Всякий раз, когда кто-то хочет вызвать хакера для какой-либо цели, мы обычно получаем какое-то (stock photography) изображение одинокого автора вредоносного ПО с капюшоном, склонившегося над темной клавиатурой. Фильмы также увековечивают идею о том, что какой-то социально дезадаптированный одинокий человек в одиночку сеет хаос на своем (или ее) ноутбуке, а заговор обычно заканчивается кульминацией ареста человека - и на этом беспредел заканчивается, потому что теперь единственный гений находится в одиночные.
Это наводит на мысль о второй популярной хакерской концепции, согласно которой злонамеренный хакер происходит в какой-то изолированный момент блеска, когда хакер обходит все виды систем за один раз. Оба эти понятия не совсем точно отражают реалии «индустрии вредоносных программ», и это заслуженное обозначение, учитывая масштабы его экономической активности и растущую степень экономической интеграции, обнаруживаемую различными «поставщиками услуг» в значении вредоносного ПО (и фишинга). цепь.
Офисные Хаки
Правда в том, что сегодня довольно много вредоносных программ, особенно из России и Восточной Европы, разработано организацией - реальным офисом людей, которые появляются и проводят свой рабочий день за написанием вредоносных программ для зарплаты. Двадцать лет назад, еще в ранние, пока еще слегка идеалистические времена, авторы вредоносных программ были единственными авторами и даже подписывали свои творения таким образом, чтобы антивирусное сообщество могло знать, кому отдать должное. Но это изменилось, конечно, поскольку ставки стали больше, и финансовая выгода стала единственной, первостепенной мотивацией для хакеров.
Большинство авторов вредоносных программ сегодня - это те, кто работает над созданием вредоносных программ. Я не могу сказать, что если они получат медицинское и стоматологическое покрытие, я хотел бы сказать, что растущая степень организации и даже формализации в индустрии вредоносного ПО отстает от определенных тенденций в разработке реального вредоносного ПО. Таким образом, вместо одиноких вундеркиндов, полагающихся на мгновенное вдохновение, мы имеем дело с предприятиями, которые работают в долгосрочной перспективе, что, я думаю, способствует расширению использования законного программного обеспечения и инструментов для достижения своих целей.
Нелегитимное законное программное обеспечение
Ранее я писал о « безфайловой » вредоносной программе и о том, как разработчики вредоносной программы используют предустановленные системные инструменты, которые уже установлены на всех компьютерах. Еще одной тенденцией, за которой следует следить, является использование и злоупотребление законным программным обеспечением при атаках вредоносных программ, что создает проблемы при обнаружении. Легитимное программное обеспечение часто способно к очень злонамеренному поведению, если используется таким образом, хотя, очевидно, оно не предназначено для него. Обычным примером этого является Flash, но в этой категории также рассматриваются несколько законных инструментов удаленного доступа, иногда угнанных для атак вредоносных программ, и эпизод ранее в этом году вредоносных модулей в официальном репозитории Python, в результате чего установка скомпрометированного пакета Python может позволить вредоносным код для выполнения - GitHub обнаружил уязвимости в более чем 500 000 репозиториях.
Авторы вредоносных программ используют наши инструменты для обеспечения качества
Другая категория этого сочетания законных и незаконных распространяется на инструменты, используемые исследователями вредоносных программ. Возможно, вы не знакомы с YARAинструмент с открытым исходным кодом, описанный на его странице GitHub как «швейцарский армейский нож, соответствующий образцу», но все исследователи вредоносных программ, безусловно, так и есть. Естественно, оказывается, что исследователи безопасности не единственные, кто использует YARA - для тех, кто проводит достаточно времени, анализируя вредоносные программы, чтобы начать «читать между строк», совершенно ясно, что авторы вредоносных программ сами используют YARA. разрабатывать тесты и проводить обширную проверку собственного вредоносного ПО. Точно так же, как аналитик вредоносного ПО может использовать YARA для де-обфускации (например) RTF-файлов, разработчики вредоносного ПО могут использовать программу, чтобы проверить, легко ли найти их обфускации. Есть много разных типов запутывания, которые можно найти во многих файлах RTF, многие из них просты - разбивать вредоносные строки пробелами, табуляцией и новыми строками. Но это может стать довольно быстро,
Дело в том, что организация, занимающаяся разработкой вредоносных программ, может и действительно приобретает и использует наши же инструменты для «улучшения» своего продукта. Или все чаще они передают его стороннему поставщику, использующему эти инструменты, и тому подобное. Мне известны службы индустрии вредоносных программ, которые выполняют многократное сканирование, чтобы проверить, легко ли может быть пойман конкретный фрагмент вредоносного ПО, в основном это сервис, подобный Virus Total, для плохо предназначенных приложений.
Было бы хорошо для всех нас, если бы стоковые фотографии были точными, а разработчики вредоносных программ действительно были одиночками, но сегодня у нас есть интегрированные вредоносные компании.
