Barracuda Networks: атака вредоносного ПО на основе документов, как с ней бороться?

Исследователи Barracuda обнаружили новый рост использования вредоносных программ, которые содержатся в прикрепленных документах, пересылаемых через е-мейл. Недавний анализ электронной почты показал, что 48% всех вредоносных файлов, обнаруженных за последние 12 месяцев, были зашиты в прикрепленные документы. Было обнаружено более 300 000 уникальных вредоносных документов!
Однако с начала 2019 года эти типы атак на основе документов увеличивались по частоте достаточно резко. В первом квартале этого года 59% всех обнаруженных вредоносных файлов были документами, по сравнению с 41% годом ранее. Ниже мы рассмотрим сами атаки и решения, которые помогут обнаружить и заблокировать их.

Выделенная угроза - вредоносное ПО на основе документов

Киберпреступники используют электронную почту для доставки документа, содержащего вредоносное программное обеспечение, также известное как вредоносное ПО. Как правило, либо вредоносное ПО скрыто непосредственно в самом документе, либо встроенный скрипт загружает его с внешнего веб-сайта. К распространенным типам вредоносных программ относятся вирусы, трояны, шпионское ПО, черви и вымогатели.

Современная структура для вредоносных атак

После десятилетий использования методов, основанных на сигнатурах, которые могли быть эффективны только для того, чтобы остановить распространение вредоносного ПО после того, как из него была получена сигнатура, компании теперь думают об обнаружении вредоносного ПО, спрашивая «Что делает что-то вредоносное?», а не «Как я могу обнаруживать вещи, которые, как я знаю, являются вредоносными? »Основное внимание уделяется попыткам обнаружить признаки того, что файл может нанести вред, прежде чем он будет помечен как вредоносный.

Распространенной моделью, используемой для лучшего понимания атак, является Cyber Kill Chain, семиэтапная модель шагов, которые большинство злоумышленников предпринимают для взлома системы:

• Разведка - выбор цели и исследование
• Оружие - создание атаки на цель, часто с использованием вредоносных программ и / или эксплойтов
• Доставка - начало атаки
• Эксплуатация - использование эксплойтов, поставленных в пакете атаки
• Установка - создание постоянства в системе цели
• Управление и контроль - использование постоянства извне сети
• Действия по достижению цели - достижение цели, которая была целью атаки, часто эксфильтрация данных

Большинство вредоносных программ рассылается в виде спама в широко распространяемые списки адресов электронной почты, которые продаются, объединяются и пересматриваются по мере их продвижения по темной сети. Комбинированные списки, подобные тем, которые используются в текущих мошеннических операциях сексторции, являются хорошим примером такого рода агрегации и использования списков в действии.
Теперь, когда у злоумышленника есть список потенциальных жертв, может начаться кампания по распространению вредоносного ПО (фаза доставки цепочки уничтожений) с использованием социальной инженерии, которая заставляет пользователей открывать прикрепленный вредоносный документ. Типы файлов Microsoft и Adobe чаще всего используются при атаках вредоносных программ на основе документов, включая файлы Word, Excel, PowerPoint, Acrobat и PDF.
После открытия документа либо автоматически устанавливается вредоносное ПО, либо используется сильно запутанный макрос / сценарий для его загрузки и установки из внешнего источника. Иногда используется ссылка или другой кликабельный элемент, но такой подход гораздо чаще встречается при фишинг-атаках, чем при атаках вредоносных программ. Загружаемый и запускаемый исполняемый файл при открытии вредоносного документа представляет собой этап установки в цепочке уничтожения.
Архивные файлы и файлы сценариев являются двумя другими наиболее распространенными методами распространения вредоносных программ на основе вложений. Злоумышленники часто разыгрывают с расширениями файлов, пытаясь запутать пользователей и заставить их открывать вредоносные документы.
Не смотря на то, что современные вредоносные атаки являются сложными и многоуровневыми, решения, разработанные для их обнаружения и блокировки, существуют.

Обнаружение и блокирование атак вредоносных программ

• Черные списки. Поскольку IP-пространство становится все более ограниченным, спамеры все чаще используют собственную инфраструктуру. Часто одни и те же IP-адреса используются достаточно долго, чтобы программное обеспечение могло их обнаружить и занести в черный список. Даже при наличии взломанных сайтов и ботнетов можно временно блокировать атаки по IP после обнаружения достаточно большого объема спама.
• Спам-фильтры / системы обнаружения фишинга. Несмотря на то, что многие вредоносные электронные письма выглядят убедительно, спам-фильтры, системы обнаружения фишинга и связанное с ним программное обеспечение для обеспечения безопасности могут обнаруживать скрытые подсказки и блокировать потенциально опасные сообщения и вложения от попадания в почтовые ящики.
• Обнаружение вредоносного ПО - для электронных писем с прикрепленными вредоносными документами. Статический и динамический анализы могут определить показатели, которые документ пытается загрузить, и запустить исполняемый файл, чего не должен делать ни один документ. URL-адрес исполняемого файла часто может быть помечен с использованием эвристики или систем анализа угроз. Обфускация, обнаруженная статическим анализом, также может указывать на то, может ли документ быть подозрительным.
• Расширенный брандмауэр. Если пользователь открывает вредоносное вложение или щелкает ссылку на загрузку с диска, расширенный сетевой брандмауэр, способный анализировать вредоносное ПО, дает возможность остановить атаку, помечая исполняемый файл при его попытке пройти.