Angara Professional Assistance | Незаметный вирус

Незаметный вирус

Исследование, проведенное в ИБ-компании Sophos в отношении программы-вымогателя LockFile, прояснило, как вредонос пытается обойти защиту от заражения подобным ПО.

Напомним, что за наименованием LockFile стоит семейство программ-вымогателей, появившихся в июле текущего года. Доставка вымогателя завязана на обнаруженном весной комплексе уязвимостей под общим названием ProxyShell на почтовых серверах Microsoft Exchange. Эксперты заключают, что после проникновения в сеть жертвы LockFile используют свежую уязвимость под названием PetitPotam для захвата контроля над доменом.

Итак, в чем же заключается подход, позволяющий вымогателю оставаться в системе жертвы незамеченным? Хитрость кроется в алгоритме шифрования, используемом LockFile. В образце шифровальщика, исследованном специалистами из Sophos, был обнаружен новейший метод, названный прерывистым шифрованием. Как отмечает директор инженерного департамента компании Sophos Марк Ломан, частичное шифрование файлов уже использовалось на практике такими вымогателями, как LockBit 2.0, DarkSide и BlackMatter, которые модифицируют только часть атакованных документов – первые 4096 байт, 512 КБ и 1 МБ соответственно. Целью такого подхода является сокращение времени на непосредственное шифрование системы. Метод же LockFile в первую очередь направлен на обход средств обнаружения активности вредоносного ПО. Алгоритм прерывистого шифрования LockFile выстроен таким образом, что каждый файл шифруется, начиная с n-го байта и далее каждые остальные 16 байтов с таким же шагом. Таким образом, документ остается частично читаемым, что кардинальным образом влияет на результат статистического анализа содержимого из-за схожести с оригиналом документа. Поэтому некоторые технологии обнаружения оставляют манипуляции шифровальщика без внимания.

Кроме описанного метода для сокрытия от систем обнаружения LockFile использует следующие трюки:

  • ввод-вывод с отображением в памяти – помогает быстрее получать доступ к кэшированным документам и выполнять операцию записи файла на диск системным процессом Windows, не связывая ее с фактическим вредоносным процессом;

  • не требует для работы связи по сети с управляющим сервером C&C, то есть может шифровать данные на машинах без доступа в Интернет, исключая обнаружение подозрительной сетевой активности.

К счастью, корпорация Microsoft уже устранила уязвимости ProxyShell и PetitPotam, выпустив соответствующие патчи, что позволяет защититься от шифровальщика LockFile, использующего их для захвата домена.

«Болезнь Ransomware всё увереннее укрепляется на первых позициях рейтинга атак с использованием ВПО. И хотя многократно доказано на реальных примерах, что устранять последствия атаки шифровальщика гораздо сложнее и затратнее, чем предотвратить заражение, большая часть компаний не принимает мер по защите собственной инфраструктуры от нее. Это в том числе подтверждается чуть ли не ежедневным появлением новостей об очередной успешной атаке. К сожалению, даже такая рядовая манипуляция, как установка обновлений безопасности, проводится администраторами с большим запозданием, если вообще выполняется. Мы настоятельно рекомендуем не затягивать с установкой патчей на уязвимые машины, а также следовать рекомендациям разработчиков для корректного выполнения обновления и своевременного устранения возможных проблем», – напоминает Татьяна Лынова, аналитик группы оперативного мониторинга Центра киберустойчивости Angara Cyber Resilience Center.

В случае нехватки квалифицированных штатных работников, способных поддерживать защищенность внутренних активов компании, последняя может оставаться на должном уровне за счет обеспечения безопасности инфраструктуры информационных систем организации провайдером соответствующих услуг.  Специалисты Angara Professional Assistance готовы помочь и проконсультировать своих клиентов в вопросах корректного обновления эксплуатируемых систем во избежание использования открытых уязвимостей злоумышленниками.

За подробностями об услуге можно обратиться к разделу «Сопровождение». Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.