Перейти к основному содержанию
Реклама
Прямой эфир
Армия
Силы ПВО уничтожили 15 дронов ВСУ над тремя регионами России
Мир
Уиткофф сообщил об обсуждении США и РФ возможных договоренностей по Черному морю
Мир
Финляндия отказалась экспортировать яйца в США
Мир
Мантуров заявил об ожидаемом увеличении поставок сельхозпродукции из РФ в Катар
Мир
Латвия приостановила работу единственного КПП с Белоруссией
Экономика
В ЦБ поддержали введение биометрии при выдаче микрозаймов онлайн
Мир
Уиткофф отметил сокращение дистанции в переговорах РФ и США по Украине
Общество
Синоптики спрогнозировали похолодание и гололедицу в Москве 17 марта
Мир
Землетрясение магнитудой 5,1 зафиксировали в Эфиопии
Общество
Синоптик не исключил возврата холодов в конце марта – начале апреля
Экономика
Льготное лизинговое финансирование расширят на легкую промышленность
Спорт
Россиянка Мирра Андреева победила в финале турнира WTA в Индиан-Уэллсе
Армия
Средства ПВО уничтожили шесть беспилотников ВСУ над тремя регионами РФ
Мир
Медведев сравнил отправку военных НАТО на Украину с началом конфликта с альянсом
Армия
Военные РФ рассказали об уничтожении техники ВСУ системами «Торнадо-С»
Экономика
В РФ выявили более 800 тыс. нелегально занятых работников в 2024 году
Мир
Захарова связала желание Британии украсть активы РФ с тягой к пиратству

Пять секунд нужно вирусу, чтобы заразить вышедшее в интернет устройство

В «Лаборатории Касперского» рассказали, как работает система ловушек для зловредов
0
Фото: ТАСС/Сергей Савостьянов
Озвучить текст
Выделить главное
Вкл
Выкл

Специалисты «Лаборатории Касперского» ежедневно обнаруживают сотни тысяч объектов вредоносного кода. Объем коллекции угроз в настоящий момент насчитывает 620 млн образцов. Тысячи из них отлавливают с помощью специальных ловушек — ханипотов. Они представляют собой цифровые двойники уязвимых устройств. О том, как функционирует система отлова зловредов, «Известиям» рассказали в «Лаборатории Касперского».

Как только уязвимое устройство подключается к интернету — тут же в течение пяти секунд, по данным специалистов «Лаборатории Касперского», — оно подвергается атаке киберпреступников. Это происходит потому, что злоумышленники усовершенствовали свои системы мониторинга. Их автоматизированные средства ежесекундно сканируют весь интернет. Как только вредоносная программа «видит» присоединившееся новое устройство, она пытается либо подобрать логин и пароль, подставляя заводские учетные данные для этого устройства, либо проэксплуатировать его уязвимость.

По словам руководителя управления исследования угроз «Лаборатории Касперского» Тимура Биячуева, это происходит потому, что большинство пользователей никогда не меняют стандартные настройки в своих устройствах после покупки. Кроме того, часто изготовитель оставляет недоработки в программном обеспечении устройств.

— Люди пренебрегают нашими рекомендациями, поэтому зловредам довольно легко проникнуть в только что подключенное к интернету устройство и загрузить свой код, — говорит Тимур Биячуев. — После проникновения зловред начинает обходить интернет и искать новое уязвимое устройство, чтобы распространиться дальше. Таким образом, незащищенные устройства собираются в «бот-сети», которые можно использовать в преступных целях, например, для так называемых DDoS-атак (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании». — «Известия»).

DDoS-атака представляет собой единовременную отправку запросов всеми устройствами зараженной сети. В этот момент атакуемый веб-сайт находится под беспрецедентной нагрузкой. Он оказывается не в состоянии обслуживать реальных клиентов. Таким образом наносится реальный ущерб владельцу. Одна из известных DDoS-атак на немецкую компанию Deutsche Telekom в 2016 году осуществлялась с помощью 900 тыс. устройств.

В «Лаборатории Касперского» созданы специальные ловушки (ханипоты — «горшочки с медом». — «Известия») для отлова зловредов. С их помощью можно получать образцы вредоносного кода или следить за действиями мошенников онлайн.

Ловушка представляет собой программу, которая имитирует работу какого-то устройства, например, видеокамеры или Wi-Fi роутера. В программе прописаны стандартные для уязвимых устройств настройки, например, пароли, зная которые злоумышленники легко получают доступ к имитируемому устройству. После загрузки вредоносного кода в ловушку он попадает в экспертную систему автообработки «Лаборатории Касперского». Эта система решает дальнейшую судьбу конкретного зловреда.

Если же система не смогла поставить вердикт, то образец отправляется на «ручной анализ» вирусному аналитику. 2–5% всех файлов, поступающих в антивирусную лабораторию, обрабатываются вручную. Остальные 95% обрабатываются автоматическим аналитиком — его еще называют «автодятлом». Он умеет анализировать угрозы разными способами, в том числе запускать пойманные зловреды в безопасном изолированном окружении для определения поведения. Если признаки вредоносного поведения обнаружены, система выносит вердикт об опасности кода, о чем мгновенно информирует всех пользователей продуктов «Лаборатории Касперского» и помещает файл в вирусную коллекцию.

На данный момент в вирусной коллекции содержатся миллионы образцов различных типов угроз. Каждый день «автоматическим аналитиком» обрабатывается примерно 360 тыс. новых уникальных вредоносных файлов. Тысячи из них — результат успешной работы ловушек.

— У нас есть сотрудники, в обязанности которых входит ежедневное наблюдение за ловушками, — поясняет ведущий исследователь-разработчик «Лаборатории Касперского» Виктор Чебышев. — Эти специалисты поддерживают сервис, добавляют новые типы ловушек, следят за тем, чтобы ловушки были максимально эффективны. 

По мнению Кирилла Кожевникова, независимого эксперта по информационной безопасности, постоянного автора журнала «Хакер», ловушки для обнаружения новых атак и образцов вредоносного кода, несомненно, нужны.

 — Вирусописатели, разумеется, от них не в восторге и стараются по возможности ловушки распознавать. Но сделать это довольно сложно, особенно если ловушка правильно настроена и качественно имитирует настоящее устройство или вообще является им. Однако нередко вредоносный код пишется так, чтобы распознавать искусственную среду, скажем, виртуальные машины, в которых вредоносное ПО изучается. Если вредоносное ПО замечает признаки тестирующей среды вокруг себя, то может не выполнять ряд вредоносных действий в надежде притвориться чем-то не опасным. Это стандартное соревнование снаряда и брони не закончится никогда. Но важно понимать, что все эти попытки обмануть автоматические системы и так-то не слишком эффективны, да еще и не помогут против подробно изучающего образец программы человека-аналитика.

Ловушки «Лаборатории Касперского» работают в разных регионах мира, чтобы иметь информацию о том, откуда атака началась. За последние полгода  в общем мировом пространстве было найдено 86 560 зараженных устройств. Большая часть из них находится в Бразилии (23% от всех обнаруженных зараженных устройств), второе место с небольшим отрывом занимает Китай (17%). Россия расположилась на четвертом месте (7%).

 

Читайте также
Прямой эфир