Файлсыз вирустар – зиянды БҚ таратудың жаңа тәсілі

Ponemon (Ponemon Institute's "The State of Endpoint Security Risk Report,") институтының зерттеуіне сәйкес 2017 жылы деректерді жария ету бойынша жасалған шабуылдардың 77 пайызы файлсыз вирустар пайдаланылған шабуылдар болған. Есепте әдеттегі файлдар пайдаланылатын шабуылдарға қарағанда, файлсыз вирустар пайдаланылған шабуылдар 10 есе сәтті деп бағаланған.

Carbon Black компаниясының Майк Вискузо (Mike Viscuso) сарапшысы файлсыз шабуылдардың саны 2016 жылы - 3 пайыздан 2017 жылдың ақараша айының аяғында - 13 пайызға дейін өскенін атап көрсетеді. Оның айтуынша, сәтті шабуылдардың басым бөлігі – бұл файлсыз шабуылдар.

Сондай-ақ McAfee де өскелең файлсыз шабуылдар туралы хабарлайды. «Файлсыз вирустардың басым бөлігін құрайтын макро вирустар 2015 жылы – 400 мыңнан ағымдағы жылдың екінші тоқсанында 1,1 миллионға дейін көбейді.

Ағымдағы жылдың басында файлсыз вирустар 140 астам кәсіпорындарды зақымдады, оның ішінде 40 елдегі банктер, телекоммуникациялық компаниялар мен мемлекеттік мекемелер».

Касперский зертханасы өзінің корпоративтік желісі ішіндегі тізілімде зиянды PowerShell скриптін тапты. Касперский зертханасына сәйкес шабуылды тек қана жедел жадыда, желіде және тізілімде айқындауға болады.

eSentire компаниясының Элдон Сприкерхоф (Eldon Sprickerhoff) сарапшысы файлсыз вирустарды пайдаланудың жаңа трендін айқындады – биткойндер майнингіне арналған файлсыз вирустар.

Файлсыз вирустар пайдаланылған шабуылдар 2017 жылы айтарлықтай танымал болғанын көріп отырмыз. Файлсыз вирус туралы ұғымды, оның ерекшеліктері мен кемшіліктерін, оның таралу мехнизмдерін және файлсыз вирустармен зақымдалудың алдын алу шараларын қараймыз.

Файлсыз (денесіз) вирус туралы ұғым

Файлсыз (денесіз) вирус – бұл зақымдау үдерісінде файларды пайдаланбайтын вирус.

Әдеттегі вирусқа қарсы шешімдердің әрекет етуін еске алайық:

  • Зақымдау нәтижесінде дискіде файл сақталады
  • Вирусқа қарсы бағдарлама зиянды файлды (яғни пайдалы жүктемені) талдайды
  • Айқындаған жағдайда фирусқа қарсы бағдарлама зиянды файлды тыйым салынған орынға орналастырып немесе жойып, компьютерді қорғауды қамтамасыз етеді.
  • Файлсыз вирустармен зақымдаған жағдайда қорғау шешімдері зақымдауды айқындауға жиі қабілетті болмайды.

Шабуылдар жүргізген кезде зиянкестер мына мақсаттарға қол жеткізуге ынталанады:

  • басымдықтарды арттыру – жүйеде әкімшінің құқықтарын алуға мүмкіндік беретін осалдықты пайдалану мүмкіндігін алу;
  • ақпаратты жинауды жүзеге асыру – алдағы уақытта шабуылда пайдалану үшін құрбан мен оның компьютері туралы мүмкіндігінше толық ақпарат алу;
  • жүйеде жасырындықты қамтамасыз ету – зиянды кодтың жүйеде ұзақ уақыт байқаусыз болып, операциялық жүйе іске қосылған кезде орындалу қабілеттері. Бұл зиянкестерге зақымдаудан барынша көп пайда алуға мүмкіндік береді.

Файлсыз вирустармен зақымдаған кезде зиянды код жедел жадыға, көптеген жағдайларда сканерлеуге және қауіпсіздік бойынша шешімдермен айқындаудақиындық туғызатын орындарға жазылады:

1. Зиянды кодты басқа рұқсат етілген процестерге енгізу - квази- файлсыз вирустардың осы түрі басқа процестің (рұқсат етілген) жадысын пайдаланады, мәселен, Windows ОЖ процесін. Ол кодты процестің жадысына жүктейді, сонда қалады және өзінің функционалын рұқсат етілген процестің жадысында орындайды.

2. Windows тізіліміндегі зиянды БҚ - Windows тізілімінде кодты сақтау мүмкіндігі бар файлсыз вирустардың жаңа түрі.

Файлсыз вирустар:

  • негізгі зиянды БҚ-мен зақымдау алдында зақымдалған компьютер туралы ақпарат жинау үшін «бір жолғы» зиянды БҚ-ны іске қоса алады;
  • жүйеде болуды қамтамасыз етуге қол жеткізу үшін Windows тізіліміндегі пайдалы жүктеменің орнын ауыстыра алады;
  • осалдықтарды табу және шапшаң айла жасау үшін күрделі, икемді және модульдік экплойткиттер пайдалана алады;
  • компьютерлердің көп санын жария ету үшін нөлдік күннің көптеген осалдықтарын пайдалануы мүмкін;
  • кез келген зиянды функцияларды орындай алады, мәселен, зиянды кодты қорғау құралдарымен детектірлеуді қиындатып, ақы төлету мақсатында файлдарды шифрлау.

Файлсыз вирустардың компьютердің жедел жадысында жұмыс істейтіні себепті, әдетте, олардың өмірлікуақыты шектелген және компьютердің іске қосылған уақытына созылады (жекеленген жағдайларды қоспағанда, мәселен, зиянды код тізілімде орналастырылғанда). Сондықтан әдеттегі вирустарды пайдаланумен салыстырғанда, зиянкестердің шабуыл жасауға деген уақыт аралығы аз болады.

Файлсыз вирустар қалай жұмыс істейді

Зақымдау сценарийлерінің біреуін ұсынамыз.

- Сіз Flash плагин (немесе осы плагинді қолдайтын қандай да бір басқа браузер немесе javascript) орнатылған Chrome пайдаланасыз.

- Сіздің Flash плагин ескірді және сіз жаңартуларды уақытылы орнатқан жоқсыз.

- Сіз эксплойткит қамтылған веб-сайтқа кіресіз,мәселен, Angler

- Эксплойткит сіздің жүйеңізді осалдықтар тұрғысынан сканерлеп, Flash плагинді табады. Chrome процестің жадысына пайдалы жүктемені жүктеу орындалады.

- Егер пайдалы жүктеме күшпен алушының модулі болып табылса, кілтті алу үшін зиянкестердің бақылауындағы командалық сервермен қосу жүргізіледі.

- Және соңында сіздің компьютеріңіздегі деректерді шифрлау орындалып, зиянкестер деректерді қалпына келтіру үшін ақша төлеуді талап етеді.

Осымен, пайдалы жүктеме осалдығы бар процестің жадысына тікелей енгізіледі және компьютердің жедел жадысында іске қосылады.

Дәстүрлі вирусқа қарсы өнімдермен айқындаудан құтылу үшін зиянкестер сигнатуралық немесе басқа әдістермен детектрленуі ықтимал зиянды БҚ-ны дискіге орнатпау туралы шешім қабылдайды.

Дәстүрлі шешімдер көптеген жағдайларда зиянды пайдалы жүктемені осалдық пайдаланылып, пайдалы жүктеме дискіге сақталғаннан кейін немесе компьютердің жадысында қандай да бір іс-қимылдар орындалған соң айқындайтынын ескерейік.

Тағы бір мысал келтірейік: кликфрод (желіде пайдаланушылардың басқан санына байланысты ақы төленетін жарнамалық хабарландыру орналастыру) және Poweliks (2014) күшпен алушы.

- Poweliks – жүйеде болуын қамтамасыз ету үшін операциялық жүйенің тізілімін пайдаланатын файлсыз вирус: Poweliks тізілімнің ішкі кілтінде сақталатын JavaScript-ке зиянды код енгізу үшін Windows rundll32.exe ОЖ-ның рұқсат етілген процесін пайдаланады. JavaScript пайдалы жүктеме ретінде әрекет етеді де Poweliks белсенділігі мен тізілімнің тиісті ішкі кілттерін тексере отырып, жүйеде зиянды кодтың болуын қамтамасыз ететін Watchdog процесін орнатады және іске қосады. Кілттер болмаған жағдайда оларды қалпына келтіреді.

- Poweliks-те жарнамалық сұрау салуларды өндіру үшін пайдаланылатын өздігінен орнатылған түйінді сөздер тізімі болады.

- Зиянды код түйінді сөздерді пайдаланып жарнамаға сұрау салады және пайдаланушының жарна желісі қайтаратын URL қарайтынына үміттенеді, бұл зиянды БҚ иеленушісіне құрбандардың жарнаманы жүктеу есебінен ақша алуға мүмкіндік береді. Бұған қоса аталған хабарландырулар құрбанның көзіне көрінбейді және ол өзінің компьютерінде Poweliks бар екенін білмейді.

- Сонымен бірге Poweliks зақымдалған ДК-дағы іздестіру сұрау салуларында зиянды веб-сайттарға сілтемелер бере алады. Бұл басқа зиянды БҚ үшін жария етілген компьютерге жол ашады. Мәселен, Poweliks көрсететін веб-сайттардың біреуінде құрбанның компьютеріне Trojan.Cryptowall троянын жүктеу орындалады.

Эксплойткит – файлсыз вирустармен зақымдаған кезде пайдаланылатын аспаптардың біреуі

Файлсыз зиянды БҚ-мен зақымдаған кезде эксплойткиттер жиі маңызды рөл атқарады. Эксплойткиттер – компьютерге немесе кез келген басқа жүйеге басып кіру мақсатында осалдықтарды не қосымшалардағы қателерді іздеуге арналған бағдарламалық қамтылым.

Біз Angler эксплойткитін атап өткен болатынбыз. Осы экслойткит файлсыз вирустармен зақымдауды қамтамасыз етуге қабілетті, ол өте икемді, сондай-ақ оны айқындау деңгейі төмен. Бұл оны зиянды БҚ-ның банктік трояндардан бастап күшпен алуышаларға дейін кең спектрін таратуда пайдалануға болатынын және бұл ретте қорғау шешімдерінің оны жиі айқындай алмайтынын білдіреді.

Файлсыз вирустардың өскелен танымалдағына ықпал ететін маңызды факторлардың бірі «экслойткиты-как-сервис» қызметінің пайда болуы. Әртүрлі кибер қылмыскерлер осы мүмкіндікті кеңінен пайдаланады.

Үлгі ретінде файлсыз трояндарды, экслойткиттерді пайдалана отырып, жасалған Kovter (2015) (фирустарды таратуға арналған спам компания), CoreBOT (қаржылық деректерді ұрлау) сияқты шабуылдарды атауға болады.

Кибер қылмыскерлер қорғау технологияларының өзгерісіне шапшаң әрекет етеді және оларға бейімделеді, себебі олардың басты мақсаты қысқа мерзімде және мүмкіндігінше үлкен көлемде ақша табу болып табылады.

Кибер қауіпсіздік жөніндегі мамандар үшін коммерциялық эксплойткиттерде файлсыз вирустармен зақымдау техникаларын айқындау таңғаларлық болды. Кибер қылмыскерлердің жүйеде болуды қамтамасыз етудің орнына олардың шабуылдарын қиындықпен детектрлеуді таңдауына сену қиын. Әдетте банктік шоттан ақша ұрлауды ұйымдастыру үшін пайдаланушының қорғауын ескермеуге және деректерді жинау мен фильтрлеуге уақыт керек. Бірақ зиянкестер түрлі технологияларды құрамдастыруды үйреніп (эксплойткиттер мен денесіз зиянды код), өте жасырын, дегенмен тиімділігі кем емес іс-қимыл жасау мүмкіндігіне ие болып, бұл файлсыз зиянды кодтың санының артуына әкелді.

РЕКОМЕНДАЦИИ