Пять видов атак, которые ваш обычный антивирус не обнаружит
1
  
Новости
Пять видов атак, которые ваш обычный антивирус не обнаружит
13 дек 2019
 
 
Вы уверены, что ваш антивирус обезопасит от любых атак? Узнайте, как некоторые из них избегают обнаружения средствами защиты, или воспользуйтесь надежным облачным решением USM Anywhere от AT&T CyberSecurity (ex-AlienVault). 
 
5 видов атак, которые ваш обычный антивирус не обнаружит: 
 
#1 Вредоносные атаки криптомайнинга 
 
Инструменты Cryptomining преобразуют вычислительные мощности в доход. В то время, как рынок криптовалюты быстро растет, процессор, необходимый для майнинга криптовалют —все еще очень дорогостоящий. Поэтому злоумышленники создают вредоносные программы и другие способы атаки, чтобы незаметно отобрать у жертв вычислительные ресурсы для криптомайнинга.  
 
Их методы включают: 
  • Использование открытых ресурсов AWS или учетных данных AWS для кражи ресурсов облачных вычислений, часто называемых «криптоджакингом» 
  • Атаки с использованием браузера, которые работают, когда посетитель просматривает законный, но скомпрометированный веб-сайт 
  • Вредоносное ПО, часто доставляемое через фишинговые кампании, что нагружает процессор на ваших конечных точках 
Любая разновидность криптомайнинга может иметь катастрофические последствия для вашего бизнеса. Например, когда злоумышленники превращают скомпрометированные конечные точки и облака в молчаливые армии зомби-майнеров криптовалюты (и все это без единого антивирусного предупреждения). Без расширенных инструментов обнаружения угроз, которые охватывают ваши конечные точки и общедоступные облака, единственным свидетельством взлома ваших вычислительных ресурсов может быть снижение производительности приложения/сети или стремительный рост счета за AWS. 
 
#2 Reverse PowerShell атаки 
 
Даже в шпионских романах все знают, что лучший способ избежать обнаружения — вести себя как “свой”. Злоумышленники следуют этому подходу и все чаще используют PowerShell, а также другие санкционированные сервисы для обхода традиционного антивирусного программного обеспечения. Получив доступ к учетным данным администратора и выполняя авторизованные действия с правами администратора, хакеры могут уменьшить свою зависимость от вредоносных программ и использовать наборы эксплойтов, а также легче избежать обнаружения, что делает процесс кражи данных более скрытным. 
 
#3 Атаки на RDP  
 
Протокол удаленного рабочего стола (RDP) позволяет удаленно подключаться к системе Windows, обычно требуя предоставить пароль пользователя, прежде чем вы сможете получить доступ к сеансу. Однако известный способ обойти это — запустить tscon.exe (процесс клиента RDP) от имени пользователя SYSTEM, который не запрашивает пароль. И никакие антивирусы не срабатывают. Совет: общедоступные службы RDP на ваших конечных точках служат открытым приглашением для злоумышленников, поэтому убедитесь, что ваша политика шлюза блокирует эти соединения по умолчанию (или разрешает подключения только с авторизованных IP-адресов). 
 
#4 APT / Rootkits 
 
Усовершенствованные постоянные угрозы (APT) включают в себя серию шагов, каждый из которых может легко обойти традиционные методы обнаружения (мы подробно рассмотрим каждый из этих шагов в следующем разделе). Эти смешанные угрозы часто начинаются с фишингового письма для получения учетных данных, а затем переходят к установке вредоносных программ, таких как руткиты, которые глубоко внедряются в операционную систему конечной точки. Если удалось получить root-доступ на уровне ядра, у тебя развязаны руки – делай что угодно.   
 
#5 Ransomware 
 
Злоумышленники знают, как вводить новшества. Последние инновации в подходах вымогателей включают ransomware-as-a-service, а также нацеливание на широко используемые корпоративные облачные приложения. Одним из примеров, который легко обходит антивирус, является вымогатель ShurL0ckr, предназначенный для облачных корпоративных платформ для обмена файлами. Ransomware-as-a-service позволяет злоумышленникам выплачивать автору процент от выкупа после создания и распространения полезной нагрузки, которая шифрует файлы на диске. 
 
Как киберпреступники уклоняются от обнаружения антивирусом: 
 
Хотя эти атаки могут иметь свои отличия, они имеют некоторые специфические характеристики, которые помогают им избежать обнаружения традиционными антивирусными инструментами. Эти четыре важных шага показывают, как это делается: 
 
#1 DELIVERY 
 
Антивирусные инструменты на основе сигнатур пытаются отлавливать и помещать в карантин вредоносные файлы по мере их загрузки или выполнения на конечных точках. Проблема в том, что современные атаки действуют без загрузки или выполнения вредоносных файлов на объекте атаки. Вместо этого они используют социальную инженерию (фишинг), используют уязвимости ОС и упаковывают вредоносный код в нормально выглядящие файлы, чтобы избежать обнаружения в процессе доставки. 
 
Например, широко распространенный банковский троян Emotet использует фишинг электронной почты для доставки вредоносного кода в виде макроса Microsoft Office. Недавние атаки, включая WannaCry и NotPetya, использовали уязвимость EternalBlue SMB в Windows для удаленного выполнения кода. 
 
После того, как злоумышленник закрепится на конечной точке жертвы, он может использовать PowerShell для загрузки полезных данных и распространения. А поскольку традиционный антивирус создан для поиска необычных файлов, PowerShell и другие нативные процессы легко выполняются под их контролем. 
 
#2 EVASION 
 
Идеальное преступление — использовать нативные компоненты системы против жертвы. Используя то, что уже находится на конечной точке (например, tscon.exe, PowerShell и т.д.), хакеры атакуют намного быстрее, одновременно избегая обнаружения антивирусом. 
 
#3 LATERAL MOVEMENT 
 
Endpoints предоставляют хакерам необходимую точку входа в сеть жертвы. Как только конечная точка скомпрометирована следующим шагом будет последовательное перемещение по другим объектам сети - lateral movement, чтобы найти нужные активы и цели. Это могут быть учетные данные администратора домена, файловые серверы и т.д. 
 
После того, как злоумышленник получит учетные данные администратора домена, он может перемещаться буквально в любую точку этого домена, воруя и удаляя данные без единого предупреждения от антивирусного программного обеспечения. 
 
#4 COVER TRACKS 
 
После выполнения грязной работы умный злоумышленник будет скрывать свои следы. Используя учетные данные администратора домена, злоумышленники легко удаляют файлы журналов на каждой конечной точке, которую они использовали в этом домене, чтобы не оставлять критических зацепок для исследователей. С помощью одного скрипта PowerShell все цифровые “хлебные крошки” исчезают, и пока еще не существует антивируса, способного заметить это. 
 
Обнаружение расширенной угрозы конечной точки с EDR 
 
Существует три ключевых стратегии для эффективной, масштабной и гибкой защиты конечных точек: 
 
Профилактика необходима, но ее — недостаточно 
 
Enhanced data rate (EDR) с вашим антивирусом. Обнаружение угроз конечной точке на каждом из четырех этапов (описанных выше) требует рассмотрения действия более целостно, как цепь событий, а не как отдельные события, которые проскальзывают ниже уровня ваших радаров. Одним из примеров является сценарий «скрыть свои следы». Пока вы собираете и архивируете журналы событий конечной точки (за ее пределами), вы сможете собирать ключевые данные, необходимые для расследования инцидентов нарушений данных. 
 
Мониторьте все и везде 
 
Мониторинг безопасности является наиболее ценным, когда он — всеобъемлющий. В дополнение к мониторингу конечных точек, вам также нужно будет отслеживать:  
  • Облачные приложения, к которым они подключаются  
  • Системы аутентификации, которые дали им доступ 
  • Файерволлы, которые разрешали соединения 
  • Локальные контроллеры домена в вашем офисе и др. 
Пусть все будет управляемым и масштабируемым 
 
Чтобы идти в ногу с возникающими рисками, вам будет полезно упростить набор инструментов и максимально автоматизировать все, что возможно. Объединив свои возможности мониторинга безопасности сети, хоста и облака в единую платформу, вы сможете быстрее реагировать на инциденты и получите полную картину происходящего. Кроме того, возможности автоматизации и оркестровки позволят вам останавливать часть атак сразу при их обнаружении. 
 
AlienVault Unified Security Management® (USM), являясь частью многофункциональной платформы для обнаружения угроз, реагирования на инциденты и соблюдения соответствия регуляторным требованиям. Облачное решение AT&T CyberSecurity (ex-AlienVault), USM Anywhere™, централизует и автоматизирует поиск уязвимостей на локальных и облачных средах, таким образом вы можете обнаружить угрозы раньше и быстрее реагировать. А благодаря постоянному анализу угроз от AlienVault Labs ваша защита остается актуальной по мере их развития. 
 
В отличие от решений для точечной безопасности, USM Anywhere объединяет ряд инструментов информационной безопасности в единую облачную платформу, в том числе EDR, SIEM, IDS, сканер уязвимости и многое другое, предоставляя вам необходимые возможности безопасности в единой консоли, что значительно снижает стоимость и сложность IT-инфраструктуры. 
 
Если у вас возникли вопросы по решениям AT&T Cybersecurity (ex-AlienVault), пожалуйста, пишите нам на alienvault@bakotech.com.  
К списку новостей      >