SlideShare une entreprise Scribd logo

CyS Centrum Research - Один антивирус - в поле не воин

Cys Centrum
Cys Centrum

Все чаще сетевые атаки начинаются с отправки злоумышленниками электронных писем, содержащих вредоносное вложение. В результате открытия таких писем пытливыми пользователями происходит заражение компьютера вредоносной программой. Специалисты CyS Centrum провели исследование трёх активных кибер-атак и оценили возможность антивирусных продуктов идентифицировать злонамеренный код (эксплойт) в файлах-вложениях и, тем самым, пресечь атаку на самой ранней стадии.

Technologie
1  sur  8
Télécharger pour lire hors ligne
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 1 Один антивирус - в поле не воин В процессе непрерывного мониторинга киберугроз, приходится анализировать десятки вредоносных файлов. Потенциально нехорошие файлы можно получить из разных источников: как из сетевых ловушек, так и от ответственных сотрудников организаций, получивших подозрительный документ по электронной почте. Прелесть всего этого мероприятия заключается в том, что путем анализа «вредоноса» можно установить не только тип вредоносной программы, но и относящиеся к ней так называемые индикаторы компрометации (далее – IoC, в переводе с англ.: «Indicator of Compromise»). Наиболее распространенными сетевыми IoC могут быть IP-адрес и/или доменное имя, с которыми вредоносная программа, будучи установленной на компьютер жертвы, активно взаимодействует и с которых может осуществляться удаленное управление последней. Делая доклады об угрозах на ИТ и ИБ мероприятиях мы не редко слышали вопросы о том, выявляется та или иная атака с помощью используемых средств защиты (в частности, антивирусных) и насколько эффективно это происходит. Это побудило нас провести исследование возможностей 56 антивирусных продуктов выявлять актуальные для нашего региона вредоносные файлы и , тем самым, обеспечивать или не обеспечивать защиту. Исследование включает анализ трёх компьютерных атак (кампаний), пребывающих в активной фазе. Конечной целью этих атак является хищение денежных средств клиентов банков, либо самих банков: будь-то путем мошенничества в системах «клиент-банк» или же с помощью взлома систем банков. Andromeda Бот-сеть, используемая злоумышленниками как для хищения аутентификационных данных, так и для загрузки на зараженные устройства других видов вредоносных программ. По имеющимся данным, начиная с 29.07.2015, эта угроза нацелена на клиентов российских банков, а количество заражений увеличивается с каждым днем. ZeuS KINS Бот-сеть, используемая злоумышленниками для хищения денежных средств со счетов юридических и физических лиц посредством мошенничества в системах «клиент-банк». Применяется одноименная троянская программа и целый набор других утилит (как тех, которые выводят компьютер из строя после хищения для сокрытия следов, так и тех, с помощью которых может осуществляться удаленный скрытый доступ к зараженному компьютеру). Эти ребята вот уже как два года не покидают свой промысел; в 95% случаев их жертвами являются клиенты более 30 украинских банков. В одной из своих следующих статей мы опубликуем статистику в отношении убытков, нанесенных этой угрозой.
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 2 Spy.Agent.ORM Как указано в статье компании ESET [1] эта вредоносная программа представляет собой троян, который использовался и используется (прим. автора) кибербандой Carbanak в качестве полезной нагрузки первого уровня – именно он в момент компрометации устанавливался на компьютер жертвы. Ни для кого не секрет, что электронная почта является одним из самых используемых средств доставки вредоносной нагрузки на атакуемый объект. То есть, если злоумышленнику необходимо «заразить» ваш компьютер, он составит электронное письмо релевантного для вас (или вашей деятельности) содержания и прикрепит к нему, казалось бы, безобидный файл с расширением, к примеру, «.doc» или «.xls». Ключевым моментом будет как раз то, откроет ли потенциальная жертва такое письмо и будет ли уязвимо программное обеспечение компьютера жертвы к ряду уязвимостей. Эти самые письма и являются главным средством проникновения – то есть тем, с чего начинается атака. Именовать их будем RTF-эксплойт. Углубляться в описание уязвимостей не будем, а лишь отметим, что, зачастую, применяются 4-5 эксплойтов, имеющих идентификатор CVE. Суть исследования состоит в изучении возможности средств антивирусной защиты выявить и обезвредить RTF- эксплойт, присылаемый жертве по электронной почте. В качестве показателя способности определенного антивируса выявлять угрозу используется факт наличия или отсутствия вердикта антивирусных продуктов, представленных на веб-ресурсе VirusTotal [2] (на данный момент их 56) в дискретные моменты времени. «Замеры» детектов производились (приблизительно) в такие временные интервалы:  первое появление файла на VirusTotal;  1 час;  6 час;  12 час;  24 час;  2 дня;  3 дня;  4 дня;  7 дней;  8-15 дней и более. Прежде чем приступить к описанию непосредственных результатов исследования напомним (актуально для государственных организаций), что согласно данным Государственной службы специальной связи и защиты информации Украины [3], по состоянию на 15 сентября 2015 года «Перечень средств технической защиты информации, разрешенных для технической защиты государственных информационных ресурсов и информации, требования по защите которой определены законом», содержит продукты следующих производителей:  ESET [экспертные заключения: 391,392,393,394,395,396]  Avast! [экспертное заключение: 404]  Zillya [экспертное заключение: 545]
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 3  McAfee [экспертное заключение: 561]  Kaspersky [экспертные заключения: 564,565] На нашей инфографике продукты вышеуказанных производителей будут иметь зеленое окаймление. Каждая из иллюстраций (рис. 1-3) содержит метки времени, название вредоносного файла и факт детектирования или не детектирования антивирусом, который отображается с помощью размещения соответствующего логотипа в определенном временном интервале (легенда названия антивируса и логотип представлены на рис. 4). За пределами красной пунктирной линии представлены логотипы тех продуктов, которые даже в критическое, по нашему мнению, время (более 8-15 дней), не смогли разглядеть угрозу в файлах. Отметим, что при необходимости мы можем указать хеш-суммы файлов, имена которых указаны на рисунках (если это упростит вам поиск указанных файлов на VirusTotal). Рис. 1
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 4 Рис. 2 Рис. 3
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 5 Рис. 4 Какова же эффективность того или иного антивирусного продукта в отношении рассмотренных в статье угроз? Чтобы дать ответ на этот вопрос мы представляем обобщенный график эффективности выявления RTF-эксплойтов каждым из антивирусов по трём рассмотренным угрозам (Рис. 5). Для осуществления подсчетов, хоть и грубо, мы ввели понятие коэффициентов, один из которых отображает количество задетектированных файлов в конкретный промежуток времени, а второй – временной интервал детектирования; при этом, если антивирус определяет угрозу на начальном этапе, то коэффициент равен 10, если на последнем, то 1. Таким образом, если антивирус Qihoo360 определил угрозу (рис. 1) на начальном этапе (0hr) для всех 5 файлов, то общий результат равен: 5*10=50. Если антивирусный продукт Microsoft определил угрозы в разных файлах на протяжении четырех разных отрезков времени (12hr, 2 days, 3 days, 8-15 days), то общий результат будет равен: 1*6+1*5+1*4+1*1=16. Цифра в столбце рейтинга отображает количество вредоносных файлов (общее количество которых – 24), выявленных антивирусом на протяжении первых 6 часов.
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 6 Рис. 5 Посмотрев на ситуацию под иным углом, можем, также, определить насколько хорошо вредоносные программы справляются с определением антивирусного продукта, установленного на зараженном хосте (рис. 6). Эти данные позаимствованы из панели управления одной из исследованных нами бот-сетей (благо некоторые из них имеют удобную и понятную статистику). Так как трактовать эти результаты можно абсолютно по-разному – от «списывания» всего на популярность антивируса до наглядной демонстрации его неспособности выполнять защитные функции, от выводов мы воздержимся.
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 7 Рис. 6
CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 8 Этим исследованием мы хотели показать, что информационная безопасность – это нечто комплексное, подразумевающее процессный и системный подход. Помимо навыков в простой установке антивируса и святой уверенности в защищенности, еще нужно уметь пользоваться программным обеспечением (грамотно его настраивать и регулярно обновлять), а также соблюдать правила безопасного использования Интернет-ресурсов, электронной почты и прочих удобностей современного «кибер» мира. Применение средств активного мониторинга и предотвращения угроз на порядок повышает способность любой организации если не противостоять, то вовремя идентифицировать проблему. Часть информации Вы можете найти в разделах "Технические решения" и "Для банков". Просим не рассматривать результаты исследования (и воздержаться от возможных провокаций) как оценку общей эффективности антивирусных продуктов и/или рекламу любого из них. Мы провели анализ лишь трёх, актуальных в данное время угроз и отнюдь не претендуем на объективность. Более того, детектирование RTF/DOC/XLS и других файлов-документов является само по себе проблемным, так как антивирусная программа имеет определенные ограничения, связанные с недопустимостью нарушения конфиденциальности файлов пользователей. Если Вы стали «счастливым обладателем» одного из таких файлов но не знаете, содержит он вредоносную нагрузку или нет, Вы можете обратиться к специалистам CyS Centrum за помощью, написав соответствующее письмо на электронный адрес incidents@cys-centrum.com Отдел исследования киберугроз CyS Centrum Использованные материалы: [1] http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article?art_id=131520&cat_id=39181 [2] https://www.virustotal.com/ [3] http://www.welivesecurity.com/2015/09/08/carbanak-gang-is-back-and-packing-new-guns/

Recommandé

Nodal Insights for Generation Owners and Modeling with AURORAxmp
Nodal Insights for Generation Owners and Modeling with AURORAxmpNodal Insights for Generation Owners and Modeling with AURORAxmp
Nodal Insights for Generation Owners and Modeling with AURORAxmpEPIS Inc
 
sg246506
sg246506sg246506
sg246506Paul Solano
 
main
mainmain
mainAbigail See
 
Educacion on line
Educacion on lineEducacion on line
Educacion on lineBetty Tapia
 
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...Antika Alanlar
 
Optima house - дом будущего уже в Украине
Optima house - дом будущего уже в УкраинеOptima house - дом будущего уже в Украине
Optima house - дом будущего уже в УкраинеOleksii Tatianchenko
 
Niemi, Regulatory Oversight of Laboratory Primates
Niemi, Regulatory Oversight of Laboratory PrimatesNiemi, Regulatory Oversight of Laboratory Primates
Niemi, Regulatory Oversight of Laboratory PrimatesThe Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics
 
Nokia td lte-and_wimax_coexistence_and_migration
Nokia td lte-and_wimax_coexistence_and_migrationNokia td lte-and_wimax_coexistence_and_migration
Nokia td lte-and_wimax_coexistence_and_migrationmnajib171
 

Recommandé

Nodal Insights for Generation Owners and Modeling with AURORAxmp
Nodal Insights for Generation Owners and Modeling with AURORAxmpNodal Insights for Generation Owners and Modeling with AURORAxmp
Nodal Insights for Generation Owners and Modeling with AURORAxmpEPIS Inc
 
sg246506
sg246506sg246506
sg246506Paul Solano
 
main
mainmain
mainAbigail See
 
Educacion on line
Educacion on lineEducacion on line
Educacion on lineBetty Tapia
 
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...
0531 981 01 90 ATAŞEHİR KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR 05...Antika Alanlar
 
Optima house - дом будущего уже в Украине
Optima house - дом будущего уже в УкраинеOptima house - дом будущего уже в Украине
Optima house - дом будущего уже в УкраинеOleksii Tatianchenko
 
Niemi, Regulatory Oversight of Laboratory Primates
Niemi, Regulatory Oversight of Laboratory PrimatesNiemi, Regulatory Oversight of Laboratory Primates
Niemi, Regulatory Oversight of Laboratory PrimatesThe Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics
 
Nokia td lte-and_wimax_coexistence_and_migration
Nokia td lte-and_wimax_coexistence_and_migrationNokia td lte-and_wimax_coexistence_and_migration
Nokia td lte-and_wimax_coexistence_and_migrationmnajib171
 
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...Antika Alanlar
 
UCBG Course Syllabus
UCBG Course SyllabusUCBG Course Syllabus
UCBG Course SyllabusChristine Stontz
 
Abstract. Hitou P.
Abstract. Hitou P.Abstract. Hitou P.
Abstract. Hitou P.Panagiota Hitou
 
Rethink the Tech Buyer's Journey
Rethink the Tech Buyer's JourneyRethink the Tech Buyer's Journey
Rethink the Tech Buyer's JourneyBlack Marketing
 
Telarañaaaaaaaaaaaaaaa
TelarañaaaaaaaaaaaaaaaTelarañaaaaaaaaaaaaaaa
TelarañaaaaaaaaaaaaaaaJRSEUS
 
Presentation
PresentationPresentation
PresentationAndrey Skripnikov
 
SDMIMD- Institute Brochure 2015
SDMIMD- Institute Brochure 2015SDMIMD- Institute Brochure 2015
SDMIMD- Institute Brochure 2015Chaitrapallavi Hegde
 
Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?InfoWatch
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
CL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentationCL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentationLena Rovich
 
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...Expolink
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Examen 28
Examen 28Examen 28
Examen 28eard6313
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атакиInfoWatch
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
InfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch
 
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...The Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics
 

Contenu connexe

En vedette

0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...Antika Alanlar
 
Rethink the Tech Buyer's Journey
Rethink the Tech Buyer's JourneyRethink the Tech Buyer's Journey
Rethink the Tech Buyer's JourneyBlack Marketing
 
Telarañaaaaaaaaaaaaaaa
TelarañaaaaaaaaaaaaaaaTelarañaaaaaaaaaaaaaaa
TelarañaaaaaaaaaaaaaaaJRSEUS
 
Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?InfoWatch
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
CL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentationCL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentationLena Rovich
 
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...Expolink
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атакиInfoWatch
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
InfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch
 

En vedette (17)

0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
0531 981 01 90 FINDIKZADE KİTAP ALANLAR-PLAK-KİTAP-ANTİKA EŞYA SATIN ALANLAR ...
 
UCBG Course Syllabus
UCBG Course SyllabusUCBG Course Syllabus
UCBG Course Syllabus
 
Abstract. Hitou P.
Abstract. Hitou P.Abstract. Hitou P.
Abstract. Hitou P.
 
Rethink the Tech Buyer's Journey
Rethink the Tech Buyer's JourneyRethink the Tech Buyer's Journey
Rethink the Tech Buyer's Journey
 
Telarañaaaaaaaaaaaaaaa
TelarañaaaaaaaaaaaaaaaTelarañaaaaaaaaaaaaaaa
Telarañaaaaaaaaaaaaaaa
 
Presentation
PresentationPresentation
Presentation
 
SDMIMD- Institute Brochure 2015
SDMIMD- Institute Brochure 2015SDMIMD- Institute Brochure 2015
SDMIMD- Institute Brochure 2015
 
Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
CL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentationCL_Academy_bitcoin_presentation
CL_Academy_bitcoin_presentation
 
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
Георгий Филиппов (Лаборатория Касперского) - Обзор актуальных киберугроз в 20...
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
Examen 28
Examen 28Examen 28
Examen 28
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
InfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атак
 
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...
Robert Kinscherff, Adolescent Brain Development in Juvenile Justice: Young Br...
 

CyS Centrum Research - Один антивирус - в поле не воин

  • 1. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 1 Один антивирус - в поле не воин В процессе непрерывного мониторинга киберугроз, приходится анализировать десятки вредоносных файлов. Потенциально нехорошие файлы можно получить из разных источников: как из сетевых ловушек, так и от ответственных сотрудников организаций, получивших подозрительный документ по электронной почте. Прелесть всего этого мероприятия заключается в том, что путем анализа «вредоноса» можно установить не только тип вредоносной программы, но и относящиеся к ней так называемые индикаторы компрометации (далее – IoC, в переводе с англ.: «Indicator of Compromise»). Наиболее распространенными сетевыми IoC могут быть IP-адрес и/или доменное имя, с которыми вредоносная программа, будучи установленной на компьютер жертвы, активно взаимодействует и с которых может осуществляться удаленное управление последней. Делая доклады об угрозах на ИТ и ИБ мероприятиях мы не редко слышали вопросы о том, выявляется та или иная атака с помощью используемых средств защиты (в частности, антивирусных) и насколько эффективно это происходит. Это побудило нас провести исследование возможностей 56 антивирусных продуктов выявлять актуальные для нашего региона вредоносные файлы и , тем самым, обеспечивать или не обеспечивать защиту. Исследование включает анализ трёх компьютерных атак (кампаний), пребывающих в активной фазе. Конечной целью этих атак является хищение денежных средств клиентов банков, либо самих банков: будь-то путем мошенничества в системах «клиент-банк» или же с помощью взлома систем банков. Andromeda Бот-сеть, используемая злоумышленниками как для хищения аутентификационных данных, так и для загрузки на зараженные устройства других видов вредоносных программ. По имеющимся данным, начиная с 29.07.2015, эта угроза нацелена на клиентов российских банков, а количество заражений увеличивается с каждым днем. ZeuS KINS Бот-сеть, используемая злоумышленниками для хищения денежных средств со счетов юридических и физических лиц посредством мошенничества в системах «клиент-банк». Применяется одноименная троянская программа и целый набор других утилит (как тех, которые выводят компьютер из строя после хищения для сокрытия следов, так и тех, с помощью которых может осуществляться удаленный скрытый доступ к зараженному компьютеру). Эти ребята вот уже как два года не покидают свой промысел; в 95% случаев их жертвами являются клиенты более 30 украинских банков. В одной из своих следующих статей мы опубликуем статистику в отношении убытков, нанесенных этой угрозой.
  • 2. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 2 Spy.Agent.ORM Как указано в статье компании ESET [1] эта вредоносная программа представляет собой троян, который использовался и используется (прим. автора) кибербандой Carbanak в качестве полезной нагрузки первого уровня – именно он в момент компрометации устанавливался на компьютер жертвы. Ни для кого не секрет, что электронная почта является одним из самых используемых средств доставки вредоносной нагрузки на атакуемый объект. То есть, если злоумышленнику необходимо «заразить» ваш компьютер, он составит электронное письмо релевантного для вас (или вашей деятельности) содержания и прикрепит к нему, казалось бы, безобидный файл с расширением, к примеру, «.doc» или «.xls». Ключевым моментом будет как раз то, откроет ли потенциальная жертва такое письмо и будет ли уязвимо программное обеспечение компьютера жертвы к ряду уязвимостей. Эти самые письма и являются главным средством проникновения – то есть тем, с чего начинается атака. Именовать их будем RTF-эксплойт. Углубляться в описание уязвимостей не будем, а лишь отметим, что, зачастую, применяются 4-5 эксплойтов, имеющих идентификатор CVE. Суть исследования состоит в изучении возможности средств антивирусной защиты выявить и обезвредить RTF- эксплойт, присылаемый жертве по электронной почте. В качестве показателя способности определенного антивируса выявлять угрозу используется факт наличия или отсутствия вердикта антивирусных продуктов, представленных на веб-ресурсе VirusTotal [2] (на данный момент их 56) в дискретные моменты времени. «Замеры» детектов производились (приблизительно) в такие временные интервалы:  первое появление файла на VirusTotal;  1 час;  6 час;  12 час;  24 час;  2 дня;  3 дня;  4 дня;  7 дней;  8-15 дней и более. Прежде чем приступить к описанию непосредственных результатов исследования напомним (актуально для государственных организаций), что согласно данным Государственной службы специальной связи и защиты информации Украины [3], по состоянию на 15 сентября 2015 года «Перечень средств технической защиты информации, разрешенных для технической защиты государственных информационных ресурсов и информации, требования по защите которой определены законом», содержит продукты следующих производителей:  ESET [экспертные заключения: 391,392,393,394,395,396]  Avast! [экспертное заключение: 404]  Zillya [экспертное заключение: 545]
  • 3. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 3  McAfee [экспертное заключение: 561]  Kaspersky [экспертные заключения: 564,565] На нашей инфографике продукты вышеуказанных производителей будут иметь зеленое окаймление. Каждая из иллюстраций (рис. 1-3) содержит метки времени, название вредоносного файла и факт детектирования или не детектирования антивирусом, который отображается с помощью размещения соответствующего логотипа в определенном временном интервале (легенда названия антивируса и логотип представлены на рис. 4). За пределами красной пунктирной линии представлены логотипы тех продуктов, которые даже в критическое, по нашему мнению, время (более 8-15 дней), не смогли разглядеть угрозу в файлах. Отметим, что при необходимости мы можем указать хеш-суммы файлов, имена которых указаны на рисунках (если это упростит вам поиск указанных файлов на VirusTotal). Рис. 1
  • 4. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 4 Рис. 2 Рис. 3
  • 5. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 5 Рис. 4 Какова же эффективность того или иного антивирусного продукта в отношении рассмотренных в статье угроз? Чтобы дать ответ на этот вопрос мы представляем обобщенный график эффективности выявления RTF-эксплойтов каждым из антивирусов по трём рассмотренным угрозам (Рис. 5). Для осуществления подсчетов, хоть и грубо, мы ввели понятие коэффициентов, один из которых отображает количество задетектированных файлов в конкретный промежуток времени, а второй – временной интервал детектирования; при этом, если антивирус определяет угрозу на начальном этапе, то коэффициент равен 10, если на последнем, то 1. Таким образом, если антивирус Qihoo360 определил угрозу (рис. 1) на начальном этапе (0hr) для всех 5 файлов, то общий результат равен: 5*10=50. Если антивирусный продукт Microsoft определил угрозы в разных файлах на протяжении четырех разных отрезков времени (12hr, 2 days, 3 days, 8-15 days), то общий результат будет равен: 1*6+1*5+1*4+1*1=16. Цифра в столбце рейтинга отображает количество вредоносных файлов (общее количество которых – 24), выявленных антивирусом на протяжении первых 6 часов.
  • 6. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 6 Рис. 5 Посмотрев на ситуацию под иным углом, можем, также, определить насколько хорошо вредоносные программы справляются с определением антивирусного продукта, установленного на зараженном хосте (рис. 6). Эти данные позаимствованы из панели управления одной из исследованных нами бот-сетей (благо некоторые из них имеют удобную и понятную статистику). Так как трактовать эти результаты можно абсолютно по-разному – от «списывания» всего на популярность антивируса до наглядной демонстрации его неспособности выполнять защитные функции, от выводов мы воздержимся.
  • 7. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 7 Рис. 6
  • 8. CyS Centrum LLC www.cys-centrum.com ООО "САЙБЕР СЕКЬЮРИТИ ЦЕНТРУМ" rep@cys-centrum.com тел: +38 044 338 53 30 Страница 8 Этим исследованием мы хотели показать, что информационная безопасность – это нечто комплексное, подразумевающее процессный и системный подход. Помимо навыков в простой установке антивируса и святой уверенности в защищенности, еще нужно уметь пользоваться программным обеспечением (грамотно его настраивать и регулярно обновлять), а также соблюдать правила безопасного использования Интернет-ресурсов, электронной почты и прочих удобностей современного «кибер» мира. Применение средств активного мониторинга и предотвращения угроз на порядок повышает способность любой организации если не противостоять, то вовремя идентифицировать проблему. Часть информации Вы можете найти в разделах "Технические решения" и "Для банков". Просим не рассматривать результаты исследования (и воздержаться от возможных провокаций) как оценку общей эффективности антивирусных продуктов и/или рекламу любого из них. Мы провели анализ лишь трёх, актуальных в данное время угроз и отнюдь не претендуем на объективность. Более того, детектирование RTF/DOC/XLS и других файлов-документов является само по себе проблемным, так как антивирусная программа имеет определенные ограничения, связанные с недопустимостью нарушения конфиденциальности файлов пользователей. Если Вы стали «счастливым обладателем» одного из таких файлов но не знаете, содержит он вредоносную нагрузку или нет, Вы можете обратиться к специалистам CyS Centrum за помощью, написав соответствующее письмо на электронный адрес incidents@cys-centrum.com Отдел исследования киберугроз CyS Centrum Использованные материалы: [1] http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article?art_id=131520&cat_id=39181 [2] https://www.virustotal.com/ [3] http://www.welivesecurity.com/2015/09/08/carbanak-gang-is-back-and-packing-new-guns/