この点で、以前の記事で、企業の情報セキュリティを担当する技術専門家はソフトウェア製品とそのコンポーネントを正しく使用でき、新しい脅威が発生した場合は、新しい製品またはコンポーネントを購入する必要性を正当化する必要があると既に述べました。
一部のベンダー、特にDoctor Webが幅広い情報保護ツールを提供している理由を明確にする必要があります。 それはすべての機会にオファーをしたいという会社の欲求だけですか? または、ウイルス対策ソフトウェア開発者は、公式の職務によるさまざまな脅威の現実についてもう少し知っていて、セルバンテスのヒーローのように、良い目標、つまり顧客の完全な保護を達成したいのでしょうか? それを理解してみましょう。
現時点でマルウェア作成者にとって最も差し迫った目標の1つは、リモートバンキングシステムです。これらの脅威について詳しく検討しましょう。
updates.drweb.comにアクセスし、検索にCarberpと入力します。 2012-03-02(執筆時点の日付)のみの更新:
Trojan.Carberp.14(2)Trojan.Carberp.15(7)Trojan.Carberp.194 Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198 Trojan.Carberp.199 Trojan.Carberp。 200 Trojan.Carberp.201 Trojan.Carberp.202 Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206 Trojan.Carberp.207 Trojan.Carberp.208(14)Trojan.Carberp.209トロイの木馬.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214 Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218 Trojan.Carberp.219 Trojan.Carberp.220トロイの木馬.Carberp.221 Trojan.Carberp.222 Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227 Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231トロイの木馬.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235 Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239 Trojan.Carberp.240 Trojan.Carberp.241トロイの木馬.Carberp.242 Trojan.Carberp.243 Trojan.Carberp.244 Trojan.Carberp.245 Troj an.Carberp.246 Trojan.Carberp.247 Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251 Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255 Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259 Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263 Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267 Trojan.Carberp.29(14)Trojan.Carberp.33(10)Trojan.Carberp.45(4)Trojan.Carberp.5(3)Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80
ご存じのように、Trojan.Carberpファミリーのトロイの木馬は、企業や個人の資金の横領を目的としています。 Trojan.Carberpは、ブラックホールエクスプロイトキットを使用して配布されています。ブラックホールエクスプロイトキットは、特定のブラウザーやオペレーティングシステムなど、最新のソフトウェアのバグや文書化されていない機能を悪用する脆弱性のコレクションです。 ほとんどの場合、Black Holeの被害者は「トロイの木馬を取得」するために何もする必要はありません。感染したWebサイトを閲覧すると、感染が自動的に発生します。
サイバー犯罪者の組織化されたグループは、Trojan.Carberpの開発と「プロモーション」に関与しています。開発者はある国に、トロイの木馬が直接拡散するサーバー、別の国は3番目のオーガナイザーにいます。
現時点では、Trojan.Carberpの状況は、昨年のWinlockの状況を連想させます。最新バージョンのアンチウイルスで事前にテストされた新しい修正が毎日リリースされました。 そしてもちろん、アンチウイルスは新しいタイプの脅威の除去を開始するのに時間が必要でした。 同時に、Trojan.CarberpはTrojan.Winlockよりもはるかに危険です。Winlockが動作せず、OSへのアクセスをブロックし、SMSを送信する必要がある場合、Trojan.Carberpはシステムでの長期的な作業を目的としています。
Trojan.Carberp自体の目的を見ると、それは銀行ソフトウェア(リモートバンキングサービス)および取引プラットフォームからパスワードを盗み、他のプログラム(ブラウザ、メッセンジャー、ftpクライアント、電子メールクライアントなど)からパスワードを盗み出すのに直接役立ちます。 )-このように有名なゼウスを思い出します。 さらに、Trojan.Carberpは順序で機能を実装することもできます-拡張可能なアーキテクチャのおかげで、このトロイの木馬は特別な組み込みアドオン(プラグイン)をダウンロードして他の破壊的なアクションを実行することができます。
要約すると、現代のマルウェアは次のことに注意することができます。
1.作成時には、アンチウイルスによって検出されないことが多く、さらに、アンチウイルスを削除しようとしています。
2.マルウェアの分野で最新の開発を使用します。 同じTrojan.Carberpは、さまざまな方法を使用して、リモートバンキングシステムの操作に関連する情報をインターセプトします。ユーザーキーストロークの記録、画面フォームの資格情報と送信値の検索でのHTTPトラフィックへの侵入、プロセスへのBank-Clientシステムプログラムの埋め込み、スクリーンショットの作成重要な情報を入力した瞬間に、データ転送に参加できる個々の機能を傍受し、証明書とキーを検索して盗み出します。 トロイの木馬のすべての亜種は、ウイルスパッカーによって暗号化されます。 Trojan.Carberpが実行できるコマンドには、感染したコンピューターで任意のファイルを起動するためのディレクティブ、RDPプロトコルを使用してリモートデスクトップセッションをセットアップするコマンド、さらには感染したPCのオペレーティングシステムを削除するコマンドがあります。 したがって、リモートアクセスを使用して、既存または並列セッションで銀行取引を行うことができます。
3.システムで完全にマスクされています。 感染したマシン上で起動するTrojan.Carberpは、制御および監視の手段から逃れるために多くのアクションを実行します。 トロイの木馬は、正常に起動すると、他の実行中のアプリケーションに自分自身を導入し、メインプロセスを完了します。したがって、それ以降のすべての作業は、その特性であるサードパーティプロセス内の部分で行われます。 ウイルスの出現を視覚的に見ることができるという神話は、完全に消えてしまいました。
4.競合する-Trojan.Carberpには、「競合する」銀行トロイの木馬が破壊される可能性があります。
5. 1つ(または複数)のコマンドセンターから管理されるボットネットの一部として機能します。 したがって、感染したマシンまたはネットワークも感染源となります。
6.リモートコントロールの可能性とプラグインの使用の可能性のおかげで、外部からの注文により特定の企業への攻撃を組織化することが可能です。 現在、ほとんどの有名な銀行システム用のプラグインのバージョンがあります。
アンチウイルスが利用可能な場合、システム管理者はこれに何に対抗できますか? ウイルス対策(または、ファイルアクティビティを追跡するファイルモニター)のみを使用している場合、何もありません。 はい、しばらくすると新しい感染が発見されますが、この期間中にお金はすでに出ています。
しかし、最新のウイルス対策はファイルウイルス対策とは異なります。 アクセス制限システムも含まれます。 彼らの助けを借りて、従業員は選択したサイトへのアクセスのみを許可されます(Trojan.Carberpは、財務情報や会計情報の公開を目的としたハッキングされたサイトを通じて配布されることに注意してください)。 アンチウイルスにはリンクチェック機能があります-これも使用する必要があります。 ウイルス対策では、従業員が自分で設定を変更できないようにする必要があります。これは、「すべてが遅くなる」ためです。つまり、設定を配信する集中管理システムが必要です。
すべてのウイルス対策ソフトは遅かれ早かれ新しい変更を検出し始めますが、一部のウイルス対策はこれを早期に開始し、他のウイルス対策は後で実行されます(ウイルスアナリストの場所によって異なります)。 この点で、ロシア連邦のSTO BRが推奨する(および銀行に実装されている)いくつかのウイルス対策を使用することをお勧めします-ファイルがユーザーに届く前に、ゲートウェイとメールサーバーまたはメールサーバーなどの2つのウイルス対策で確認する必要がありますおよびユーザーマシン。
現代の脅威は、Linuxなどのシステムに切り替えるための引数としても機能します。現時点では、このOSで作成されるウイルスははるかに少なくなっています。 ただし、銀行との操作を実行するオペレーティングシステムを変更することは、問題の明確な解決策ではありません。 そのため、Androidプラットフォーム向けの最初のバンキング型トロイの木馬であるAndroid.SpyEye.1がすでに存在します。 Android.SpyEye.1マルウェアに感染するリスクは、主にコンピューターが既にSpyEyeトロイの木馬に感染しているユーザーにさらされています。 トロイの木馬の構成ファイルにアドレスが存在するさまざまな銀行サイトにアクセスすると、ユーザーが表示するWebページに外部コンテンツが挿入されます。これには、さまざまなテキストやWebフォームが含まれる場合があります。 したがって、疑いを持たない被害者は、自分がアカウントを持っているデスクトップコンピューターまたはラップトップのブラウザーで銀行のWebページをダウンロードし、銀行がユーザーがアクセスできない新しいセキュリティ対策を導入したというメッセージを見つけます。 Bank-Clientシステム、およびトロイの木馬プログラムを含む特別なアプリケーションを携帯電話にダウンロードする提案。
Android.SpyEye.1モバイルデバイスにダウンロードしてインストールした後、すべての着信SMSメッセージを傍受し、サイバー犯罪者に送信します(現在、SMS支払い確認技術が最も信頼できると考えられています)。 Android.SpyEye.1は、ウイルス作成者の手に機密情報を転送する可能性があるため、モバイルデバイスの所有者にとって危険です。
実践によると、ほとんどの企業はワークステーションと(場合によっては)ファイルサーバー用の保護システムのみを購入しています。 ただし、サーバーシステムには、悪意のあるコンテンツや不適切なコンテンツをフィルタリングする機能がはるかにあります。
実践では、支払いは経理部門にあるマシンからだけでなく、個人の家庭用PCやモバイルデバイスからも行えることが示されています。 したがって、現時点では、会社の従業員が何らかの方法で作業しているすべてのマシンとモバイルデバイスを保護する必要があります(ところで、それらは一種のボーナスとして機能します)。
要約すると:
1.既存の脅威から保護するには、実際のウイルス対策(ファイルモニター)を使用するだけでは不十分です。
2.アンチウイルス保護システムの使用(Doctor Web企業の観点から-包括的な保護)は、アクセス分散システムの使用、サーバーシステムのチェックなどを含む、感染のリスクを大幅に削減できます。
3.ローカルシステムのセキュリティを担当するスペシャリストは、リアルタイムの脅威にリアルタイムで柔軟に対応できる必要があります。また、システムの利用可能な機能の使用方法、実際に購入する必要があるもの、特定のソリューションの必要性について管理者と議論する方法、それらの義務。