Вышло обновление Антивирусного Сканера от компании Cezurity

Вышло обновление Антивирусного Сканера от компании Cezurity

Компания Cezurity, объявляет о выходе версии 2.6 своего облачного сервиса - Антивирусного Сканера. В новой версии реализовано обнаружение вредоносных расширений браузеров для Chrome и Firefox. Кроме того, усовершенствованы методы лечения компьютеров от заражений, вызванных сложными и устойчивыми к удалению вредоносными программами.

Тенденцией последнего времени стал быстрый рост числа вредоносных расширений для браузеров. Сегодня все популярные браузеры позволяют устанавливать специальные программы, расширяющие базовые возможности. Это может быть быстрый доступ к каким-то страницам, придание им нужного вида, персонализация интерфейса, модули для обработки различных типов содержимого веб-страниц - медиафайлов или PDF-документов. Обычно такие дополнения распространяются через специальные интернет-магазины расширений - как, например, Интернет-магазин Chrome. Если в таком интернет-магазине появится вредоносное расширение, его быстро заблокируют - либо опасность заметит владелец интернет-магазина, либо пользователи обратятся с жалобами. Но расширения для браузеров могут попадать на компьютеры пользователей и другими способами.

Обладая функциональностью обычных компьютерных программ, устанавливаются расширения для браузеров гораздо проще. Для этого требуется лишь поместить в определенные места несколько файлов и изменить настройки браузера. Так, для заражения злоумышленнику достаточно вынудить жертву запустить программу, которая распакует вредоносное расширение, установит его, а потом удалится из системы. Часто браузеры пользователей заражаются с помощью социальной инженерии или “фейковых” утилит, но могут использоваться и другие методы.

Важно отметить, что для защиты операционной системы обычно используется целый ряд технологий, которые препятствуют запуску неизвестных программ с повышенными правами. Это и система прав доступа для пользователей, и UAC, и другие технологии, включая традиционные антивирусы. Но в случае с заражением браузера с помощью расширений, именно на систему никакой атаки не происходит, а следов исполняемого кода, который ищут антивирусы, не остается. При этом браузер может оказаться под контролем злоумышленников, которые таким способом получают возможность собирать приватные данные, подменять рекламу, накручивать “лайки” в социальных сетях, перехватывать информацию о взаимодействии с сайтами банков и платежных систем.

“Подчас современные технологии сильно упрощает жизнь вирусописателям, говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - обычно вредоносной программе нужно обойти поведенческие механизмы защиты, закрепиться в системе и потом она все равно может быть обнаружена антивирусом. Браузерные расширения сами по себе решают часть задач. Во-первых, их просто установить - для этого популярные браузеры предлагают несколько механизмов. Во-вторых, не требует каких-то дополнительных усилий закрепление в системе, а для обновления можно использовать механизмы браузера - они плохо контролируются сетевыми экранами. В-третьих, обнаружить такое заражение могут далеко не все антивирусы.

Все это ведет к резкому снижению требований к вирусописателям. Раньше для подобных атак им приходилось решать нетривиальные задачи, что требовало довольно высокой квалификации. Теперь это несравненно проще и быстрее - для создания вредоносной программы понадобится знание JavaScript и пара дней.”

Трудности детектирования вредоносных расширений браузеров во многом связаны с тем, что классические антивирусы обычно анализируют файлы отдельно, т. е. независимо друг от друга. Облачная технология Cezurity Cloud, лежащая в основе работы Антивирусного Сканера, позволяет оценивать срез системы. Это дает возможность увидеть, как может использоваться тот или иной файл и, соответственно, распознать его вредоносный характер.

“Возможно, скоро мы станем свидетелями резкого роста распространения “гибридных вирусов”, где само вредоносное действие осуществляется с помощью расширения браузера, а другие средства обеспечивают защиту от удаления”, - говорит Кирилл Пресняков.

“Мы видим изменение характера производства и распространения вредоносных программ, - говорит Кирилл Пресняков, - злоумышленники все чаще фокусируют внимание на логике мошеннических действий и не особенно заботятся о технической реализации, которая становится гораздо проще. Это меняет и требования к антивирусам - им необходимо учитывать очень широкий круг различных факторов, что без использования облачных технологий сегодня практически невозможно.”

Таким образом, сегодня Антииврусный Сканер способен защитить от вредоносных расширений наиболее популярные браузеры - Firefox, Chrome, а также Internet Explorer, для которого аналогичная функция была разработана раньше.

Также в новой версии значительно усовершенствован механизм лечения компьютеров от заражений, вызванных сложными и устойчивыми к удалению вредоносными программами. Сегодня усилия киберпреступников направлены не только на заражение компьютеров - в современных вредоносных программах зачастую используются как методы для сокрытия присутствия в системе (руткиты), так и средства, препятствующие лечению антивирусами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы AV Killer используют драйвер Avast для отключения защитного софта

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

 

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru