Почти неуловимая атака: почему сотрудникам ИБ нужны курсы повышения квалификации

Когда атака задействует легитимное ПО и бестелесные вредоносы, отследить ее крайне сложно. Так что ИБ-специалистам нужно постоянно повышать квалификацию.

Мы постоянно пишем о том, что методы авторов вредоносного ПО совершенствуются день ото дня. В том числе предупреждали и о бестелесных вредоносах, которые живут исключительно в оперативной памяти. И вот неожиданно получили очередную наглядную демонстрацию.

Эксперты «Лаборатории Касперского» принимали участие в расследовании киберинцидента с участием программы для проведения тестов на проникновение — Meterpreter. В процессе в инфраструктуре пострадавшего банка были обнаружены скрипты PowerShell и вполне законные утилиты, которые при этом передавали данные на серверы злоумышленников. Среди них, к примеру, была программа Netsh, которая вообще-то является компонентом операционной системы, служащим для удаленного конфигурирования сетевых параметров. И все это хозяйство было адаптировано для использования в «бесфайловом» режиме. То есть не оставляло никаких следов на жестком диске. Цель у злоумышленников была очевидная — собрать пароли администраторов и в итоге добраться до финансовой информации.

Мы незамедлительно стали искать следы подобной активности и при помощи Kaspersky Security Network выявили ее более чем в 140 сетях компаний, работающих в сегменте крупного бизнеса. Причем большая часть жертв находились в США, Франции, Эквадоре, Кении, Великобритании и России.

Со стопроцентной уверенностью назвать организаторов этой атаки мы не можем, однако применяемые злоумышленниками подходы могут указывать на то, что это те же люди, которые стояли либо за атакой Carbanak, либо за группой GCMAN.

Комбинирование вполне легитимных инструментов с применением бестелесного вредоносного ПО неимоверно затрудняет обнаружение атак такого рода. По сути, найти угрозу такого типа самостоятельно, без помощи экспертов извне, крайне сложно. Для этого необходимо иметь собственных высококвалифицированных специалистов по информационной безопасности. Особенно если вы работаете в банковской сфере.

Для того чтобы оградить свой бизнес от этой угрозы, мы рекомендуем:

  • ознакомиться с индикаторами несанкционированного доступа к системам, которые описаны вот в этой статье;
  • избавиться от вредоносной активности в своей инфраструктуре;
  • сменить все пароли;
  • поддерживать уровень квалификации своих ИБ-специалистов на должном уровне.

В частности, для повышения квалификации сотрудников отделов информационной безопасности мы рекомендуем посетить конференцию Security Analyst Summit, которая пройдет на острове Синт-Мартен со 2 по 6 апреля этого года.

В рамках конференции пройдут два крайне полезных обучающих мероприятия. Первое научит пользоваться инструментом анализа YARA: как писать наиболее эффективные правила, как их тестировать и улучшать до такого состояния, чтобы они позволяли выявлять даже самые сложные угрозы. Программа обучения будет уместна и для новичков, и для уже опытных аналитиков.

Второй курс обучает реверс-инжинирингу вредоносного ПО. Он предназначен для бывалых исследователей, которые уже имеют опыт анализа угроз. Курс рассчитан на четыре дня: в первый наши эксперты научат методам распаковки вредоносов, во второй продемонстрируют методы статического анализа шелл-кода, а оставшиеся два дня будут посвящены практической работе над образцами кода, использовавшегося во время известных целевых атак.

Узнать подробности о тренингах и записаться на них вы можете там же, на сайте Security Analyst Summit.

Советы