Пути распространения ВПО

Всем известно, что самый безопасный компьютер отключен от сети, не имеет проводов, хранится в сейфе в решетке Фарадея на дне Марианской впадины. Безопасен он за счет того, что вредоносное программное обеспечение (ВПО) не может попасть на этот компьютер. Только вот пользователей у такого компьютера тоже нет.

С каждым годом злоумышленники изобретают и внедряют все больше и больше различного ВПО, которое способно создать разные неприятности от несанкционированного доступа к информации до удаления данных и даже полного захвата контроля над устройством.

Итак, в нашем реальном мире компьютеры все же вынуты из сейфов, подключены к питанию и Интернету. Давайте разберемся, как на них может попасть ВПО? Конечно, в особых случаях нежелательное ПО может быть аппаратно заложено в устройство (например, встроенные жучки, такие как в серверах supermicro), но это встречается редко. Куда чаще подобное ПО попадает откуда-то извне, то есть с внешнего носителя (флешка, диск и т. д.) или из сети (Интернет или локальной).

Внешние носители зачастую используются в бизнес-среде. Так, например, принести презентацию на конференцию удобнее на флешке, а передавать объемные файлы из отдела в отдел - на съемном жестком диске. В данном случае возможны следующие варианты распространения ВПО:

• На внешнем носителе находится сам файл, который пользователь скопировал, зная или не зная, что тот содержит в себе вредоносный функционал.
• Вредоносный программный код находится в той части внешнего носителя, которая автоматически будет исполнена при подключении.
• Пользователь пытается загрузить ОС с зараженного внешнего носителя, в загрузочном секторе которого находится ВПО.

Изначально вредоносные программы распространялись при помощи внешних носителей. Это обусловлено тем, что всемирная паутина стала доступной повсеместно позднее. Сейчас же главным каналом передачи зловредного ПО служат сети. Из сетей путей распространения у ВПО намного больше:

• Вредоносный файл может быть получен по электронной почте. И файл этот вполне может оказаться не исполняемым файлом, а документом со зловредной частью. В ряде случаев это может быть макрос, который нужно исполнить, но в некоторых ситуациях от пользователя не требуется никаких действий: используя уязвимости в ПО, вредонос выполнит все самостоятельно.
• Кроме электронной почты файл может быть отправлен и в какой-нибудь социальной сети или же месcенджере.
• Вредоносный файл может быть скачан с какого-нибудь недоверенного сайта, фишингового сайта или в торрент-сети.
• Некоторые сайты могут совершать скачку файла без согласия пользователя, а также выполнять какую-то вредоносную нагрузку (в большинстве современных браузеров такая возможность закрыта).
• И на доверенных сайтах может оказаться зараженный контент, эксплуатирующий уязвимость (например, браузера или веб-приложения). Так, например, была взломана инфраструктура проекта Gentoo на GitHub и было выявлено вредоносное ПО для OS X в BitTorrent-клиенте Transmission 2.90.
• В случае заражения хоста в локальной сети ВПО с него может начать распространяться по другим устройствам (как делают WannaCry, Petya, NotPetya).

К сожалению, универсальной спасительной пилюли от вредоносных программ пока не придумали, да и если быть откровенными, то вряд ли когда-то придумают. Во многом защититься или, по крайней мере, уменьшить риск попадания ВПО на устройство и в сеть помогут следующие меры:

• установка на устройство антивируса, регулярное его обновление и проверка устройства им;
• своевременная установка обновлений на устройство;
• переход по ссылке, скачивание файла или использование чужой флешки только при условии, что вы доверяете источнику, из которого они получены (для этого могут использоваться «белые списки»);
• отключение автозапуска дисках и флешках;
• запрет или проверка вложений в письмах электронной почты (проверка может выполняться как на почтовом сервере, так и на клиентском устройстве);
• установка потоковых антивирусов;
• мониторинг аномального поведения хостов и ведение логов.

В действительности разные ВПО работают совершенно непохожими способами. Некоторые из них не проявляют явных признаков присутствия, и машина продолжает работать в нормальном режиме (ярким примером может служить нашумевший Stuxnet). Другие сразу дают знать о своем существовании (например, программа-вымогатель TorrentLocker). А какие-то мгновенно блокируют всю машину (чего только стоит WannaCry). Все это зависит от типа ВПО, лишь одно остается неизменным : машина взломана, ваши данные скомпрометированы.

Выстраивание эффективной защиты от ВПО в современной IT-инфраструктуре задача нетривиальная. Подобрать и грамотно внедрить антивирусные решения, а также сконфигурировать сеть таким образом, чтобы инциденты заражения ВПО наносили как можно меньше ущерба поможет наша проектная команда, а специалисты сервиса мониторинга информационной безопасности Акрибии помогут своевременно выявлять заражения и предупреждать эпидемии, а такде закрывать уязвимости, используя которые ВПО может распространяться по сети.