|
Подозрения? Уверенность!
Главная /
Архив номеров / 2018 / Выпуск №10 (83) / Подозрения? Уверенность!
Рубрика:
Безопасность
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Александр Вураско, специалист компании «Доктор Веб»
Подозрения? Уверенность!
В условиях прогрессирующей цифровизации бизнес-процессов обеспечение информационной безопасности выходит на первый план. Пренебрежение ею может привести к серьезным убыткам, репутационным потерям, оттоку клиентов и прочим негативным последствиям, оправиться от которых будет весьма непросто
Но что такое обеспечение информационной безопасности? Это комплекс мер, направленных на предотвращение несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. И ключевое слово в данном случае – «комплекс».
Не существует какого-то универсального средства, позволяющего справиться с любыми проблемами. Поэтому в рамках обеспечения информационной безопасности необходимо тщательно подбирать инструменты для решения конкретных задач.
Одной из таких задач является анализ подозрительных файлов.
Какие файлы считать подозрительными? По умолчанию подозрительным можно считать любой файл, поступивший извне, из недоверенной среды (а интернет является недоверенной средой). Но стоит с осторожностью относиться даже к тем файлам, что поступают из, казалось бы, доверенных источников – от ваших партнеров, контрагентов и уж тем более клиентов (вы можете поручиться за безопасность их информационных систем?) (см. рис. 1).
Рисунок 1. Образец содержащего вредоносную программу фишингового письма, которое было использовано в процессе атаки на одно из российских предприятий. Письмо было отправлено от имени сотрудника головной организации холдинга
Итак, мы получили файл и что с ним делать дальше?
«В чем проблема?» – скажете вы, – «У нас в компании используется антивирус, который не пропустит ни одного подозрительного файла!» К сожалению, на практике это утверждение справедливо далеко не для всех ситуаций.
Антивирус – это один из важных инструментов обеспечения информационной безопасности. Он защитит вас от значительного числа угроз, но его эффективность не может быть стопроцентной. Современные вредоносные программы разрабатываются с учетом того, что на компьютере установлен антивирус (к слову, это один из аргументов против повсеместного использования стандартного защитного решения, встроенного в операционную систему). А в случае, если на вашу организацию осуществляется целевая атака (как в приведенном на иллюстрации примере), атакующие постараются заранее выяснить, какой антивирус вы используете и спланируют меры противодействия. Поэтому и необходим дополнительный контроль.
Идеальным решением было бы передать подозрительный файл вирусным аналитикам, которые изучат его и вынесут свой вердикт. Но вирусные аналитики редко находятся под рукой, а вот подозрительные файлы приходят часто.
И вот в таком случае вам на помощь придет Dr.Web vxCube, система анализа подозрительных файлов. Отправленный исполняемый файл или офисный документ автоматически (без участия аналитиков компании) запускается в изолированном окружении, и в итоговом отчете пользователю сервиса предоставляются исчерпывающий отчет о результатах исследования его активности в системе.
Но чем рассуждать о его возможностях, лучше увидеть их на конкретном примере. Возьмем для этого реальное, хоть и несколько топорно выполненное фишинговое письмо (см. рис. 2).
Рисунок 2. Реальное фишинговое письмо
Опустим тот момент, что при де-тальном изучении письма обнаруживается, что ссылка ведет отнюдь не на сайт банка, а на некий анонимный сервер, с которого загружается архив «oplata.zip» (см. рис. 3).
Рисунок 3. Скаченный вредоносный архив
В этом архиве находится файл «vipiska.js» (см. рис. 4). Это сценарий, написанный на языке JavaScript. В данном случае косвенные признаки дают основания предполагать, что перед нами вредоносный файл, но непосредственных доказательств этого у нас еще нет.
Рисунок 4. Содержимое архива, который мы скачали из фишингового письма
Загрузим этот файл в Dr.Web vxCube, используя для этого простую веб-форму (см. рис. 5).
Рисунок 5. Веб-форма Dr.Web vxCube для закачки файлов на проверку
Возможно, вы обратили внимание на то, что мы открывали письмо и скачивали подозрительный файл не на компьютер, а на смартфон под управлением операционной системы Android. Веб-интерфейс Dr.Web vxCube позволяет загружать подозрительные файлы через браузер с любого устройства.
Перечень анализируемых файлов весьма широк. Это и исполняемые файлы Windows, и пакеты Android (APK), документы Microsoft Office и PDF-файлы, исполняемые файлы Java, а также различного рода скрипты.
Для анализируемого файла можно выбрать среду (см. рис. 6), в которой будет запущен подозрительный файл. И подобрать индивидуальные настройки, например, время анализа, что позволяет обойти используемую некоторыми вредоносными программами защиту от запуска в «песочнице» или дождаться выполнения каких-либо отложенных действий (см. рис. 7).
Рисунок 6. Для анализируемого файла можно выбрать среду, в которой будет запущен подозрительный файл
Рисунок 7. Дополнительные настройки для тестирования файла
Использование опции VNC позволяет подключиться к рабочему столу виртуальной машины, например, для того, чтобы кликнуть на элемент в офисном документе, запустить дополнительный скрипт и т.д.
Итак, файл загружен. Для его анализа потребовалось всего две минуты. Dr.Web vxCube вынес свой вердикт – файл опасен (см. рис. 8). Разберем его поведение в системе детально.
Рисунок 8. Через две минуты. Dr.Web vxCube вынес свой вердикт – файл опасен
Для начала обратим внимание на скриншот экрана и видеозапись рабочего стола виртуальной машины. Фоновое изображение сменилось текстом с требованием выкупа за расшифровку файлов. В ряде случаев уже этого достаточно для того, причислить подозрительный файл к вредоносным и принять соответствующие меры для предотвращения его запуска, например, удалить письмо, содержащее такое вредоносное вложение (см. рис. 9).
Рисунок 9. Обратим внимание на скриншот экрана. Фоновое изображение сменилось текстом с требованием выкупа за расшифровку файлов
Но рассмотрим отчет, создаваемый Dr.Web vxCube, более детально.
Как мы видим, вредоносная программа не блефовала, требуя выкуп. Dr.Web vxCube зафиксировал шифрование данных пользователя. Такие действия, как удаление оригинального файла, создание файла в каталоге «temp» и отправка запросов по сети дают основания предполагать, что исходный JavaScript-сценарий был загрузчиком, который доставил на компьютер модуль шифровальщика и постарался замести за собой следы (см. рис. 10).
Рисунок 10. Детальный отчет о поведении файла
Сервис в наглядной форме отображает активность приложения (см. рис. 11), выдает сведения обо всех созданных файлах и прочих изменениях, внесенных в систему, вплоть до дампов памяти (см. рис. 12). Все это очень пригодится в случае необходимости восстановления работоспособности системы после атаки или при расследовании инцидента.
Рисунок 11. Сервис в наглядной форме отображает активность приложения
Рисунок 12. Сервис выдает сведения обо всех созданных файлах и прочих изменениях, внесенных в систему
Карта сетевой активности позволяет провести моментальную оценку географии сетевых соединений (см. рис. 13).
Рисунок 13. Карта сетевой активности позволяет провести моментальную оценку географии сетевых соединений
В данном случае сразу становится понятно, что троянец загрузил с удаленного сервера исполняемый exe-файл, который уже и зашифровал файлы пользователя (см. рис. 14).
Рисунок 14. Троянец загрузил с удаленного сервера исполняемый exe-файл, который уже и зашифровал файлы пользователя
Для сравнения: вот так выглядит активность другого троянца-шифровальщика, который не скачивает модули из сети, а распаковывает непосредственно на локальном компьютере (см. рис. 15).
Рисунок 15. Активность троянца-шифровальщика, который не скачивает модули из сети, а распаковывает непосредственно на локальном компьютере
Есть одна деталь, существенно отличающая Dr.Web vxCube от других автоматизированных аналитических систем. По итогам анализа файла сервис автоматически создает утилиту Dr.Web CureIt!, позволяющую оперативно вылечить зараженные системы. То есть сервис не только выносит вердикт относительно вредоносности файла, но и сразу же предлагает готовое решение (см. рис. 16).
Рисунок 16. Сервис не только выносит вердикт относительно вредоносности файла, но и сразу же предлагает готовое решение
У Dr.Web vxCube есть и другие достоинства.
Анализ подозрительных файлов на серверах компании «Доктор Веб» позволяет исключить ситуации, когда вредоносная программа вырывается за пределы виртуальной машины в корпоративную сеть. При этом сервис трепетно относится к персональным и конфиденциальным данным. Поскольку работа осуществляется в автоматическом режиме, ваши данные остаются недоступными для посторонних. Файлы, поступившие на анализ через Dr.Web vxCube, отделяются от файлов, поступивших иными путями.
Сервис отличается высокой надежностью. Виртуальная среда Dr.Web vxCube максимально имитирует реальную рабочую машину, предотвращая попытки вредоносных программ отслеживать запуск в специальном тестовом окружении.
Работать с сервисом могут не только вирусные аналитики и специалисты в области информационной безопасности, которым он позволит существенно сэкономить время, автоматизируя рабочие процессы, но и люди, не обладающие специальными техническими познаниями, которым он поможет оперативно ответить на вопрос: представляет ли угрозу тот или иной файл.
Dr.Web vxCube послужит как экстренным лекарством в случае возникновения вирусозависимого компьютерного инцидента, так и рабочим инструментом, позволяющим предотвращать такие инциденты до наступления негативных последствий.
Испытать возможности сервиса вы можете, запросив демо по адресу: https://download.drweb.ru/vxcube. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
_cover.jpg)
_cover.jpg)
_cover.jpg)
_cover.jpg)
