с McAfee. Вредоносное ПО SHARPKNOT из того же семейства отключает службы уведомлений и предупреждений о системных событиях Microsoft Windows.
  3. T1497    Обход виртуализации или песочницы
    Вредоносные программы могут использовать различные средства для обнаружения и обхода сред виртуализации и песочниц. На основе результатов проверок на наличие артефактов, указывающих на среду виртуальной машины (VME) или песочницу, программа может изменить свое поведение, чтобы скрыть свою вредоносную сущность. Также ВПО может искать артефакты VME перед сбросом вторичных или дополнительных полезных данных. Для обхода виртуализации или песочницы могут использоваться различные методы, такие как проверка наличия средств мониторинга безопасности (например, Sysinternals, Wireshark) или других системных артефактов, связанных с виртуализацией или песочницей. ВПО может проверять и действия легитимных пользователей, чтобы определить, находится ли система в виртуальной среде. Для предотвращения обнаружения во временной песочнице злоумышленники могут использовать таймеры и циклы в коде вредоносного ПО. Так, например, ВПО для удаленного управления EvilBunny продолжает работу только в том случае, если в среде запущено не менее 15 процессов.
  4. T1057    Изучение процессов
    Вредоносные программы могут пытаться получить информацию о процессах, которые запущены на компьютере или сетевом устройстве. Эта информация помогает понять, какие программы и приложения используются на компьютерах внутри сети. Получив эти данные, ВПО может выбирать варианты дальнейшего развития атаки, в том числе принимать решение, заражать ли целевой компьютер полностью или выполнить только определенный список отдельных действий, например, для дальнейшего распространения в сети. Для получения данной информации вредоносы могут использовать утилиту tasklist в Windows, запустив ее через командную строку (cmd) или оболочку PowerShell, а на устройствах с ОС Mac и Linux — использовать специальные команды. Также они могут проверить процессы на сетевых устройствах, например через команду командной строки (CLI) show processes. Так, например, ВПО Brute Ratel C4 может просматривать список всех процессов и находить определенные идентификаторы процессов (PID).
  5. T1016    Изучение конфигурации сети
    Вредоносное ПО способно искать информацию о конфигурации сети и сетевых настройках, таких как IP- и MAC-адреса компьютеров, к которым оно получило доступ, или о системах на удаленных устройствах. Для этого вредоносы могут использовать различные утилиты администрирования операционной системы, например arp, ipconfig/ifconfig, nbtstat и route. Кроме того, вредоносные программы умеют обращаться к интерфейсу командной строки сетевых устройств для получения сведений об их настройках, таких как IP-адреса настроенных интерфейсов и статические/динамические маршруты. Для этого могут использоваться команды show ip route и show ip interface. Информация, полученная в результате обнаружения сетевой конфигурации системы, может быть использована вредоносами для дальнейших автоматических действий, включая определение доступа внутри целевой сети и планирование следующих шагов. Так, например, вредоносное ПО Empire может получать сведения о конфигурации сети, в том числе о DNS-серверах, публичных IP-адресах и сетевых прокси-серверах, используемых хостом.
  6. T1529    Завершение работы или перезагрузка системы
    ВПО способно выключать или перезагружать зараженные компьютеры и сетевые устройства, чтобы нарушить доступ к ним или даже вывести их из строя. Обычно операционные системы предоставляют специальные команды для выполнения таких действий. Иногда эти команды можно использовать даже для удаленного выключения или перезагрузки компьютеров или серверов с помощью интерфейса командной оболочки, а в случае сетевых устройств — через интерфейс командной строки сетевого устройства. Подобные действия могут создать проблемы для легитимных пользователей, лишая их доступа к ресурсам зараженного устройства. Кроме того, выключение или перезагрузка могут в дальнейшем затруднить процесс реагирования на инциденты и восстановления после атаки. Вредоносы могут использовать выключение или перезагрузку системы в сочетании с другими действиями, например удалением данных с диска или блокированием возможности восстановления системы, чтобы быстрее нарушить доступность системы. В качестве примера можно привести вредоносное ПО Shamoon, которое перезагружает зараженную систему после того, как завершает удаление данных.
  7. T1059    Интерпретаторы командной строки и сценариев
    Операционные системы предоставляют пользователям один или несколько встроенных интерфейсов командной строки. Например, в macOS и дистрибутивах Linux есть Unix shell, а в Windows есть Command shell и PowerShell. Также существуют кросс-платформенные языки программирования, например Python, а также языки, часто используемые в клиентских приложениях, например JavaScript и Visual Basic. Вредоносное ПО может использовать эти инструменты для выполнения различных команд и скриптов как способ запуска произвольных действий. Команды и сценарии могут быть встроены в первоначальную полезную нагрузку, которая доставляется жертвам, например, через фишинговые документы, или могут быть частью полезной нагрузки, загружаемой из уже зараженных систем. Вредоносы также могут выполнять команды через интерактивные терминалы и оболочки и использовать различные удаленные сервисы для выполнения команд на удаленных компьютерах. Так, например, ВПО Fox Kitten использует обратную оболочку Perl для связи с C&C-серверами.
  8. T1053    Запланированная задача (задание)
    Большинство операционных систем имеют утилиты для запланированного выполнения программ или сценариев в определенные дату и время. Кроме того, запланировать выполнение задачи можно на удаленной системе при наличии определенных прав доступа (например, через RPC и общий доступ к файлам и принтерам в среде Windows). Чтобы запланировать задачу на удаленной системе, обычно требуется принадлежать к администраторской или другой привилегированной группе на удаленном устройстве. ВПО может использовать функционал планирования задач для выполнения вредоносного кода, например, при старте системы или по определенному расписанию, чтобы обеспечить регулярный запуск вредоносных действий. Кроме того, механизм планирования задач может быть использован для их запуска от имени указанной учетной записи (например, с более высокими привилегиями). Еще один вариант использования данной технологии — маскировка одноразового выполнения команд под доверенный системный процесс. Так, например, планировщик задач часто используется рекламным ВПО, чтобы усложнить его удаление с зараженного устройства.
  9. T1012    Запросы к реестру
    Реестр Windows содержит много информации об операционной системе, ее настройках, установленных программах и параметрах безопасности. Для получения этой информации часто используется утилита reg, но есть и другие способы. Вредоносное ПО может обращаться к реестру с целью получения информации о системе, ее конфигурации и установленном программном обеспечении. Эта информация может помочь злоумышленникам в их дальнейших действиях в сети. На ее основе могут быть приняты решения о дальнейших действиях — например, является ли захваченное устройство целевым, стоит ли его заражать или лучше использовать как промежуточный узел для дальнейшего перемещения по сети. В качестве примера использования техники можно привести троян удаленного доступа gh0st RAT, который умеет проверять наличие сервисного ключа в реестре, чтобы определить, был ли он ранее установлен в системе.
  10. T1547    Автозапуск при загрузке или входе в систему
    Операционные системы имеют механизмы для автоматического запуска программы при загрузке системы или входе в учетную запись. Эти механизмы могут включать в себя автоматический запуск программ, которые размещены в определенных каталогах или указаны в реестре Windows, где хранится информация о настройках ОС. Злоумышленники могут добиться того же эффекта, модифицируя или расширяя функционал ядра операционной системы. Вредоносное ПО может внести в список автозагрузки себя или другое ВПО для обеспечения постоянного присутствия в системе. Это может быть сделано, например, путем добавления ссылки на свою программу в реестр Windows или в другие системные каталоги. Кроме того, поскольку некоторые программы, которые запускаются автоматически при загрузке системы или входе в учетную запись, работают с повышенными привилегиями, злоумышленники могут использовать их для повышения привилегий собственного ВПО. Примером использования такой техники может послужить ВПО xCaon, которое после установки на зараженное устройство добавляет запись о себе в раздел реестра, в котором хранится список автозапуска.

 

Таким образом, вредоносное ПО чаще всего использует легитимные функции операционной системы для проведения разведки (изучение открытых приложений, процессов, конфигурации сети), выполнения вредоносных действий (обход виртуализации или песочницы, интерпретаторы командной строки и сценариев, запросы к реестру) и закрепления на захваченном устройстве (ослабление защиты, завершение работы или перезагрузка системы, запланированная задача (задание), автозапуск при загрузке или входе в систему).

Электронная почта как способ распространения ВПО

Существует несколько наиболее популярных у злоумышленников способов доставки вредоносных программ в сети организаций для дальнейшего развития атаки. В 2023 году чаще всего ВПО доставляли через электронную почту (больше половины успешных случаев атак с использованием вредоносов). 

Рисунок 8. Способы распространения ВПО (организации)

Наиболее распространенным (46% успешных атак) методом доставки вредоносного программного обеспечения на устройства частных лиц является использование интернет-сайтов. Злоумышленники размещают вредоносные программы на различных онлайн-ресурсах, маскируя их под легитимные приложения или файлы. Пользователи, не подозревая о вредоносном содержимом, могут случайно скачать и установить эти программы на свои устройства. Это часто происходит во время поиска и загрузки пиратского контента, так как злоумышленники могут специально распространять вредоносные программы под видом популярных фильмов, музыки, игр и других материалов. На втором месте по популярности (17% успешных атак) — доставка вредоносных вложений через электронную почту.

Рисунок 9. Способы распространения ВПО (частные лица)

Несмотря на то, что метод доставки ВПО через электронную почту и способы защиты от него уже давно известны, пользователи продолжают открывать неизвестные файлы, кликать по ссылкам и картинкам. Злоумышленники со своей стороны часто маскируют фишинговые письма под легитимные и играют на эмоциях людей, таких как страх, жадность, любопытство и желание помочь. Например, отправляют письма с пометкой «срочно» — в расчете, что получатель побоится не успеть сделать что-то важное, в спешке откроет вредоносное вложение и заразит свою рабочую станцию. Другой пример — когда злоумышленники маскируют свое письмо под уведомление о недоставленном письме с информацией об отпусках, зарплатах, платежах или другими сведениями, которые рядовой сотрудник знать не должен, но из любопытства может захотеть открыть. 

Рисунок 10. Фишинговое письмо

Рисунок 10. Фишинговое письмо

Рассмотрим конкретный пример: эксперты Positive Technologies обнаружили рассылку писем под видом претензии с требованием возврата средств. На первый взгляд вложением к письму является PDF-документ с некой претензией, однако на самом деле это изображение, имитирующее прикрепленный к письму документ в сервисе mail.ru. При нажатии на изображение срабатывает ссылка, по которой из файлового хранилища скачивается ВПО. При этом злоумышленники используют одноразовые ссылки, что усложняет получение полезной нагрузки.

В нашем исследовании фишинговых атак на организации в 2022—2023 годах мы уже рассказывали, что чаще всего фишинговые письма представляли как сообщения от контрагентов, технической поддержки или ИТ-службы, государственных органов и работодателей, а также как письма, содержащие актуальную новостную повестку. 

В том же исследовании мы выявили, что наиболее популярными темами фишинговых писем стали сообщения от контрагентов, технической поддержки или IT-службы, государственных органов, письма, содержащие актуальную новостную повестку и сообщения от работодателя. Так, в 2023 году экспертный центр безопасности Positive Technologies зафиксировал рассылку фишинговых писем группировкой XDSpy от лица одного из всероссийских научно-исследовательских институтов.

Рисунок 11. Фишинговое письмо

Рисунок 11. Фишинговое письмо

В письме содержится ссылка на якобы файлообменник, откуда скачивается ВПО вместе с pdf-документом, выглядящим как заполненное заявление-согласие на обработку персональных данных. 

Рисунок 12. Заявление, загружаемое вместе с ВПО

Рисунок 12. Заявление, загружаемое вместе с ВПО

Другой фактор, которым пользуются злоумышленники, — время отправки писем. В нашем исследовании мы уже отмечали, что больше всего ВПО было замечено в письмах, которые были получены в утренние часы или в середине дня. Судя по всему, в это время шансы, что такое письмо откроют, наиболее высоки, потому как именно перед началом рабочего дня и после обеденного перерыва сотрудники чаще всего проверяют рабочую почту и просматривают много писем, часто в спешке. Кроме того, экспертами было выявлено, что бо́льшая часть вредоносных писем приходит во вторник, а меньше всего — в воскресенье.

В 2023 году методы социальной инженерии претерпели значительную эволюцию, поскольку злоумышленники начали усложнять свои подходы для большей убедительности. В начале 2023 года компания Darktrace объявила о 135%-ном увеличении числа вредоносных рассылок по электронной почте. Эти письма отличались меньшим количеством синтаксических, семантических и грамматических ошибок от «классических» фишинговых рассылок, что делало их более убедительными и труднее распознаваемыми как фишинговые. Такие изменения указывают на использование искусственного интеллекта для генерации писем, поскольку ИИ способен создавать более грамотно и разнообразно сформулированные сообщения, которые почти неотличимы от написанных реальным человеком. Таким образом, определить, было ли письмо сгенерировано ИИ, становится практически невозможно. Рост числа таких писем соответствует широкому распространению инструментов ИИ, что свидетельствует о растущем потенциале искусственного интеллекта в создании более изощренных и убедительных фишинговых атак. Нейросети помогают злоумышленникам не только создавать письма для рассылок, но и поддерживать иллюзию осмысленного диалога с жертвой, а также создавать дипфейки для голосов, изображений и видео.

Методы сокрытия вредоносной полезной нагрузки

Для доставки вредоносной полезной нагрузки злоумышленники обычно используют файловые вложения к письмам, ссылки в теле писем, а также QR-коды. В настоящее время наиболее популярны файловые вложения (более половины успешных случаев доставки).

Рисунок 13. Виды вредоносной нагрузки

Наиболее популярные типы файлов, которые злоумышленники отправляют жертвам для распространения вредоносного программного обеспечения, — это архивы (форматы .zip, .rar, .7z и подобные им). В архивах они могут легко скрыть вредоносное ПО от средств проверки безопасности, маскируя его под безобидные документы или изображения. Такая тактика позволяет злоумышленникам обмануть пользователей и убедить их в безопасности файла, что увеличивает вероятность успешной атаки. Более того, поскольку многие сотрудники регулярно в своей работе используют архивы для обмена файлами или хранения данных, получение архивированных вложений вызывает меньше подозрений у получателя.

Рисунок 14. Расширения вредоносных файлов

Согласно исследованию, довольно часто вложениями фишинговых писем становятся статические веб-страницы (файлы с расширениями .html, .htm и другие). Они могут быть как поддельными формами ввода персональных или учетных данных, так и частью атак с использованием HTML-контрабанды, основанной на принципе сокрытия вредоносного кода внутри безобидных данных, таких как строки, изображения или другие типы контента, которые могут передаваться по сети. Злоумышленник создает полезную нагрузку, которая кодирует вредоносный HTML-код, что скрывает его от действующих механизмов безопасности. Когда пользователь открывает зараженную страницу в браузере, инициируется выполнение скрытого вредоносного кода, который собирает полезную нагрузку на устройстве.

Довольно часто в фишинговых атаках встречались файлы с расширениями обычных офисных таблиц и документов — таких, как .doc, .pdf, .xls и .pptx. Такие вложения, как правило, вызывают мало подозрений у пользователя. Одна из техник использования офисных документов в атаках — внедрение в них скриптов с вредоносной полезной нагрузкой, которые при активации в фоновом режиме загружают и разворачивают ВПО. Кроме того, в отчете об актуальных киберугрозах за 3-й квартал 2023 года мы рассказывали, что злоумышленники стали чаще использовать .pdf-документы в фишинговых атаках, встраивая в них вредоносные ссылки и дополнительно маскируя их с помощью QR-кодов. Еще одно нововведение в фишинге с помощью PDF-файлов — использование техники MalDoc, которая заключается во встраивании word-файлов в документ формата PDF. Суть в том, что передаваемое вложение имеет формат .pdf, однако открываться оно будет в редакторе текстовых файлов Word, что вызовет срабатывание вредоносных макросов и загрузку полезной нагрузки.

В случае со ссылками при переходе по ним происходит автоматическая загрузка ВПО в фоновом для пользователя режиме. Для того чтобы избежать обнаружения средствами защиты, злоумышленники могут реализовать несколько последовательных переадресаций с одного ресурса на другой, что в конечном итоге приведет на страницу загрузки вредоноса. Еще один способ — использование адресов в домене .zip, которые с недавнего времени открыты для покупки всеми желающими. Доменное имя с таким расширением может окончательно запутать пользователя, особенно если у того нет технических знаний. Так, например, адрес сайта outlook365update[.]zip выглядит как вполне легитимное имя файла и может не вызвать у пользователя сомнений в подлинности. Кроме того, чтобы наверняка избежать обнаружения вредоносной ссылки, злоумышленники могут приложить к письму QR-код, который скроет вредоносные URL-адреса от получателей и систем защиты. Данные средства используют не только для загрузки вредоносного ПО на устройство жертвы, но и для получения обманным путем учетных данных.

Что поможет защититься от ВПО

Защита организации от вредоносных программ требует комплексного подхода, включающего технические и организационные меры (в том числе обучение сотрудников). Мы подготовили рекомендации, которые помогут предотвратить доставку и развертывание ВПО в сети организации. 

Технические меры

Для более эффективной защиты от вредоносного ПО необходимо использовать комплекс технических средств, начиная с периметровых систем защиты информации, таких как NGFW (Next generation firewall, межсетевой экран нового поколения) и IPS (Intrusion prevention system, система предотвращения вторжений). Они помогут предотвратить доступ пользователей к сайтам с негативной репутацией, а также станут первой линией обороны от вредоносного программного обеспечения. Многие NGFW также включают в себя встроенные антивирусные движки для фильтрации известных вирусов и программ-вредителей. 

Дополнительно рекомендуется использовать шлюзы безопасности электронной почты (Mail gateway), которые будут сканировать все входящие письма и вложения на предмет вредоносного содержимого.

Обязательным уровнем защиты от вредоносных программ являются решения класса песочница. Они не только проверяют файлы и ссылки статическими методами на основе сигнатур, но и используют поведенческий анализ в изолированной среде для запуска файлов и исследования их поведения.

Песочница PT Sandbox использует механизмы машинного обучения, которые помогают выявлять вредоносные действия файла, который на первый взгляд кажется безопасным, и обнаруживать угрозы «нулевого дня» (zero-day). Эти возможности позволяют автоматически обнаруживать вредоносное программное обеспечение, поступающее в организацию из разных источников (почтовые вложения, общие файлы, веб-трафик при интеграции с периметровыми решениями и другие), и блокировать его распространение.

Следующим эшелоном защиты является использование решений класса EDR. Такие системы помогают обеспечить защиту на конечных устройствах и выявлять угрозы, попадающие в сеть организации способами, которые не могут отследить упомянутые выше средства защиты. Один из примеров таких способов — это фишинговые сообщения с вредоносными вложениями в мессенджерах. Такие каналы коммуникации часто используют шифрование, поэтому их сложно проанализировать в потоке. На конечном устройстве их анализ выполнит решение MaxPatrol EDR, способное также принять меры в виде карантина или удаления файла до того, как с ним начнет взаимодействовать пользователь.

Помочь с обнаружением вредоносного ПО в сети организации могут системы анализа трафика (Network traffic analysis, NTA). Вредоносное программное обеспечение почти всех типов в процессе своей работы генерирует определенный сетевой трафик. Например, оно может устанавливать связь с сервером управления (C&C) для передачи данных, скачивать вредоносную нагрузку или присоединяться к майнинг-пулам.

Злоумышленники могут попытаться скрыть вредоносную природу вложения, упаковав его в архив и изменив тем самым сигнатуру передаваемого файла, что позволяет им избежать обнаружения антивирусными программами. Межсетевые экраны обычно выявляют ВПО по IP-адресам, но они могут не справиться с его обнаружением при изменении адреса или создании нового. Скрыть сетевую активность вредоносного ПО гораздо сложнее, поэтому то, что могут упустить антивирусы или межсетевые экраны, можно выявить с помощью анализа сетевого трафика. В Positive Technologies такие задачи выполняет продукт PT NAD, который служит эталонным источником данных о сети, помогает контролировать инфраструктуру и позволяет своевременно обнаруживать действий хакеров в сетевом трафике.

Любое изменение или обновление ИТ-систем (например, почтового сервера) может привести к изменению настроек почтовых средств защиты и правил фильтрации. Кроме того, злоумышленники постоянно модифицируют вредоносное ПО и придумывают новые техники для обхода традиционных СЗИ. Для того чтобы быть уверенным в корректной работе защитных решений, рекомендуется регулярно проводить тестирование на защищенность электронной почты. Для этого можно использовать специальные сервисы, которые умеют имитировать доставку вредоносов по электронной почте. Онлайн-сервис для проверки защищенности почты PT Knockin умеет отправлять ВПО, которое используется злоумышленниками для проведения атак, в обезвреженном виде. После отправки файлов пользователь может отметить в интерфейсе продукта, какие из образцов были доставлены на указанный почтовый ящик. На основании результатов проверки получается оценка защищенности почты и предоставляются рекомендации по устранению выявленных недостатков. Сервис не требует интеграции в ИТ-инфраструктуру компании: для запуска достаточно зайти в веб-консоль, ввести адрес электронной почты и начать проверку. 

Организационные меры

Кроме использования технических средств защиты, необходимо разработать и внедрить политики информационной безопасности организации, где будут описаны меры по предупреждению заражения рабочих станций, план реагирования на инциденты ИБ, действия по восстановлению ИТ-инфраструктуры. В документах необходимо описать правила использования рабочей почты, мессенджеров и иных средств коммуникации, а также правила безопасной работы с сетью. 

Регулярное обучение персонала является ключевым элементом в подготовке сотрудников к распознаванию и предотвращению фишинговых атак. Важно следить, чтобы сотрудники понимали, насколько серьезные последствия может повлечь открытие вредоносных вложений из-за невнимательности или любопытства. Обучающие мероприятия помогут повысить уровень осведомленности сотрудников и снизить риски для информационной безопасности компании.

Выводы

Вредоносное программное обеспечение (ВПО) продолжает оставаться наиболее распространенным методом, который используют злоумышленники при осуществлении кибератак. Статистика показывает, что среди излюбленных типов ВПО у атакующих выделяются программы-вымогатели, шпионское ПО и ВПО для удаленного управления. Эти инструменты используют с целью получения доступа к конфиденциальной информации, контроля за устройствами и системами, а также шантажа организаций. Успешное проведение атаки с использованием вредоносного ПО может привести к финансовым или репутационным потерям, остановке бизнес-процессов и утечке конфиденциальных данных.

Особое внимание следует уделить тому, какие методы злоумышленники используют для доставки ВПО, — в частности, электронной почте. Исследования показывают, что большинство успешных атак начинаются с фишинговых писем, содержащих вложения с вредоносным ПО или ссылки на зараженные веб-сайты. Это делает защиту электронной почты ключевым элементом в общей стратегии кибербезопасности организации. Рекомендуется использовать технические средства для фильтрации и обнаружения вредоносных вложений, обучать сотрудников распознавать подозрительные письма, применять механизмы двухфакторной аутентификации для защиты учетных записей, а также использовать специальные средства для тестирования защищенности почты. Эти меры помогут снизить риск успешной атаки с использованием ВПО и повысить общий уровень защищенности организации.