Современные вирусные атаки и методы борьбы с ними

Технический анализ актуальных угроз и контрмер

Лекция 7

2/20

Актуальность темы

Увеличение числа целевых атак (APT) на 40% за последний год
Рост использования искусственного интеллекта в киберугрозах
Недостаточная защищённость корпоративных инфраструктур
Эволюция методов обхода традиционных средств защиты
Возрастающая стоимость инцидентов информационной безопасности

Важно: Современные атаки становятся всё более изощрёнными и целенаправленными

3/20

Классификация вредоносного ПО

6

Основных типов

75%

Используют полиморфизм

Основные типы:

Вирусы - самовоспроизводящийся код
Черви - автономное распространение по сети
Трояны - маскировка под легитимное ПО
Руткиты - скрытое присутствие в системе
Шифровальщики - блокировка доступа к данным
Бэкдоры - удалённый доступ к системе

                Стелс-механизмы и полиморфизм позволяют избегать обнаружения
            

4/20

Статистика вирусных атак (2024-2025)

5.5М

Новых угроз в день

43%

Атак на малый бизнес

Распределение по отраслям:

Финансовый сектор - 28%
Здравоохранение - 22%
Производство - 18%
Образование - 15%
Госсектор - 12%
Прочие - 5%

Источники данных: Check Point, Kaspersky, Fortinet Research

5/20

Целевые атаки (APT)

APT - Advanced Persistent Threat

Определение: Сложные, долгосрочные кибератаки, проводимые хорошо финансируемыми и высококвалифицированными группами злоумышленников с целью получения постоянного доступа к целевым системам для кражи данных или шпионажа.

Ключевые характеристики APT:

Advanced (Продвинутые): Использование сложных техник, zero-day эксплоитов, кастомного malware
Persistent (Постоянные): Долгосрочное присутствие в сети (месяцы/годы), множественные точки входа
Threat (Угроза): Реальная опасность для критически важных активов организации
Целенаправленность: Конкретные организации, секторы или даже отдельные лица
Скрытность: Имитация легитимной активности, минимизация следов

287

Дней - среднее время обнаружения APT

$4.45М

Средний ущерб от APT-атаки

Известные APT-группы и их специализация:

Lazarus (КНДР) - Финансы

Obstinate Mogwai - Российский телеком

FIN7 - Розничная торговля

NGC2180 - Госсектор

Equation Group - Глобальный шпионаж

Жизненный цикл APT-атаки (Kill Chain):

Разведка
OSINT, соц.инжиниринг

→

Проникновение
Spear-phishing, 0-day

→

Закрепление
Backdoors, persistence

→

Эксфильтрация
Кража данных

6/20

Атаки через zero-day уязвимости

Концепт Zero-Day:

Эксплуатация неизвестных уязвимостей до выхода исправлений

Характеристики:

Отсутствие готовых средств защиты
Высокая стоимость на чёрном рынке ($1M+)
Используются в целевых атаках
Сложность обнаружения традиционными методами

Исторический пример: CVE-2023-23397

Microsoft Outlook - критическая уязвимость elevation of privilege

CVSS Score: 9.8 (Critical)
Затронуты версии 2013-2021
Эксплуатировалась в дикой природе

7/20

Fileless Malware

Принцип работы:

Выполнение вредоносного кода исключительно в оперативной памяти

Используемые технологии:

PowerShell - скриптовые атаки
WMI - управление системой Windows
Windows API - прямые вызовы системных функций
Registry - хранение payload в реестре
Legitimate tools - злоупотребление системными утилитами

Пример: Kovter

Троян-кликер, работающий исключительно в памяти:

Использует registry для персистентности
JavaScript + PowerShell для выполнения
Обход файловых антивирусов

8/20

Supply Chain Attacks

SolarWinds (2020) - Крупнейшая атака десятилетия

Компрометация через легитимные обновления
18,000+ затронутых организаций
9 месяцев незаметного присутствия

Вектора атак:

Компрометация исходного кода - внедрение в процесс разработки
Заражение обновлений - модификация легитимных патчей
Компрометация сертификатов - подписание вредоносного ПО
Атаки на CI/CD pipeline - внедрение в автоматизацию

Методы защиты:

Code signing verification
Software Bill of Materials (SBOM)
Vendor security assessments

9/20

Распространение через e-mail и фишинг

91%

Атак начинаются с email

15%

Пользователей кликают

Современные методы обхода защиты:

HTML Smuggling - сборка payload в браузере
QR-фишинг - перенаправление через QR-коды
Conversation Hijacking - перехват email-цепочек
Image-based phishing - текст в изображениях
OAuth phishing - злоупотребление SSO

Обход Sandboxes:

Условные триггеры активации
Проверка на виртуальную среду
Временные задержки (sleep evasion)

10/20

Использование AI в атаках

Искусственный интеллект меняет ландшафт угроз

Автоматизация и персонализация атак достигает нового уровня

Применение AI атакующими:

Генерация фишинговых писем - персонализированный контент
Deepfake голосовые звонки - имитация руководителей (CEO fraud)
Automated reconnaissance - сбор информации о целях
Evasion techniques - обход ML-детекторов
Password spraying - интеллектуальный перебор

Примеры инцидентов 2024:

Deepfake-звонок "от CFO" - ущерб $25M
AI-генерированные фишинговые кампании с 87% успешностью
Автоматическое создание полиморфных вариантов malware

11/20

Расширенные методы уклонения

Living off the Land Binaries (LOLBins):

PowerShell.exe - выполнение скриптов
Certutil.exe - загрузка файлов
Bitsadmin.exe - передача данных
Regsvr32.exe - выполнение .sct файлов

Условные триггеры запуска:

Sleep evasion - задержки перед активацией
User activity detection - проверка активности пользователя
Environment checks - анализ окружения
Time-based triggers - активация по расписанию

Пример: Cobalt Strike Beacon

Malleable C2 profiles - имитация легитимного трафика
Process injection - внедрение в доверенные процессы
Beacon staging - поэтапная загрузка payload

12/20

Инфраструктура атакующих

Victim

→

C2 Server

→

Backend

Command and Control (C2) серверы:

HTTP/HTTPS - имитация веб-трафика
DNS tunneling - обход файрволов
Social media - использование Twitter, GitHub
Cloud services - злоупотребление AWS, Azure

Методы обеспечения отказоустойчивости:

Fast-Flux - быстрая смена IP-адресов
DGA (Domain Generation Algorithms) - генерация доменов
TOR/I2P - анонимизация трафика
CDN abuse - использование сетей доставки контента

13/20

Методы анализа вредоносного ПО

Статический

Без выполнения

Динамический

В sandbox

Инструменты статического анализа:

IDA Pro

Ghidra (NSA)

Radare2

Binary Ninja

PEiD

Динамический анализ:

Cuckoo Sandbox

VMware vSphere

Joe Sandbox

Any.run

YARA правила:

Мощный инструмент для создания сигнатур и классификации malware

Описание паттернов в hex/текстовом формате
Условная логика и метаданные
Интеграция с SIEM и EDR системами

14/20

Системы обнаружения и предотвращения

EDR (Endpoint Detection and Response):

Behavioral analysis - анализ поведения процессов
Real-time monitoring - мониторинг в реальном времени
Threat hunting - проактивный поиск угроз
Incident response - автоматическое реагирование

XDR (Extended Detection and Response):

Интеграция данных с network, email, cloud
Корреляция событий между различными источниками
Единая консоль управления

Ведущие решения:

CrowdStrike Falcon

SentinelOne

Microsoft Defender

Carbon Black

Splunk SOAR

15/20

Использование машинного обучения

Методы классификации malware:

PE-структура анализ - заголовки, секции, импорты
API-цепочки - последовательности системных вызовов
Opcode sequences - машинные инструкции
Network behavior - паттерны сетевого трафика

Алгоритмы:

Decision Trees

Random Forests

SVM

Neural Networks

Deep Learning

                Пример модели: MalConv
                Архитектура: Convolutional Neural Network
Вход: Raw bytes PE-файла
Точность: 95%+ на известных семействах
Преимущество: Обход обфускации

            

16/20

Практика hardening и контроль доступа

Принцип наименьших привилегий

Предоставление минимально необходимых прав для выполнения задач

Windows-специфичные технологии:

AppLocker - контроль запуска приложений по правилам
WDAC (Windows Defender Application Control) - белые списки