Анализ более 100 000 образцов вредоносного ПО для Windows, который был проведён компанией Elastic Security Labs, выявил наиболее распространённые методы, используемые разработчиками вредоносного ПО для успешного обхода защиты, повышения привилегий, запуска вредоносного ПО и обеспечения его устойчивости.
Проанализированные образцы вредоносного ПО чаще всего доставлялись через вредоносные вложения к электронной почте, содержащие документы с поддержкой макросов, файлы ярлыков Windows (LNK), контейнеры ISO/VHD и установщики MSI.
В Elastic Security Labs отмечают, что уклонение от защиты является, безусловно, наиболее распространённой тактикой, используемой вредоносным ПО, поскольку её эффективность зависит от того, не будет ли оно заблокировано и/или не замечено защитными решениями и группами безопасности.
«Основные методы обхода защиты связаны с внедрением кода, фальсификацией защиты, маскировкой и выполнением системного двоичного прокси», — отметил Самир Буссиден, инженер по обнаружению из Elastic Security Labs.
В настоящее время популярные суб-техники включают в себя:
- DLL с боковой загрузкой;
- Подмена родительского PID;
- Злоупотребление системными двоичными прокси;
- Маскировка под законные системные двоичные файлы;
- Использование вредоносных установщиков MSI;
- Вмешательство в Защитник Windows;
- Внедрение процессов (законных системных двоичных файлов) и самоинъекция;
- Отключение NTDLL (для обхода решений безопасности, зависящих от мониторинга API пользовательского режима).
Повышение привилегий чаще всего достигается путём манипулирования токенами доступа. Популярными методами являются выполнение с помощью привилегированных системных служб, обход контроля учётных записей пользователей, имитация доверенных каталогов и использование уязвимых драйверов. Вредоносное ПО часто запускается с использованием стандартных командных и скриптовых языков Windows (PowerShell, Javascript, VBscript), хотя «наблюдается небольшой всплеск в сторону использования других сторонних интерпретаторов сценариев, таких как Python, AutoIt, Java и Lua».
Полная версия отчета представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "В Elastic Security Labs представили наиболее распространённые варианты поведения и методы вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
