Отправка в сообщениях электронной почты инфицированных вложений является эффективным и самым популярным способом распространения вредоносных программ и заражения компьютеров.
Это испытанный прием. Пытается ли злоумышленник добавить в ботнет как можно больше компьютеров, пробует ли достать информацию из корпоративной сети при помощи целенаправленной APT-атаки или же хочет завладеть вашим банковским счетом через троян — во всех случаях вредоносные вложения были и остаются самым востребованным способом атаки в течение многих лет. Пользователи компьютеров хорошо знают о том, что открывать файлы Word, PDF, изображения и прочие типы документов, присланные с незнакомых и подозрительных адресов, которые могут выглядеть совсем безобидно, может быть весьма опасно. Кроме того, вся антивирусная индустрия, а также веб-разработки, почтовые сервисы — все направлено на внедрение новых технологий борьбы с зараженными вложениями. И все это происходит одновременно с тем, что производители программного обеспечения выпускают крайне эффективные патчи, устраняющие многие уязвимости.
И несмотря на это, бесчисленное количество компьютеров по всему миру ежедневно заражается, когда пользователи открывают полученные по почте вложенные документы. Как так получается, что все усилия умнейших людей планеты и вся индустрия высоких технологий оказываются бессильными перед кучкой злоумышленников, которые к тому же не организованы в группы?
В целом причина довольно проста. Нападающие, многие из которых работают либо поодиночке, либо небольшими группами, имеют специально разработанные инструменты, позволяющие эффективно работать. В то же время создатели браузеров, почтовых сервисов и прочие технологические гиганты намного инертнее, как и любая крупная компания со множеством бюрократических барьеров. Но мы не можем винить во всем только бизнес, так как большинство пользователей осознанно отказываются от установки обновлений, а многие открывают вложения в сомнительные письма, хотя и не должны этого делать.
Отдадим должное нападающим — они не так глупы. Они внимательно смотрят за реакцией компаний на свои действия, делают выводы и оперативно изменяют тактику нападений. Они собирают разведданные на людей, которые являются целью их атаки, через социальные сети и прочие ресурсы, где те могут засветиться. Затем шлют им письма, в которых упоминают некоторые факты, повышающие доверие к отправителю.
Моя самоуверенность заставляла меня думать, что злоумышленнику придется сильно потрудиться, чтобы я стал жертвой фишинга. Однако эксперт «Лаборатории Касперского» по вопросам безопасности Курт Баумгартнер вернул меня с небес на землю, объяснив, что любой из нас, вне зависимости от своей продвинутости, может открыть присланный файл, если тот будет от человека, которому мы доверяем. И поэтому необходима защита, основанная на типичном поведении, а не на человеческой интуиции.
Например, последнее обновление безопасности от Microsoft исправило уязвимость Internet Explorer, но не исправило одну из известных уязвимостей нулевого дня в MS Office. Пользуясь этим, злоумышленники могут рассылать вредоносные документы, используя зараженные вложения. Конечно, если нападающий использует инструменты, которые знает ваш антивирус, то вы в безопасности. Но он способен оперативно изменить опознаваемые части кода или инструмент атаки, чтобы нанести свой удар, оставаясь в невидимости для антивирусов.
Не буду слишком хвалить злоумышленников. В конце концов, хорошие парни всегда лучше плохих, хотя и более медленные. Хорошие парни неплохо зарабатывают, имеют социальную защиту, им не нужно опасаться тюрьмы. Поэтому они спокойно изучают работу плохих парней, равно как и плохие парни тоже изучают работу хороших.
Именно так все происходит с разработчиками в «Лаборатории Касперского». Исследователи наблюдали за способами атак, которые злоумышленники использовали в течение многих лет. Для защиты от вредоносного ПО использовался принцип проверки подписи программ и поиска известных сигнатур вредоносных программ. Но сейчас уже стало ясно, что этого недостаточно. Таким образом, была разработана технология автоматического предотвращения эксплойта (AEP), которая сканирует систему на наличие уязвимостей и известного вредоносного поведения. Когда AEP видит, что программа запускает странный код или производит впечатление эксплойта, то запускается механизм защиты. Таким образом, пользователь защищен почти от любой угрозы, в том числе и от вышеупомянутой угрозы нулевого дня.