Продолжение статьиn
А что же майнеры?
Говоря о тенденциях нельзя не упомянуть о майнерах. Действительно их взлет был совершенно неожиданным. Теперь же количество майнеров, попадающих в антивирусные базы исчисляется сотнями. В день на Linux (см. рис. 4), на Мас (см. рис. 5).
nnСкриншоты для иных ОС приводить даже нет смысла. Буквально вал желающих заработать. И пришествие майнеров принесло совершенно неожиданные проблемы.nnОчень многие майнеры (что кстати видно и на рис. 4-5) классифицируются не как троянские программы, а как утилиты. Потенциально-вредоносное ПО К такому ПО также относятся скажем средства удаленного управления.nnПри заходе с другого компьютера с установленным DRWEB антивирус сайт блокирует и выдает сообщение об обнаружении трояна Tool.BtcMine. 1051 и блокирует сайт. У меня же на компе ничего не блокирует и при сканировании не находит.nnОшибки настройки. Вместо того, чтобы определить список программного обеспечения, разрешенного для использования в сети — для потенциально-вредоносных программ устанавливается действие Игнорировать. Результат понятен — антивирус угрозу знает, но сообщать ему о ней запрещено.nnОчень часто встречается мнение, что майнеры не вредоносные программы и антивирус обнаруживать их вообще не должен. Но это проходит после первой блокировки работы сервера компании — современные майнеры умеют искать пароли и распространяться по сети (в том числе используя уязвимости)nnЕще одна проблема связанная с майнерами — это скрипты. Скриптовые вредоносные программы существуют давно, проблемы, связанные с их обнаружением — это тоже событие года 2017. Собственно проблемы обнаружить как таковой скрипт нет, проблема в том, что их слишком просто модифицировать без изменения функционала, а сигнатуры вредоносных скриптов могут быть похожи на сигнатуры скриптов легитимных.nnВ 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, предназначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложений.nnПроблема приобретает еще большую остроту, если мы говорим о скриптах в браузерах. Скрипт, выполняющийся на странице сайта совершенно не обязан сохраняться на диск. И если установленный антивирус имеет только модуль файлового антивирусного монитора -попадет ли скрипт в браузере в его зону ответственности -это еще вопрос. В итоге скрипт вполне может майнить при установленном антивирусе.nnБезвыходная ситуация? Опять и да, и нет. Найти вредоносный скрипт может модуль проверки интернет-трафика (который опять же многие не считают нужным устанавливать, так как «файловый монитор обязан все найти»), И данный модуль действительно предотвращает загрузку скрипта. только если трафик не шифруется без возможности перехвата и анализа.nnЕвропейская комиссия хочет обязать приложения для обмена сообщениями и другие электронные сервисы передавать правоохранительными органам данные пользователей в течение десяти дней с момента получения соответствующего запроса, независимо от того, где расположена компания или хранятся данные.nnДа и это тоже тенденция. Защита приватности в виде шифрования трафика не настолько сильно повредила правоохранительным органам, как затруднила защиту пользователя от современных угроз.nnПодводя итог — защита от майнеров это не столько проблема антивируса — сколько проблема выбора продукта имеющего необходимые модули и проблема настройки средств защиты. Ситуация, когда можно было сосредоточиться на защите от файловых угроз типа шифровальщиков и игнорировать малозначимые риски типа рекламных адва- ре — ушла в прошлое.nnНебольшое отступление. Еще раз о WannaCry и проблеме настройки средств защиты. При правильном выборе антивируса и корректных настройках данный троян обнаруживался без проблем (например Антивирусом Доктор Веб), но форумы иных вендоров могли быть переполнены обращениями пострадавших. Иногда даже при том. что используемое решение могло предотвратить заражение.n
- заражение, по видимому, произошло из-за того, что вирусная база долго не обновлялась.
- заражение произошло внезапно. В результате работы за компьютером (в том числе в интернете) операционная система предупредила о перезагрузке в результате возникновения системной ошибки. После перезагрузки файлы постепенно зашифровывались (антивирус, который использовался, не был обновлен.
- …на момент заражения был выключен, к сожалению.
Опасность проблемы состоит в том, что майнеры очень быстро эволюционируют. Начав с использования легитимных программ-майнеров они достаточно быстро перешли к специальным модулям майнига, освоили средства сокрытия от пользователя, научились регулировать загрузку процессов. Уже появились бестелесные майнеры.nnМайнеры, стартовав как обычные программы (правда потребляющие излишне много ресурсов) достаточно быстро превращаются в мощное вредоносное ПО.nnПродолжение в следующей статье…