Согласно прогнозам, к 2019 году уровень киберпреступности превысит 2 триллиона долларов, а вредоносное ПО продолжает оставаться основным инструментом нарушения безопасности. Современное вредоносное ПО стало настолько сложным, что оно может обнаружить и перехитрить системы безопасности следующего поколения, в том числе песочницы, межсетевые экраны и IPS.
Несмотря на то, что организации вкладывают значительные финансовые средства в защиту своих сетей от кибератак, вторжения вредоносных программ и утечки информации продолжают оказывать влияние на компании с угрожающей скоростью. Вредоносные атаки стали настолько распространенными, что многие ИТ-менеджеры признают - их корпоративные сети могут столкнуться с кибератакой в ??любой момент, а обычные системы безопасности уже не могут эффективно нейтрализовать новейшие вредоносные программы.
На этом фоне особый интерес вызывает исследование компании Lastline, которое опубликовано в июле 2017 года. В исследовании говорится, что хакеры, создающие современное вредоносное ПО, научились легко идентифицировать решения компании FireEye и избегать обнаружения при помощи техник уклонения.
Такое неутешительное заключение стало возможным после исследования ряда вредоносных программ, попавших к специалистам Lastline. Выявлено, что это вредоносное ПО не обнаруживается и пропускается решением от FireEye благодаря тому, что оно было изначально спроектировано таким образом, чтобы избежать обнаружения различными средствами безопасности, включая «песочницы» от FireEye.
Песочницы традиционно используют виртуальные машины (ВМ) для изоляции и анализа подозрительных объектов, чтобы определить, являются ли они вредоносными. Технология ВМ долгое время считалась эффективным подходом для анализа вредоносного ПО, поскольку обеспечивает изолированную среду, в которой можно запускать и контролировать вредоносные программы.
Однако, современные злоумышленники научились выявлять использование технологий виртуализации, которые обычно применяют в песочницах. Теперь они используют эту уязвимость для уклонения от обнаружения: когда вредоносное ПО выявляет, что оно находится в специально созданной среде, где за ним наблюдают, оно начинает показывать только «нормальное» поведение и избегает обнаружения песочницами (Sandbox), межсетевыми экранами следующего поколения (NG Firewall) и системами обнаружения/предотвращения вторжений (IDS/IPS). Вредоносное ПО применяет техники уклонения, которые полностью невидимы для песочницы и позволяют ему закрепиться в системе или проникнуть в сеть через эшелонированные системы защиты, оставшись не обнаруженным.
Первым шагом в борьбе с передовым вредоносным ПО является понимание того, как оно выявляет наличие песочницы и избегает обнаружения. Ахиллесова пята традиционных песочниц - это ограниченная видимость. Традиционная песочница не может видеть, что вредоносное ПО делает реально и не может распознать, что делает операционная система при вызове вредоносной программы. Эта ограниченная видимость значительно препятствует способности традиционных песочниц идентифицировать современные вредоносные программы.
Обычная песочница не может контролировать или обнаруживать ряд действий вредоносного ПО, включая:
вредоносный код или поведение, которое не выполняется;
вредоносный код, который не выполняется и не вызывает функции ОС;
вредоносный код, выполняемый руткитом в операционной системе;
спящий код, реализуемый самим вредоносом;
уклоняющийся код, ожидающий действия пользователя;
зашифрованный вредоносный код;
любой уклоняющийся код, ожидающий вызова центров управления и управления, ввода кода в другие приложения или перемещения в пределах сети.
«Подобная ситуация, когда вредоносное программное обеспечение начинает обходить песочницу, на мой взгляд сложилась из-за недостаточного внимания к технологической стороне анализа, в угоду маркетингу. За любым продуктом, так или иначе, стоят люди и их личная заинтересованность в развитии продукта в целом, повышение степени обнаружения в частности. В своё время мы сравнивали различные песочницы и нам очень понравилось решение от Lastline, которое делают люди из научной среды, как и мы. Их подход основан не на решении частной проблемы, а на ситуации в целом и выработке общих подходов, которые закроют конкретные вопросы. Это позволяет реализовать высокую степень обнаружения с нулевым значением ложных срабатываний, быть готовыми к ещё не появившимся вредоносам», - так прокомментировал результаты исследования Александр Попов, ведущий эксперт компании Factor Group, официального дистрибьютора Lastline в России и странах СНГ.
Исходное исследование специалистов компании Lastline доступно на сайте компании: https://go.lastline.com/Q22017-Web-FireEye5CampaignAdvancedMalware_LP.html
О компании Lastline
Компания Lastline является разработчиком решений расширенной защиты от вредоносных программ, внедряет новаторские способы защиты компаний от передовых постоянных угроз, целенаправленных атак и уклоняющихся от обнаружения вредоносных программ (Evasive Malware). Решения Lastline обеспечивают выявление угроз для быстрого и эффективного реагирования на злонамеренную активность до того, как данные будут повреждены или дискредитированы. Платформа Lastline интегрирована в решения ведущих поставщиков технологий безопасности по всему миру и используется предприятиями из списка Global 5000.
Более подробную информацию можно получить на сайте www.lastline.com
О компании Factor Group
Компания Factor Group является дистрибьютором решений ведущих мировых производителей в области информационной безопасности и телекоммуникаций, располагает большой партнёрской сетью в России и странах СНГ. Компания зарекомендовала себя как поставщика инновационных решений с нестандартным подходом и перспективным взглядом в будущее.
Более подробную информацию можно получить на сайте www.fgts.ru
Несмотря на то, что организации вкладывают значительные финансовые средства в защиту своих сетей от кибератак, вторжения вредоносных программ и утечки информации продолжают оказывать влияние на компании с угрожающей скоростью. Вредоносные атаки стали настолько распространенными, что многие ИТ-менеджеры признают - их корпоративные сети могут столкнуться с кибератакой в ??любой момент, а обычные системы безопасности уже не могут эффективно нейтрализовать новейшие вредоносные программы.
На этом фоне особый интерес вызывает исследование компании Lastline, которое опубликовано в июле 2017 года. В исследовании говорится, что хакеры, создающие современное вредоносное ПО, научились легко идентифицировать решения компании FireEye и избегать обнаружения при помощи техник уклонения.
Такое неутешительное заключение стало возможным после исследования ряда вредоносных программ, попавших к специалистам Lastline. Выявлено, что это вредоносное ПО не обнаруживается и пропускается решением от FireEye благодаря тому, что оно было изначально спроектировано таким образом, чтобы избежать обнаружения различными средствами безопасности, включая «песочницы» от FireEye.
Песочницы традиционно используют виртуальные машины (ВМ) для изоляции и анализа подозрительных объектов, чтобы определить, являются ли они вредоносными. Технология ВМ долгое время считалась эффективным подходом для анализа вредоносного ПО, поскольку обеспечивает изолированную среду, в которой можно запускать и контролировать вредоносные программы.
Однако, современные злоумышленники научились выявлять использование технологий виртуализации, которые обычно применяют в песочницах. Теперь они используют эту уязвимость для уклонения от обнаружения: когда вредоносное ПО выявляет, что оно находится в специально созданной среде, где за ним наблюдают, оно начинает показывать только «нормальное» поведение и избегает обнаружения песочницами (Sandbox), межсетевыми экранами следующего поколения (NG Firewall) и системами обнаружения/предотвращения вторжений (IDS/IPS). Вредоносное ПО применяет техники уклонения, которые полностью невидимы для песочницы и позволяют ему закрепиться в системе или проникнуть в сеть через эшелонированные системы защиты, оставшись не обнаруженным.
Первым шагом в борьбе с передовым вредоносным ПО является понимание того, как оно выявляет наличие песочницы и избегает обнаружения. Ахиллесова пята традиционных песочниц - это ограниченная видимость. Традиционная песочница не может видеть, что вредоносное ПО делает реально и не может распознать, что делает операционная система при вызове вредоносной программы. Эта ограниченная видимость значительно препятствует способности традиционных песочниц идентифицировать современные вредоносные программы.
Обычная песочница не может контролировать или обнаруживать ряд действий вредоносного ПО, включая:
вредоносный код или поведение, которое не выполняется;
вредоносный код, который не выполняется и не вызывает функции ОС;
вредоносный код, выполняемый руткитом в операционной системе;
спящий код, реализуемый самим вредоносом;
уклоняющийся код, ожидающий действия пользователя;
зашифрованный вредоносный код;
любой уклоняющийся код, ожидающий вызова центров управления и управления, ввода кода в другие приложения или перемещения в пределах сети.
«Подобная ситуация, когда вредоносное программное обеспечение начинает обходить песочницу, на мой взгляд сложилась из-за недостаточного внимания к технологической стороне анализа, в угоду маркетингу. За любым продуктом, так или иначе, стоят люди и их личная заинтересованность в развитии продукта в целом, повышение степени обнаружения в частности. В своё время мы сравнивали различные песочницы и нам очень понравилось решение от Lastline, которое делают люди из научной среды, как и мы. Их подход основан не на решении частной проблемы, а на ситуации в целом и выработке общих подходов, которые закроют конкретные вопросы. Это позволяет реализовать высокую степень обнаружения с нулевым значением ложных срабатываний, быть готовыми к ещё не появившимся вредоносам», - так прокомментировал результаты исследования Александр Попов, ведущий эксперт компании Factor Group, официального дистрибьютора Lastline в России и странах СНГ.
Исходное исследование специалистов компании Lastline доступно на сайте компании: https://go.lastline.com/Q22017-Web-FireEye5CampaignAdvancedMalware_LP.html
О компании Lastline
Компания Lastline является разработчиком решений расширенной защиты от вредоносных программ, внедряет новаторские способы защиты компаний от передовых постоянных угроз, целенаправленных атак и уклоняющихся от обнаружения вредоносных программ (Evasive Malware). Решения Lastline обеспечивают выявление угроз для быстрого и эффективного реагирования на злонамеренную активность до того, как данные будут повреждены или дискредитированы. Платформа Lastline интегрирована в решения ведущих поставщиков технологий безопасности по всему миру и используется предприятиями из списка Global 5000.
Более подробную информацию можно получить на сайте www.lastline.com
О компании Factor Group
Компания Factor Group является дистрибьютором решений ведущих мировых производителей в области информационной безопасности и телекоммуникаций, располагает большой партнёрской сетью в России и странах СНГ. Компания зарекомендовала себя как поставщика инновационных решений с нестандартным подходом и перспективным взглядом в будущее.
Более подробную информацию можно получить на сайте www.fgts.ru
.png)