Риск заражения корпоративных сетей вырос на 17%

Риск заражения корпоративных сетей вырос на 17%

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%.

На основе данных, полученных с помощью ThreatCloud World Cyber Threat Map, в декабре  2015 года Check Point зарегистрировал более 1500 различных видов вредоносного ПО, в то время как в ноябре было обнаружено 1200 видов. Этот тренд свидетельствует о повышении уровня угроз, с которыми сталкиваются организации в процессе защиты своих сетей.

Как и ранее, Confickerостается наиболее распространенным видом вредоносного ПО. С использованием Conficker было совершено до 25% атак — значительно больше, чем с помощью вредоносной программы Sality, которая использовалась в 9% атак и находится на втором месте. Conficker и оказавшийся на третьем месте Necurs  отключают службы безопасности, чтобы создать еще больше уязвимостей в сети, которые позволяют использовать скомпрометированные машины для DDoS и спам-атак.

60% атак по всему миру совершались с использованием 10 наиболее распространенных видов вредоносного ПО. Топ-3 вида вредоносов включают:

  1. Conficker  — используется в 25% всех зарегистрированных атак. Машины, зараженные Conficker, управляются ботом.  Conficker также отключает службы безопасности, оставляя компьютеры еще более уязвимыми к воздействию других вирусов.
  2. Sality— позволяет своему оператору осуществлять удаленные действия и загрузки других вредоносных программ в зараженные системы. Главная цель Sality — как можно дольше оставаться в системе, предоставляя возможности удаленного контроля и установки других вирусов.
  3. Necurs — используется в качестве бэкдора для последующего скачивания вредоносного ПО на зараженный компьютер и отключения служб безопасности, для обхода системы обнаружения угроз.

Первое место в рейтинге наиболее атакуемых стран в декабре 2015 года заняла Намибия. Страны с самым низким уровнем атак — это Уругвай, Монако и Латвия. Россия находится на 56 месте, сохранив эту позицию с ноября 2015 года. Как и во всем мире, в России наиболее распространенными вредоносными программами стали Conficker и Necurs.Кроме этого также часто встречались:

  • Delf — троян, осуществляющий переадресацию веб-трафика, манипуляции с некоторыми приложениями Windowsили сторонними приложениями, загрузку, установку и запуск дополнительных вредоносных программ.
  • Kometaur — связывается с удаленным сервером и отправляет информацию о системе, выбранной в качестве цели.
  • Xinyin — вредоносное ПО для мобильных платформ, которое способно незаметно устанавливать и удалять приложения, отправлять СМС-сообщения, отслеживать количество входящих и исходящих вызовов, а также число принятых и отправленных СМС, показывать рекламные уведомления и самостоятельно загружать обновления.

Исследователи CheckPoint также выявили топ мобильных вредоносов за декабрь 2015. И вновь атаки на Android-платформы встречались гораздо чаще, чем на iOS. Топ-3 вида мобильного вредоносного ПО:

  1. Xinyin
  2. AndroRAT — вредоносное программное обеспечение, которое способно включать себя в состав легитимного мобильного приложения и устанавливаться без ведома пользователя, предоставляя хакеру полный удаленный доступ к устройству на базе Android.
  3. Ztorg — троян, использующий root-полномочия для скачивания и установки приложений на мобильный телефон без ведома пользователя.

«Повышение активности вредоносных программ в декабре свидетельствует о серьезной степени угрозы для корпоративных сетей и ценных данных, — говорит Василий Дягилев, глава представительства CheckPoint в России и СНГ. — Организации должны поставить вопрос кибербезопасности на первый пункт своей повестки на 2016 год. Киберпреступники постоянно находят новые способы атак, потому компаниям необходимо быть столь же упорными и решительными в защите своих сетей». 

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%." />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru