Статті компанії Алтекс-Софт. Сканер безпеки RedCheck дозволить захиститися від кріптовірусов і програм-вимагачів

Наша взаимовыгодная связь https://banwar.org/

Одними з найбільш активно розвиваються зловредів останніх років, на думку експертів в області інформаційної безпеки, є програми-вимагачі (ransomware). По суті це - "трояни", які, потрапляючи в середовище операційної системи, виконують шифрування всіх доступних файлів, блокують роботу комп'ютера або окремих програм, а після вимагають у жертви гроші за розшифровку або деблокування. Найнебезпечнішими серед них прийнято вважати кріптовіруси (Cryptolocker, Cryptowall, CTB-Locker і т.п.). Дані шкідливі програми не пошкоджують систему, а вибірково шифрують найбільш цінні файли, в тому числі бази даних і навіть архіви.

Ранні версії кріптовірусов використовували "слабкі" алгоритми шифрування, тому залишався шанс вирішити проблему підбором ключа, сьогодні ж шахраї широко застосовують криптостійкі алгоритми шифрування. У тому числі криптографію на основі еліптичних кривих зі стійкістю, еквівалентній алгоритмам RSA-3072 і AES-256. Розміщення C & C серверів в анонімній мережі Tor і використання для оплати дешифратора криптовалюта практично гарантують зловмисникам безкарність.

Поширення кріптовірусов перетворилося в самостійний бізнес. "Програми-вимагачі" продаються як коробкові рішення, а бізнес модель, запропонована розробниками локеров, вражає своєю цинічністю:

"Ціна локера становить $ 3000 і включає місяць безкоштовної підтримки. Продовження підтримки коштує всього $ 300 в місяць. Ви можете вільно користуватися системою після закінчення підтримки, запускати нові сервера, генерувати локери. Ви будете тільки обмежені в оновленнях. За суму в $ 3000 отримуєте готову систему" під ключ ", вона не вимагає настройки і доопрацювання. Вам не треба нікому нічого відраховувати, вона персонально ваша. Ви можете запускати безліч різних серверів і локеров. Ви можете запускати завантаження відразу після установки.
Можлива партнерська схема без великих вкладень. "

Тепер для злочинної діяльності не потрібно бути "злим генієм", досить мати певну суму і уважно ознайомитися з інструкцією з інсталяції та використання локера. Саме ця доступність і безкарність привела до зростання числа інфікованих комп'ютерів і серверів.

За даними аналітичного звіту Symantec Internet Security Threat Report з 2013 по 2014 рік кількість заражень ransomware в світі збільшилося більш ніж в 2 рази: з 4,1 млн. До 8,8 млн., А кількість заражень кріптовірусамі збільшилася в 45 разів. До кінця 2014 року кожне 25-е зараження доводилося на кріптовірус.

Компанія ESET провела опитування фахівців з інформаційної безпеки, присвячений загрозу зараження кріптовірусамі. 84% опитаних фахівців повідомили, що зараження корпоративної мережі шифратором могло б завдати їх компаніям серйозної шкоди. Більше третини опитаних (35%) повідомили, що їх компанії або організації, де працюють їхні знайомі, вже постраждали від дій вимагачів.

Незважаючи на новизну принципів роботи самих кріптовірусов, способи зараження жертви вельми тривіальні. Основними векторами поширення є фішингові повідомлення, що надходять по електронній пошті, а також неоновлення програмне забезпечення, що містить відомі уразливості, які можуть бути використані зловмисниками для віддаленої установки вірусу.

Контроль основних каналів отримання програм-вимагачів (електронної пошти, недовірених сайтів, знімних носіїв, ПО сумнівного походження) з використанням антивірусних засобів не гарантує захисту від зараження, так як сигнатурні методи виявлення в даному випадку не завжди бувають ефективні. Зловмисники постійно модифікують тіло вірусу, а шифрування здійснюється з використанням стандартних криптомодуль, які по факту не є вірусами.

Стандартна практика, коли для рядових завдань застосовується тільки для користувача обліковий запис, в разі боротьби з кріптовірусом теж неефективна, тому що до більшості важливих файлів і документів мають доступ і звичайні користувачі. Зловредів, використовуючи контекст прав користувача, "поселить" себе в одну з папок, що входять в User Profile і отримає можливість зашифрувати всі призначені для користувача дані.

Схема роботи подібних програм досить типова, розглянемо сценарій на прикладі деяких з вірусів, що потрапили в пошту нашої компанії протягом декількох днів. На поштовий сервер часто приходить подібне ransomware, деякі з шкідливих листів може видалити анти-спам програма.

Виглядає це так. Клієнт отримує поштове повідомлення, в якому від імені його "партнера" ​​або іншої особи, нібито працює з компанією, настійно рекомендується вжити термінових заходів по залагодженню ситуації.

Мал. 1 Приклад листа з кріптовірусом.

Завантаживши і розпакувати архів, користувач отримує exe-файл, або скрипт для запуску та управління вірусом. Є варіант, коли дистрибутив вірусу маскується під будь-якої офісний документ. Наприклад, на рис.2 (перші 2 скрін) видно, як виконуваний файл закамуфльований під документи PDF або Word. Самим "винахідливим" варіантом вважається впровадження маскованих посилань на сайт зловмисника, з якого і відбувається в подальшому зараження комп'ютера (рис. 2, нижній скрін). Цей варіант самий "ідеальний" з точки зору подолання захисту анти-спаму і антивіруса, тому що лист не містить ніяких вкладень і оформлено "за всіма правилами".

Рис.2. маскування вірусу

У разі, якщо через неуважність програма все ж була запущена, і при цьому була відключена або проігнорована захист UAC і запуск програми "пропустив" антивірус, то в системі стають "видно" процеси, які легко відрізнити по нехарактерним шляхах і назв. Приклади відображення процесів в диспетчері завдань Windows наведені нижче (рис. 3).

Рис.3 Відображення шкідливих процесів в диспетчері завдань Windows

Як правило, вірус копіює своє тіло в папки, що належать робочого середовища користувача (User Profile), наприклад в% AppData%, звідки і здійснює запуск виконуваних файлів. Після запуску троян виконує пошук файлів з певним розширенням на всіх незнімних, знімних і мережевих дисках і шифрує їх. Під загрозою опиняються практично всі використовувані в корпоративному середовищі або домашньому сегменті формати, такі як: бази даних 1С, файли офісних пакетів, PDF-документи, мультимедіа файли, архіви та ін. При роботі з правами користувача вірус не здатний записатися в системні папки і області реєстру, а може проникнути тільки в ті каталоги, до яких має доступ сам користувач, але і цього може бути більш ніж достатньо.

У міру шифрування на дисках відбувається перейменування файлів, причому в імені файлу з'являється адреса електронної пошти, на яку слід надсилати повідомлення (рис. 4). Відкрите вказівку пошти, ймовірно, на думку хакерів має продемонструвати їх недосяжність і посилити шок потерпілого, що це не абстрактна програма, а конкретна людина або злочинна група.

Мал. 4 Приклади зашифрованих файлів.

Після завершення шифрування з'являється повідомлення типу, "Ваші документи і бази даних були зашифровані і поміщені в формат" .VAULT ". Це, напевно, саме пристойна форма повідомлення, деякі носять провокаційний і навіть образливий характер, щоб остаточно деморалізувати і підпорядкувати собі жертву. Крім вимог, повідомлення містять інструкції по необхідних кроків постраждалих для викупу дешифратора.

Мал. 5 Повідомлення кріптовіруса

У боротьбі з шкідливим і небажаним ПО, фахівці в області інформаційної безпеки неодноразово відзначали високу ефективність вбудованих засобів захисту Windows, таких як Software Restriction Policies (SRP) і AppLocker.

Стендові випробування, проведені експертами Алтекс-СОФТ, показали, що в якості превентивних заходів, ці прості і надійні механізми ефективні і проти кріптовірусов.

AppLocker - компонент безпеки Windows, доступний для всіх серверних і топових версій клієнтських ОС (Enterprise, Ultimate), починаючи з Windows 7 і Windows Server 2008 R2. Механізм дозволяє створювати правила дозволу і заборони виконання додатків на основі унікальних посвідчень файлів, а також вказувати осіб чи груп, яким дозволено запускати ці програми.

SRP (Software Restriction Policies) - політики, що дозволяють ідентифікувати та здійснювати контроль запуску програм на комп'ютерах, що працюють в домені або автономно.

SRP і AppLocker дозволяють застосовувати блокування, які заборонять вірусу запуститися з папок, що належать профілем користувача (% AppData%, Temporary Internet Files,% Temp% і ін.). Крім того, ці блокування не дозволяють запускатися різним "твікери і оптимізаторів", месенджери, і до решти небезпечному софту, який працює за аналогією з кріптовірусом з несистемних папок і відповідно не вимагають підвищення привілеїв для запуску.

Досліджуючи можливості протидії сучасним кріптовірусам, компанія Алтекс-СОФТ розробила спеціальні зміни властивостей безпеки для SRP і AppLocker, що блокують запуск шкідливих програм. Дані конфігурації доступні в форматах OVAL і XCCDF для автоматизованих перевірок за допомогою засобу аналізу захищеності RedCheck і інших сканерів, що підтримують протоколи SCAP.

Конфігурації включають перевірки близько сорока перевірок, кожен з яких декомпозіруется до десятка подпараметров. При застосуванні конфігурації виконується блокування запуску:

• виконуваних файлів і скриптів з каталогів профілів користувачів, каталогів тимчасових файлів;
• svchost.exe з нестандартних місць;
• виконуваних файлів і скриптів з архівів, що маскуються під архіви, мультимедіа-файли, зображення, текстові документи і документи Microsoft Office;
• відомих шкідливих процесів;
• утиліт BCDEdit і ін.

На рис.6 показано, як виглядає в редакторі GPO одна із запропонованих політик обмеженого використання програм (SRP).

Мал. 6. Приклад політики SRP

Користувачі RedCheck (включаючи користувачів демонстраційних версії) з черговим оновленням контенту програми отримають можливість самостійно провести аудит налаштувань безпеки і оцінити свої шанси стати черговою жертвою програм-вимагачів. Для цього необхідно за допомогою функції «Аудит конфігурації" провести сканування, вибравши з переліку конфігурацію для AppLocker або SRP. За результатами перевірок користувачі побачать включення параметрів і їх значень, що відповідають за блокування вірусу. Невключення або невірно налаштовані параметри будуть підсвічені червоними індикаторами. Скориставшись довідкою в вікні "Історія" або звітами програми необхідно провести донастройку системи. Приклад результатів перевірок настройки політик SRP наведено на рис. 7.

Рис.7. Приклад результатів перевірок політик SRP.

Для перевірки локальних комп'ютерів можна скористатися безкоштовною утилітою ComplianceCheck, яку можна завантажити з офіційного сайту компанії Алтекс-СОФТ. На малюнку 8 показано вікно, яке демонструє можливості утиліти, в якому відображено відповідність створеним компанією Алтекс-СОФТ конфігурацій безпеки.

Мал. 8. Результати контролю утиліти ComplianceCheck

Як бонус користувачі платних ліцензій RedCheck отримали доступ до завантаження файлів об'єктів GPO, які здійснюють автоматичне налаштування зазначених політик в домені, тимчасової мережі або локально. З рис. 9 можна оцінити обсяг політик, результатами дії яких буде заборона запуску виконуваних файлів з використовуваних зловмисниками папок, а також "маскуються" файлів незалежно від їх розташування.

Мал. 9. Приклад політик GPO для заборони шляхів запуску кріптовіруса.

Необхідно пам'ятати, що жодна, навіть найефективніша міра захисту сама по собі не може вважатися вичерпною. Фахівці Алтекс-СОФТ рекомендують поряд із запропонованими політиками використовувати і традиційні організаційно-технічні заходи:

• резервне копіювання даних;
• використання антивірусних засобів з актуальними базами даних;
• патч-менеджмент і регулярні оновлення використовуваного ПО;
• захист електронної пошти від спаму;
• підвищення обізнаності співробітників про актуальні загрози.

З огляду на зрослу активність кібер-шахраїв, експерти Алтекс-СОФТ вважають важливим ще раз звернути увагу на проблеми безпечної конфігурації систем і рівень підготовки їх адміністраторів. Правильна настройка і подальший контроль операційної системи є ефективною превентивним заходом в забезпеченні безпеки будь-якої компанії. Підвищення захищеності через застосування апробованих політик не вимагає істотних додаткових фінансових вкладень, що теж важливо при створенні і підтримці інформаційних систем в сьогоднішніх, не найпростіших реаліях.