В августе 2019 года компания ООО «Лайтигард» принимала участие в разборе инцидента, связанного с определением возможных причин появлением вредоносного программного обеспечения (ПО) у одного нашего корпоративного Заказчика. Наша задача ограничивалась разбором технической составляющей инцидента.

Перед нашими специалистами была поставлена задача определить источник вредоносного ПО, дату его появления и возможные пути проникновения на компьютеры в организации заказчика. В результате проведённой работы было установлено следующее:

‑ вредоносное ПО попало через вредоносную ссылку, которую пользователь неосторожно использовал для скачивания программного обеспечения неизвестного происхождения;

‑ ряд компьютеров был атакован со стороны компьютера, который был заражён первым за счёт наличия уязвимостей в реализации SMB протокола в ОС Microsoft Windows (механизм, который использовали нашумевшие вирусы WannaCry, Petya). По недосмотру, эти довольно известные на сегодня уязвимости, не были своевременно закрыты соответствующими обновлениями, предоставляемыми вендором;

‑ при успешном заражении компьютера вредоносное ПО применяло целый набор технически сложных мер для сокрытия своих функциональных модулей с целью обеспечения долговременного присутствия в системе без обнаружения средствами защиты или оператором. В частности, для этого «зловред» использовал: драйвер-фильтр файловой системы, скрывающий отображения собственных файлов вредоноса, драйвер блокировки запуска приложений из заранее подготовленного списка, управляющий драйвер для принятия команд со стороны центра управления;

‑ вредоносное программное обеспечение постоянно обновляло свои части с целью обеспечения сокрытия своего присутствия и получения нового функционала;

‑ для обеспечения возможности своего постоянного присутствия в системе использовалось несколько одновременно применяющихся вариантов автозапуска своих частей (через настройки профиля пользователя, через планировщика задач, как служба сервиса и др.);

‑ вредоносное программное обеспечение поддерживало постоянный контакт со своим управляющим центром по зашифрованному каналу обмена данными;

‑ В составе вредоносного программного обеспечения исходно шёл целый набор эксплойтов (эксплуатации уязвимостей) для поражения и захвата различных целевых систем: эдакий швейцарский нож для злоумышленника, контролирующего вредоноса удалённо. В дополнение к этому в связи с текущими целями злоумышленников, в системах появлялись различные дополнительные модули, несущие новые возможности по организации атак на другие объекты ИТ-инфраструктуры. Например, были обнаружены модули для поиска уязвимостей и атак объектов внутренней сети: маршрутизаторов различных производителей;

‑ при получении на нескольких компьютерах «синего экрана смерти» (BSD) операционной системы Microsoft Windows в результате некорректной работы компонент уровня ядра ОС в составе вредоноса, его «хозяева» провели целую исследовательскую работу по определению возможных причин сбоев в своих модулях, собрали необходимую информацию, включая сбор отладочной информации ядра ОС Microsoft Windows. Затем ошибки были исправлены и более «синих экранов» не наблюдалось. (Немногие отечественные компании по производству программного обеспечения могут похвастаться таким уровнем квалификации своих специалистов).

По совокупности возможностей и поведения вредоносного ПО атака была квалифицирована как APT (Advanced Persistent Threat — «развитая устойчивая угроза»).

Для определения точной картины работы вредоносного программного обеспечения специалисты «Лайтигард» использовали специализированное программное обеспечение «WinTeon», разработанное специально для поиска аномалий программного обеспечения и детектирования потенциально опасного программного обеспечения.

Результаты расследования в виде технических журналов и образцов вредоносного программного обеспечения были переданы Заказчику.

По результатам проведённой работы можно сделать следующие обобщения, касающиеся угроз и защиты от них в области вредоносного ПО:

1. Всё ещё низок уровень осведомлённости пользователей и навыков их безопасной работы в Интернете. Так первичное заражение произошло именно в результате неосмотрительных действий пользователей. Последующие сбои в ОС Windows (BSD), довольно редкое явление для сегодняшнего уровня зрелости этой операционной системы, не заставило пользователей насторожиться и обратиться к обслуживающему персоналу, в частности лицам, отвечающим за информационную безопасность.

2. Вредоносное ПО становится всё сложнее и изощрённей. Оно активно препятствует своему обнаружению, не причиняет вреда в автоматическом режиме, проводя только заражения. При этом, оно эффективно контролируется удалённо авторами компьютерной атаки, для которых это ПО является лишь средством контроля и построения более сложных атак, цели которых можно только предполагать: кража финансовых средств, похищение конфиденциальной информации.

Штатные антивирусные средства не всегда могут противостоять столь сложному, адресному и вредоносному ПО, которое смело можно отнести к zero-day (атакам «нулевого дня»).