Positive Technologies (PT) проанализировала данные о вредоносном программном обеспечении. ПО было найдено в инфраструктуре организаций в пилотных проектах по внедрению песочницы PT Sandbox. Основная часть обнаруженных вредоносов — трояны, причём представляющие собой шпионское ПО, сообщили информационной службе Хабра в пресс‑службе ИБ‑компании.
Почти половину всех вредоносов (49%) обнаружили в почтовом трафике, больше половины были во вложениях с расширением.exe. Треть вредоносных файлов была найдена в сетевом трафике. Каждый пятый экземпляр ВПО найден в общих папках и хранилищах или загружен для проверки вручную через веб‑интерфейс. В пилотных проектах по внедрению PT Sandbox в компаниях было найдено 122 семейства ВПО и более 1,8 тысячи вредоносных.
Найденные в почтовом трафике ВПО были замечены в электронных письмах, приходивших в утренние часы (с 4:00 до 7:00) и в обед (с 13:00 до 15:00). 35% злоумышленников маскировали письма под запросы с целью уточнения цен на товары или стоимости услуг, 20% сообщений были на тему оплаты и 17% тему заказа, 13% —на тему доставки документов и товаров. В 15% писем на тему оплаты отправитель требовал срочно ответить или предпринять определённые действия, что было одним из признаков вредоносных сообщений. Много сообщений были с пометкой «срочно» и содержали просьбы подтвердить платёж, уточнить платёжные реквизиты или цены на товары и услуги для проведения оплаты. Поддельные формы аутентификации содержались в 27% писем.
По данным ИБ‑компании, 91% всех найденных вредоносов были трояны, 32% из которых оказались шпионским ПО. Они представляли собой программы, следящие за активностью пользователя (перехватывали нажатия клавиш, делали снимки экрана, записи с микрофона или веб‑камеры, сохраняли учётные данные из приложений, собирали адреса электронной почты и данные банковских карт) и передающие эту информацию злоумышленнику.
Средства кражи учётных данных составили 21%, такие вредоносы похожи на трояны‑шпионы, но они перехватывают и компрометируют учётные данные пользователя.
По данным экспертов PT, в предыдущем квартале треть атак нарушила основную деятельность многих организаций. Выявлять угрозу надо на ранней стадии, как только вредонос попытается проникнуть на устройство, чтобы он не успел нанести вред корпоративной инфраструктуре.
По исследованию ИБ‑компании, в каждом классе ВПО нашлись вредоносы, выявленные только с помощью какой‑то одной технологии, а две и больше одновременно срабатывали только в 31% случаев. Для оптимального выявления угроз и ВПО нужно стараться совмещать несколько технологий поиска уязвимостей. Исследование показало, что поведенческий и статический анализаторы сработали в 40% и 15% случаев соответственно.
Алексей Вишняков
руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies
«Для выявления вредоносов важны все компоненты песочницы: один из компонентов может сигнализировать о вредоносном воздействии, когда другим файл не кажется опасным. В ходе пилотных проектов любой файл, попадавший в песочницу PT Sandbox, проверялся с помощью нескольких технологий. Для определённых классов ВПО бóльшую эффективность в обнаружении показал поведенческий анализатор, который незаменим при выявлении новых угроз. Так, средства кражи учётных данных и банковские трояны чаще всего выявлял именно компонент поведенческого анализа (в 88% и 100% случаев соответственно). В этих случаях ВПО было хорошо упаковано или обфусцировано — либо же это были новые версии вредоносов, сигнатуры которых ещё не занесены в базы антивирусов».
