Positive Technologies (PT) проанализировала данные о вредоносном программном обеспечении. ПО было найдено в инфраструктуре организаций в пилотных проектах по внедрению песочницы PT Sandbox. Основная часть обнаруженных вредоносов — трояны, причём представляющие собой шпионское ПО, сообщили информационной службе Хабра в пресс‑службе ИБ‑компании.
Почти половину всех вредоносов (49%) обнаружили в почтовом трафике, больше половины были во вложениях с расширением.exe. Треть вредоносных файлов была найдена в сетевом трафике. Каждый пятый экземпляр ВПО найден в общих папках и хранилищах или загружен для проверки вручную через веб‑интерфейс. В пилотных проектах по внедрению PT Sandbox в компаниях было найдено 122 семейства ВПО и более 1,8 тысячи вредоносных.
Найденные в почтовом трафике ВПО были замечены в электронных письмах, приходивших в утренние часы (с 4:00 до 7:00) и в обед (с 13:00 до 15:00). 35% злоумышленников маскировали письма под запросы с целью уточнения цен на товары или стоимости услуг, 20% сообщений были на тему оплаты и 17% тему заказа, 13% —на тему доставки документов и товаров. В 15% писем на тему оплаты отправитель требовал срочно ответить или предпринять определённые действия, что было одним из признаков вредоносных сообщений. Много сообщений были с пометкой «срочно» и содержали просьбы подтвердить платёж, уточнить платёжные реквизиты или цены на товары и услуги для проведения оплаты. Поддельные формы аутентификации содержались в 27% писем.
По данным ИБ‑компании, 91% всех найденных вредоносов были трояны, 32% из которых оказались шпионским ПО. Они представляли собой программы, следящие за активностью пользователя (перехватывали нажатия клавиш, делали снимки экрана, записи с микрофона или веб‑камеры, сохраняли учётные данные из приложений, собирали адреса электронной почты и данные банковских карт) и передающие эту информацию злоумышленнику.
Средства кражи учётных данных составили 21%, такие вредоносы похожи на трояны‑шпионы, но они перехватывают и компрометируют учётные данные пользователя.
По данным экспертов PT, в предыдущем квартале треть атак нарушила основную деятельность многих орг��низаций. Выявлять угрозу надо на ранней стадии, как только вредонос попытается проникнуть на устройство, чтобы он не успел нанести вред корпоративной инфраструктуре.
По исследованию ИБ‑компании, в каждом классе ВПО нашлись вредоносы, выявленные только с помощью какой‑то одной технологии, а две и больше одновременно срабатывали только в 31% случаев. Для оптимального выявления угроз и ВПО нужно стараться совмещать несколько технологий поиска уязвимостей. Исследование показало, что поведенческий и статический анализаторы сработали в 40% и 15% случаев соответственно.
Алексей Вишняков
руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies
«Для выявления вредоносов важны все компоненты песочницы: один из компонентов может сигнализировать о вредоносном воздействии, когда другим файл не кажется опасным. В ходе пилотных проектов любой файл, попадавший в песочницу PT Sandbox, проверялся с помощью нескольких технологий. Для определённых классов ВПО бóльшую эффективность в обнаружении показал поведенческий анализатор, который незаменим при выявлении новых угроз. Так, средства кражи учётных данных и банковские трояны чаще всего выявлял именно компонент поведенческого анализа (в 88% и 100% случаев соответственно). В этих случаях ВПО было хорошо упаковано или обфусцировано — либо же это были новые версии вредоносов, сигнатуры которых ещё не занесены в базы антивирусов».
