Преди няколко дни Tal Liberman, секюрити изследовател от компанията enSilo, разкри нов начин на заразяване със зловреден код, което засяга всички Windows версии до 10. В следствие на тази техника, изглежда, че компютрите не могат да бъдат пачнати. Бихме искали да Ви „осветлим“ върху последствията от подобни заплахи и нещата, които може да направите, за да се защитите.
Как работи?
Атаката превзема операционната система, за да инжектира зловреден код и в последствие да приложи легитимен процес, за изпълнението на файла. Нищо по-различно от това, което прави зловредния код като цяло от години (той се зарежда в системата, за да стартира процесите, за които е предназначен). Истина е, че използването на atom tables (атомни таблици) такива, които записват всякакъв вид информация в системата и чрез които се извикват данни, могат да оперират незабелязано на машината.
Тази атака, може да мине незабелязано през някои секюрити решения
Най-доброто обяснение, коеото може да се даде е това, направено от Tal Liberman, в блога му тук>>“AtomBombing: A Code Injection that Bypasses Current Security Solutions”.
Ако не може да се пачне и засяга всички Windows версии, означава ли, че сме пред голяма опасност?
Не точно, Но: първо, за да може да използват тези техники, зловредния код трябва да се изпълни на машината. Не може да се използва отдалечена атака, за да се компроментира компютъра. Киберпрестъпниците трябва трябва да прилагат някакви уязвимости или подмамят потребителя да изтегли и изпълни зловредния код, с надеждатата, че решението за сигурност, което използва няма да го спре.
Толкова ли е ново?
Начинът, по който атаката се извършва, за да се инжектира кода, ДА. Като цяло зловредния код използва техники за инжектиране отдавна, затова и съществуват толкова разноовидности на криптовирусите.
Нов, но не толкова опасен… защо е паниката?
Както споменахме в началото, зловредния код трябва да бъде изпълнен на машината, и знаем, че това все някога се случва (не АКО, а КОГА).
Много продукти за информационна сигурност имат възможността да засичат процеса на инжектиране на зловреден код, но като цяло те разчитат на вирусните сигнатури. В действителност много от тях не са способни да открият конкретно действие. И като за капак, голяма част оперорат на база само листнатите „trusted“ (разрешени) процеси. Ако зловреден код се стартира на компютъра, всички секюрити мерки на съответния продукт, ще бъдат разбити.
Като за край, ако атаката е лесна за имплементиране, знаем, че ще има и голям брой хакери, които ще я използват в най-скоро време.
Какво може да направим, за да защитим фирмената си мрежа?
От една страна, традиционните антивирусни продукти са чудесни за превенция и защита от хилядите и милиони разновидности на зловреден код. Но, не са толкова добри, че да могат да спрат таргетирана атака или уникално нова, такава!!!
От друга страна имаме така нареченото „Next Gen AV“ (Антивирус от следващо поколение). Повечето подобни продукти, твърдят, че не използват вирусни сигнатури, а силата им идва от боравенето с големи бази данни от знания, които работят от години и имат сила да разчитат новите заплахи бързо. Слабото им място, е че не могат да спрат всички опасности и действат пост-инжекционно или когато „белята“, вече е станала.
Използването на традиционни антивирусни решения + такива от следващо поколение, най-доброто ли е?
По-добре да имаме решение, което надгражда продукта, който използваме в момента. Разбира се, съществува неудобството, че трябва да плащаме за 2 мерки едновременно. На лице ще бъде и момента с менажиране, работа и следене на 2 отделни конзоли. Като цяло ще получим сигурност, но ще имаме ангажимент и допълнителна работа по управлението на два различни продукта.
Съществува ли по-лесен вариант?
Panda продуктите за бизнеса комбинират силата на традиционните решения и техники на изкуствен интелект
Най-доброто е да имаме решение, който съчетава всичко в едно – традиционен антивирус +комбиниране на техниките на изкуствения интелект+бази данни знания от облака. Работейки заедно и обменяйки информация, в допълнение с непрестанен мониторинг на всички стартирани процеси, класифициране на програми на машините в корпоративната мрежа, разследване на събития и генериране на аларми – това става възможно! Използва се малък комуникационен агент, който управлява връзката между станцията и уеб конзолата (облака), за да не забавя работата в мрежата и предложи най-добрата защита на пазара, или иначе казано – Adaptive Defense 360.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg