Эксплойты становятся все более технически совершенными

Эксплойты становятся все более технически совершенными

На основании данных от Hewlett-Packard's TippingPoint Digital Vaccine Labs, Qualys и The SANS Institute был подготовлен отчет об основных киберугрозах 2010 года. В этом отчете особо отмечено, что при разработке PDF-эксплойтов и вредоносных сценариев на JavaScript все чаще используются сложные обфускационные техники и приемы.



"В настоящее время мы наблюдаем никогда прежде не виданные нами приемы обфускации и комплексные атаки", - признался руководитель расширенных исследований в области безопасности DVLabs Майк Доусон. - "Для примера: PDF-файлы для эксплуатации уязвимостей составляются из своеобразного набора потоков. Обычно эксплойт-код содержится в одном потоке и представляет собой единый массив данных в теле файла; теперь же разбиение этого кода на 10 и более взаимосвязанных потоков - едва ли не повседневная практика. Нечто подобное мы наблюдали и в поле деятельности JavaScript - там обнаруживался набор либо из нескольких IFRAME, либо из некоторого количества javascript-тэгов, которые ссылались на 10 и более сценариев. Каждый из них отвечает за определенные фрагменты эксплойт-кода, которые затем - уже на целевой машине - собираются вместе и запускаются на исполнение".


Согласно отчету, использование такой схемы предоставляет злоумышленнику полноценный и эффективный контроль над теми или иными задействованными техниками и приемами, равно как и упрощает добавление новых эксплойтов либо внесение изменений в код. Каждый фрагмент дополняет все остальные, и если хотя бы один элемент отсутствует, эксплойт не запустится. "Использование подобных приемов существенно усложняет работу систем предотвращения и детектирования вторжений, поскольку в этом случае для формирования четкого представления о направлении действий и целях эксплойта каждый поток необходимо анализировать отдельно", - говорится в отчете.


В 2010 году основной целью злоумышленников были продукты Adobe Reader и Acrobat; недавние атаки на 0-day уязвимости в этом программном обеспечении лишь подтверждают общую тенденцию. В отчете рассчитано время, которое требуется для снижения количества уязвимых машин (т.е. тех, на которых не установлены необходимые обновления безопасности) на 50%, т.н. "half-life"; по этому показателю Adobe Reader далеко отстает от операционных систем Windows. За последний год среднее время "half-life" для Windows составило 14,5 дней, а для Reader - 65 дней. Однако есть и надежда на лучшее: последняя версия Adobe Reader, v9, показывает время "half-life" в 15 дней - почти такое же, как и у Windows.


Помимо проблем с исправлением уязвимостей, авторы отчета особо выделяют и тот факт, что нередко новые уязвимости обнаруживаются одновременно или почти одновременно сразу несколькими исследователями, причем совершенно независимо друг от друга. Это подтверждается и практикой работы проекта TippingPoint's Zero-Day Initiative; согласно отчету, в 2007 году было отмечено 4 таких случая, в 2009 году - 18, а только лишь за первые 6 месяцев 2010 года уже стало известно о 13 случаях.


"Либо такие вещи стало проще обнаруживать, либо возросло количество исследователей, работающих в этой сфере", - рассказал г-н Доусон изданию eWeek. - "Так или иначе, если две команды защитников информации выявляют уязвимости одновременно и независимо друг от друга, и подобное происходит регулярно, то не требуется богатого воображения, дабы предположить, что синхронно с ними тех же результатов достигают и их контрагенты из андеграунда".


В отчете упомянуты и некоторые другие, не столь свежие, но все еще распространенные угрозы - Conficker, SQL Slammer, Code Red. Появившийся в 2004 году Slammer до сих пор в 10 раз чаще, чем какая-либо иная угроза, заставляет срабатывать IPS-фильтры HP TippingPoint.


"Старые добрые пути заражения по-прежнему актуальны", - заметил по этому поводу г-н Доусон. - "Довольно древние эксплойты до сих пор задействуются в кибератаках. Новые тенденции - это, конечно, хорошо, но не стоит забывать, что взлом паролей методом прямого перебора или проникновение на скверно настроенные компьютеры в ЛВС предприятия способны не менее эффективно скомпрометировать вашу систему".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ

3 октября в Москве в кинотеатре «Октябрь» состоится бизнес-день форума GIS DAYS 2025*. Мероприятие, организованное компанией «Газинформсервис», соберёт на одной площадке ведущих экспертов, представителей государственных органов и топ-менеджмент крупнейших ИТ- и ИБ-компаний для обсуждения самых актуальных вызовов цифровой эпохи.

Деловая программа дня будет сосредоточена на практических решениях для защиты бизнеса. Ключевым событием станет пленарное заседание «Как защитить искусственный интеллект».

В рамках бизнес-трека «Классика и авангард» лидеры индустрии представят кейсы интеграции машинного обучения в традиционные системы защиты. Отдельный блок будет посвящён технологиям BAS (Breach and Attack Simulation) для имитации сложных кибератак.

«Сегодня невозможно говорить о безопасности изолированно, только в контексте технологий. На GIS DAYS мы создаём среду, где стратегическое видение регуляторов встречается с практическим опытом вендоров и запросами бизнеса. Фокус на ИИ в этом году — не просто тренд, а насущная необходимость, и мы готовы предложить рынку конкретные решения», — отметил Валерий Пустарнаков, учредитель компании «Газинформсервис».

Во второй половине дня эксперты представят формат «Броня за 7 шагов» — семь последовательных шагов, от управления активами до валидации защищённости. Участники увидят, как выстроить сквозной процесс противодействия угрозам.

Завершит деловую программу масштабная дискуссия «ИБ-Пророки: 2-ой сезон», где обсудят развитие угроз и технологий защиты на ближайшие годы.

В отдельном зале пройдёт технический трек для специалистов, посвящённый безопасности цифрового будущего, круглые столы по итогам полугодия для рынка NGFW и сессия «Киберустойчивость» с докладами молодых специалистов.

Подробнее: https://gisdays.ru/?utm_source=anti-malware&utm_medium=article&erid=2Vfn...

*Global Information Security Days — дни глобальной информационной безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru