Эксперты WatchGuard’s Threat Lab в своем регулярном отчете Internet Security Insights Q1 2021 отметили следующий тренд: большая часть, а именно 73,6% обнаруженных атак вредоносным ПО, является APT-атаками. Зловред либо использует уязвимость нулевого дня в целевом ПО, либо является новым вариантом известного ранее вредоносного ПО, также не распознаваемого сигнатурными методами. 



Среди наиболее часто встречающихся сэмплов – привычные шифровальщики типа Zmutzy (или Nibiru), которые, попадая через фишинговый e-mail, загружаются на ПК жертвы и при открытии устанавливают вымогательское ПО. Есть и несколько более интересных вариантов:

  • XML.JSLoader – безфайловый вирус, использующий ошибку проверки ввода при запуске PowerShell и применяемый для загрузки троянов или для снимка экрана жертвы.

  • Linux.Ngioweb.B – вирус, нацеленный на IoT-устройства. Кстати, в прошлом квартале на его месте в топ-10 был аналогичный вирус для IoT-устройств – New Moon.

Новое или качественно измененное вредоносное ПО не поддается детектированию через сигнатуры. Подобный зловред можно обнаружить в системе только через поведенческий анализ его действий. Например, если документ Word после запуска пытается изменить ключи реестра, не имеющие никакого отношения к программе MS Office Word, например, устанавливающие прокси-сервер для Интернет-соединений, – это поведение процесса крайне подозрительно и требует тщательного анализа, желательно с предварительной блокировкой действий до проведения расследования. 

«Инструменты и используемые каналы атаки на конкретную организацию постоянно меняются, в связи с этим экспертам по кибербезопасности бывает очень тяжело выявить базовый перечень техник, используемых злоумышленниками, – комментирует руководитель отдела прикладных систем группы компаний Angara Никита Аршинов. – Например, по данным международного агентства по кибербезопасности, китайские хакеры активно используют брешь в сервисе Microsoft DNS – CVE-2020-1350, которая входит в топ-25 общемировых уязвимостей. Получение контроля над доменом создает условия для дальнейшего распространения угроз внутри атакуемой компании». 

За последние годы было проведено немало успешных атак на цепочки поставок, продолжает Никита Аршинов. В качестве наиболее ярких примеров он приводит ShadowPad, ExPetr и бэкдор в CCleaner. 

По его словам, в январе была детектирована масштабная атака на цепочку поставок с использованием утилиты, предназначенной для обновления BIOS, UEFI и другого ПО на ноутбуках и настольных компьютерах. Злоумышленники, организовавшие операцию ShadowHammer, добавили в утилиту бэкдор, а затем распространили скомпрометированную программу среди пользователей через официальные каналы. Атака была направлена на неопределенную группу пользователей, идентифицированных по MAC-адресам сетевых адаптеров, отмечает Никита Аршинов.

Такие активности можно детектировать на разных уровнях поведения ПО. Для этого необходимо применить совокупно следующие механизмы:

  • Анализ сетевого трафика для построения модели сетевого взаимодействия по протоколам DNS, HTTP/S, ICAP, SMTP, в том числе анализ трафика на уровне самих узлов средствами EDR решений или средствами поиска сетевых аномалий. Дальнейший поиск отклонений и аномальных ситуаций. Данный анализ происходит в реальном времени с блокировкой подозрительного трафика для предотвращения атак. Или же осуществить сбор данных о сетевом трафике без активного противодействия для поиска аномалий и проведения анализа на большом объеме данных. Применяется только для детектирования атак и последующего расследования происшествий.

  • Технологии «песочниц» для анализа поведения ПО, которые скачиваются пользователями или проходят в сетевом трафике, используя механизм File/URL-filtration. Данный механизм поможет, например, обнаружить кейлоггеры, которые очень часто добавляют ключ в ветвь HKCU-реестра.

  • Поведенческий анализ пользовательских компьютеров – перехват системных функций и обращений к ресурсам компьютеров и поиск аномалий в функционировании пользовательских приложений и операционной системы средствам EDR-решений. Они включают в себя проактивные механизмы защиты – блокирование подозрительных операций и изоляция потенциально вредоносных приложений. Например, запуск вредоносного файла, содержащего эксплойт для уязвимости в Internet Explorer или эксплойт для ПО Adobe.

  • Сбор данных об активности приложений и операционной системы на рабочих станциях без активного противодействия для дальнейшей работы с большим объемом данных для осуществления процесса Threat-Hunting.

Необходимо всегда помнить, что APT-атаки распределены по времени, используют разные векторы атак и точки вторжения в инфраструктуру. При этом чем больше используется различных средств и методов защиты, тем выше шанс своевременно обнаружить и предотвратить атаку. Снижение рисков успешных APT-атак достигается действиями по нескольким направлениям.

Группа компаний Angara предлагает экспертные услуги по каждому из них:

  • Анализ поведения подозрительного ПО как до его попадания на ПК, так и его активности в операционной системе жертвы. Эксперты группы компаний Anagar спроектируют наиболее эффективную архитектуру системы защиты инфраструктуры, включая Sandbox и схему направления внешнего трафика на систему защиты, а также интегрируют в информационную среду средства защиты рабочих станций EDR (также на основании поведенческого анализа ПО).

  • Выстраивание процесса управления уязвимостями и обновлениями. Анализ защищенности – это непрерывный процесс, который требует как периодического сканирования систем, так и контроля за устранением обнаруженных уязвимостей, своевременной установкой программных коррекций и приведением настроек ПО и ОС в безопасное состояние. Эксперты группы компаний Angara реализуют любой из этапов работ по управлению уязвимостями, а также помогут выстроить процесс управления уязвимостями в непрерывном исполнении.

  • Создание системы ложных целей для злоумышленника: cистемы класса Honeypot или Deception создают реалистичный набор целей для злоумышленника, не связанный с реальной инфраструктурой. Эксперты группы компаний Angara работают с лучшими представителями данного класса решений и создадут на их базе беспрецедентный эшелон защиты вашей инфраструктуры от целевых атак.


Все указанные решения интегрируются с Центром киберустойчивости Angara Cyber Resilience Center (ACRC) для анализа инцидентов ИБ, обогащения событий данными и проведения расследований.