Джон П. Мелло младший
16 марта 2021 г., 6:05 по тихоокеанскому времени
Злоумышленники в Интернете использовали электронную почту в качестве основного средства доставки вредоносного ПО своим жертвам в последнем квартале 2020 года, HP и Bromium сообщили во вторник.
Отчет HP-Bromium Threat Insights Report показал, что 88 процентов вредоносного ПО было доставлено по электронной почте в почтовые ящики его адресатов, во многих случаях обходя меры на почтовых шлюзах по фильтрации зараженной корреспонденции.
«В конечном итоге злоумышленники пользуются тем фактом, что обмен и открытие документов по электронной почте — это нормально», — заметил Алекс Холланд, старший аналитик вредоносных программ в HP.
«Финансовые и ИТ-отделы, как правило, активно используют макросы для автоматизации бизнес-процессов, поэтому запретить их повсеместно часто нереально», — сказал он TechNewsWorld.
Электронная почта по-прежнему будет основным средством доставки из-за слабости вовлеченных людей, утверждает Джозеф Нойманн, директор по безопасности в Coalfire, поставщик консультационных услуг по кибербезопасности из Вестминстера, штат Колорадо.
«В отличие от брандмауэров или серверов, уровень осведомленности о безопасности у каждого человека разный и меняется ежечасно в зависимости от того, сколько кофе он пил или не пил», — сказал он TechNewsWorld.
Двир Саяг, руководитель отдела исследования киберугроз в Hunters, открытой компании по поиску угроз XDR с офисами в Тель-Авиве и Лексингтоне, штат Массачусетс, добавил, что хакеры понимают, что фишинговые атаки по электронной почте, особенно с использованием социальной инженерии, являются одними из самых затратных. эффективные способы компромисса.
«Макросы Word легко купить или написать код с нуля, и заставить жертву щелкнуть по одному из них с помощью простой атаки по электронной почте с помощью социальной инженерии в большинстве случаев не составит труда», — сказал он TechNewsWorld.
Содержание статьи
Обнаружение уклонения
В отчете HP-Bromium отмечено увеличение на 12 процентов по сравнению с предыдущим кварталом использования вредоносных программ, которые использовали уязвимость для запуска вредоносных сценариев при открытии документа Microsoft Word.
Исследователи HP также обнаружили на 12% рост использования вредоносных исполняемых файлов, при этом почти три четверти из них используют уязвимость повреждения памяти в редакторе формул Microsoft Office.
«Основное преимущество исполняемого файла заключается в том, что вы устраняете необходимость в промежуточных этапах вредоносного ПО и размещении полезной нагрузки, которые могут быть отключены регистраторами доменов и веб-хостами», — пояснил Холланд.
Отчет HP также показал, что среднее время, в течение которого угрозы становятся известны антивирусным ядрам с помощью хеширования, составляло более недели (8,8 дней).
«Угрозы занимают так много времени из-за способности вредоносных программ изменять сигнатуры», — пояснил Нойман.
«AV-хеши должны генерироваться кем-то, кто идентифицирует вредоносное ПО и затем отправляет его как плохое», — продолжил он. «Антивирусные обнаружения, основанные только на хэш-значениях, умирают, и их все чаще заменяют системами, которые обнаруживают и реагируют на эвристические поведенческие обнаружения».
Холланд добавил, что злоумышленники неоднократно находили новые способы обхода традиционного обнаружения инструменты на основе.
«Для каждого нового варианта вредоносного ПО, созданного хакерами, у них есть несколько дней форы, чтобы заработать на своих кампаниях, заражая машины до того, как сработают средства обнаружения», — сказал он. «Благодаря автоматизации этот процесс стал проще, чем когда-либо».
Методы обфускации
Исследователи HP также сообщили, что 29 процентов вредоносных программ, захваченных для анализа, ранее были неизвестны, в основном из-за широкого использования упаковщиков и методов обфускации, используемых для уклонения от обнаружения.
«Злоумышленники используют ряд методов, чтобы скрыть свои атаки. Конкретные особенности зависят от того, с какими средствами защиты они сталкиваются в среде своей жертвы», — пояснил Сарью Найяр, генеральный директор Gurucul, компании по разведке угроз в Эль-Сегундо, Калифорния. ]
«Проблема с« ранее неизвестными »угрозами заключается в том, что изначально нет известных индикаторов компрометации, что означает, что первоначальное обнаружение должно исходить от поведения злоумышленника или какой-либо другой деятельности, которая выявляет их присутствие», — сказала она TechNewsWorld.
Один из способов сокрытия своей деятельности злоумышленниками — использование секретных каналов, заметил Брайан Кайм, старший аналитик Forrester Research.
«Они могут использовать службу DNS для кодирования вредоносных команд внутри, казалось бы, безвредного запроса DNS», — сказал он TechNewsWorld. «Каждое предприятие должно использовать DNS. Так работает Интернет». DNS, служба именования доменов, превращает веб-имена в IP-адреса, чтобы браузер мог добраться до желаемого пункта назначения.
Метод обфускации, цитируемый в отчете HP, — это DOSfuscation. Это набор методов обфускации, описанных исследователем безопасности Дэниелом Боханноном в 2018 году.
«Они предназначены для обхода жестких правил обнаружения путем сокрытия подозрительных строк в интерпретаторах командной строки и журналах», — пояснил Холланд.
«Контрольные индикаторы DOSfuscation включают использование подстрок переменных окружения, вставки символов, реверсирования и кодирования цикла for», — продолжил он.
«Этот метод эффективен, потому что правила SIEM [Security Information and Event Management] часто полагаются на сопоставление подозрительных ключевых слов, чтобы отличить вредоносную и законную деятельность от таких процессов, как PowerShell», — сказал он.
Традиционные недостатки
Нойман утверждал, что большинству хакеров не нужно скрывать свои угрозы.
«Большинство эксплойтов и техник используют общие уязвимости или используют социальную инженерию для получения доступа и грабежа сетей», — сказал он.
«Учитывая огромные размеры киберпространства, — продолжил он, — есть вещи, оставленные открытыми, не отслеживаемыми или не исправленными, которые просто позволяют участникам проникнуть».
«Большинству сетей не хватает полной видимости сети. трафика или угроз и не знает, когда они активно используются или использовались », — добавил Нойман.
Глобальный руководитель отдела безопасности персональных систем HP Ян Пратт отметил, что в ежеквартальном отчете подчеркиваются недостатки традиционных средств защиты, которые основаны на обнаружении, чтобы блокировать проникновение вредоносных программ на конечные точки.
«Пытаться обнаружить каждую угрозу бесполезно, что-то всегда будет проскальзывать через сеть», — сказал он в своем заявлении.
«Организации начинают осознавать это и все чаще стремятся внедрить принципы проектирования с нулевым доверием в свою архитектуру безопасности», — продолжил он.
«Изоляция приложений с помощью виртуализации обеспечивает доступ с наименьшими привилегиями к рискованным действиям на конечной точке, делая вредоносные программы безвредными, изолируя их на микровиртуальных машинах», — пояснил он. «Аппаратно-принудительная изоляция исключает возможность вредоносного ПО причинить вред хост-компьютеру — даже с помощью нового вредоносного ПО — потому что оно не полагается на модель безопасности с обнаружением и защитой».
Чрезмерное инвестирование в профилактику
Пока существуют уязвимости нулевого дня, стратегии предотвращения будут иметь высокий процент отказов, утверждает Тим Уэйд, технический директор группы технического директора Vectra AI, санаторий. Хосе, штат Калифорния, поставщик решений для автоматического управления угрозами.
«Нынешнее состояние организационных чрезмерных инвестиций в профилактику почти всегда является упражнением в дорогостоящем, предельном увеличении возможностей с удушающей стоимостью парализованных бизнес-целей и все более ограниченной производительности», — утверждал он
.
«Что важнее предотвращения, — продолжил он, — это устойчивость, которая включает в себя определение инвестиций в безопасность, которые минимизируют воздействие атаки». 
