«Тихой сапой» — принцип кибератак последнего поколения

Именно так, тихой сапой, предпочитают действовать современные киберпреступники.

Основными мотивами поведения киберпреступников все чаще становятся не известность и слава, а финансовые или политические выгоды.  Из-за этого скрытность приобретает все большую важность при проведении атак. Незаметное использование тех или иных уязвимостей систем безопасности позволяет атакующим действовать исподтишка и заметать за собой следы, и для этого часто используются инновационные, невиданные ранее методы.

Ниже перечислены пять основных, часто используемых приемов атак «тихой сапой», которые следует знать специалистам по информационной безопасности.

  • Наборы эксплойтов. Обычно организации прилагают немало усилий, чтобы добиться лидерства в сфере своей деятельности. Для разработчиков эксплойтов, однако, такая слава может стать лишь источником проблем, как, например, получилось с авторами широко известного эксплойта Blackhole (правоохранительным органам удалось отследить и прекратить их вредоносную деятельность). В результате преступникам становится очевидным, что «больше» не всегда значит «лучше», и неважно, касается ли это масштаба бот-сети или размера «бреши» в системе безопасности. Наоборот, успешнее всего действуют те наборы эксплойтов, которые занимают четвертое-пятое место по популярности и не привлекают особого внимания.
  • «Спам на снегоступах». Как известно, благодаря своей большой площади снегоступ оставляет неглубокий и потому малозаметный отпечаток. Этот принцип положен в основу «спама на снегоступах»: он распространяется малыми порциями с большого количества IP-адресов. К тому же постоянно меняются текст письма, ссылки и адреса отправки — так, чтобы одна и та же комбинация никогда не встретилась дважды. Это позволяет успешно избегать обнаружения атаки стандартными средствами, в частности, с использованием технических приемов, основанных на репутации IP-адреса.
  • Продвинутые методы целевого фишинга. Злоумышленники продолжают совершенствовать технологии фишинговых писем. Для этого часто используются методы социальной инженерии, и даже опытным пользователям бывает тяжело выявить подделку с ходу. В последнее время фишинговые письма выглядят так, как будто они были отправлены от имени известных организаций, с которыми пользователи часто имеют дело (например, службы доставки, онлайн-магазины, службы развлечений). В письме могут присутствовать соответствующие элементы бренда и напоминание о событии, хорошо знакомом получателю — о сделанном недавно заказе или об отслеживании посылки. Такие хорошо спланированные действия создают у пользователей ложное чувство безопасности по отношению к вредоносному содержимому письма.
  • Разделение эксплойта между двумя разными файлами. Вредоносное ПО на основе технологии Flash может взаимодействовать с JavaScript и скрывать свою активность в силу того, что элементы эксплойта разделяются между двумя разными файлами и даже форматами: Flash и JavaScript. Это позволяет сильно затруднить обнаружение, блокирование и анализ эксплойта через реверс-инжиниринг. При этом подходе увеличивается и эффективность атаки. Например, если первая стадия атаки выполняется только посредством JavaScript, то вторая стадия — передача рабочих данных — не начнется до успешного завершения первой. Таким образом, данные будет получены только теми пользователями, которые выполняют вредоносный код.
  • Распространение нежелательной рекламы через расширения для браузеров. Разработчики вредоносного ПО усовершенствовали свои методы таким образом, что сейчас средой для распространения вредоносного кода и нежелательных приложений могут стать расширения для браузеров. Пользователям предлагается за небольшую плату скачать и установить какие-либо приложения, например, для просмотра PDF или видео. Источник этих приложений воспринимается как заслуживающий доверия, хотя на самом деле за ним стоят злоумышленники, распространяющие вредоносный код. Многие пользователи не подозревают о том, что расширения для браузеров могут быть источником заражения, и поэтому такой метод уже не раз доказывал свою эффективность. Таким образом, злоумышленники ухитряются оставаться незамеченными, сохраняя постоянное присутствие на компьютерах пользователей, и получают стабильную выгоду небольшими порциями, но с большого количества зараженных машин.

Сетевая Академия Cisco проводит авторизированные тренинги, практикумы Cisco, компьютерные курсы Cisco Киев (курсы ИТ Киев), ИТ тренинги - курсы Cisco (Cisco курсы), занимается подготовкой специалистов для реализации высокоинтеллектуальных проектов в области инфокоммуникационных технологий. У нас вы можете пройти курсы Cisco Москва, курсы Cisco СПб (Санкт-Петербург), курсы Linux, курсы Linux Киев, курсы Linux Москва, Linux курсы СПб.


Ответы на часто задаваемые вопросы: http://edu-cisco.org/docs/welcome.pdf


http://edu-cisco.org

http://vk.com/educisco

http://www.facebook.com/educisco

https://twitter.com/educisco

e-mail: [відкрити контакти][email protected]

skype: edu-cisco.org

tel. [відкрити контакти](097) 241-79-18.


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка