Эксплойты: вести с передовой

В 2016 году офисные программы были атакованы эксплойтами в два раза чаще чем в 2015

Киберпреступники используют уязвимости в софте, наверное, с тех пор, как возникла собственно киберпреступность. Поэтому атаки, в которых задействуются эксплойты, то есть вредоносные программы, используемые для атак через уязвимости в ПО, мы изучаем особо тщательно.

Недавно наши эксперты систематизировали деперсонализированную статистику по атакам на клиентов, защищенных нашими решениями, информацию, полученную при расследовании последствий целевых атак, а также данные из открытых источников и опубликовали подробный отчет о применении уязвимостей в ПО злоумышленниками.

Полный текст исследования, с техническими подробностями, опубликован нашими коллегами на сайте SecureList. Мы же хотим заострить внимание на той его части, что касается непосредственно бизнеса.

Уроки для бизнеса

Количество веб-сайтов и спам-рассылок с эксплойтами увеличивается. Так, число атак, совершенных с помощью эксплойтов, в 2016 году выросло по сравнению с 2015-м практически на четверть. А корпоративных клиентов, подвергшихся подобным нападениям, за тот же период оказалось больше на 28% — их количество выросло с 538 тысяч до 690 тысяч.

Чаще всего современные злоумышленники пробуют воспользоваться брешами в браузерах, в операционных системах Windows и Android, а также в офисных приложениях. Причем если по сравнению с 2015 годом через эксплойты в браузерах и Windows киберпреступники суммарно пытались поразить меньше целей, то число атак на Android и Office неуклонно увеличивается. По офисным программам стали бить в два с лишним раза чаще. Впрочем, количество уязвимостей, обнаруженных в Microsoft Office, также выросло.

Однако главная находка исследования заключается в том, что увеличение количества атак зависит не только от обнаружения новых дыр: среди наиболее часто эксплуатируемых — уязвимости, выявленные в 2015, 2013 и даже 2010 годах.

Особенно опасны уязвимости в руках организаторов целевых атак. Во-первых, у них достаточно ресурсов, чтобы найти «прореху», о которой еще никому не известно, или купить информацию о ней. Во-вторых, эти люди знают, как воспользоваться такой брешью в целях кибершпионажа или саботажа, а также для непосредственной кражи денег. Предпочитают они дырки в Windows, MS Office, Adobe Flash и Java.

Что делать?

Самое главное — не паниковать. Дыры в программах были и будут, это неизбежно. Часть из них давно закрыта производителями ПО: поставьте заплатки и будьте спокойны. Да, следить за выходом патчей и вовремя ставить все нужные — задача не из легких, особенно если в вашей инфраструктуре тысячи машин, которые могут оказаться под ударом. Но грамотная автоматизация решает и эту проблему.

Впрочем, и в том случае, если соответствующих патчей еще нет, атаку при помощи эксплойта вполне можно остановить. Даже уязвимость нулевого дня не гарантирует злоумышленникам успех атаки. Потому что в надежных защитных решениях есть технологии, которые успешно выявляют и эксплойты к неизвестным уязвимостям, и даже сильно обфусцированные эксплойты.

Кроме того, использование некоторых дыр подразумевает злоупотребление доверием людей, слабо осведомленных об опасности. Как правило, методами социальной инженерии их побуждают открыть начиненный вредоносным кодом документ и таким образом активируют эксплойт. Так что старайтесь регулярно информировать своих сотрудников об актуальных цифровых угрозах.

Чем можем помочь мы?

Можем помочь — и помогаем — защитным продуктом, который в состоянии справиться как с эксплойтами под известные уязвимости, так и с угрозами нулевого дня. В середине апреля мы обновили Kaspersky Endpoint Security для бизнеса — наше основное решение для обеспечения безопасности корпоративной IT-инфраструктуры. Часть его компонентов создана специально для борьбы с эксплойтами.

В первую очередь это «Автоматическая защита от эксплойтов» (Automatic Exploit Prevention), система, которая отслеживает, откуда в системе возник тот или иной файл, определяет, с ведома ли пользователя он был создан, а также помогает засечь такой вредоносный код по поведению и заблокировать его. Уникальность этой системы состоит в том, что она выявляет даже сильно обфусцированные эксплойты и успешно справляется с эксплойтами для уязвимостей нулевого дня.

Кроме того, в продукт входит система мониторинга уязвимостей и управления установкой исправлений. Она работает напрямую с нашей базой данных уязвимостей, в которой на настоящий момент находится 5005 уникальных записей. Эта система позволяет сканировать корпоративную сеть в поиске известных уязвимостей в приложениях и ОС, ранжирует уязвимости по степени их опасности, а главное — автоматически распространяет необходимые обновления.

Советы