Symantec: Зловреды для Android продолжают совершенствоваться

Symantec: Зловреды для Android продолжают совершенствоваться

Специалисты Symantec сообщают о том, что вредоносные программы для Android продолжают набирать обороты и совершенствовать свои возможности для сокрытия в системе.

Мобильные операционные системы развиваются из года в год, становясь все более сложными, то же самое можно сказать и про разрабатывающиеся под эти ОС вредоносные программы. Совсем недавно наблюдалось большое количество семейств вредоносных программ, ориентированных на операционную систему Android. Они использовали новые методы, позволяющие им избежать обнаружения и поддерживать свое присутствие на зараженном устройстве даже после обнаружения.

Одним из этих методов является упаковка зловредов, в последние месяцы вредоносы для Android стали часто использовать его. Исследователи Symantec объясняют, что количество упакованных вредоносных программ для Android увеличилось с 10% до 25% за девять месяцев в период с декабря 2015 года по август 2016 года.

Еще один метод представляет собой использование вредоносных приложений MultiDex, эти зловреды используют два файла Dalvik Executable (DEX) для загрузки основной вредоносной составляющей. Android-приложения обычно содержат исполняемый код в DEX-файлах, но рядовые программы содержат лишь один DEX-файл. Антивирусы соответственно тоже фокусируется на одном DEX-файле, что позволяет авторам вредоносных программ избежать детектирования, распределяя вредоносную активность между двумя DEX-файлами. 

Согласно Symantec, авторы вредоносных программ также работают над созданием вредоноса, использующего функцию Instant Run, которая была выпущена с Android Studio 2.0. Эта функция помогает разработчикам программного обеспечения выпускать обновления в виде .zip-файлов.

Для того, чтобы использовать этот метод, авторы вредоносных программ упаковывают вредоносную составляющую своих программ в .zip-файлы. Хорошая новость заключается в том, что этот метод может быть использован только на Android Lollipop и относится только к отладочным версиям приложений. Приложения, распространяемые через Google Play защищены от этого.

Исследователи Symantec также описывают другую методику, используемую авторами вредоносных программ – метод использует привилегии суперпользователя и, в частности, команду Linux chattr, которая блокирует файлы от изменений. Этот метод позволяет уберечь файл зловреда от удаления даже с привилегиями суперпользователя. 

Для того чтобы оставаться защищенным от таких видов угроз, пользователям рекомендуется обновлять свои приложения и операционную систему и устанавливать программы только из надежных источников, таких как Google Play. Кроме того, не помешает делать резервные копии важных данных, чтобы не потерять их в случае заражения вредоносной программой.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Решение Illusive Networks вычисляет траекторию злоумшыленника в сети

Illusive Networks анонсировала Pathways, новую прорывную возможность, которая автоматизирует обнаружение и инспектирование всех траекторий, которые злоумышленник может использовать для достижения конкретных ценных активов в сети компании. Усовершенствованное решение упреждающе повышает киберустойчивость, позволяя департаментам кибербезопасности предотвращать пути и траектории атак, а также удалять артефакты, которые злоумышленники используют для продвижения к своим целям.

 «Мы устраняем фактор уязвимости, часто используемый злоумышленниками, который позволяет им слишком долго контролировать сеть компании, - говорит Офер Исраэль, основатель и генеральный директор Illusive Networks. «Возможность уменьшить латеральную мобильность злоумышленника, а значит значительно усложнить переход от системы к системе во внутренней сети, является критически важной, но до настоящего времени отсутствующей, возможностью повышения защищенности организации. Мы рады, что Illusive является компанией, которая выпустила на рынок эту уникальную технологию».

В недавнем опросе более 600 специалистов по безопасности, проведенным институтом Ponemon и анализирующем риски атак после взлома и проникновения, более 70% респондентов сообщили о неспособности быстро выявлять нелегитимное использование учетных записей, и еще меньшее количество опрошенных были уверены в своей способности определять нарушения при хранении учетных записей в системах.

«До релиза нового функционала эксперты в области безопасности были озадачены проблемой выяснения путей и методов, которые злоумышленники могут использовать для продвижения к цели атаки в сети организации. Быстрый анализ последних заголовков подтверждает, что традиционные подходы – периодические упражнения Red Team, тяжеловесные агенты на конечных точках, поведенческий анализ и т.д. - не успевают за растущими возможностями злоумышленников. Кроме того, эти подходы идентифицируют лишь часть уязвимостей, которые можно выявить с помощью новой технологии Illusive Pathways, и ни один из них не предоставляет простоту использования, глубокую видимость, а также непрерывное предсказание и устранение траекторий атаки, которые достигаются благодаря использованию Pathways».

Новая функциональность Pathways поставляется в качестве дополнения к Illusive Attack Surface Manager (ASM), мощному инструменту, выпущенному ранее в этом году. ASM получил широкое распространение, и 83% клиентов Illusive уже используют этот продукт. Новый функционал Pathways работает непрерывно, обеспечивает соблюдение правил в масштабе всей организации, не использует агентов и не требует существенных ресурсов. Для сравнения, одно упражнение Red Team может занять несколько недель, стоить десятки или даже сотни тысяч долларов и, тем не менее, все еще может дать неполные результаты, касающиеся типов угроз, которые легко и быстро обнаруживаются благодаря новым возможностям Illusive.

«Illusive уже является крупным игроком в растущей категории обманных технологий, которые являются мощным дополнением к арсеналу средств детекции угроз», - говорит Рик Тернер, главный аналитик команды Infrastructure Solutions аналитической компании Ovum. «ASM вывела компанию в категорию предотвращения угроз, а новая возможность Pathways привносит автоматизацию и повторяемость в практику Red Team».

При использовании в сочетании с обманным функционалом Illusive, ASM уменьшает опции реального латерального движения злоумышленника по мере увеличения ложных опций, тем самым повышая вероятность того, что злоумышленники выберут обманный путь и будут обнаружены на ранних этапах атаки.

Недавно улучшенный ASM уменьшает латеральную мобильность злоумышленника в нескольких измерениях:

  • Обнаружение и удаление теневых администраторских учетных записей - опаснейшая форма несанкционированных учетных записей с высокими привилегиями, предоставляющая непреднамеренные административные полномочия,
  • Детальная инспекция траекторий атак, ведущих к критическим активам – карта сети организации, подобная GPS, позволяющая экспертам безопасности определять точные траектории движения и учетные данные, которые злоумышленники могут использовать для доступа к критическим активам, а также блокировать нежелательные пути до того, как злоумышленники сделают свой первый шаг,
  • Подробные сведения о рисках – поддержка принятия решений экспертами безопасности для дальнейшего снижения мобильности злоумышленника во внутренней сети организации.

С новым релизом функционал ASM теперь включают в себя:

  • Pathways (Траектории атаки) - постоянно выявляет пути атаки, предоставляет подробные сведения о каждом пути и позволяет устранять риски по щелчку мыши,
  • Attack Surface Rules Engine (Модуль правил поверхности атаки) - определяет и применяет политики поверхности атаки,
  • Attack Surface Reduction Engine (Модуль снижения поверхности атаки) - позволяет автоматически исправлять единичные и массовые нарушения,
  • Attacker View (Карта сети глазами хакера) - визуализация в реальном времени нарушений защищенности поверхности атаки в отношении критических активов,
  • ASM Dashboard (Панель управления ASM) – предоставляет обзор состояний высокого риска, рассчитывает метрики поверхности атаки в масштабах организации и позволяет инициировать детальные расследования.

Более подробную информацию об ASM, в том числе о новых возможностях, анонсированных сегодня, можно найти на сайте Illusive Networks.

Кроме того, в настоящее время Illusive Networks совместно с дистрибьютором Тайгер Оптикс и партнерами в России и СНГ предлагает организациям бесплатный сервис «Аудит поверхности киберриска» - высокоэффективную неинтрузивную оценку киберустойчивости, которая использует возможности ASM для анализа рисков в сети клиентов. Уже проведенные оценки показали неожиданные результаты, в том числе тысячи нарушений учетных данных - администраторов домена, теневых администраторов и многих других – со множеством типов соединений, включая интерактивный логины, Windows Credentials Manager и отключенные сеансы RDP.

Дополнительную информацию о бесплатном Аудите поверхности киберриска можно найти на специальной странице блога Тайгер Оптикс.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru