Больше половины пользователей в России опасаются слежки через веб-камеру

Больше половины пользователей в России опасаются слежки через веб-камеру

52% российских пользователей, принявших участие в совместном исследовании «Лаборатории Касперского» и B2B International, отметили, что их беспокоит возможность слежки через веб-камеру устройства. Более четверти опрошенных (26%) переживают настолько, что даже заклеивают или завешивают объектив на своем компьютере. При этом 5% заклеивают камеры и на мобильных устройствах.

Назвать их тревогу безосновательной нельзя — веб-камеры действительно часто становятся эффективным инструментом киберпреступников. Вместе с тем, как выяснилось в ходе исследования, треть российских пользователей (34%) до сих пор не знает об этой угрозе.

Цели взлома веб-камеры могут быть разнообразными. Во-первых, таким образом преступники могут выяснить какие-либо служебные секреты или украсть учетные данные к финансовым сервисам. Беспечность некоторых пользователей облегчает им задачу: например, каждый девятый опрошенный в России сообщил, что записывает пароли к своим онлайн-сервисам на бумаге и стикерах, которые хранит рядом с компьютером. При качестве современных веб-камер появляется возможность такие записи прочесть.

Во-вторых, злоумышленники могут получить приватные фотографии для шантажа или собственного развлечения. Так, в мае 2014 года Европол выявил целую сеть создателей, распространителей и пользователей вредоносных программ, которые применялись в том числе и для слежки через веб-камеры. Начало расследованию положил арест голландского хакера, который заразил компьютеры 2000 женщин этой программой в надежде получить их интимные фотографии.

«Прикрытие объектива веб-камеры — не самый эффективный метод защиты. Эта мера позволяет на какое-то время избежать наблюдения, но не препятствует прослушиванию через встроенный микрофон, а также перехвату изображения в те моменты, когда камера открывается для общения, – рассказывает Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского». – Защитить от вредоносных программ, способных «подсматривать» через веб-камеру, могут многие защитные решения. Но таких мер предосторожности бывает недостаточно в случае, если программа не является вредоносной по умолчанию – например, передает только картинку – или злоумышленник использует для этого легальное ПО. Именно поэтому мы включили в наше решение технологию, способную распознавать любые подключения к камере».

Чтобы пользователь всегда знал, какие приложения «видят» через его веб-камеру, и мог защитить свою личную жизнь без использования клейкой ленты, «Лаборатория Касперского» разработала и включила в решение Kaspersky Internet Security для всех устройств специальный модуль защиты от несанкционированного подключения к веб-камере[1]. Благодаря этой разработке решение постоянно контролирует доступ к встроенной или подключенной веб-камере и сообщает пользователю обо всех попытках обращения к ней. В свою очередь пользователь может выбрать, разрешить видеопередачу данной конкретной программе или запретить. Кроме того, существует возможность заблокировать доступ к веб-камере по умолчанию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru