Вирусы-вымогатели – новые песни о главном

Яков Гродзенский, руководитель направления информационной безопасности CTI

Программы-вымогатели останутся главной киберугрозой для бизнеса во всем мире в ближайшие годы, говорится в прогнозах многих ИБ-компаний. Количество атак с целью выкупа за расшифровку данных в России увеличилось в несколько раз, на промышленных предприятиях рост составил более 80% в сравнении с предыдущим годом. Читая эти прогнозы и отчёты, приходишь в изумление. Вроде бы казалось, что тема шифровальщиков раскрыта, рекомендаций было дано достаточно много, но проблема остаётся, в том числе и у тех, кто эти рекомендации выполняет. Давайте разберем основные моменты и остановимся на наиболее эффективных методах борьбы с вирусами-вымогателями.

Какие данные могут быть зашифрованы и к каким последствиям это приведёт? Это могут быть важные конфиденциальные документы, базы данных, чертежи, проектная документация, изображения и т.д. Максимально известная сумма выкупа на текущий момент составляет $40 млн. При этом надеяться на 100% разблокировку не стоит. Ключ дешифровки может оказаться недействительным, алгоритм дешифровки может быть написан с ошибками или вам просто могут не дать ключи после оплаты.

Одним из основных методов по защите от шифровальщиков считается бэкапирование данных. И с точки зрения теории действительно всё выглядит достаточно просто. У вас есть, к примеру, 3 бэкапа, и даже если данные зашифровались, то всегда можно их восстановить. Мы задали вопрос ИБ-специалистам разных крупных бизнес-компаний, и вот что они ответили: срок восстановления баз данных и другой информации из бэкапа может достигать недели и даже более, и это только в теории (про то, что бэкап тоже могут зашифровать, мы интеллигентно промолчим). Т.е. мы говорим о простое бизнес-процессов в течение продолжительного времени.

Среди прочих методов защиты указываются повышение осведомленности пользователей по вопросам ИБ, использование антивирусов, регулярная установка обновлений безопасности. Здесь тоже не всё так радужно, как могло бы быть.

Антивирус – не панацея

Поговорим об антивирусах. Сразу отметим, что мы, безусловно, считаем антивирус важной частью эшелонированной защиты, а в этой статье выразим лишь собственное мнение по поводу их эффективности в борьбе с шифровальщиками.

Есть несколько причин, по которым наличие антивируса не является панацеей:

• антивирус не всегда работает без доступа к интернету, который необходим для подкачки новых сигнатур и отправки файлов на анализ;
• обновление сигнатур не всегда успевает за выходом новых вирусов-шифровальщиков;
• антивирусы не всегда обнаруживают вредоносное ПО, написанное на старых (Fortran и т.д.) и новых (Rust) языках программирования, а на сегодня это главный тренд у писателей вирусов.

Упомянем еще об одном недостатке антивируса. При шифровании криптолокер шифрует куски файлов, а не целиком, фактически делая их «битыми», одновременно «зашивая» в них метаданные, которые позволят им потом расшифровать их (например, надо знать, какой именно кусок файла зашифрован). Антивирус при попытках остановить вредоносные процессы запросто может оборвать внедрение этих данных и, как следствие, сделать зашифрованные файлы полностью «битыми» и не подлежащими восстановлению.

Говоря об обновлениях безопасности, отметим, что даже в тех компаниях, где проводится сканирование на уязвимости, а оно проводится не везде, устранение найденных уязвимостей не всегда происходит оперативно.

Ну и, наверное, самое главное – это человеческий фактор. Несмотря на все предупреждения и проводимые обучения, в той или иной степени люди нажимают на ссылки и открывают файлы в фишинговых письмах.

Все существующие методы безусловно необходимы для создания защиты от шифровальщиков. Но говоря о превентивных мерах, на наш взгляд, одним из эффективных методов борьбы являются решения класса Application Whitelisting, например, решение Antilocker.

Упредить угрозу

Программный комплекс Antilocker состоит из драйвера-минифильтра файловой системы и двух утилит для управления его настройками: консольной и графической. Комплекс поставляется в виде установочного пакета MSI. При установке комплекса помимо указанных компонентов устанавливаются вспомогательные DLL: обычная библиотека для работы с настройками драйвера для использования обычными нативными приложениями и библиотека классов для приложений *.NET, а также некоторые вспомогательные утилиты.

Программный комплекс Antilocker вводит понятие «группа программ». Это одно или несколько приложений, к которым могут принадлежать файлы. Принадлежность файлов определяется драйвером автоматически, когда приложение открывает файл с доступом на изменение. Фактически, само изменение файла может не произойти, но комплекс всё равно посчитает файл принадлежащим к этой группе программ. Аналогичное решение принимается, если приложение создаёт файл. Все файлы, принадлежащие группе приложений, называются защищаемыми файлами. Доступ к ним со стороны других приложений будет контролироваться и в случае надобности ограничиваться. Таким образом достигается защита файлов от несанкционированного доступа. Защищаемые файлы помечаются с помощью расширенных атрибутов NTFS. В них указывается идентификатор группы программ и настройки доступа. При этом используется механизм Kernel EA, который позволяет их изменять только из ядра системы (обычным приложениям разрешено только чтение таких атрибутов). Защищаемые файлы также могут быть указаны в настройках группы программ. При таком способе указания защищаемые файлы помимо полного пути к файлу могут быть указаны с помощью масок с использованием символов «*» и «?». Подразумевается, что в настройках списки защищаемым файлов будут указываться в основном с использованием масок.

Контроль доступа к файлам осуществляется при следующих действиях приложений:

• открытие файлов (получение дескриптора);
• удаление файлов;
• переименование файлов (или перемещение файла в рамках одного раздела).

Как следствие, если к группе файлов обращается нетипичный для этих файлов процесс, то Antilocker блокирует его как недопустимое действие в рамках обращений к защищаемым файлам. Например, если системный процесс SVCHOST пробует изменить документ Word, то Antilocker «видит», что к документу обращается не сам текстовый редактор, а нечто постороннее. И фильтрует это обращение и не дает модифицировать файл. Работает такое решение в кольце защиты «Ring 0» как драйвер на уровне ядра ОС. Даже после завершения процесса Antilocker, если вдруг вирусу удалось его отключить, защита файлов сохраняется до момента перезагрузки машины. Также в решении присутствует опция самозащиты, которая позволяет запретить удаление Antilocker. Удаление разрешено в случае предварительного отключения самозащиты. Если забыть пароль, то удаление возможно только через безопасный режим.

Комплекс ПО Antilocker реализует такую систему защиты, которая при правильной настройке полностью исключает какой-либо несанкционированный доступ к файлам. Кроме того, функционал позволяет пресекать утечки данных. Например, помимо обычных криптолокеров есть стилеры, вредоносное программное обеспечение, предназначенное для чтения конфиденциальных данных и отправки их злоумышленнику. Например, если стилер запустится на сервере с базой данных, которая хранит персональные данные клиентов, то он тихо, совершенно незаметно и не торопясь, отправит все эти данные разработчику стилера маленькими порциями. В итоге, администратор скорее всего никогда и не узнает о краже данных. Классические средства защиты информации типа антивирусов в данном случае не являются панацеей, потому что тут нет очевидного вредоносного действия: чтение данных из файла не является чем-то криминальным, взаимодействие с сетью тоже. Antilocker защитит и от атак данного типа, позволяя настроить уровень защиты для защищаемых файлов и запретить даже чтение. Это может быть актуально для таких программ, как 1C.

Криптолокеры и стилеры могут маскироваться под легальный софт. Antilocker тоже реализует защиту от подобных выкрутасов вредоносного ПО.

Кроме того, Antilocker позволяет контролировать доступ к сетевым дискам и папкам. Например, можно запретить всем программам доступ к сетевым ресурсам, но разрешить только офисным приложениям. Таким образом, если вдруг на машине будет запущен криптолокер, то будут защищены не только файлы на локальной машине, но и файлы на сетевом диске/папке. Возможно сделать и наоборот: запретить доступ к сетевым ресурсам офисным приложениям и разрешить всем остальным. В этом случае сотрудник, который работает с особо секретными документами, не сможет даже чисто случайно сохранить документы на сетевой диск. А чтобы исключить копирование файлов на сетевой диск через «Проводник», запретить доступ к защищаемым файлам даже в режиме «только чтение».

Обход защиты комплекса ПО Antilocker возможен, например, через установку другого драйвера режима ядра, который получит полный доступ к любым файлам на локальной машине. Но, во-первых, сделать драйвер для Windows не так легко, как кажется с первого раза, как минимум, потому что для их загрузки в систему требуется цифровая подпись Microsoft. Во-вторых, Antilocker можно настроить так, чтобы он запрещал установку новых драйверов режима ядра, полностью исключая подобный вектор атаки.

Сторонний аудит для повышения киберустойчивости

Кратное нарастание количества атак, изменение ландшафта киберугроз, повышение требований регуляторов становятся актуальными причинами для обращения к компаниям с ИБ-экспертизой. Выработать комплекс действенных мер по обеспечению информационной безопасности можно и с участием собственных ресурсов, однако главным плюсом привлечения интегратора становится способность охватить проект свежим взглядом со стороны, при помощи и участии экспертов, накопивших большой опыт многолетней работы с оборудованием и ПО зарубежных и российских вендоров. Внешний аудит способен выявить проблемные места в обеспечении безопасности ИТ-инфраструктуры и предложить эффективные решения, минимизировать бизнес-риски и оптимизировать расходы. Грамотное сочетание всех мер безопасности поможет в повышении киберустойчивости любого предприятия.

Источник: https://cisoclub.ru/virusy-vymogateli-novye-pesni-o-glavnom/

новости компании