Общий номер: +7 (495) 269-26-06
Техническая поддержка: +7 (495) 269-26-07
+7 (495) 419-15-03

Бесфайловые вирусы и места их обитания

16.03.2020
Бесфайловые вирусы и места их обитания

Исследователи из аналитической компании CrowdStrike выпустили отчет Global Threat Report 2020 о тенденциях в действиях злоумышленников и их тактиках, техниках и процедурах (Tactics, Techniques, and Procedures - TTP). Основные выводы:

  • Активное развитие у злоумышленников концепций Ransomeware-as-a-Service (RaaS) и Malware-as-a-Service (MaaS) – можно описать как сервис или «аренда» вредоносного ПО от разработчика вируса, не требующая высокой квалификации от злоумышленника при планировании атаки. И также Download-as-a-Service (DaaS) – распространение среди своих заказчиков семейства вариаций вредоносного ПО, что подразумевает постоянную адаптацию атаки под современные реалии и конкретную жертву, и усложняет сам ход атаки для специалиста ИБ.

  • Заметный рост числа бесфайловых вторжений - в 2019 году они занимают уже 51% атак по сравнению с 40% 2018 года. Активно развивается этот вид атак в Северной Америке, Европейском и Ближневосточном регионе, то есть для этих регионов тренд атак даже несколько выше озвученного 51%. По всей видимости по причине достаточного развития защищенности компаний в этих регионах и большей эффективности бесфайловых атак по сравнению с традиционными malware-атаками.

  • Среднее время реакции на атаку (breakout time) в 2019 году выросло в более чем два раза по сравнению с 2018 годом и составляет 9 часов.

Опасность бесфайловых атак заключается в сложности их детектирования и блокирования. Антивирусные решения работают в первую очередь на уровне записи вредоносного ПО на диск, а именно этого в данном типе атак не происходит. Вирус живет в оперативной памяти автоматизированного рабочего места (АРМ) пользователя.

В сравнении с прошлыми периодами значительно вырос показатель использования техники Masquerading – достаточно простой техники сокрытия вредоносного ПО от детектирования путем присваивания ему системных доверенных имен или простых техник обфускации, что, вероятно, подтверждает распространение RaaS/MaaS/DaaS модели. Исследователи также предполагают, что это связано с активным использованием EternalBlue эксплоиты. Ранее другие исследования упоминали, что данная эксплоита была широко доступна на черном рынке бесплатно и распространилась среди злоумышленников.

Рекомендации

Эксперты компании Angara Professional Assistance рекомендуют:

  • Направить фокус внимания команды ИБ на снижение времени реагирования на атаку. Важность этой метрики очевидна для повышения уровня защищенности, но как показывает исследование, этот временной лаг значительно вырос по сравнению с предыдущими годами. Во многом это связано с ростом сложности атак. Для усиления квалифицированного ответа на атаку эффективным является привлечение сервисных команд MSSP для мониторинга и расследования инцидентов. Компания Angara Professional Assistance предлагает услуги Центра киберустойчивости AngaraCyber Recilience Center (SOC ACRC) с фиксированным высоким SLA.

  • Использовать средства EDR в дополнение к антивирусным решениям. За счет аналитического механизма средства EDR позволяют определять сокрытия вредоносного ПО, путем анализа аномалий на защищаемом АРМ. Компания Angara Assistance предлагает уникальный MSSP сервис ACRС, реализующий функции EDR и Anti-APT для клиента.

По всем вопросам о сервисах готовы проконсультировать менеджеры компании Angara Professional Assistance - обращайтесь по телефону 8 (495) 269-26-06 или e-mail: info@angarapro.ru