В первом квартале 2011 корпоративные пользователи подвергались 274 атакам в
сети, что является ростом на 103 % по сравнению с 2010, к таким выводам пришли
после исследования
Cisco
ScanSafe. Почему это произошло? Главная причина — это рост атак с
помощью скрытых загрузок. Это метод, с помощью которого киберпреступники
заражают компьютер конечного пользователя, ÷тубы управлять им.
Скрытая загрузка особенно опасна, потому что пользователь ее не замечает.
После чего вредоносное ПО устанавливается автоматически. Пользователи при этом
остаются в полном неведении.
Согласно исследованию Лаборатории Касперского половина компьютеров на
предприятиях заражены каким-либо вредоносным кодом или стали объектом
атаки.
Что такое скрытая загрузка
Скрытая загрузка осуществляется с использованием уязвимостей веб браузеров,
плагинов или их компонентов. Осуществить это можно разными способами. Например,
через веб-сайт. Такой сайт, скорее всего, был создан киберпреступниками с одной
целью – заражать компьютеры людей. Компания Dasient, занимающаяся разработкой
приложений, защищающих от атак в сети, подсчитала, что примерно 4 миллиона веб
страниц на более чем 400 тысяч сайтов заражаются вредоносным кодом
ежемесячно.
Еще один способ распространения вредоносного кода – через баннерно-рекламные
системы. Даже такое издание, как «Нью-Йорк Таймс» попалось на крючок: они
повесили рекламное объявление об антивирусной программе, которое вызывало
всплывающее окно с предложением купить поддельный антивирус. Системы Google и
Microsoft также стали жертвой подобных баннерных трюков. И кибрепреступники все
еще пытаются использовать баннернообменные системы для распространения
вредоносного кода. Это самый простой способ дотянуться до большого числа
людей.
Иногда такие установки заставляют разрешить установку вредоносного кода на
собственную машину. Например, на одной из веб-страниц вдруг появляется окно,
которое похоже на окно антивирусной программы, оно сообщает .что ваш компьютер
инфицирован, и просит разрешение на бесплатное сканирование компьютера.
Но такие уловки – не самые опасные угрозы, потому что ИТ отдел может
подготовить пользователя к ним. Только часть атак действительно зависят от
того, кликнет пользователь на заветной кнопке, или нет.
Самые опасные угрозы – те, которые не зависят от его деятельности.
Специалисты считают, что каждая тысячная веб страница заражена угрозой,
которая пытается использовать уязвимости пользователя. Большинство таких
загрузок ничем себя не выдают и их сложно избежать.
Как это делается?
Эксперты по компьютерной безопасности считают, что скрытые загрузки
возникают гораздо чаще, чем мы об этом думаем.
Проблема в том, что тул-киты, которые позволяют преступникам заражать веб
сайты, свободно продаются на черном рынке. Они автоматизированы, что облегчает
киберпреступникам задачу распространения и управления ими.
Растущая сложность браузеров становится благодатной почвой для таких
происков, из-за количества плагинов, аддонов и версий программ.
Киберпреступники добавляют все уязвимости себе в коллекцию, считают
специалисты. При этом используются элементы JavaScript и других скриптов. В ход
идут разные угрозы: от вирусов, что рушат систему, до PHP скриптов, которые
позволяют дистанционно управлять чужим компьютером или сканируют содержание
жестких дисков. Трояны позволяют извлекать нужную информацию за секунды или
превращать компьютеры в ботнеты, рассылающие DDoS атаки.
Специалисты не видят возможности побороть эту проблему. Скрытые загрузки
представляют собой постоянную головную боль группе технической поддержки
предприятия и пользователей, чью активность они подрывают. ИТ отделы изо всех
сил стараются защититься от этой проблемы.
6 способов защитить сотрудников от скрытых загрузок
1. Настаивайте на постоянных обновлениях ПО. Это – самое плодотворное
решение проблемы защиты пользователей. ИТ отдел должен информировать об этом
пользователей. Особенно это касается браузеров, аддонов и плагинов, включая
Java, Flash и Adobe Acrobat.
Это позволяет защитить пользователей от использования киберпреступниками
старых известных уязвимостей. Самым популярным устаревшим плагином является
Adobe Acrobat, его же чаще всего и используют криминальные элементы.
Обновления часто действуют пользователям на нервы, потому что сообщения о
них выскакивают без предупреждения и мешают работать. Их часто игнорируют. ИТ
отделу необходимо напоминать .что потраченные на обновление ПО пять минут могут
защитить их от установки вируса, который задержит их работу на целый день.
2. Установить защитные фильтры. Продукты,
фильтрующие содержимое веб страниц, защитят пользователей от посещения сайтов,
известных атаками на компьютеры пользователей. Такие фильтры бывают разные.
Иногда они ищут известные приемы или части кода, а другие – определяют,
безопасен ли сайт и не позволяют пользователю его посетить.
3. Установите плагин
NoScript для
браузера Firefox. Это опенсорсовый аддон, позволяющий
запускать JavaScript, Java и Flash только тем сайтам, которым вы доверяете.
Специалисты говорят, что этот плагин запрещает реализовать большинство скрытых
загрузок.
4. Отключите Java. Специалисты предлагают отключить
JavaScript в докмунетах PDF хотя бы пока не будет издан новый патч, решающий
проблему
CVE-2011-3544, вредоносный апплет Java, находящийся внутри файла,
который позволяет неизвестному апплету дотянуться до кода Java и управлять
им.
5. Следите за BLADE.
BLADE, это
аббревиатура «блокировать все скрытые загрузки» (Block All Drive-By Download
Exploits), новая система иммунизации для Windows, позволяющая закрыть
использование все уязвимостей на Windows машинах. Сейчас ее разрабатывают в
политехническом университете Джорджии совместно с SRI International. BLADE
v1.0, бесплатный прототип, который скоро можно будет скачать и установить.
6. Не давайте пользователям админский доступ к их компьютерам. При
оформлении нового пользователя не стоит давать ему админский доступ, вполне
хватает пользовательского. Раньше было стандартным правилом позволять
пользователям самим устанавливать драйвера, но это также означало простое
проникновение вредоносных программ. Сокращение полномочий пользователя
сокращает возможности установки чужого ПО. В данном случае оно может только
задеть данные пользователя, но не всю машину.
Пдготовлено НП «СОДЕЙСТВИЕ»