Информатика, программирование / Статья: Роль вредоносных программ в промышленном шпионаже

Статья: Роль вредоносных программ в промышленном шпионаже

Сервер может быть надежно "вылечен" без необходимости переустановки операционной системы.

В силу значительной трудоемкости данной методики она применяется с целью выявления шпионских программ только на серверах. Решение аналогичной задачи для большого количества рабочих станций производится по упрощенной схеме и с более обширным использованием средств автоматизации анализа.

Следует заметить, что приведенный базовый алгоритм не полностью покрывает один достаточно редкий и специфический кейс, а именно: случай, когда шпионский код внедрен в легитимное ПО в виде недекларированных возможностей (НДВ), на уровне дистрибутива. В таком случае проверка целостности исполняемых файлов и конфигурации системы рискует не выявить никаких аномалий. Покрытие данного кейса требует глубокого анализа подозрительного программного обеспечения.

1 Хотелось бы подчеркнуть, что в ходе "Тестов на проникновение" используются эмуляторы, то есть программы, имитирующие отдельные особенности вредоносного ПО (такие, как обход защиты и повышение уровня привилегий в системе), полностью подконтрольные специалисту и не содержащие вредоносных функций.

2 На черном рынке (см. хакерские Web-форумы) открыто котируются только простые троянцы, нацеленные на массовое заражение пользователей, преимущественно с целью создания ботнетов. О ценах на целевые руткиты можно судить, умножая соответствующие котировки в десятки раз.

КОММЕНТАРИЙ ЭКСПЕРТА

Илья Сачков, руководитель направления, группа информационной безопасности Group-IB

К сожалению, в последнее время специалисты по информационной безопасности стали относиться к вредоносному коду очень несерьезно, как к самой банальной угрозе информационной безопасности, про которую все известно. На практике же вредоносное ПО, а в особенности программы-шпионы, до сих пор являются одними из самых эффективных методов проведения несанкционированного съема информации. Это не миф, не сказка для студентов и не банальный маркетинговый ход антивирусных компаний.

В нашей практике мы часто сталкиваемся с двумя основными инцидентами, инструмент проведения которых – программы-шпионы: утечка информации и финансовое мошенничество. Промышленный шпионаж, как и корпоративная разведка, – это действительность. Правда, по отношениюко второму типу инцидентов – событие менее распространенное. В основном программы-шпионы сейчас используются в российских корпоративных ИТ-средах для кражи ключевых элементов систем Интернет-банкинга и перевода денег со счетов юридических лиц на пластиковые карты физических лиц (это позволяет преступникам в день перевода обналичить денежные средства).

Благодаря уникальным, хорошо написанным программам, стоимость которых может достигать десятков тысяч долларов, злоумышленнику реально обойти эшелонированную защиту и получить необходимую информацию. Следы вредоносного кода можно найти постфактум, используя довольно сложные методы компьютерной криминалистики, и, к сожалению, не всегда данная работа оканчивается положительным результатом. Многие такие программы не определяются антивирусными пакетами даже спустя годы. Тема, поднятая автором, должна заставить специалистов нашей отрасли пересмотреть и обновить политики обеспечения информационной безопасности и предотвращения инцидентов.

Алиса Шевченко, руководитель компании eSage Lab

Список литературы

Информационная безопасность" № 6, октябрь–ноябрь 2009

К-во Просмотров: 121
Бесплатно скачать Статья: Роль вредоносных программ в промышленном шпионаже