Может ли кибербезопасность быть в курсе? Будущее вредоносных программ и антивирусов

Будущее вредоносных программ и антивирусов станет интересным полем битвы. Вредоносное ПО постоянно развивается, заставляя разработчиков антивирусов поддерживать темп. Но футуристические представления об автоматизированных системах противодействия хакерскому обучению гораздо ближе, чем вы думаете.

На самом деле, будущее здесь.

Он прибывает как раз вовремя. Новый поток вредоносных программ без файлов заражает правительственные учреждения, предприятия и банки по всему миру. Вирус без файлов по существу невидим. Когда-то единственная сфера действия национальных угроз — теперь она входит в мейнстрим.

Вредоносное ПО достаточно развито, поэтому обычным пользователям, таким как вы, мне не нужно об этом беспокоиться. По крайней мере, пока. Тем не менее, существует четкая картина того, что необходимо для обеспечения безопасности в ближайшие годы.

Антивирус машинного обучения

Британская компания Darktrace Antigena, специализирующаяся в области кибербезопасности, является средством автоматизации системы противодействия хакерскому обучению. С точки зрения непрофессионала, это антивирусное программное обеспечение, которое учится при воздействии новых данных

, В этом случае Antigena используется для поиска странных поведенческих паттернов в корпоративных системах. Некоторые атаки легче обнаружить, чем другие.

Антигена заметила необычное поведение в одной компании после того, как Великобритания проголосовала за выход из Европейского Союза. Сотрудник, недовольный стратегией своего работодателя Brexit (портманто «Британия» и «выход»), попытался утечь конфиденциальные документы. Антигена отслеживает угрозу, но также автоматизирует ответ.

Система машинного обучения представляет собой еще один шаг вперед для Darktrace. Система действительно учится, хотя некоторые атаки легче остановить, чем другие. Например, атака вымогателей «выглядит как взрыв бомбы», в то время как инсайдерская атака намного тоньше.

Основным отличием является время отклика. Antigena замечает атаку на самых ранних стадиях заражения, не позволяя атаке вымогателей шифровать файлы

, «Мы начинаем прерывать подобные атаки», — объясняет Дейв Палмер, директор по технологиям DarkTrace. К тому времени, когда отреагирует человек или даже традиционный пакет безопасности конечной точки, будет слишком поздно.

Поведенческая киберзащита

Антивирусное решение для машинного обучения не является беспрецедентным. Антивирусные продукты для домашних пользователей теперь регулярно используют эвристическое сканирование. Вместо сканирования конкретных сигнатур файлов, эвристический подход анализирует подозрительные характеристики и поведенческие паттерны. Основной целью эвристического анализа является предотвращение атаки до ее начала, сравнимой с антигеном.

Усовершенствованные решения по машинному обучению, такие как Antigena, вряд ли будут долгое время поражать домашние компьютеры. Это просто слишком сложно и слишком сильно. Математический принцип и расширенное сканирование среды уже просочились, заставляя поставщиков домашних антивирусных программ переосмыслить свои стратегии развития.

Это ведущий прогрессивный, автоматизированный дизайн безопасности.

Что такое безфайловая вредоносная программа?

Что еще движет прогрессивным антивирусным дизайном?

Вирус без файлов является относительно новым, но нетрадиционным вектором атаки. Безфайловое заражение вредоносным ПО существует только в оперативной памяти или ядре системы, а не полагается на прямую установку

на системный жесткий диск. Вирус без файлов использует ряд тактик проникновения, чтобы проникнуть в систему, оставаясь при этом полностью необнаруженным. Вот один пример того, как работает атака:

  • Пользователь заходит на веб-сайт, используя свой браузер, по принуждению через спам-сообщение.
  • Flash загружен.
  • Flash вызывает и использует PowerShell для вставки команд на основе памяти.
  • PowerShell автоматически подключается к серверу командования и управления (C2) для загрузки вредоносного сценария PowerShell.
  • Сценарий находит конфиденциальные данные и возвращает их злоумышленнику.

На протяжении всего процесса файлы не загружаются. Уровень скрытности на дисплее впечатляет. Страшно, но впечатляет.

Атака без файлов не оставляет следов, если злоумышленники неосторожны — прочитайте наш следующий раздел — или хотите, чтобы вы нашли файл, как визитную карточку.

Кроме того, безфайловое вредоносное ПО предоставляет злоумышленникам ценный ресурс: время. Со временем злоумышленники применяют сложные, многоуровневые эксплойты против ценных целей.

Русский банкомат мошенников

Вы когда-нибудь мечтали о деньгах, выливающихся из банкомата, когда вы проходите мимо? Что ж, команда российских хакеров сделала это, освободив 800 000 долларов как минимум из восьми банкоматов. Это выглядит очень просто.

Мужчина подходит к банкомату. Банкомат выдает пачку наличных. Человек уходит, по-видимому, довольный своим вновь обретенным богатством. Принудительное использование банкомата для выдачи наличных по требованию — не новая уловка. Тем не менее, почти безбумажный метод используется.

Лаборатории Касперского сообщили, что злоумышленники оставили единый файл журнала, что дало исследователям жизненно важный ключ в их расследовании.

«На основании содержимого файла журнала они смогли создать правило YARA — YARA — это инструмент исследования вредоносных программ; в основном они сделали запрос на поиск в общедоступных хранилищах вредоносных программ. Они использовали его, чтобы попытаться найти исходный образец вредоносного ПО, и через день поиск дал некоторые результаты: DLL-файл под названием tv.dll, которая к тому времени была замечена в дикой природе дважды, один раз в России и один раз в Казахстане. Этого было достаточно, чтобы начать распутывать узел.

Злоумышленники установили черный ход в безопасности банка. Затем они установили вредоносное ПО на банкомат изнутри инфраструктуры банка. Вредоносное ПО выглядит как законное обновление и не вызывает никаких предупреждений. Злоумышленники запускают удаленную команду, которая сначала спрашивает, сколько денег находится в автомате, а затем запускается триггер.

#ATMitch — мошенники украли 800 000 долларов у 8 российских банкоматов, используя #Fileless # Malware # CyberSecurity #CyberAttackhttps: //t.co/KF941wnOMJ pic.twitter.com/fY2HnlwHSs

— Мустафа AFYONLUOGLU (@afyonluoglu) 11 апреля 2017 г.

Деньги обходятся. Хакер уходит богаче. В то же время вредоносная программа начинает операцию очистки, удаляя все исполняемые файлы и удаляя любые изменения, внесенные в банкомат.

Защита от вредоносных программ без файлов

Когда вредоносное ПО без файлов впервые появилось, целевая система работала очень медленно. Ранние примеры были неэффективно закодированы. Таким образом, их было легче обнаружить, потому что целевая система остановилась бы. Конечно, это длилось недолго, и заражение вредоносными программами без файлов невероятно сложно. Тем не менее, это не невозможно.

  1. Обновить. Держите все в курсе, все время

    , Обновления безопасности имеют решающее значение

    , Уязвимости найдены и исправлены. По данным US-CERT, «85 процентов целевых атак можно предотвратить» с помощью регулярных исправлений.

  2. Образование. Вредоносное вредоносное ПО будет поступать через зараженный сайт или фишинговую электронную почту. Разобраться в том, как определить фишинговую электронную почту

    среди спам-шума.

  3. Антивирусный. Слухи о кончине антивируса сильно преувеличены

    , Современный антивирус может блокировать связь с сервером управления и контроля, останавливая заражение вредоносным ПО без загрузки файлов, загружая его полезную нагрузку по сценарию.

Самый большой вынос держать вашу систему обновленной. Конечно, есть уязвимости нулевого дня

, Но, несмотря на то, что они берут заголовки, они все же являются исключением, а не правилом.

Парящий в будущее

Корпоративные антивирусные решения уже рассматривают, как будет выглядеть будущее вредоносных программ. Достигнутые успехи отразятся на потребительских продуктах, которые защищают вас и меня. К сожалению, этот процесс иногда идет медленно, но в настоящее время происходит значительный сдвиг в сторону поведенческого антивируса.

Атаки без файлов, так жарко сейчас. pic.twitter.com/ovmjS2Gdac

— Malware Unicorn (@malwareunicorn) 4 апреля 2017 г.

Точно так же безфайловое вредоносное ПО попадает в мейнстрим, но по-прежнему является специализированным «инструментом» в руководстве для хакеров. Так как такое безфайловое вредоносное ПО использовалось только против ценных целей, но, будьте уверены, злонамеренные хакеры обеспечат его распространение на наших компьютерах.

Вредоносные программы постоянно развиваются. Как вы думаете, наши антивирусные продукты делают достаточно, чтобы защитить нас? Или ответственность лежит на обучении пользователей? Дайте нам знать ваши мысли ниже!

Кредиты изображений: ktsdesign / Shutterstock

Ссылка на основную публикацию
Adblock
detector