Что такое вредоносное ПО? Подробное объяснение от Digimagg

Что такое вредоносное ПО?

Вредоносное программное обеспечение, сокращение от вредоносного программного обеспечения, относится к любому программному коду или компьютерной программе, разработанной с вредоносными намерениями, например программам-вымогателям, троянским программам и шпионским программам, целью которых является повреждение компьютерных систем или угроза безопасности пользователей.

Почти все современные кибератаки связаны с той или иной формой вредоносного ПО. Эти вредоносные программы широко варьируются: от крайне разрушительных программ-вымогателей до просто надоедливых рекламных программ, в зависимости от целей киберпреступников.

Киберпреступники создают и используют вредоносное ПО для:

1. Удерживайте устройства, данные или целые корпоративные сети с целью получения выкупа.
2. Незаконный доступ к конфиденциальным данным или цифровым активам.
3. Украдите ценную информацию, такую ​​как учетные данные для входа, номера кредитных карт или интеллектуальную собственность.
4. Нарушить работу критически важных систем, на которые полагаются предприятия и государственные учреждения.

Ежегодно происходят миллиарды атак вредоносных программ, поэтому заражение может произойти на любом устройстве или операционной системе, включая системы Windows, Mac, iOS и Android. Примечательно, что атаки вредоносных программ все чаще нацелены на предприятия, а не на отдельных пользователей, поскольку хакеры осознают потенциал получения большей прибыли, атакуя организации.Предприятия часто обладают значительными объемами личных данных, что делает их прибыльными целями для вымогательства или кражи данных, а украденная информация используется для кражи личных данных или продается в темной сети.

Разновидности вредоносного программного обеспечения

Киберпреступность представляет собой значительную отрасль, которая, по прогнозам, к 2025 году станет третьей по величине экономикой в ​​мире, уступая только США и Китаю, с предполагаемыми затратами в 10,5 триллионов долларов США. В этой отрасли хакеры постоянно внедряют инновации, разрабатывая новые разновидности вредоносного ПО с расширенными функциями. Эти штаммы вредоносного ПО часто со временем развиваются в новые варианты, чтобы обойти меры безопасности. С 1980-х годов появилось более 1 миллиарда различных штаммов и вариантов вредоносного ПО, что представляет собой проблему для борьбы с профессионалами в области кибербезопасности. Хакеры часто делятся своим вредоносным ПО через открытый исходный код или продавая его другим преступникам. Механизмы «вредоносное ПО как услуга», особенно среди разработчиков программ-вымогателей, позволяют даже людям с минимальными техническими знаниями участвовать в киберпреступлениях. Несмотря на динамичный характер ситуации, штаммы вредоносных программ обычно можно разделить на несколько распространенных типов.

Компьютерные вирусы

Хотя термины «вредоносное ПО» и «компьютерный вирус» часто используются как синонимы, они имеют разные значения, причем последний относится к определенному типу вредоносного программного обеспечения. По сути, вирус представляет собой вредоносный код, который присваивает законное программное обеспечение для причинения вреда и дальнейшего распространения.

Вирусам не хватает независимой функциональности; вместо этого они встраивают сегменты своего кода в другие исполняемые программы. При запуске программы вирус начинает свою работу. Обычно вирусы создаются для стирания важных данных, нарушения регулярных операций и распространения своих копий среди других программ в скомпрометированной системе.

Многие из первоначальных угроз вредоносного ПО состояли из вирусов. Например, Elk Cloner, возможно, один из первых экземпляров вредоносного ПО, распространявшегося через общедоступные устройства, представлял собой вирус, нацеленный на компьютеры Apple.

Криптоджекеры

Криптоджекер — Это тип вредоносного ПО, которое захватывает контроль над устройством для тайного майнинга криптовалюты, такой как биткойн. По сути, криптоджекеры создают ботнеты для майнинга криптовалют.

Майнинг криптовалюты — очень ресурсоемкое и дорогостоящее занятие. Киберпреступники получают прибыль, в то время как пользователи взломанных компьютеров страдают от снижения производительности и сбоев системы. Криптоджекеры часто нацелены на облачную инфраструктуру предприятия, что позволяет им накопить больше ресурсов для майнинга криптовалют по сравнению с атакой на отдельные компьютеры.

Бесфайловое вредоносное ПО

Бесфайловое вредоносное ПО означает тип нападения, использующего уязвимости в законных программных приложениях, таких как веб-браузеры и текстовые процессоры, для внедрения вредоносного кода непосредственно в память компьютера. Поскольку этот код работает в памяти, он не оставляет никаких следов на жестком диске, часто ускользая от обнаружения из-за использования подлинного программного обеспечения.

Многие бесфайловые вредоносные атаки используют PowerShell, встроенный интерфейс командной строки и инструмент создания сценариев в операционной системе Microsoft Windows. Используя сценарии PowerShell, хакеры могут изменять конфигурации, красть пароли или наносить другие виды ущерба.

Еще одним распространенным способом бесфайловых атак являются вредоносные макросы. Такие приложения, как Microsoft Word и Excel, позволяют пользователям определять макросы, состоящие из наборов команд, автоматизирующих такие задачи, как форматирование текста или вычисления. Хакеры встраивают в эти макросы вредоносные сценарии; при открытии файла эти сценарии выполняются автоматически.

Ботнеты

Ботнет представляет собой сеть подключенных к Интернету устройств, зараженных вредоносным ПО и контролируемых хакером. Эти устройства могут включать в себя ПК, мобильные устройства, устройства Интернета вещей (IoT) и другие. Зачастую жертвы не подозревают, что их устройства являются частью ботнета. Хакеры часто используют ботнеты для выполнения DDoS-атак (распределенный отказ в обслуживании), наводняющих целевую сеть чрезмерным трафиком, чтобы ухудшить ее функциональность или вызвать полное отключение.

Mirai, один из самых известных ботнетов, в 2016 году спровоцировал крупную атаку на поставщика системы доменных имен Dyn. Это нападение привело к нарушению работы популярных веб-сайтов, таких как Twitter и Reddit, для миллионов пользователей в США и Европе.

Альтернативные формы вредоносного ПО

Вредоносное ПО для удаленного доступа

Хакеры используют вредоносное ПО для удаленного доступа для проникновения в компьютеры, серверы или другие устройства путем создания или использования бэкдоров. Согласно индексу Threat Intelligence Index X-Force, наиболее распространенной целью хакеров является внедрение бэкдоров, что составляет 21% атак.

Бэкдоры открывают киберпреступникам широкие возможности. Они могут похитить данные или учетные данные, взять на себя управление устройством или развернуть еще более опасное вредоносное ПО, например программы-вымогатели. Некоторые хакеры разрабатывают вредоносное ПО для удаленного доступа для создания бэкдоров, которые затем продают другим хакерам за несколько тысяч долларов США каждый.

Определенные вредоносные программы удаленного доступа, такие как Back Orifice или CrossRAT, намеренно созданы для вредоносных целей. Хакеры также могут манипулировать законным программным обеспечением или использовать его не по назначению для получения удаленного доступа к устройству. В частности, киберпреступники используют украденные учетные данные для протокола удаленного рабочего стола Microsoft (RDP) в качестве бэкдоров.

Программы-вымогатели

Программа-вымогатель шифрует устройства или данные жертвы, требуя выкуп, обычно в криптовалюте, за расшифровку. Согласно индексу IBM X-Force Threat Intelligence Index, программы-вымогатели занимают второе место по распространенности типа кибератак, на их долю приходится 17% атак.

Базовые атаки программ-вымогателей делают активы недоступными до тех пор, пока не будет выплачен выкуп, но киберпреступники могут использовать дополнительные тактики для усиления давления на жертв.

В рамках схемы двойного вымогательства киберпреступники крадут данные и угрожают раскрыть их, если выкуп не будет выплачен. В сценарии тройного вымогательства хакеры шифруют данные жертвы, крадут их и угрожают нарушить работу систем посредством распределенной атаки типа «отказ в обслуживании» (DDoS).

Требования выкупа варьируются от десятков тысяч до миллионов долларов США. Согласно отчету, средний размер выкупа составляет 812 360 долларов США. Даже в тех случаях, когда жертвы отказываются платить, программы-вымогатели обходятся дорого. Согласно отчету IBM «Цена утечки данных», средняя стоимость атаки с использованием программы-вымогателя составляет 4,54 миллиона долларов США, не считая самого выкупа.

Пугающие программы

Scareware использует тактику запугивания, чтобы заставить пользователей загружать вредоносное ПО или раскрывать конфиденциальную информацию мошенникам. Обычно вредоносные программы проявляются в виде внезапных всплывающих сообщений с срочными предупреждениями и часто ложно обвиняют пользователей в незаконных действиях или уведомляют их о предполагаемом вирусном заражении. Всплывающее окно предлагает пользователям оплатить «штраф» или установить поддельное программное обеспечение безопасности, которое на самом деле представляет собой настоящее вредоносное ПО.

Черви

Черви — это вредоносные программы, которые распространяются между приложениями и устройствами автономно, не требуя вмешательства человека. (В отличие от вирусов, которые требуют выполнения пользователем взломанной программы.) В то время как некоторые черви размножаются исключительно, многие другие приводят к более серьезным последствиям. Например, программа-вымогатель WannaCry, причинившая ущерб примерно в 4 миллиарда долларов США, является примером червя, который усиливает свое воздействие за счет автономного распространения по взаимосвязанным устройствам.

Троян

Троянские программы маскируются под легальное программное обеспечение или встраиваются в полезные программы, чтобы обманным путем заставить пользователей их установить. Троянец удаленного доступа, или «RAT», устанавливает скрытый бэкдор на скомпрометированном устройстве. Другой вариант, известный как «дроппер», устанавливает дополнительное вредоносное ПО после получения доступа. Ryuk, крайне разрушительная разновидность программы-вымогателя, использовала трояна Emotet для заражения устройств.

Руткиты

Руткиты представляют собой пакеты вредоносного ПО, позволяющие хакерам получить привилегированный доступ на уровне администратора к операционной системе компьютера или другим ресурсам. Благодаря повышенным разрешениям хакеры могут выполнять множество действий, таких как добавление и удаление пользователей или изменение конфигураций приложений. Руткиты обычно используются для сокрытия вредоносных процессов или отключения защитного программного обеспечения.

Рекламное ПО

Рекламное ПО наводняет устройства нежелательной всплывающей рекламой. Рекламное ПО, которое часто поставляется вместе с бесплатным программным обеспечением без согласия пользователя, непреднамеренно устанавливается вместе с предполагаемой программой. Хотя большая часть рекламного ПО просто раздражает, некоторые его варианты крадут личные данные, перенаправляют веб-браузеры на вредоносные сайты или облегчают загрузку дополнительных вредоносных программ, если пользователи взаимодействуют со всплывающими окнами.

Шпионское ПО

Шпионское ПО тайно внедряется на зараженный компьютер, тайно собирая конфиденциальные данные и передавая их злоумышленникам. Распространенный вариант, известный как кейлоггер, записывает все нажатия клавиш, сделанные пользователем, что позволяет хакерам собирать имена пользователей, пароли, финансовые данные и другую конфиденциальную информацию.

Векторы атак вредоносных программ

Атака вредоносного ПО состоит из двух основных элементов: полезной нагрузки вредоносного ПО и вектора атаки. Полезная нагрузка относится к вредоносному коду, который хакеры стремятся внедрить, а вектор атаки относится к методу, используемому для передачи полезной нагрузки к цели.

Вот некоторые из наиболее распространенных векторов вредоносного ПО:

Поддельное программное обеспечение и загрузка файлов

Многочисленные формы вредоносного ПО, такие как трояны и рекламное ПО, маскируются под законное программное обеспечение или бесплатные копии медиаконтента. По иронии судьбы, они часто выдают себя за бесплатные антивирусные программы или приложения, обещающие усовершенствование устройств. Хотя торрент-сети, известные распространением пиратских медиафайлов, являются излюбленной игровой площадкой для киберпреступников, скрытые вредоносные программы могут проникать и на законные рынки. Например, вредоносная программа Goldoson заразила миллионы устройств, скрываясь в приложениях, доступных в магазине Google Play.

Схемы социальной инженерии

Нападения с помощью социальной инженерии психологически манипулируют людьми, побуждая их к несанкционированным действиям, таким как загрузка вредоносного ПО. Распространены фишинговые атаки с использованием обманных электронных писем или текстовых сообщений для обмана пользователей. Согласно индексу X-Force Threat Intelligence Index, на фишинг приходится 41% заражений вредоносным ПО.

Фишинговая переписка часто имитирует доверенные бренды или отдельных лиц, используя сильные эмоции, такие как страх («Мы обнаружили девять вирусов на вашем телефоне!»), жадность («Вас ждет задолженность по платежу!») или срочность («Время идет». вышел за своим бесплатным подарком!»). Эта тактика побуждает пользователей выполнить желаемое действие, обычно открывая вредоносное вложение в электронном письме или посещая поврежденный веб-сайт, который устанавливает вредоносное ПО на их устройство.

Уязвимости системы

Киберпреступники постоянно ищут неисправленные недостатки в программном обеспечении, устройствах и сетях, чтобы внедрить вредоносное ПО в программное обеспечение или прошивку жертвы. Устройства Интернета вещей, часто развернутые с минимальными мерами безопасности или вообще без них, представляют собой особенно благодатную почву для киберпреступников для распространения вредоносного ПО.

Нападения на цепочку поставок

В случае взлома сети поставщика вредоносное ПО может проникнуть в сети компаний, использующих продукты и услуги поставщика. Например, киберпреступники воспользовались уязвимостью в платформе VSA Kaseya для распространения среди клиентов программы-вымогателя под видом законного обновления программного обеспечения.

Пользовательские устройства

В корпоративных сетях персональные устройства пользователей служат основными переносчиками вредоносного ПО. Смартфоны и ноутбуки пользователей могут заразиться во время личного использования, особенно при подключении к незащищенным сетям, в которых отсутствуют решения безопасности компании. Когда пользователи приносят эти устройства на рабочее место, вредоносное ПО может распространиться в корпоративной сети.

Вредоносная реклама и попутные загрузки

Вредоносная реклама предполагает, что хакеры вставляют вредоносную рекламу в подлинные рекламные сети или перехватывают законную рекламу для распространения вредоносного кода. Например, вредоносное ПО Bumblebee распространялось через обманчивую рекламу Google, выдававшую себя за Cisco AnyConnect. Пользователи, ищущие подлинный продукт, увидят рекламу в результатах поиска, невольно щелкнут по ней и загрузят вредоносное ПО.

Сопутствующая тактика, «попутная загрузка», автоматически инициирует загрузку, когда пользователи посещают поврежденный веб-сайт, устраняя необходимость взаимодействия с пользователем.

Съемные медиа

Используя тактику, известную как «приманка», хакеры могут оставлять зараженные USB-накопители с заманчивыми надписями в общественных местах, таких как коворкинги или кафе. Заинтригованные этими дисками, ничего не подозревающие пользователи могут подключить их к своим устройствам, непреднамеренно заражая свои системы вредоносным ПО. Недавние исследования показывают, что 37% признанных киберугроз ориентированы на использование съемных носителей.

Обнаружение вредоносного ПО

Некоторые вредоносные программы, такие как программы-вымогатели, могут заявить о своем присутствии, но большинство из них стремятся действовать скрытно, вызывая при этом сбои. Тем не менее, заражение вредоносным ПО часто оставляет после себя индикаторы, которые команды кибербезопасности могут использовать для идентификации. Эти показатели включают в себя:

• Измененные конфигурации. Некоторые разновидности вредоносного ПО изменяют конфигурации устройств или деактивируют решения безопасности, чтобы избежать обнаружения. ИТ-специалисты и специалисты по безопасности могут заметить такие изменения, как изменения в правилах брандмауэра или повышение привилегий учетной записи.
• Снижение производительности. Вредоносные приложения используют ресурсы зараженного компьютера, занимая дисковое пространство и нарушая законные процессы. Команда ИТ-поддержки может наблюдать рост жалоб пользователей на низкую производительность, сбои системы или наводнение всплывающими уведомлениями.
• Необычное поведение сети. ИТ-специалисты и сотрудники службы безопасности могут обнаружить аномальные закономерности, например процессы, потребляющие больше пропускной способности, чем обычно, устройства, взаимодействующие с незнакомыми серверами, или учетные записи пользователей, получающие доступ к ресурсам, которые они обычно не используют.
• Оповещения о событиях безопасности. Для организаций, оснащенных решениями для обнаружения угроз, первоначальным признаком заражения вредоносным ПО, скорее всего, будет оповещение о событиях безопасности. Такие решения, как системы обнаружения вторжений (IDS), платформы информации о безопасности и управления событиями (SIEM), а также антивирусное программное обеспечение, могут сигнализировать о потенциальной активности вредоносного ПО для расследования группы реагирования на инциденты.

Защита и устранение вредоносного программного обеспечения

Атаки вредоносного ПО неизбежны, однако организации могут укрепить свою защиту, приняв несколько мер:

• Планы реагирования на инциденты. Разработка комплексных планов реагирования на инциденты, адаптированных к различным типам вредоносного ПО, позволяет командам по кибербезопасности быстро сдерживать и искоренять заражения вредоносным ПО в случае их возникновения.
• Политики безопасности. Внедрение надежных требований к паролям, многофакторной аутентификации и использования VPN для доступа к конфиденциальным ресурсам через незащищенный Wi-Fi может затруднить доступ хакеров к учетным записям пользователей. Обеспечение регулярного управления исправлениями, оценок уязвимостей и графиков тестирования на проникновение помогает обнаруживать и устранять уязвимости программного обеспечения и устройств до того, как они будут использованы киберпреступниками. Политики, регулирующие управление BYOD (принеси свое собственное устройство) и предотвращение теневых ИТ-технологий, могут предотвратить непреднамеренное внедрение пользователями вредоносного ПО в корпоративную сеть.
• Протоколы резервного копирования. Поддержание текущих резервных копий критически важных данных и образов системы, которые в идеале хранятся на отключенных жестких дисках или других автономных устройствах, облегчает восстановление после атак вредоносного ПО.
• Обучение по вопросам безопасности. Обучение пользователей методам выявления атак социальной инженерии, вредоносных веб-сайтов и поддельных приложений может ограничить заражение вредоносным ПО, вызванное такими действиями пользователей, как загрузка поддельного программного обеспечения или попадание на фишинговое мошенничество. Такое обучение также дает пользователям возможность распознавать угрозы вредоносного ПО и оперативно сообщать о них.
• Архитектура сети с нулевым доверием. Принятие подхода с нулевым доверием к сетевой безопасности гарантирует, что пользователи будут постоянно проверяться, а не доверяться, реализуя такие принципы, как минимальные привилегии, микросегментация сети и непрерывная адаптивная аутентификация. Эти меры ограничивают несанкционированный доступ пользователей или устройств к конфиденциальным данным или активам, ограничивая горизонтальное распространение вредоносного ПО внутри сети.

Вредоносное ПО и технологии кибербезопасности

В дополнение к ручным обстоятельствам, обсуждавшимся ранее, группы кибербезопасности могут использовать решения безопасности для автоматизации различных аспектов обнаружения, удаления и предотвращения принудительного ПО. Эти инструменты включают в себя:

• Антивирусное программное обеспечение. Антивирусные программы, также известные как «антивредоносное ПО», сканируют системы на предмет признаков заражения. Многие антивирусные инструменты не только предупреждают пользователей о потенциальных угрозах, но также автоматически изолируют и устраняют вредоносное ПО при обнаружении
• Платформы обнаружения и реагирования на конечные точки (EDR). Платформы EDR отслеживают конечные устройства, такие как смартфоны, ноутбуки и серверы, на наличие признаков подозрительной активности и могут автоматически реагировать на выявленные угрозы вредоносного ПО.
• Инструменты управления поверхностью атак (ASM). Инструменты ASM постоянно обнаруживают, анализируют, устраняют и контролируют все активы в сети организации. ASM может помочь командам по кибербезопасности выявить несанкционированные теневые ИТ-приложения и устройства, которые могут содержать вредоносное ПО.
• Решения для унифицированного управления конечными точками (UEM). Программное обеспечение UEM контролирует, управляет и защищает все устройства конечных пользователей в организации, включая настольные компьютеры, ноутбуки и мобильные устройства. Многие организации полагаются на решения UEM, чтобы гарантировать, что устройства BYOD сотрудников не внесут вредоносное ПО в корпоративную сеть.
• Брандмауэры. Брандмауэры служат для блокировки доступа вредоносного трафика к сети, выступая в качестве барьера против потенциальных угроз. В тех случаях, когда вредоносное ПО проникает в сетевое устройство, брандмауэры могут помочь препятствовать исходящей связи злоумышленникам, например, не позволяя кейлоггеру передавать захваченные нажатия клавиш.
• Платформы оркестрации, автоматизации и реагирования безопасности (SOAR). Платформы SOAR интегрируют и координируют различные инструменты безопасности, позволяя создавать полу- или полностью автоматизированные сценарии реагирования для борьбы с вредоносными программами в режиме реального времени.
• Платформы управления информацией о безопасности и событиями (SIEM). Платформы SIEM собирают данные из различных инструментов внутренней безопасности, объединяют их в центральный журнал и выявляют аномалии. Централизуя оповещения из нескольких источников, SIEM облегчают обнаружение едва заметных признаков вредоносного ПО.
• Платформы расширенного обнаружения и реагирования (XDR). Платформы XDR объединяют инструменты и операции безопасности на всех уровнях безопасности, охватывая пользователей, конечные точки, электронную почту, приложения, сети, облачные рабочие нагрузки и данные. Решения XDR автоматизируют сложные процессы, связанные с предотвращением, обнаружением, расследованием и реагированием на вредоносное ПО, включая упреждающий поиск угроз.