В данной статье производится обзор основных видов кибератак, таких как массовые и таргетированные, описаны известные методы их распознавания. Представлены несколько самых известных вредоносных программ: руткит Hacker Defender, черви Flame и Stuxnet, вредоносные программы «Троянский конь» и WannaCry, описаны их свойства и принципы работы.
Приведены рекомендации для профилактики заражения оборудования. Представлен обзор основных видов антивирусных программ. Рассмотрены методы анализа данных на наличие вредоносных программ, применимых как к массовым, так и к таргетированным атакам: сигнатурный анализ, эвристический анализ, фаерволлы и белый список.
Предложена ступенчатая система анализа данных, поступающих из внешних ресурсов, на наличие вирусов и других вредоносных программ. А также предложен способ реализации данной системы. Представлен пример расположения устройств, удовлетворяющий этому способу.
кибератака
вредоносная программа
массовая атака
целевая атака
ступенчатая система
Как распознать ангину — Доктор Комаровский — Интер
1. Таргетированные атаки и как с ними бороться / Intelligent Enterprise. 05.02.2015. – URL: https://www.iemag.ru/analitics/detail.php?ID=32831 (дата обращения: 20.05.2017).
2. Вирусы и вредоносные программы / TREND MICRO. 2017. – URL: http://docs.trendmicro.com/ru-ru/smb/worry-free-business-security-90-sp1-agent-help/about/understanding-threat/viruses-and-malware.aspx (дата обращения: 20.05.2017).
3. Что такое руткиты. Программы для удаления руткитов / WINDXP.COM.RU Настройка и оптимизация операционных систем. – URL: https://www.windxp.com.ru/rotdel.htm (дата обращения: 20.05.2017).
4. Троянские программы (Trojans) / ANTY-MALWARE. – URL: https://www.anti-malware.ru/threats/trojans (дата обращения: 20.05.2017).
5. Таргетированные атаки: новое слово в мире угроз / KV.by High-Tech Club. 03.02.2016. – URL: https://www.kv.by/content/340248-targetirovannye-ataki-novoe-slovo-v-mire-ugroz (дата обращения: 20.05.2017).
6. Червь Flame – как новое оружие кибер-войн / Хабрахабр. 30.05.12. – URL: https://habrahabr.ru/sandbox/44712/ (дата обращения 20.05.2017).
7. Безопасность SCADA: Stuxnet – что это такое и как с этим бороться? / Digital Security Безопасность как искусство. – URL: https://dsec.ru/ipm-research-center/article/bezopasnost_scada_stuxnet_chto_eto_takoe_i_kak_s_nim_borotsya_/ (дата обращения 20.05.2017).
8. WannaCry ransomware used in widespread attacks all over the world / SECURELIST. 2017. – URL: https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/ (дата обращения: 20.05.2017).
9. Большев А.В. Атаки на низкоуровневые протоколы АСУ ТП на примере HART // Digital Security Безопасность как искусство. 2014. – URL: https://dsec.ru/ipm-research-center/article/attacks_on_low_level_protocols_apcs_for_example_hart/ (дата обращения: 20.05.2017).
10. Сервисное программное обеспечение ПК и основы алгоритмизации / Компьютерные вирусы и защита от компьютерных вирусов. – URL: http://www.lessons-tva.info/edu/e-inf1/e-inf1-4-1-3.html (дата обращения: 20.05.2017).
Виды ангины. Различие вирусной и бактериальной ангины. Клиника «Здоровое поколение» Барнаул
11. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. – М.: ДМК Пресс, 2012. – 592 с.
12. Арефьев А.С. Таргетированные атаки на промышленный сектор: новое оружие в кибервойне / А.С. Арефьев // Автоматизация в промышленности. – 2015. – № 2. – С. 43–45.
14. Одноранговые и иерархический сети: в чем отличие? / BLOGSISADMINA.RU. 06.02.2013 – URL: http://blogsisadmina.ru/seti/odnorangovye-i-ierarxicheskie-seti-v-chem-otlichie.html (дата обращения: 20.05.2017).
15. Варлатая С.К. Защита информационных процессов в компьютерных сетях / С.К. Варлатая, М.В. Шаханова. – М.: Проспект, 2015. – 216 с.
Современные автоматизированные системы управления технологическим процессом (АСУ ТП) представляют собой сложную многоуровневую систему, связанную с механизмом предприятия. В настоящее время высокая структурированность является важным свойством АСУ ТП. Но многоуровневые системы все еще уязвимы при атаках с нижних уровней, которые, в свою очередь, защищены очень плохо. Злоумышленник, способный обойти защиту компьютера предприятия, имеет не только доступ к остальным компьютерам, связанным с первым по локальной сети, но, что важнее всего, он способен нарушить работу самого производства, что вполне может привести к сбоям системы, авариям на самом предприятии, человеческим жертвам.
Несмотря на многообразие методов анализа угроз, зачастую достаточно сложно обнаружить и обезвредить вредоносные программы, попавшие каким-либо образом в программное обеспечение. Это занимает очень много времени и сил, что на руку злоумышленникам.
Целью данной статьи является исследование основных видов кибератак и методов их анализа, а также поиск путей для более точного анализа файлов, поступающих на предприятие из внешних источников. Задача – проанализировать принцип действия известных вредоносных программ, выявив при этом уязвимые точки современных компьютеров.
По способу распространения кибератаки можно поделить на массовые, целенаправленные [1].
Массовые кибератаки направлены на глобальное распространение вредоносных программ, способных нарушить работоспособность компьютера, удалить важные файлы или повредить их. Примерами подобных программ являются: программа-шутка (вызывает отображение изображений и окон на мониторе), руткиты (устанавливают и выполняют в системе код без согласия или оповещения пользователя), вирусы («троянский конь», сетевые и т.д.), прочие [2].
Одним из известных руткитов является Hacker Defender [3]. Замаскировавшись и обойдя брандмауэра, он открывает тайные пути в интернет, позволяющие злоумышленникам управлять зараженным компьютером. Таким образом злоумышленник получает личные данные и может внедрять в систему другие вредоносные программы.
Наибольший вред приносят вирусы.
«Троянский конь» – это вирусная программа, являющаяся частью безвредной программы [4]. Она скрытно выполняет определенные действия с целью причинения ущерба пользователю. Ущерб самый различный: скачивание файлов, удаление данных и выведение из строя оборудования, сбор адресов и паролей социальных сетей и использование их для отправления спама, шпионаж за пользователем, кража паролей и номеров кредитных карточек, создание помех работе антивирусных программ.
Относительно предприятий применяются таргетированные атаки.
Таргетированные (или целенаправленные) атаки – это заранее продуманные действия для поражения информационных систем определенной организации [5]. В большинстве случаев массовые вирусные атаки не приносят какой-либо прибыли. В целевых же атаках средства кибернападения используются для прямой кражи денежных средств или информации.
Целенаправленные атаки на информационную инфраструктуру обладают такой характеристикой, как многоступенчатость. Примером такой угрозы служит программа-шпион червь Flame [6]. Вредоносная программа Flame считается одной из опаснейших угроз. Основной задачей Flame является заражение систем управления нефтяной индустрии.
Он содержит в себе большой пакет программных модулей, состоящих из большого количества библиотек. Завершив процесс распаковки, программа создает свою базу данных и заносит в нее файлы пораженного оборудования. Также червь делает скриншоты экрана зараженного компьютера и способен записывать разговоры в помещении, в котором непосредственно находится компьютер. В пассивном режиме работы червь производит сбор информации с компьютера. В активном режиме он удаляет информацию с оборудования, на которую была произведена кибератака.
До него был вирус Stuxnet, задачей которого было заражение, нарушение работы промышленных систем, сбора данных [7]. При заражении им компьютера предприятия оборудование переходит в неуправляемый режим работы или самоуничтожается.
Еще одним примером подобной программы может служить недавно нашумевшая вредоносная программа WannaCry [8]. Это сетевой червь, поражающий только компьютеры с операционной системой Microsoft Windows. Принцип его работы состоит в том, что он ищет через интернет устройства со слабым портом 445, данный порт, в свою очередь, отвечает за совместную работу Windows с файлами.
Потом программа устанавливает дефект алгоритма, через который загружается код червя. Далее червь действует точно так же, как и классические программы-вымогатели. После запуска червь генерирует пару ключей асимметричного алгоритма. Потом, просканировав содержимое оборудования, червь зашифровывает каждый файл.
Когда процесс шифрования завершится, на экране появится окно, извещающее о требовании перевода денежных средств. Если сумма не будет переведена в срок, файлы удаляются. Эта программа появилась в сети с начала 2017 г., однако уже более 150 стран подверглись ее нападению, в том числе Россия, Украина, Испания, Индия и прочие.
Способы обнаружения. Слабая защищенность АСУ ТП может вызвать увеличение числа кибератак оборудования промышленности. Самый простой способ защиты от них – применение сложных паролей и ограничение максимального количества элементов АСУ ТП от интернета. Однако более серьезные меры включают в себя частые аудиты безопасности, обновления уязвимого программного обеспечения и использование средств защиты, направленных на специфику конкретных АСУ ТП [9].
Лучший способ не допустить заражения оборудования – это придерживаться нескольких правил:
– необходимо проверять внешние носители информации, прежде чем начать им пользоваться;
– создавать надежные пароли;
– регулярно сканировать оборудование на наличие вредоносных программ с помощью антивирусов;
– не устанавливать программы от неизвестного поставщика;
– делать резервное копирование ценных данных.
Существует достаточное количество программ, предупреждающих и обезвреживающих атаки (антивирусы) [10]. Каждые из этих программ выполняют свои функции. Различают такие антивирусные программы, как:
– программы-детекторы (анализируют систему, сравнивая цифровые отпечатки программ с собственной базой) [10];
– программы-доктора (не только ищут, но и удаляют вредоносную программу, не повредив зараженные файлы) [10];
– программы-ревизоры (сравнивают исходные состояния программ, файлов и т.д. с текущим их состоянием) [10];
– программы-фильтры (обнаруживают подозрительные действия, характерные для вирусов) [10];
– программы-вакцины (изменяют программу или систему так, что вредоносная программа воспринимает оборудование зараженным и не внедряется) [10].
Но выявить таргетированные атаки гораздо сложнее. Для этого необходимы особые методы.
Основными методами обнаружения подобных атак являются: сигнатурный анализ, эвристический анализ, фаерволлы (брандмауэры), белый список [5].
Осуществление сигнатурного анализа предполагает, что аналитики имеют файл, зараженный вирусом [11]. Изучив данную вредоносную программу, можно снять с нее сигнатуру (цифровой отпечаток). После занесения отпечатка в базу можно проверять файл на наличие этого вируса в оборудовании, сравнивая сигнатуры. Сигнатурный анализ обладает рядом преимуществ:
– используется не только для поиска вирусов, но и для фильтрации системного трафика;
– позволяет достаточно точно проводить испытания противостояния атакам.
Минусом сигнатурного анализа является потребность в постоянном обновлении сигнатурной базы.
Роль эвристического анализа заключается в проверке кода на наличие свойств, характерных для вирусов [12]. То есть данный метод заключается в проверке программ на наличие соответствий с сигнатурами известных вирусов. Для этого антивирусная программа должна полностью контролировать работу, выполняемую программой. Этот способ хорош тем, что не зависит от актуальности баз. Минусом данного вида анализа является наличие ложных реагирований на безопасные файлы.
Метод выявления целенаправленных атак предполагает использование фаерволлов (брандмауэров), позволяющих фильтровать трафик [12]. Они действуют согласно определенным правилам, построенным по принципу «условие – действие». Трафик пройдет проверку, если к нему найдется соответствующее правило. Недостатком данного метода является большое число лжесрабатываний, из-за которых может затеряться необходимое предупреждение об атаке.
Вирусы
Что нам в первую очередь приходит в голову, когда мы слышим про вирусы? Вы наверняка подумали о компьютерных вирусах — вредоносных программах, которые портят компьютер. Но ведь не просто так говорят заболевшему, скажем, гриппом: «Это вирусное, потому и температура 39!». Наверное, настоящие вирусы связаны с болезнями и эпидемиями, а компьютерные так назвали по аналогии. А вот кто такие эти настоящие — сейчас будем разбираться.
Почему вирусы так называются? Оказывается, слово «вирус» имеет латинское происхождение и означает — что бы вы подумали? — яд! Незавидное название. И неудивительно, ведь долгое время вирусы связывали исключительно с опасными заболеваниями, всегда заразными, а иногда и смертельными.
Известно, например, что египетский фараон Рамзес V умер от оспы в XII веке до н. э. (на рисунке 1 приведена фотография головы мумии фараона). Правда, тогда никто не знал, что чёрная оспа — заболевание вирусной природы.
Кстати, первую вакцинацию провели именно против оспы, в 1796 году. Английский врач Эдвард Дженнер заметил, что доярки, переболевшие коровьей оспой (это не смертельное для человека заболевание), от чёрной оспы никогда не умирали. Тогда ему в голову пришло привить от этого смертельного заболевания восьмилетнего мальчика, Джеймса Фиппса, никогда не болевшего чёрной оспой (рис. 2).
У заболевших коровьей оспой на коже образуются пустулы, или, по-другому, гнойные пузырьки. Дженнер внёс в ранку мальчика жидкость из пустул больной доярки. Пустулы появились и у Джеймса, но скоро исчезли. Тогда врач заразил мальчика чёрной оспой. «Смелый», надо сказать, поступок — результат был непредсказуем!
Но Джеймс выжил и приобрёл иммунитет, а Эдвард Дженнер и термин «вакцинация» (от лат. «vacca», что означает «корова») вошли в историю.
Но и Дженнер не имел представления о том, что является причиной заболевания оспой. В XIX веке все болезнетворные организмы и вещества без разбора называли вирусами. Лишь благодаря опытам отечественного биолога Дмитрия Иосифовича Ивановского прекратилась эта путаница!
Он пропускал экстракт заражённых табачной мозаикой 1 растений через бактериальные фильтры, сквозь которые не проходят даже самые мелкие бактерии. Выяснилось, что экстракт оставался по-прежнему заразным для других растений. Значит, возбудителями табачной мозаики были организмы, меньшие по размеру, чем бактерии; их назвали фильтрующимися вирусами. Вскоре бактерии перестали называть вирусами, а сами вирусы выделили в отдельное царство живых организмов. Дмитрий Ивановский же во всём мире по праву считается основателем вирусологии — науки о вирусах.
Рис. 2. Дженнер прививает Джеймса Фиппса от оспы
Но что мы пока поняли про вирусы? Только то, что они меньше бактерий. Чем же вирусы так не похожи на другие организмы? И почему понадобилось вдруг их выделять в отдельное царство? А вот почему.
В отличие от других живых организмов, вирусы не имеют клеточного строения, а значит, и всех характерных для клетки структур. А ещё они единственные, кто не умеет самостоятельно производить белок, главный строительный материал всего живого. Поэтому их размножение невозможно вне заражённой клетки. Из-за этого многие учёные не без оснований считают вирусы внутриклеточными паразитами.
Жертвами различных вирусов становятся представители всех без исключения существующих царств живых организмов! Так, есть вирусы растений — вирус табачной мозаики (рис. 3, слева), вирус мозаики костра (это растение изображено на рисунке 3, справа), вирус желтухи свёклы, вызывающий иногда даже эпидемии. Кстати, в растение вирус просто так не проникнет.
Заражение происходит при травмах растительных тканей. Типичный пример: тля пьёт сок из стебля и для этого протыкает покровные ткани — а вирус тут как тут.
Рис 3. Слева: листья табака, поражённые вирусом табачной мозаики. Справа: костёр (лат. Brómus) — род многолетних травянистых растений семейства Злаки. Если посмотреть на заросли костра в ветреную погоду, его крупные метёлки, склоняясь под ветром то в одну, то в другую сторону, отсвечивают красноватым светом в солнечных лучах, очень напоминая языки пламени. Отсюда, вероятно, и произошло русское название этого растения
Грибы тоже поражаются вирусами, вызывающими, например, побурение плодовых тел у шампиньонов или изменение окраски у зимнего опёнка. Причиной многих опасных заболеваний животных и человека тоже служат вирусы: вирус гриппа, ВИЧ (вирус иммунодефицита человека), вирус Эбола, вирус бешенства, герпеса, клещевого энцефалита и т. д.
Есть даже вирусы, поражающие бактерии, их называют бактериофагами 2 . Так, в конце XIX века исследователи из Института Пастера заметили, что вода некоторых рек Индии обладает бактерицидным действием, то есть способствует снижению роста бактерий. И достигалось это благодаря присутствию в речной воде бактериофагов.
Как же «живёт» вирус? В действительности, среди учёных до сих пор ведутся споры по поводу того, считать ли вирусы живыми организмами или нет. Сейчас поймём, почему. Вирус существует в двух формах. Вне хозяйской клетки все части вируса собраны в устойчивую конструкцию — вирион. Он не проявляет признаков жизни, однако «переживает» неблагоприятные условия среды, и довольно успешно.
Если такой вирион проникает в клетку-мишень, то он там «раздевается». Раздевается — значит разваливается на части и эксплуатирует клетку для создания новых частиц — своего потомства. «Собранные» клеткой новые вирусные частицы затем покидают её в виде тех самых вирионов.
Рис. 4. Слева: вирус табачной мозаики. В центре: вирус мозаики костра похож на футбольный мяч (справа)
Если вирионы — не клетки, то как же они устроены? Оказывается, все вирусы имеют красивую симметричную оболочку. Это может быть спираль, как у уже знакомого нам вируса табачной мозаики (рис. 4, слева). А может быть выпуклый многогранник, как, например, у вирусов мозаики костра (рис. 4, в центре) , герпеса (рис.
5, слева) и др. Вирион мозаики костра по форме напоминает футбольный мяч (рис. 4, справа). Но мало того, у некоторых вирусов бывают ещё и дополнительные «навороты» — так, у аденовируса А человека есть шипы, отходящие от вершин вириона, вроде стержней с утолщениями на концах (рис. 5, в центре).
А бактериофаг похож на многогранник со спиралью и ножками (рис. 5, справа).
Рис. 5. Слева направо: вирус герпеса, аденовирус А человека, бактериофаг
Такая затейливая оболочка должна, наверно, служить защитой для чего-то? И правда, за ней скрывается наследственная информация вируса — её он передаёт потомству. Заражая клетку, некоторые вирусы не только размножаются там, но и безнадёжно её «портят». В итоге клетка или погибает, или ведёт себя неправильно. Пример такого неправильного поведения — раковая опухоль.
Клетки в ней бесконтрольно делятся, тогда как нормальные клетки всегда способны вовремя остановиться. Вирусы могут служить причиной развития рака.
Рис. 6. Маленькие вирусы-спутники внутри гигантского мимивируса
Но не стоит думать, что вирусы причиняют исключительно вред другим организмам! Так, исследователи из Пенсильванского университета показали, что безвредный для человека вирус AAV2, встречающийся почти у всех людей, убивает самые разные виды раковых клеток. При этом здоровые клетки организма вирус не заражает.
А совсем недавно стало известно, что вирусы тоже болеют. Мимивирус, поражающий амёбу Acanthamoeba polyphaga, сам страдает от другого вируса-спутника (рис. 6). Он, кстати, так и называется — Спутник. Этот вирус-спутник использует механизмы воспроизводства мимивируса для собственного размножения, мешая ему нормально развиваться в клетке амёбы.
По аналогии с бактериофагами, он был назван вирофагом, то есть пожирающим вирусы. Можно сказать, что присутствие вируса-спутника в амёбе обеспечивает ей больше шансов на выживание в борьбе с мимивирусом.
Уф. на этом месте предлагаю пока остановиться. Итак, узнав чуть больше про вирусы, мы, надеюсь, не станем судить их очень строго, понимая, что иногда они могут быть полезны, и не только нам! А вообще вирусология — молодая наука. Многое, конечно, уже известно, но сколько всего ещё предстоит узнать! Присоединяйтесь!
1 Распространённое вирусное заболевание растений табака.
2 Бактериофáги, или фáги (от др.-греч. φαγω — «пожираю») — вирусы, избирательно поражающие бактериальные клетки.
Источник: elementy.ru
Malvertising или вредоносная реклама: что это такое и как себя защитить
Malvertising или вредоносная реклама – это тип кибер-атаки, когда вредоносный код внедрен в онлайн-рекламу, которая внешне выглядит как обычное и вполне легитимное рекламное объявление. Будучи скрытым средством распространения вредоносных программ среди ничего не подозревающих жертв, malvertising является серьезной проблемой во всем мире и получает все большее распространение в Интернете.
Отчет за 2019 год показывает, что каждый 100-й показ рекламных объявлений в Интернете имеет вредоносные цели. Аналогично, в 2017 году Google сообщал о том, что каждую секунду удалял по 100 «плохих» рекламных объявлений. Среди всей вредоносной рекламы 79 миллионов рекламных блоков пытались отправить людей на сайты с вредоносными программами, 66 миллионов были обманными рекламными объявлениями типа «trick-to-click», а 48 миллионов пытались убедить пользователей установить нежелательное ПО. Т.к. в Интернете такое огромное количество «плохих» рекламных объявлений, важно понимать, что такое malvertising и как защититься от него.
Что такое Malvertising?
Термин «Malvertising» происходит от двух английских слов — «advertising» (реклама) и «malware» (вредоносная программа), и подразумевает использование онлайн-рекламы для распространения вредоносных программ или перенаправления пользователей на вредоносные веб-сайты. Кибер-преступники встраивают вредоносную программу в рекламное объявление, которое они размещают на хорошо известном сайте или даже в социальных сетях. Доверяя этим легитимным сайтам, пользователи Интернета либо загружают веб-страницу, либо нажимают на объявление, которое загружает вредоносное ПО на их устройство.
Вполне естественно, что Интернет-пользователи доверяют таким сайтам, а потому спокойно загружают их и могут даже нажимать на размещенные на нем рекламные объявления, после чего на их устройство скачивается вредоносная программа.
Как работает Malvertising?
Malvertising наблюдается в онлайн-экосистеме рекламных сетей, где миллионы объявлений ежедневно распространяются на сайтах издателей, рекламных биржах и рекламных серверах. Сложность и огромный объем рекламы, задействованной в этой системе, затрудняют тщательное изучение каждого объявления, и официального процесса проверки не существует. Многие крупные веб-сайты также используют сторонние программы или рекламные сети для показа у себя рекламы, и такая автоматизированная среда делает рекламу уязвимой для malvertising.
Типичная стратегия злоумышленников начинается с покупки показа рекламы и размещения «чистой» (без вредоносного ПО) рекламы в течение определенного периода времени – это позволяет им стать легитимными рекламодателями. Через несколько недель преступники меняют свои рекламные объявления, размещая вместо первоначальных рекламных блоков – вредоносную рекламу, зараженную вредоносным ПО. Отныне такая вредоносная реклама начинает распространяться на огромном количестве сайтов, с которыми работает данная рекламная сеть.
Такие обманные рекламные объявления могут заразить компьютер вредоносной программой двумя способами. В некоторых случаях пользователю даже не нужно нажимать на такое рекламное объявление: он может быть заражен вредоносным кодом просто в результате загрузки страницы сайта, на котором размещена эта реклама. В других случаях пользователь должен нажать на ссылку в рекламном объявлении для того, чтобы заразиться вредоносной программой.
Но не только пользователи являются жертвами вредоносной рекламы (malvertising), но и сами крупные сайты также страдают от нее. Такие крупные проекты как Spotify, WordPress, The New York Times, The Atlantic и Adobe Flash потеряли доверие пользователей именно из-за атак с помощью вредоносной рекламы (malvertising).
Malvertising против Adware
Люди часто путают вредоносную рекламу (malvertising) с рекламным ПО (adware) – другим типом кибер-атак, который использует рекламу для прикрытия распространяемого вредоносного ПО. Вредоносная реклама (malvertising) связана с вредоносным кодом, который встраивается в рекламное объявление, публикуемое на страницах определенных сайтов, — и такая вредоносная реклама поражает только тех пользователей, которые просматривают такие страницы с этой рекламой. В свою очередь, рекламное ПО (adware) – это вредоносная программа, запускаемая на компьютере пользователя. После ее установки и запуска, такая программа непрерывно работает в фоновом режиме и может влиять на каждую веб-страницу, которую посещает пользователь.
Что может сделать Malvertising с Вашим компьютером?
Распространенное заблуждение относительно вредоносной рекламы заключается в том, что если вы не нажмете на зараженную рекламу, вы в безопасности. К сожалению, это не так, и атаки могут произойти независимо от того, нажимаете вы на вредоносное рекламное объявление или нет. В зависимости от типа вредоносной рекламы, существует несколько рисков, которые она может представлять для ваших персональных данных и информации.
Кража персональных данных
Некоторые кибер-преступники используют вредоносную рекламу (malvertising) для установки на ваше устройство шпионских программ, которые передают ваши персональные данные в руки хакера. Вредоносные рекламные объявления также могут заставить ваш браузер перенаправляться на поддельные сайты, которые выдают себя за легитимные сайты, чтобы обманным путем заставить вас предоставить свою регистрационную информацию или другие конфиденциальные данные. Хакеры могут использовать эти данные, чтобы выдавать себя за вас или продать ваши украденные данные в «теневом» Интернете, где другие кибер-преступники могут использовать их в других схемах кражи онлайн-личности.
Финансовое вымогательство
Если зараженное рекламное объявление установит программу-шифровальщик на ваш компьютер, то хакер, который его разместил, сможет предпринять попытку вымогательства. Шифровальщики – это вредоносные программы, которые блокируют доступ к вашим собственным файлам до тех пор, пока вы не заплатите хакерам круглую сумму для снятия этой блокировки.
Типы вредоносной рекламы (malvertising)
Существует два основных типа вредоносной рекламы (malvertising), о которых вам следует знать. Они оба включают в себя использование рекламных объявлений для размещения вредоносной программы, но методы ее распространения отличаются.
С автоматической загрузкой (Drive-by Download)
Вредоносная реклама с автоматической загрузкой – это когда вредоносное ПО загружается на компьютер жертвы без его взаимодействия с веб-страницей. Пользователю достаточно просто зайти на страницу сайта, где размещена такая реклама, чтобы стать жертвой атаки. В случае с malvertising, если мошенническое объявление заразило страницу, то устройство пользователя будет заражено при загрузке такой страницы.
С загрузкой по клику (Click to Download)
В случае с загрузкой по клику пользователь должен как-то взаимодействовать с рекламным объявлением, чтобы оно могло заразить его устройство (например, кликнуть на нем мышкой). Такие рекламные объявления имитируют нормальные рекламные объявления и сделаны таким образом, чтобы обмануть попавшего на страницу сайта человека и побудить его нажать на такую вредоносную рекламу.
Примеры вредоносной рекламы (malvertising)
Одна из причин, по которой так сложно распознать вредоносную рекламу (malvertising), заключается в том, что она часто распространяется в крупных рекламных сетях и онлайн-издателях, которым мы изначально уже доверяем. В последние годы растет число крупных, авторитетных компаний, ставших жертвами атак с malvertising, в результате которых устройства их пользователей заражаются вредоносными программами.
Атака с использованием коронавируса COVID-19
В 2020 году пользователи Internet Explorer стали мишенью для атаки вредоносной рекламы, связанной с коронавирусом COVID-19. В условиях сильного стресса и страха перед пандемией кибер-преступники скорректировали свои кампании с использованием вредоносной рекламы, включив в них поддельные уведомления о COVID-19. Злоумышленники провели свою кампанию, используя набор эксплойтов под названием Fallout, предназначенный для пользователей старых или необновленных версий Internet Explorer.
Атака VeryMal
Атака VeryMal с использованием вредоносной рекламы поразила две крупные рекламные биржи, которые распространяют рекламу среди многих ведущих издателей, и она была нацелена специально на пользователей компьютеров Mac. В рамках этой атаки использовались технологии на основе стеганографии (сокрытие данных в онлайн-контенте, таком как изображения или видео), с помощью которых рекламные объявления перенаправляли пользователей на поддельный веб-сайт, содержащий троянские вредоносные программы, замаскированные под обновление Flash.
Как защититься от Malvertising: 3 стратегии
Malvertising – это сложный тип кибер-атаки, который трудно обнаружить и предотвратить, но ваши шансы защититься будут намного выше, если вы будете знать, как определить вредоносную рекламу. Ниже наши советы, как вы сможете правильно предотвратить атаку с использованием вредоносной рекламы (malvertising).
1. Используйте эффективный антивирус
Надежная антивирусная программа может значительно снизить ваши шансы столкнуться с malvertising-атакой. Антивирус – это лучшая первая линия защиты от множества онлайн-угроз, которые скрываются в Интернете, включая вредоносную рекламу (malvertising) и другие формы вредоносного ПО. Благодаря защите от несанкционированных загрузок или попыток установки в режиме реального времени, антивирус является одним из самых простых способов защиты ваших данных и устройств.
2. Регулярно обновляйте установленное ПО
Многие атаки с использованием malvertising основаны на использовании существующих уязвимостей в различных программах, которые могут быть установлены на устройствах пользователей, в качестве простого способа заражения компьютерных систем. Когда вы обновляете свое программное обеспечение, вы устраняете уязвимости в системе безопасности и закрываете их для хакеров. В связи с этим, регулярное обновление установленных на вашем компьютере программ – это один из самых простых способов предотвращения подобных атак с использованием вредоносной рекламы.
3. Установите блокировщик рекламы
Эффективный способ остановить вредоносную рекламу — просто установите блокировщик рекламы на свой компьютер. Блокировщики рекламы запрещают показ рекламы на просматриваемых вами веб-страницах, а потому вы не сможете даже случайно нажать на рекламное объявление, зараженное вредоносным ПО, если оно никогда не появится на вашем экране. Имейте в виду, что использование блокировщика рекламы не предотвратит все возможные виды malvertising-атак, например, атаку с использованием вредоносной рекламы с автоматической загрузкой (drive-by download), для которой не требуется никакого взаимодействия с пользователем, чтобы заразить устройство. Но в любом случае, использование блокировщика рекламы сможет предотвратить многие виды атак с использованием вредоносной рекламы.
По мере развития технологий и роста числа пользователей Интернета кибер-преступники будут продолжать искать уязвимости в системах и находить способы заражения и эксплуатации ничего не подозревающих жертв.
Зная о том, как работают атаки с использованием вредоносной рекламы (malvertising), и на какие признаки вредоносной рекламы следует обращать свое внимание, вы сможете защитить свои данные от ущерба (кража, повреждение). Чтобы обеспечить надлежащую защиту всех ваших устройств, подумайте о внедрении кросс-платформенной антивирусной программы для повышения вашей безопасности и снижения вероятности атаки.
- malvertising
- вредоносная программа
- угроза
- безопасность
- Оригинал статьи:
Malvertising: What It Is and How to Protect Yourself
Источник: www.cloudav.ru