• Безопасность без пробелов

Безфайловые вирусы и места их обитания

Исследователи из аналитической компании CrowdStrike выпустили отчет Global Threat Report 2020 о тенденциях в действиях злоумышленников и их тактиках, техниках и процедурах (Tactics, Techniques, and Procedures - TTP).



Основные выводы отчета:


  • Активное развитие у злоумышленников концепций Ransomeware-as-a-Service (RaaS) и Malware-as-a-Service (MaaS) – можно описать как сервис или «аренда» вредоносного ПО от разработчика вируса, не требующая высокой квалификации от злоумышленника при планировании атаки. И также Download-as-a-Service (DaaS) – распространение среди своих заказчиков семейства вариаций вредоносного ПО, что подразумевает постоянную адаптацию атаки под современные реалии и конкретную жертву, и усложняет сам ход атаки для специалиста ИБ.


  • Заметный рост числа безфайловых вторжений - в 2019 году они занимают уже 51% атак по сравнению с 40% 2018 года. Активно развивается этот вид атак в Северной Америке, Европейском и Ближневосточном регионе, то есть для этих регионов тренд атак даже несколько выше озвученного 51%. По всей видимости по причине достаточного развития защищенности компаний в этих регионах и большей эффективности безфайловых атак по сравнению с традиционными malware-атаками.


  • Среднее время реакции на атаку (breakout time) в 2019 году выросло в более чем два раза по сравнению с 2018 годом и составляет 9 часов.


Опасность безфайловых атак заключается в сложности их детектирования и блокирования. Антивирусные решения работают в первую очередь на уровне записи вредоносного ПО на диск, а именно этого в данном типе атак не происходит. Вирус живет в оперативной памяти автоматизированного рабочего места (АРМ) пользователя.


В сравнении с прошлыми периодами значительно вырос показатель использования техники Masquerading – достаточно простой техники сокрытия вредоносного ПО от детектирования путем присваивания ему системных доверенных имен или простых техник обфускации, что, вероятно, подтверждает распространение RaaS/MaaS/DaaS модели.


Исследователи также предполагают, что это связано с активным использованием EternalBlue эксплоиты. Ранее другие исследования упоминали, что данная эксплоита была широко доступна на черном рынке бесплатно и распространилась среди злоумышленников.