DLP и ботнет: роль - необычная, польза

DLP и ботнет: роль - необычная, польза - большая

Алексей Парфентьев 20 Октября 2015 - 16:13

...

Недавно довелось наблюдать ситуацию, когда DLP-система выявила необычную активность в сети. Но причиной её, вопреки обыкновению, стали не пользователи, забывающие о необходимости следовать канонам политики информационной безопасности, а вредоносный код, превративший ощутимую часть компьютеров компании в "зомби". Установленный повсеместно антивирус именитого производителя оказался совершенно бессилен, и если бы не DLP, сложно сказать, что успел бы натворить "ботовод".
Конечно, нельзя не сказать, что это не очень хорошо для отдела информационной безопасности - допускать такого рода заражения, ведь вредонос (об этом пойдет речь ниже) может также стать причиной утечек важных для компании данных. Но поскольку "зомби" начали проявлять себя пересылкой по электронной почте подозрительных сообщений, можно сказать, что они все стали своего рода нарушителями политик ИБ с точки зрения DLP-шки.
Теперь хочу поговорить немного об угрозах со стороны ботнетов. Своего рода бизнес по созданию таких сетей существует уже более 15 лет. Бизнес, надо сказать, весьма прибылен - по разным оценкам, средний ботнет может приносить своему создателю до нескольких сот тысяч долларов ежедневно - в зависимости от способа использования, конечно.
Зомби-сети можно назвать одним из самых популярных на сегодняшний день инструментов киберпреступности. Владелец такой программы может спокойно похитить важные данные компании-конкурента. С другой стороны, ботнетами пользуются как злоумышленники, так и спецслужбы, которые следят за порядком и преступниками.
Обычно же ботнеты занимаются такого рода вещами:

сбор адресов электронной почты;
рассылка спама (при открытых прокси на заражённых компьютерах);
хищение информации о банковских счетах;
коммерческий шпионаж;
распределять нападения типа denial-of-service (Distributed DoS или DDoS);
майнинг биткоинов и иже с ними;
подбор паролей;

В основном, ботнет используют для DDoS-атак на крупные интернет-ресурсы (в странах СНГ обычно на сайты оппозиционной направленности) и для засорения социальных сетей рекламными постами от несуществующих пользователей. Вы, наверное, не раз замечали на своей электронной почте подобные письма. Вот это и есть работа ботнета. Но такое влияние ботнета относительно безопасно даже в случае, если он "завелся" в корпоративной сети.
Совсем другое дело, если "ботовод" понимает, что часть зараженных компьютеров содержат ценные сведения, и принимается их активно копировать в своё хранилище. Обычно таким занимаются китайские ботоводы, выполняющие заказы китайских же компаний. Гонорар за кражу данных значительно меньше расходов на R&D, поэтому этот бизнес в Поднебесной процветает.
Какой вывод можно сделать из этого поста? Он очень прост и даже, я бы сказал, скучен. Иногда DLP-система - единственно спасение для очень и очень важной информации. Впрочем, все об этом и так знают.

Следующая главная новость »

Облачная ИТ-инфраструктура в России: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 19 Марта 2026 - 16:50

Android Трояны Домашние пользователи

Новый Android-троян Perseus начал искать пароли и сид-фразы в заметках

Исследователи обнаружили новый Android-троян под названием Perseus, у которого есть довольно неприятная особенность: он не ограничивается банковскими приложениями или браузерами, а целенаправленно проверяет заметки на телефоне в поисках конфиденциальной информации: паролей, сид-фраз, финансовых данных и других личных записей.

Об этом ThreatFabric рассказала в новом отчёте. Распространяют Perseus не через Google Play, а через неофициальные магазины и APK-файлы, маскируя его под IPTV-приложения.

В частности, среди приманок упоминается Roja Directa TV — хорошо узнаваемый бренд в мире пиратских спортивных трансляций. Логика у злоумышленников простая: человек, который и так привык ставить APK со стороны и игнорировать предупреждения Android, с большей вероятностью не насторожится.

С помощью специальных возможностей ОС Android (Accessibility Services) Perseus может удалённо управлять смартфоном, делать скриншоты, запускать оверлеи поверх приложений, имитировать нажатия и свайпы, включать чёрный экран для сокрытия активности, а также вести запись нажатий клавиш. Иными словами, если такой зловред закрепился на устройстве, оператор получает почти полный контроль над тем, что происходит на дисплее.

Самая необычная функция Perseus — как раз охота за содержимым заметок. Исследователи пишут, что это первый случай, когда Android-троян так системно проверяет подобные приложения. В списке интересующих его программ Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes. Англоязычная версия зловреда по очереди открывает эти приложения и просматривает отдельные заметки в поисках полезной для атакующих информации.

В ThreatFabric отдельно подчёркивают, что такая функциональность говорит о более широком интересе злоумышленников к «контекстным» пользовательским данным. Если многие Android-трояны охотятся в основном за логинами или СМС, то Perseus явно рассчитывает найти у жертвы нечто более ценное: записанные вручную пароли, фразы восстановления криптокошельков, реквизиты и другие данные, которые люди часто по привычке держат именно в заметках.

Технически Perseus тоже выглядит не как кустарная поделка. По словам ThreatFabric, троян связан с известной экосистемой Android-банкеров: он, вероятно, развивается на базе Phoenix, который, в свою очередь, вырос из утёкшего много лет назад исходного кода Cerberus. Более того, у Perseus есть две версии — турецкая и более «причёсанная» английская, причём в последней исследователи заметили настолько подробное логирование и характерные стилистические следы в коде, что это может указывать на использование ИИ-инструментов при разработке.

Облачная ИТ-инфраструктура в России: что реально работает?
Регистрируйтесь на эфир!