Как защититься от вредоносных файлов различных типов

Как защититься от вредоносных файлов различных типов

Злоумышленники могут размещать вредоносные программы на веб-сайтах или распространять их в виде вложений в электронные письма. При этом их часто маскируют, представляя в виде безобидных файлов или данных различного типа. Для предотвращения подобных атак может использоваться целый спектр защитных инструментов разного уровня сложности и стоимости. Но даже неискушённый пользователь способен самостоятельно принять простые и эффективные меры, которые воспрепятствуют успешной кибератаке.

 

 

  1. Введение
  2. Универсальные рекомендации
  3. .EXE
    1. 3.1. В чём опасность
    2. 3.2. Меры предосторожности
  4. .HTM, .HTML
    1. 4.1. В чём опасность
    2. 4.2. Меры предосторожности
  5. .DOC и другие расширения офисных документов
    1. 5.1. В чём опасность
    2. 5.2. Меры предосторожности
  6. .JAR и другие расширения архивов
    1. 6.1. В чём опасность
    2. 6.2. Меры предосторожности
  7. Выводы

Введение

В последнее десятилетие наблюдается устойчивый рост числа кибератак, направленных на компании коммерческого и государственного секторов. Эти атаки обычно имеют целью совершение разного рода вредоносных действий, таких как кража информации конфиденциального характера, промышленный шпионаж, несанкционированный мониторинг, нарушение нормальной деятельности предприятий и др. При выполнении противоправных действий нарушители могут руководствоваться как преступным умыслом, так и соображениями идеологического характера и стремлением к публичности.

Внутренние и внешние коммуникации компаний, как правило, в большой степени полагаются на использование сети «Интернет» и сервисов электронной почты. Закономерно, что последняя была и остаётся весьма привлекательной «точкой входа» для развёртывания кибератак на корпоративные информационные системы. Среди прочего злоумышленники активно используют методы социальной инженерии, чтобы побудить получателей электронных писем открыть опасное вложение или перейти по ссылке на вредоносную веб-страницу. Нарушители также могут размещать вирусы и другие вредоносные программы во Всемирной паутине, маскируя их под полезное и / или бесплатное ПО. Более того, скрипты, которые запускаются автоматически при открытии веб-страницы, могут выполнять различные нежелательные действия на компьютере пользователя, включая похищение личных данных и установку вредоносных программ.

Наличие почтового клиента на многих домашних и практически на всех корпоративных компьютерах, а также тот факт, что вредоносные программы могут получать доступ к содержимому электронных адресных книг для поиска новых жертв, обеспечивают благоприятные условия для лавинообразного распространения опасных файлов. При типовом сценарии пользователь инфицированного компьютера без своего ведома и желания становится отправителем заражённых писем широкому кругу получателей из адресной книги, каждый из которых в свою очередь отправляет новые вредоносные сообщения. Например, известны случаи, когда заражённый документ из-за недосмотра попадал в списки рассылки коммерческой информации крупной компании, и тогда сотни или даже тысячи подписчиков таких рассылок становились жертвами и впоследствии рассылали инфицированные файлы десяткам тысяч своих адресатов и корреспондентов.

Согласно актуальным данным по основным трендам кибератак, представленным в отчёте (PDF) Check Point за I полугодие 2020 года, распределение вредоносных файлов различного типа в зависимости каналов их распространения выглядит следующим образом.

 

Рисунок 1. Актуальное распределение вредоносных файлов различных типов в зависимости от каналов их распространения (веб-сайты и электронная почта)

Актуальное распределение вредоносных файлов различных типов в зависимости от каналов их распространения (веб-сайты и электронная почта)

 

Из приведённой диаграммы видно, что неотъемлемым компонентом многих кибератак служат неисполняемые файлы — офисные документы, доступные для загрузки по веб-ссылкам или прикреплённые к электронным письмам. Атаки этого типа пользуются популярностью отчасти по следующей причине. Файлы программ и приложений, т. е. исполняемые (например, с расширением *.exe в операционных системах Microsoft Windows), отфильтровываются большинством почтовых серверов, потому что представляют очевидную потенциальную опасность; неисполняемые же файлы (например, с расширениями *.pdf, *.docx и т. п.) пропускаются и к тому же большинством пользователей не воспринимаются в качестве прямой угрозы. Они представлены в формате, который может быть интерпретирован только программой, специально разработанной для этой цели, и часто не могут быть исполнены непосредственно. Однако фактически неисполняемые файлы не менее опасны для корпоративных информационных систем, поскольку программы, с помощью которых они открываются, могут содержать уязвимости или иметь функциональность по запуску макросов, посредством которых нарушителю удастся выполнить вредоносные действия на компьютере жертвы. Для предотвращения таких атак могут использоваться различные защитные инструменты: брандмауэры для веб-приложений (WAF), межсетевые экраны следующего поколения (NGFW), средства обнаружения и предотвращения вторжений (IPS / IDS) и др.

С использованием этих защитных инструментов связаны известные ограничения при обнаружении атак, инициируемых через неисполняемые файлы. Помимо высокой стоимости таких продуктов и решений можно отметить то, что они частично полагаются на хранилища сигнатур известных объектов и событий, поддерживаемые поставщиками и передаваемые клиентам. Основным ограничением здесь является трудность обнаружения атак самого нового, ещё неизвестного, типа — из-за задержки, которая существует между появлением очередной вредоносной программы и временем, когда поставщики предоставят соответствующее обновление базы сигнатур.

Важно, однако, что даже неискушённый пользователь способен самостоятельно принять ряд простых и эффективных мер, которые позволят минимизировать риск успешной кибератаки с применением вредоносных файлов наиболее распространённых типов.

Универсальные рекомендации

Пользователи работают со множеством источников информации, в том числе — с теми, об уровне защиты которых нет достоверных сведений. В подобных случаях полезно применять следующие универсальные меры по защите от кибератак.

1. Проверять файлы имеющимся средством антивирусной защиты или использовать сторонние сервисы для проверки (например, VirusTotal).

2. Включить отображение расширений файлов в ОС (например, в ОС Windows 10 для этого нужно в «Проводнике» выбрать последовательно «Вид» → «Параметры» → «Вид» и снять флаг «Скрывать расширения для зарегистрированных типов файлов»).

3. По возможности использовать средства контроля процессов — встроенные в ОС или устанавливаемые дополнительно (т. н. «наложенные»). За счёт таких средств можно получить следующие функции:

  • блокирование создания дочерних процессов и запуска исполняемого содержимого для прикладного ПО (например, в Windows 10 для создания групповой политики с этим и другими правилами необходимо перейти в консоль управления групповой политикой и создать шаблон);
  • изоляция ядра ОС (для Windows 10 следует перейти в «Настройки» → «Обновление и безопасность» → «Безопасность Windows» → «Безопасность устройства» → «Изоляция ядра»);
  • блокирование обращений к системному интерфейсу программирования приложений (API) и т.п.

4. Использовать средства контроля доступа к папкам со стороны приложений (может хватить встроенных средств ОС).

5. Применять только лицензионное ПО.

6. Своевременно обновлять используемое ПО (в том числе — системное).

Указанные рекомендации актуальны для противодействия атакам любого характера.

В качестве второго эшелона обороны целесообразно рассмотреть рекомендации по защите от вредоносных файлов, специфичные для различных типов (расширений файлов).

.EXE

В чём опасность

Расширение .exe имеют исполняемые файлы, которые становятся активными при открытии, а это значит, что они могут нанести очень большой ущерб. Если такие файлы прикреплены к электронному письму, никогда не следует их открывать. К счастью, многие поставщики услуг электронной почты, такие как Gmail или Outlook, полностью блокируют письма, содержащие вложения с этим расширением.

Несмотря на очевидную опасность запуска исполняемых файлов из недоверенных источников, этот тип до сих пор является наиболее часто используемым при реализации атак через интернет. Основная причина подобной его популярности у нарушителей — возможность распространять вредоносные объекты среди самой широкой аудитории без дополнительных ухищрений.

Меры предосторожности

Для блокирования атак с использованием исполняемых файлов дополнительно к общим мерам рекомендуется:

  1. При скачивании ПО (в том числе — бесплатного) проверять его разработчика и имеющиеся способы распространения продукта. Если у создателя программы есть собственный сайт, безопаснее скачивать её именно оттуда.
  2. Ограничить возможности запуска исполняемых файлов в ОС (например, в Windows 10 для этого нужно запустить утилиту gpedit.exe и перейти в раздел «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → «Политики ограниченного использования программ» → «Дополнительные правила»).

.HTM, .HTML

В чём опасность

HTML — стандартный язык разметки, используемый для создания веб-страниц. Этот формат предоставляет широкие возможности для скрытия троянских программ и компьютерных червей. По этой причине многие компании не разрешают доступ к HTML-сообщениям на своих серверах.

Заражение веб-страниц производится с использованием уязвимостей в ПО, обеспечивающем развёртывание и функционирование сайта, и ошибок в конфигурации. Типовой сценарий предполагает модификацию кода страницы таким образом, чтобы переадресовать пользователя на веб-узел с вредоносным кодом.

HTML-сообщения по электронной почте опасны тем, что для загрузки вредоносной программы на компьютер может быть достаточно всего лишь открыть такое сообщение в почтовом клиенте — всё остальное сделает скрипт, содержащийся в HTML-коде.

Другой способ атаки предполагает отправку писем со ссылкой на поддельную веб-страницу, где пользователю предлагается ввести учётные данные для входа в личный кабинет, параметры карты для оплаты покупки и другую информацию, не подлежащую разглашению.

Меры предосторожности

Для блокирования атак с использованием веб-страниц дополнительно к общим мерам рекомендуется:

  1. Включить просмотр HTML-писем в текстовом формате (например, для почтового клиента Microsoft Outlook управление этой функцией производится в разделе «Сервис» → «Параметры» → «Свойства» → «Электронная почта» → «Параметры электронной почты» → «Обработка сообщений»).
  2. С осторожностью относиться к письмам, предполагающим незамедлительную реакцию и переход по ссылкам. Прежде чем начать действовать, стоит проверить текст письма на наличие манипулятивных приёмов (обещание лёгкого заработка, требование срочно принять меры и др.). Если сообщение пришло со знакомого почтового ящика, можно, например, проверить стиль текста на соответствие стилю речи предполагаемого отправителя или уточнить у адресанта по другому каналу связи, действительно ли он отправлял это письмо.
  3. При получении веб-ссылки в электронном письме можно навести на неё курсор мыши, чтобы во всплывающей подсказке отобразился URL-адрес: если ссылка и адрес не совпадают, стоит отнестись к сообщению с осторожностью.
  4. Использовать средства проверки URL. Это могут быть отдельные сервисы или специальные плагины для браузеров, а также комплексы антивирусной защиты.

.DOC и другие расширения офисных документов

В чём опасность

Для целевых атак на отдельных лиц и на организации могут использоваться вредоносные объекты, внешне представляющие собой документы офисных приложений с привычными расширениями — .doc / .docx, .xls / .xlsx / .xlsb и т. д. При открытии такого файла может отобразиться ожидаемое текстовое или табличное содержание, которое введёт пользователя в заблуждение видимой безобидностью и отсутствием незамедлительных негативных последствий. При этом, однако, злоумышленник может применять для реализации атак встроенные средства офисных приложений — например, функциональность по исполнению макросов. По сути макрос — это пользовательский код, который обычно создаётся и запускается для автоматизации полезных рутинных операций, таких как построение графиков, вычисления, форматирование текста и т. д. Но на этом его возможности не заканчиваются: макросы могут использоваться также для выполнения внешних операций, таких как запись в реестр, запуск файлов, обращение к Win32 API и т. д.

Принцип работы вредоносных макросов состоит в следующем. Подготовленный киберпреступником код записывается в DOT-файл, содержащий все глобальные макросы, и заменяет собой некоторые из них. После этого все файлы, сохранённые с помощью программной системы, будут содержать макровирус.

В некоторых случаях вредоносный объект не будет распознан установленным средством обнаружения вторжений и антивирусом — например, если для атаки используется XLM-макрос, расположенный в одном контейнере с данными.

Помимо форматов, разработанных специально для офисных приложений, есть форматы файлов, не содержащие макросов в явном виде и считающиеся более безопасными, например RTF (для графических и текстовых данных). Однако и такой файл может иметь вредоносное содержимое: например, несколько лет назад была обнаружена уязвимость приложения Word, позволяющая незаметно выполнить на компьютере жертвы произвольный код и инфицировать устройство через документ RTF.

Меры предосторожности

Для блокирования атак, реализуемых с помощью офисных документов, можно применять следующие дополнительные рекомендации, доступные каждому пользователю:

  1. Отключать макросы в офисных приложениях. В корпоративной среде это можно сделать в том числе централизованно (например, в Microsoft Word 2016 для этого нужно в разделе «Параметры» → «Центр управления безопасностью» → «Параметры центра управления безопасностью» → «Параметры макросов» выбрать пункт «Отключить все макросы с уведомлением»).
  2. Включать и использовать режим защищённого просмотра файлов и предотвращения выполнения данных (например, в Microsoft Word 2016 для этого нужно внести изменения в разделе «Параметры» → «Центр управления безопасностью» → «Параметры центра управления безопасностью» → «Режим защищённого просмотра»).
  3. Использовать средства, блокирующие запуск содержимого писем с заданными расширениями (например, в Windows 10 эта функция включается при помощи правил в шаблоне групповой политики).

.JAR и другие расширения архивов

В чём опасность

Основная функция архивов — сжатие нескольких файлов — одновременно служит потенциальным средством атаки на систему: содержимое архива может быть организовано нарушителем таким образом, что потребует для распаковки больше ресурсов, чем система может себе позволить. Чаще всего подобная атака реализуется при помощи рекурсивного архива, то есть такого, который распаковывается сам в себя.

Другая опасность состоит в том, что файлы, расположенные в архиве, могут быть не тем, чем кажутся на первый взгляд. Злоумышленник может использовать стандартные функции ОС или простейший HEX-редактор для того, чтобы выдать исполняемый файл в архиве за объект с более безобидным расширением.

Использование кросс-платформенных вредоносных программ позволяет с помощью всего лишь одного файла заразить несколько конечных точек под управлением разных ОС. Одним из кросс-платформенных форматов архивов является JAR, необходимый для хранения исполняемого кода среды Java. Если на компьютере установлена ​​эта среда, файлы .jar будут запускаться как программы. Java-среда необходима многим мобильным и настольным приложениям (например, для ОС Android), компьютерным играм и т. д. Архив .jar может попасть на устройство в том числе после посещения сайта, взломанного злоумышленниками. Код может не требовать административных привилегий и выполняться от имени обычного пользователя.

Меры предосторожности

Для предотвращения атак с использованием архивов дополнительно к общим мерам рекомендуется:

  1. Проверять типы файлов в их свойствах перед распаковкой архива и запуском его содержимого.
  2. Проверять иконку файла внутри архива на соответствие заявляемому расширению.
  3. При подозрении на то, что архив является рекурсивным, ограничивать объём памяти для процесса извлечения из архива или проверять содержимое в виртуальной машине.

Выводы

Большинство вредоносных объектов распространяется посредством загрузки с веб-сайтов или через вложения электронной почты. Это неудивительно, поскольку та же электронная почта давно стала одним из важнейших средств коммуникации. С её помощью можно за считаные секунды назначать встречи, отправлять документы и решать личные или деловые вопросы. Побочный эффект получения этих преимуществ ― риск нанесения огромного ущерба в столь же краткие сроки.

Существенно уменьшить опасность кибератаки и минимизировать возможные потери помогают следующие основные шаги:

  1. Использование антивирусной программы, которая регулярно и автоматически обновляется, распознаёт большую часть компьютерных вирусов и помогает обнаруживать проблемы. При этом нужно держать в уме, что многие нежелательные и вредоносные объекты игнорируются или пропускаются такими программами — особенно если относятся к числу новых и / или малоисследованных.
  2. Прямое взаимодействие с отправителем: чтобы защитить себя на случай ненадлежащей работы антивирусной программы, всегда полезно убедиться, что вложение действительно пришло от заявленного человека или учреждения.
  3. Накопление знаний: важно знать основные факты о типах файлов и их расширениях, иметь представление о том, какие из них опаснее других и каким образом можно блокировать возможности, предоставляемые нарушителю в процессе обработки файла того или иного типа.
Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru