ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Курт Баумгартнер 

  

Фальшивые антивирусы: актуальные тенденции


  Группы киберпреступников, распространяющие фальшивые антивирусы, в последние годы столкнулись со значительными трудностями, однако история на этом не заканчивается...

  Некоторые преступные группы были арестованы. Деятельность других, включая разработку кода и поддержку колл-центров, была пресечена. Какие-то группы соблазнились легкой добычей, привлекли к себе слишком много внимания и в результате были вынуждены оставить свои ботнеты. В ряде случаев киберпреступникам не хватило навыков и умений по разработке противо-антивирусных технологий, черной поисковой оптимизации и распространению зловредов. Они не поспевали за эволюцией антивирусных технологий, не прикладывали к этому достаточных усилий, и в результате сошли со сцены.

  Тем не менее, некоторые из выживших группировок, распространяющих фальшивые антивирусы, подняли ставки и теперь агрессивно развивают труднодетектируемые полиморфные установщики и трудноудаляемые вспомогательные компоненты. В число последних входят и только начинающие появляться «в дикой среде» по-настоящему опасные 64-разрядные вредоносные компоненты. С другой стороны, сам лже-антивирус по своей сути практически не изменился. Значительные силы тратятся на разработку технологий уклонения от обнаружения антивирусными решениями и «развод» пользователя с целью заставить его заплатить за фальшивый продукт. В качестве примера можно привести такие вспомогательные и руткит-технологии, как TDSS с его крайней сложностью или более свежий Black Internet (также известный как Trojan-Clicker.Win32.Cycler). Эти сложные MBR-вирусы, заражающие главную загрузочную запись диска, и другие руткит-компоненты предназначены для того, чтобы избежать удаления с компьютера пользователя лже-антивирусов, приносящих их создателям деньги. Все говорит о том, что для разработки подобных зловредов предпринимаются значительные усилия.

  В то же время, стандартные пакеты эксплойтов, используемые различными киберпреступными группировками для распространения своих фальшивых антивирусов, не усложнились. Налицо обратная тенденция: из интернет-канала сбыта исчезли более сложные пакеты экплойтов, а более простые, типа Eleonore и Phoenix, остались. В большинстве случаев шелл-код, технологии эксплуатации уязвимостей, а также шифрования и уклонения от обнаружения антивирусами практически не развиваются. Для распространения зловредов чаще всего используются уже существующие технологии и методы социальной инженерии, а новые технологии не применяются. По сути, происходит злоупотребление доверием пользователя, которого обманом заставляют запустить на своем компьютере не заслуживающий доверия исполняемый файл.

  О чем это говорит? Для доставки зловредов на компьютеры пользователей по-прежнему эффективны простые и недорогие методы. Отсюда можно сделать ряд выводов:

  1. Конечные пользователи не устанавливают обновления безопасности.
  2. Уязвимости недостаточно быстро обнаруживаются и/или закрываются, либо утилиты автоматического обновления применяются недостаточно оперативно.
  3. Многие пользователи все еще работают без эффективной защиты.

  Почему так получается? Причин множество, и их можно обсуждать. Возможно, пользователи сознательно не хотят тратить время и усилия на установку/обновление систем безопасности, считая, что риск заражения или взлома незначителен (хотя при общении с владельцами зараженных компьютеров рациональность их решения уже не кажется такой убедительной). Проблема также может заключаться в сетевых политиках, устанавливаемых IT-департаментами предприятий. Также нельзя исключить случаи недостаточного понимания необходимости установки систем безопасности и незнания того, как поддерживать и обновлять ПО. И наконец, может оказаться, что некоторые системы безопасности не вполне справляются с задачей защиты компьютеров от вредоносных программ. Вероятнее всего, мы имеем дело с сочетанием всех этих факторов.

  Киберпреступники усложняют свои зловреды только в тех случаях, когда им это выгодно. Поэтому усложнение таких вспомогательных инструментов, как руткит-компоненты, при одновременном упрощении способов доставки зловредов показывает, что наиболее эффективные способы предотвращения drive-by загрузок вредоносного ПО и распространения зловредов по-прежнему используются недостаточно широко.

  Плод, висящий ниже других, почти наверняка будет сорван первым.

Источник: securelist  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100