Новостной радар Anti-Malware.ru. Выпуск 3, сентябрь 2012

Добрый день! Ключевые события недели – в фокусе внимания Новостного радара Anti-Malware.ru. Информационных поводов было немало, однако мы тщательно отобрали для вас лучшее. Сегодня в нашем выпуске – православные вирусы, новые достижения в исследовании кибероружия и захват корпоративного рынка небольшим, но гордым производителем. Входите и располагайтесь; наш рассказ вот-вот начнется.


Карта Новостного радара


Просмотреть Новостной радар - Выпуск 7 на карте большего размера

 

И послал Бог ему вирус...

Обычно Новостной радар обозревает лишь самый конец предыдущей недели, начиная с пятницы, однако на этот раз было сделано исключение: мы просто не могли пройти мимо истории о ДТП с участием игумена Тимофея, который, напомним, в лучших традициях гоночной серии Need for Speed столкнулся с двумя автомобилями на Садовом кольце Москвы в конце июля. Одним из основных материалов дела, который позволил бы судить о степени виновности священника, являлась видеозапись с автомобильного регистратора. Происшествие и само по себе породило множество обсуждений и немало шуток разного качества, однако на прошлой неделе народному творчеству был дан новый импульс: ГИБДД сообщила, что упомянутая видеозапись была «уничтожена вирусом».

«В одном из подразделений ГИБДД 1 августа произошло заражение вирусом сервера, на который загружается видео с регистраторов. Технический специалист сообщил, что информация с 15 регистраторов была уничтожена и восстановлению не подлежит», - цитируют СМИ представителей правоохранительных органов. То ли в госавтоинспекции сервера работают под управлением Windows, то ли какой-то гениальный злоумышленник наконец-таки написал для UNIX-систем инфекцию, которая работает без прав рута... Удобство такой отговорки оценили, похоже, даже никак не связанные с информационной безопасностью люди: с одной стороны, такой оборот как будто исключает чей-то умысел (не считая божественного вмешательства), а с другой стороны, это заявление совершенно недоказуемо – с учетом того, что «специалисты отформатировали сервер, и теперь он работает в обычном режиме». Что ни говори, а старый добрый метод «лечения», который в народе зовется «форматЦевтика», по-прежнему популярен.

«Новость прекрасна», - уверен эксперт Anti-Malware.ru Михаил Орешин. – «Не понятно, с какой стороны к ней подступиться даже. Запись была уничтожена вирусом. Есть ли вирусы In-the-wild которые уничтожают файлы? Да, есть, хотя крайне мало. Можно ли восстановить файлы после удаления? Да, можно, да и после форматирования не проблема. Файл по логике должен был храниться в нескольких местах, плюс система бэкапов. Признаться, первое, что приходит на ум, - что записи по какой-либо причине просто не было никогда, так как поверить в вирус в данной ситуации не представляется возможным. Конечно, когда новость только появилась, интернет взорвался комментариями про умысел и заговор; но по моему опыту сильнее злого умысла может быть только халатность, помноженная на некомпетентность. И если принять, что все же файл изначально был – то действия технических специалистов выглядят чудовищно непрофессионально.  С другой стороны, мы еще раз убеждаемся, как важно использовать современные антивирусы, вовремя их обновлять и обслуживать, даже в хранилище порнофиль..., тьфу ты, записей с видеорегистраторов».

 

Тушение пламени

«Лаборатория Касперского» продолжает внимательно изучать кибероружие Flame и сопутствующие ему явления. Новый этап анализа прошел с участием МСЭ-ИМПАКТ, CERT-Bund/BSI и компании Symantec. Специалистам удалось ознакомиться с некоторыми элементами управляющей инфраструктуры – проанализировать содержимое командных серверов. Интересно, что находившийся там контрольный интерфейс имитировал систему управления контентом (CMS), чтобы не вызывать лишних подозрений у поставщика услуг хостинга.

Эксперты заметили, что сервер управления может получать и передавать информацию сразу по четырем протоколам, из которых с Flame удалось ассоциировать только один. Из этого был сделан вывод, что контрольная инфраструктура предназначена для работы еще с тремя разновидностями вредоносных программ - на данный момент неизвестно, с какими именно. Кроме того, специалисты выяснили, что разработка командной платформы Flame велась как минимум с 2006 года, и процесс все еще не окончен; в данных упоминается еще не реализованный протокол, и в последний раз код правили в мае этого года.

«Нам было сложно оценить объем данных, украденных Flame, даже после анализа его командных серверов. Создатели Flame умеют заметать следы. Однако, благодаря ошибке киберпреступников, нам удалось обнаружить на одном из серверов данные, которые позволили нам сделать вывод, что за неделю на этот сервер загружалось более пяти гигабайтов данных с более чем 5000 зараженных компьютеров. Эта информация дает все основания судить о масштабе всей кибершпионской кампании», - сказал тогда главный антивирусный эксперт компании Александр Гостев.

Кстати, о «Лаборатории Касперского». На прошлой неделе мы запрашивали у ведущего отечественного разработчика антивирусов комментарий по прецедентному делу о фишинге; постоянные читатели Новостного радара, несомненно, помнят, как мы рассказывали об этом событии. К вящему своему удивлению, обещанный комментарий мы получили не в качестве ответного письма, а в виде глобального пресс-релиза, который компания разослала в понедельник. Определенно, так и до утечки информации недалеко – сколько их было, таких случаев, когда работник какой-либо фирмы ошибочно ставил конфиденциальную информацию в общую рассылку... Надеемся, что в дальнейшем PR-служба будет внимательнее.

 

Анонимизация анонимов

Специалисты компании G Data обнаружили вредоносную сеть, чьи командно-контрольные сервера скрывались при помощи популярного легитимного анонимайзера Tor. На сей момент это единственный известный ботнет, защищенный подобным образом. Анонимайзер позволил злоумышленникам скрыть управляющую инфраструктуру и зашифровать трафик, которым обменивались узлы сети. Некоторые эксперты в связи с этим отметили ряд вероятных проблем: поскольку Tor считается легитимным программным обеспечением, бороться с ним не так просто – в антивирусную базу его, например, не занесешь, да и обычная блокировка может вызвать определенные сложности.

Впрочем, Tor – это лишь одно из многообразных ухищрений, на которые идут операторы ботнетов в попытке помешать защитникам информации. Вредоносные сети переходят на пиринговый принцип работы, отказываясь от центральных управляющих серверов, используют стандартные протоколы, чтобы их было сложнее отсечь на уровне сетевого экрана, задействуют сложные методики случайной генерации доменных имен и так далее. Радует, однако, что специалисты со светлой стороны все равно преодолевают любые их оборонные рубежи – по крайней мере, пока. Как они решат проблему с Tor, нам пока еще только предстоит увидеть; возможно, нынешний статус известного программного продукта придется пересмотреть.

«Создателям и владельцам бот-сетей приходится сталкиваться со всё более технологичными защитными механизмами антивирусных программ и другого комплексного защитного программного обеспечения. Для этого всё чаще используются альтернативные способы доставки компонентов вредоносных программ на компьютеры пользователей - от применения различных алгоритмов шифрования, заканчивая методами случайной генерации имён доменов, противодействующих классическим веб-фильтрам», - подтверждает эксперт Anti-Malware.ru Валерий Ледовской. – «При разработке методов противодействия подобным новым технологиям злоумышленников компании сталкиваются с тем, что такие методы не могут гарантировать 100%-ную точность дифференциации пользователей, использующих такие методы, на легальных пользователей и киберпреступников. Шифрование может использоваться в благих целях, так и позволять обойти классические антивирусные технологии. P2P-клиенты могут использоваться для распространения дистрибутивов Linux и снижения нагрузки на сервера сообществ в области свободного программного обеспечения, а могут использоваться для организации ботнетов. Тем не менее, новые методы появляются. Например, уже сейчас используется кластерный анализ, позволяющий отделять даже неизвестные вредоносные сервера от легальных по трафику, который через них идёт. Я надеюсь и верю в то, что эта борьба в один прекрасный момент не закончится после появления новых методов вирусописателей из-за того, что антивирусные компании столкнутся с очередной неразрешимой задачей. Как известно, из каждой затруднительной ситуации есть по крайней мере один выход».

 

Недокументированный функционал

Независимый специалист по информационной безопасности нашел ошибку в защитной программе для мобильных устройств avast! Mobile Security. Тестируя приложение, эксперт обнаружил, что оно отсылает SMS-сообщения на некий номер, зарегистрированный в Чехии. Впоследствии выяснилось, что номер принадлежит самой AVAST Software, и, что наиболее неприятно, сообщение тарифицируется. Аналогичное поведение со стороны своих защитных решений, которые вдруг решили изобразить из себя не то шпионов, не то SMS-воров, заметили и некоторые другие пользователи из разных стран мира, в итоге чего разработчикам программы отправилась соответствующая жалоба.

Те, в свою очередь, заверили, что вскоре выпустят обновление (и действительно, выпустили, исправив тем самым ошибку). Как пояснили представители компании, рассылка SMS оказалась результатом работы модуля, который отвечает за уведомление о смене SIM-карты: если кто-то производит подобную операцию, владельцу телефона на резервный номер приходит текстовое сообщение со сведениями о новой карте, а это позволяет выйти на след злоумышленника в случае, если мобильное устройство было украдено или присвоено. Теперь, как заверяют разработчики, сюрпризов в биллинге для пользователей avast! Mobile Security больше не будет. Хотя массовых рассылок и опустошения счетов в этой истории не было, клиенты все равно вздохнули с облегчением: ведь независимый исследователь, который обнаружил ошибку, лишился по вине недобросовестных создателей программы целых двенадцати евроцентов. Международное SMS, все-таки.

 

Захват рынка

Компания Malwarebytes, известная созданием антивирусной утилиты Malwarebytes Anti-Malware, совершила смелый шаг по расширению своего присутствия на глобальном рынке. Отныне ее программа, еще относительно недавно искавшая вредоносные объекты по именам файлов, будет продаваться корпоративным пользователям, для чего была разработана специальная версия – MBAM Enterprise Edition. Представители компании утверждают, что разработали принципиально новый подход к защите, благодаря которому их продукт обеспечит безопасность там, где бессильны другие решения – даже в борьбе с 0-day угрозами.

Новый подход, впрочем, реализуется привычными методами: эвристический анализ и исследование поведения приложений в системе. Это вызывает естественный интерес к уровню ложных срабатываний, о котором на данный момент нет сведений; тесты в независимых лабораториях позволили бы составить представление о возможностях программы, но пока, похоже, таковых не проводилось. Разработчики гарантируют полную совместимость с любыми другими продуктами аналогичной направленности и продвигают MBAM Enterprise как надежную защиту второго эшелона (т.е. уровня поддержки основных защитных решений). Любой желающий сможет приобрести корпоративную лицензию по цене в 1315 долларов и выше за сто мест; некоторым типам организаций предложат специальные цены.

«Этот шаг Malwarebytes, безусловно, тенденция к выходу на рынок и наращивание капитала», - полагает эксперт Anti-Malware.ru Олеся Шелестова. – «На громкие пресейловые лозунги про защиту от 0day можно не обращать внимания. Пока их продукт, на мой взгляд, даже не для SMB рынка по возможностям и функционалу. Я бы назвала это бета-версией. При цене даже в два раза ниже основных антивирусных вендоров, думаю, корпоративный сектор не будет пока делать выбор в сторону Malwarebytes. Пожелаем Malwarebytes удач в развитии продукта».

***

Обзор окончен; мы благодарим вас за внимание! Возвращайтесь прочитать новый выпуск Новостного радара в следующую пятницу. Удачи вам и хороших новостей!

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru