Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Вирусная активность и вспышки эпидемий по данным экспертного сообщества ProvisionSecurity.Club Внимание Вирусная активность и вспышки эпидемий по данным экспертного сообщества ProvisionSecurity.Club

5.00 звёзд 2 Оценок
Статус
В этой теме нельзя размещать новые ответы.

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,422
Лучшие ответы
53
Симпатии
13,677
Баллы
718
Адрес
Россия
#1
Logo_3.png

Здесь вы можете ознакомиться с информацией наших экспертов о вспышках вирусной активности и эпидемиях, связанных с конкретными вредоносными программами за определенный промежуток времени. Тема несет предупредительный характер и может содержать оперативную полезную информацию, актуальную в момент обнаружения всевозможных инцидентов. Будьте начеку!

Вредоносные программы, проявившие большую активность и прочие опасности во второй половине июля — в первой половине августа 2018 года

1. Спам-рассылки, содержащие гиперссылки на фишинговые и вредоносные веб-ресурсы

Никуда не подевались традиционные методы злоумышленников, связанные с массовой рассылкой спам-писем. Такие письма как правило содержат либо непосредственно вложения в виде файлов (документов с опасными внешними ссылками или сразу вредоносные объекты, готовые сразу запуститься на исполнение), либо, что имеет место значительно чаще, внешние ссылки на фишинговые и вредоносные веб-ресурсы. Если в первом случае вам с большей долей вероятности подсунут вирус, то во втором варианте развития событий возможен как переход на мошеннический сайт, нацеленный на манипуляцию своими посетителями с целью получения нужной информации, так и на веб-ресурс, содержащий в своем коде вредоносное ПО или предлагающий скачать таковое сразу при открытии злополучной ссылки из письма.

Пример такого спам-письма, полученный как раз в указанный промежуток времени:

1.jpg

Стоит отметить, что, помимо неизвестного отправителя (он может пытаться выдать себя за известного), такие письма не особо содержательны и нацелены на лишь частичную дачу информации для пробуждения в жертве страха, паники, а вместе с ними и желания до конца выяснить суть затронутого вопроса. Самое неприятное то, что, если письма со спам-вложениями как правило отфильтровываются (попадают в папку "Спам") спам-фильтрами большинства онлайн-сервисов электронной почты, после чего уже приходят просто пустыми и безвредными, то письма с внешними ссылками, как на примере выше, не перестают содержать представляющие угрозу url-адреса в своем тексте.

К сожалению, именно второй тип спам-писем с внешними гиперссылками чаще всего пропускается спам-фильтрами различных сервисов электронной почты. Пример выше отображает случай с Яндекс.Почтой, когда такое письмо не попало автоматически в папку "Спам", а сразу отображалось во входящих как непрочитанное.

Гиперссылка, находящаяся в упомянутом выше письме, находилась в сочетании слов "Сейчас же принять меры!". Вот какой таинственный url-адрес за ней скрывался:

2.jpg

Ещё один хитрый ход — использовать дополнительное перенаправление на конечный опасный сайт через сайт посредник, который сам по себе является безопасным и возможно даже защищенным (протокол https). Такой метод позволяет отвлечь внимание тех, кто захочет просмотреть содержимое url-адреса гиперссылки до того, как осуществит переход, а также в ряде случаев затруднить проверку такого адреса на предмет чего-либо опасного.

И действительно, за несколько дней (по данным на 4 июля 2018 года) лишь один антивирусный движок с базой вредоносных и мошеннических веб-адресов стал указывать на подозрительность конечного url-адреса:

3.jpg

Даже если в данном случае сайт уже не представляет опасности по истечению времени (всё-таки различными IT-компаниями и мировыми провайдерами ведется деятельность по зачистке таких веб-ресурсов), то считайте, что вам повезло. Но если письмо свежее, то и вирусы, иные опасности в них — тоже свежее некуда. В этом то и заключается основная опасность спам-писем, поскольку вам предлагается всё самое свежее и горячее, прямо из рук злоумышленников.

Выводы как всегда прозрачны и очевидны: использование электронной почты через веб-интерфейс сулит вам заражением новейшим вредоносным ПО, и это благодаря лишь одному даже случайному клику по ссылке из открытого письма. Нажали на кнопку мыши — сильно пожалели. Для минимизации подобных рисков используйте почтовые клиенты, благо их существует достаточно много.

Подробнее про спам-письма и вредоносные рассылки вы узнаете из данного видеоролика.

2. Trojan-Ransom Nemucod (JS): скрипт-шифровальщик, распространяющийся преимущественно через почтовые спам-рассылки

Опасность: критическая

Тип: вымогатель-шифровальщик, троянская программа класса Ransomware


4.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на проверку типичного представителя на сервисе VirusTotal показывает, что обнаруженная двумя сутками ранее свежая модификация троянца сигнатурно не детектируется более 80% антивирусов.

Недаром наш обзор текущей ситуации в информационном пространстве начался именно со спам-писем. Шифровальщики, спровоцировавшие массовые эпидемии ещё в 2014 году, которые привели к множественной и безвозвратной утрате данных, не перестают давать о себе знать и по-прежнему не спускаются со сводок самых популярных вирусов. Один из таких представителей — шифровальщик Nemucod, продолжает династию вымогателей-шифровальщиков. Первые упоминания о нем датируются
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
,
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
годами. С каждым годом троянец становился все более функциональным и мощным, вследствие чего он заслонил собой многие другие вирусы схожего типа и активно используется злоумышленниками как основной инструмент для получения прибыли.

Отличительной чертой этого шифровальщика являются следующие детали:
  • Распространяется преимущественно через спам-рассылки в электронной почте в виде вложения или файла, доступного по прямой ссылке из тела спам-письма
  • Чаще всего представляет собой скрипт, написанный на языке Visual Basic или Java Script (что позволяет ему встраиваться напрямую в код веб-страницы). Расширения файла исходного тела: js, vbs, wsf. Сам скрипт изначально является не совсем шифровальщиком, а представляет собой посредника-загрузчика (Trojan-Downloader) информации из сети с серверов злоумышленника, необходимой для начала процесса шифровки
  • Осуществляет очень быструю шифровку (в среднем шифрует все за 1-5 минут) пользовательских данных на компьютере жертвы на всех дисках (HDD, SDD), обходя стороной только критические системные и служебные файлы. Некоторые, особо агрессивные вариации шифратора Nemucod подвергали шифровке даже исполняемые (.exe) и библиотечные (.dll) файлы, не относящиеся к самой системе, а только к прикладным программам пользователя
  • Исходя из предыдущего пункта следует, что Nemucod шифрует подавляющие большинство типов файлов (расширений), включая не только текстовые, архивные, офисные, графические и мультимедийные файлы, но и исполняемые
  • Использование криптостойких алгоритмов шифрования, таких как AES и RSA с большой длиной ключа, в более половине процентов случаев заражений приводит к безвозвратной утрате всех данных пользователей и повреждению прикладных программ
Методы противодействия: брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений), а также средства для защиты папок, эвристические и поведенческие анализаторы (возможно в составе комплексного антивирусного ПО)

Так как в случае, когда заражение уже пропущено и данные зашифрованы, с вероятностью более 90% вернуть назад что-либо уже не получится (если не сделаны резервные копии утраченных данных), поэтому основным методом борьбы с данным вирусом является именно предотвращение заражения. Результаты проверки говорят о том, что надеяться на сигнатурное обнаружение шифровальщика со стороны вашего антивируса или иного защитного ПО даже при условии наличия последних обновлений антивирусных баз, мягко говоря, не стоит. Основное средство спасти себя — задушить скрипту доступ в сеть: в этом случае, если даже он запустился, шифровку он начать не сможет, поскольку, если будет заблокирован фаерволом, ответа от сервера злоумышленника он не получит, как и все необходимое для шифровки. А дальше он будет продолжать безобидно висеть в памяти, пока не будет прибит проактивной защитой или файловым антивирусом при появлении на него баз сигнатур. Акцент на хорошем, правильно настроенным сетевом экране, который не даст доступ в сеть вирусу и занесет его в черный список для постоянной блокировки, или срабатывание средств для поведенческого и эвристического анализа при наличии сходства в заранее известном вредоносном поведении (модели), спасет вам жизнь.

А если хотите вообще без риска — проверяйте всё, что запускаете, хотя бы по VirusTotal, и не переходите по неизвестным ссылкам.

Шифровальщик Nemucod детально рассматривался нами в том же самом видеосюжете, где мы рассказывали про спам и опасные рассылки именно на его примере.

Не забывайте ни на секунду о том, что Nemucod и другие шифровальщики не просто одни из наиболее встречающихся вирусов, но и самые опасные зловреды из всего, что сейчас широко распространено.

Данные статистики обнаружения вирусов Dr.Web наглядно иллюстрируют сказанное выше — шифровальщики не покидают ТОП-50 из наиболее встречающихся вирусов, и находятся в первой десятке этого топа (по данным с 1 по 4 августа находятся на девятом месте):

7.jpg

И самое страшное, что в числе самых популярных и массовых вирусов, обнаруженных спам-фильтрами Dr.Web на всевозможных сервисах электронной почты, эксплойт, загружающий после своего проникновения на компьютер жертвы опять же троянца-шифровальщика, занимает первое место:

8.jpg

Такие печальные новости говорят о том, что, во-первых, наиболее вероятно, что через электронную почту и спам письмо вы получите именно самое опасное — шифровальщика, и, во-вторых, большинство пользователей используют устаревшие версии офисного пакета Microsoft Office (или обновления Microsoft до сих пор бесполезны и не помогают), посредством которого они как раз и запускают зараженный эксплойтом документ из спам-письма. Именно об этой этой уязвимости и на примере именно этого эксплойта мы говорили об этой проблеме в отдельном видеосюжете несколько лет назад, но, видимо, нас услышали только единицы.

Подробнее об опасностях в офисных пакетах и документах можно узнать в другом нашем видеоролике.

3. Trojan-PSW / Trojan-Spy Fareit (Win32): похититель паролей (и не только), ведущий охоту за вашими данными

Опасность: средняя

Тип: троянская программа-шпион

5.jpg

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
на проверку типичного представителя на сервисе VirusTotal. Как видно из результатов анализа, даже несмотря на совсем малый возраст (чуть более суток) вредоносного образца, в отличие от Nemucod, антивирусные вендоры способны даже автоматически обнаруживать новые модификации этого трояна-шпиона. Причиной тому являются незамысловатые вирусописатели, незначительно из раза в раз изменяющие исходный код своего детища (или ограничивающиеся одной только перепаковкой).

Несмотря на то, что Fareit сам по себе не сильно выделяется на фоне другого шпионского ПО, и уж тем более не считается опаснейшим представителем такого класса вирусов, его основное оружие — массовость распространения и постоянный выход новых модификаций (которые пусть и не сильно отличаются с точки зрения кода). Первые сообщения о его появлении
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
2014-2015 годом. В настоящий момент его по праву можно причислить к группе одних из самых многочисленных троянцев-шпионов.

По данным статистики обнаружения вирусов Dr.Web, этот шпион занимает 35-место в топе 50 самых часто обнаруживаемых вирусов за 1-4 августа 2018 года:

6.jpg

То есть антивирусы Dr.Web отправляют сведения об обнаружении этого вируса очень и очень часто, что только подтверждает необычайную популярность троянца (но все равно не такую большую, как у шифровальщиков). Распространяется он множеством способов, наиболее популярные из которых — вредоносные сайты и спам-письма.

Отличительные черты шпиона Fareit весьма смазаны и не особо выделяют его на фоне других троянских программ-шпионов:
  • Некоторые модификации не только похищают данные, но ведут чисто шпионскую деятельность (например, слежка по веб-камере и создание скриншотов экрана), а также могут содержать в себе функционал Trojan-Downloader и подгружать в зараженную систему иные вредоносные программы, после чего запустив их на исполнение
  • Ведет охоту за конфиденциальной информацией: учетными записями различных веб-сайтов, сервисов и приложений, кукисами браузеров, данными кредитных карт и прочим. Не удивляйтесь, если вашу учетную запись где-либо взломали или сняли денежку с вашей карты (двухфакторная авторизация может спасти вас в данном случае), а ищите причину утечки сначала на своем же компьютере, поскольку она может буквально находится в списке активных процессов
Методы противодействия: брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений), а также антивирусное ПО с обновленными базами сигнатур

Поведение зловреда Fareit ничем не отличается от типичной троянской программы: попадает на компьютер жертвы он в виде безобидного на первый взгляд исполняемого файла, выдающего себя за какую-то конкретную прикладную программу или ПО для взлома. После своего запуска шпион копирует свое тело в отдаленную папку (возможно, скрытую — AppData или ProgramData) и создает соответствующую запись на автозагрузку в системном реестре, чаще всего по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В процессе своей работы активно использует сетевое подключение и связывается с удаленными адресами злоумышленника для отсылки украденной информации и получения дальнейших команд с целевого сервера. Украденная информация (Steal Data) зачастую может находиться в скрытом каталоге по пути AppData\Local или AppData\Local\Temp в виде текстовых файлов, которые шпион периодически отправляет своему хозяину.

Не трудно догадаться, что блокировка доступа в сеть для данного вируса с помощью сетевого экрана решит главную проблему с утечкой конфиденциальной информации. В остальном, с троянской программой в состоянии справиться любой популярный бесплатный или платный антивирус с обновленными базами (можно
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и штатными защитными средствами Windows). А если вы опытный пользователь и владеете основами ОС Windows, то вам не составит труда самостоятельно обнаружить в списке активных процессов и области автозагрузки что-то уж очень инородное (то, что вы не устанавливали намеренно), и удалить это средствами системы, предварительно выгрузив из памяти.

Наш видеосюжет, посвященный шпионскому ПО, поможет вам лучше узнать, что из себя представляют троянские программы-шпионы.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 

x-sis

Совет Клуба
Команда форума
Администратор
Регистрация
26.02.2014
Сообщения
6,422
Лучшие ответы
53
Симпатии
13,677
Баллы
718
Адрес
Россия
#2
Вредоносные программы, проявившие большую активность и прочие опасности во второй половине июля — в первой половине августа 2018 года: часть 2

4. Спам-рассылки продолжаются, приобретая всю большую массовость

Спустя чуть больше недели на почту от Яндекса пришло точно такое же письмо, как в первой части сводки по безопасности, но уже от другого отправителя (его почта по-прежнему создана на Яндексе):

1.jpg

При этом, реакции от спам-фильтра Яндекс.Почты и второй раз не последовало: письмо оказалось сразу во входящих.

Гиперссылка в письме никуда не делась и располагалось в том же самом месте. Поменялась сама ссылка, лишний редикерт через легитимный сайт исчез:

2.jpg

По общей динамике рассылок понятно, что они стали массовыми (только на один ящик второе такое письмо приходит второй раз, спустя неделю). Также заметно, что спамеры активно сменяют почтовые ящики, с которых осуществляют вредоносную рассылку и используют новые url-адреса в своих спам-письмах. Вся эта деятельность направлена на то, чтобы, сколь это возможно избежать блокировки как на уровне самого ящика электронной почты, так и на уровне тех гиперссылок, которые они вкладывают в свои спам-письма.

Показатель выявления не отличается и только один вендор определяет новую ссылку как подозрительную (по сути, это и есть тот же адрес, только с меньшим числом перенаправлений):

3.jpg

Куда же мы в конечном итоге попадем, если все-таки перейти по ссылке из спам-письма? Конечный сайт будет иметь совершенно другой url-адрес, никак не фигурировавший в первоначальной ссылке из письма (возможно использование малоизвестных сервисов для сокращения ссылок):

4.jpg

Попадаем мы на сайт с очередным мошенническим разводом. Если не оставлять здесь никаких конфиденциальных данных и тем более не пытаться перечислить средства, если это попросят сделать далее, то можно выйти сухим из воды, просто закрыв вкладку с сайтом.

При проверке url-адреса конечного сайта видим все тот же околонулевой показатель выявления, но уже другого вендора, хотя сайт явно мошеннический:

5.jpg

Злоумышленники используют всевозможные методы в спам-рассылках, далеко не всегда базирующиеся на одних вредоносных объектах и опасных сайтах: нередко они играют в психологические игры со своими жертвами и пытаются с помощью методов социальной инженерии заставить их добровольно оставить на мошенническом сайте конфиденциальную информацию.

5. Угрозы в документах, использующие уязвимые офисные пакеты Microsoft Office, заслоняют собой все остальные вредоносные объекты

Опасность: высокая

Тип: троянская программа-эксплоит (Exploit) / троянская программа-загрузчик (Trojan-Downloader)

Статистика обнаружения Dr.Web, приведенная в первой части сводки, показывает необычайно широкую распространенность троянского ПО в категории эксплоитов, нацеленных на эксплуатацию незакрытых уязвимостей в офисных пакетах Microsoft Office. Эти угрозы в своей популярности опередили даже шифровальщиков, заняв первое место в текущем рейтинге самых популярных вредоносных программ.

Типичный представитель — загрузчик-эксплоит, входящий в состав документа Microsoft Word (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT):

6.jpg

Стоит только попытаться открыть docm-документ, вместе с ним запустится на исполнение троянец-эксплоит. Воспользовавшись незакрытой уязвимостью, в том случае, если установлен устаревший офисный пакет без надлежащих патчей по безопасности (которые, кстати говоря, помогают далеко не всегда), вредонос извлекает из себя или загружает из сети другую вредоносную программу, завершая тем самым свою работу. Что именно через незакрытую уязвимость вам подсунет эксплоит — сравнимо с игрой в рулетку, но это что-то останется в вашем компьютере и будет запускаться вместе с ним постоянно. Нередки случаи, когда такие эксплоиты, после эксплуатации уязвимости в офисном пакете, подбрасывают в систему жертвы свежего шифровальщика, что приводит к немедленной и безвозвратной потере данных.

И таких объектов множество. Вот пример зараженного xlsm-документа Microsoft Excel (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT):

7.jpg

Помимо всего прочего, возродились и некогда забытые макровирусы, точно также способные причинить не меньше вреда при открытии неизвестного документа.

Методы противодействия: основной метод — установка обновлений и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
для офисного пакета Microsoft Office, которые приходят вместе с обновлениями для ОС Windows, при условии включенного параметра "При обновлении Windows предоставить обновления для других продуктов Майкрософт" в Дополнительных настройках, на примере Windows 10:

10.jpg

В том случае, если патч не установлен и уязвимость не закрыта, она будет использована экслоитом для внедрения в систему другого вредоносного ПО. Брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений) способны помочь в ситуациях, когда эксплоит обращается за подбрасываемым им вирусом в сеть (но чаще всего, ситуация осложнена тем, что делает он это от имени самого офисного пакета с доверенным рейтингом (Microsoft Office в белом списке брандмауэра), что снижает шансы сетевого экрана на блокировку).

В остальном, если эксплоит воспользовался незакрытой брешью, дальше универсального рецепта нет: лечимся от того, что оставил вам после себя сам эксплоит.

6. PDF-документы также могут быть заражены эксплоитами, нацеленными на уязвимости в AdobeReader

Опасность: высокая

Тип: троянская программа-эксплоит (Exploit) / троянская программа-загрузчик (Trojan-Downloader)

8.jpg

Причем, напомню, это настоящий PDF-документ (
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
с результатами проверки на VT), но включающий в себя опасное содержимое, которое немедленно запустится на исполнение, стоит вам только его открыть:

9.jpg

При открытии документа, запустится Adobe Reader и сам документ откроется, внешне не отличаясь от обычного PDF-документа, но вместе с ним, скрыто от вас, запустится ещё и эксплоит, который через незакрытую в Adobe Reader уязвимость оставит вам на постоянное жительство несколько других вирусов.

Методы противодействия: установка
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
от Adobe, брандмауэры и сетевые экраны (при условии обязательной блокировки неопознанных исходящих и входящих подключений)

Резюмируем

Будьте внимательны, не только когда работаете с почтой и запускаете только что скачанное исполняемое приложение, но и когда открываете какой-либо офисный документ с расширением rtf, pdf, doc, docx, xls, xlsx, ppt, pptx и так далее, поскольку в последнее время открыть документ — означает и запустить его на исполнение (вернее то, что подсунули вам внутри него). А на патчи и обновления, даже если они у вас установлены, надеяться не стоит (в случае с Adobe Reader они как правило спасают, в случае с Microsoft Office — увы, далеко не всегда).

Не забывайте, что обновлений, закрывающих некоторые уязвимости, может просто ещё не быть, и такие бреши могут считаться уязвимостями нулевого дня. Средств для закрытия этих брешей пока просто не существует, а эксплоиты, нацеленные на эту уязвимость, могут быть.

Обращайте внимание на настройки безопасности офисного пакета Microsoft Office: изначальные настройки или, что ещё лучше, более жестко регламентированные, подразумевающие открытие неопознанных документов в режиме защищенного просмотра, а также отключение макросов и элементов ActiveX, в значительной мере снизят риск заразиться чем-то из какого-либо документа, случайно открыв его, поскольку офисное приложение заблокирует опасное содержимое и запросит у вас ещё одно подтверждение на запуск содержимого документа. А если там есть чего запускать и вас об этом спрашивают — лучше задуматься, и ограничиться защищенным просмотром без запуска чего либо, после чего закрыть этот документ и держаться от него подальше. Но, к сожалению, стали появляться случаи, когда даже самые жесткие настройки офисных приложений, запрещающие запуск какого-либо содержимого, не спасают от эксплуатации уязвимости и запуска эксплоита.

И да, действительно, настал тот день, когда нужно бояться неопознанных документов больше, чем исполняемых файлов.

x-sis, при копировании материалов ссылка на форум https://ProvisionSecurity.Club обязательна.
 
Статус
В этой теме нельзя размещать новые ответы.

Сверху Снизу