Именно так, тихой сапой, предпочитают действовать современные киберпреступники
Статья американского журналиста Марка Соломона (Marc Solomon), перекликающаяся с содержанием ежегодного отчета компании Cisco по информационной безопасности
Основными мотивами поведения киберпреступников все чаще становятся не известность и слава, а финансовые или политические выгоды. Из-за этого скрытность приобретает все большую важность при проведении атак. Незаметное использование тех или иных уязвимостей систем безопасности позволяет атакующим действовать исподтишка и заметать за собой следы, и для этого часто используются инновационные, невиданные ранее методы.
Ниже перечислены пять основных, часто используемых приемов атак «тихой сапой», которые следует знать специалистам по информационной безопасности.
Наборы эксплойтов. Обычно организации прилагают немало усилий, чтобы добиться лидерства в сфере своей деятельности. Для разработчиков эксплойтов, однако, такая слава может стать лишь источником проблем, как, например, получилось с авторами широко известного эксплойта Blackhole (правоохранительным органам удалось отследить и прекратить их вредоносную деятельность). В результате преступникам становится очевидным, что «больше» не всегда значит «лучше», и неважно, касается ли это масштаба бот-сети или размера «бреши» в системе безопасности. Наоборот, успешнее всего действуют те наборы эксплойтов, которые занимают четвертое-пятое место по популярности и не привлекают особого внимания.
«Спам на снегоступах». Как известно, благодаря своей большой площади снегоступ оставляет неглубокий и потому малозаметный отпечаток. Этот принцип положен в основу «спама на снегоступах»: он распространяется малыми порциями с большого количества IP-адресов. К тому же постоянно меняются текст письма, ссылки и адреса отправки — так, чтобы одна и та же комбинация никогда не встретилась дважды. Это позволяет успешно избегать обнаружения атаки стандартными средствами, в частности, с использованием технических приемов, основанных на репутации IP-адреса.
Продвинутые методы целевого фишинга. Злоумышленники продолжают совершенствовать технологии фишинговых писем. Для этого часто используются методы социальной инженерии, и даже опытным пользователям бывает тяжело выявить подделку с ходу. В последнее время фишинговые письма выглядят так, как будто они были отправлены от имени известных организаций, с которыми пользователи часто имеют дело (например, службы доставки, онлайн-магазины, службы развлечений). В письме могут присутствовать соответствующие элементы бренда и напоминание о событии, хорошо знакомом получателю — о сделанном недавно заказе или об отслеживании посылки. Такие хорошо спланированные действия создают у пользователей ложное чувство безопасности по отношению к вредоносному содержимому письма.
Разделение эксплойта между двумя разными файлами. Вредоносное ПО на основе технологии Flash может взаимодействовать с JavaScript и скрывать свою активность в силу того, что элементы эксплойта разделяются между двумя разными файлами и даже форматами: Flash и JavaScript. Это позволяет сильно затруднить обнаружение, блокирование и анализ эксплойта через реверс-инжиниринг. При этом подходе увеличивается и эффективность атаки. Например, если первая стадия атаки выполняется только посредством JavaScript, то вторая стадия — передача рабочих данных — не начнется до успешного завершения первой. Таким образом, данные будет получены только теми пользователями, которые выполняют вредоносный код.
Распространение нежелательной рекламы через расширения для браузеров. Разработчики вредоносного ПО усовершенствовали свои методы таким образом, что сейчас средой для распространения вредоносного кода и нежелательных приложений могут стать расширения для браузеров. Пользователям предлагается за небольшую плату скачать и установить какие-либо приложения, например, для просмотра PDF или видео. Источник этих приложений воспринимается как заслуживающий доверия, хотя на самом деле за ним стоят злоумышленники, распространяющие вредоносный код. Многие пользователи не подозревают о том, что расширения для браузеров могут быть источником заражения, и поэтому такой метод уже не раз доказывал свою эффективность. Таким образом, злоумышленники ухитряются оставаться незамеченными, сохраняя постоянное присутствие на компьютерах пользователей, и получают стабильную выгоду небольшими порциями, но с большого количества зараженных машин.