Raport HP Wolf Security pokazuje, że połączenie plików archiwalnych i kodu HTML pomaga w oszukiwaniu narzędzi do wykrywania zagrożeń 

Firma HP Inc w grudniu br. opublikowała raport HP Wolf Security Threat Insights za trzeci kwartał, z którego wynika, że to pliki archiwów ­– takie jak ZIP i RAR – były najczęściej wykorzystywanym formatem do wysyłania złośliwego oprogramowania. Tym samym, po raz pierwszy od trzech lat prześcignęły pliki Office. W raporcie można znaleźć analizę cyberataków, które rzeczywiście się wydarzyły, pokazując jednocześnie organizacjom, jak być na bieżąco w szybko zmieniającym się otoczeniu cyberprzestępczości. Zapoznając się z najnowszymi technikami wykorzystywanymi przez przestępców, firmy mogą dowiedzieć się, w jaki sposób atakujący unikają wykrywania przez systemy ochronne i łamią zabezpieczenia użytkowników.

Na podstawie danych pochodzących z milionów urządzeń wyposażonych w system HP Wolf Security, raport wykazał, że 44% złośliwego oprogramowania zostało dostarczone do odbiorców w formie plików archiwów – co stanowi wzrost o 11% w stosunku do poprzedniego kwartału. Za pośrednictwem plików pakietu Office, takich jak Microsoft Word, Excel i PowerPoint, wysyłano ok. 32% malware’ów

 

HP Wolf Security Threat Insights obraz1

 

Raport zidentyfikował kilka rodzajów działań. Cyberprzestępcy osadzają złośliwy kod z plików archiwów w formacie HTML w celu ominięcia bramek e-mail, a następnie przeprowadzają atak.

Dla przykładu, ostatnie kampanie QakBot i IceID wykorzystywały pliki HTML do kierowania użytkowników do fałszywych przeglądarek dokumentów online, które podszywały się pod Adobe. Użytkownicy byli następnie instruowani, aby otworzyć ZIP i wprowadzić hasło w celu rozpakowania plików, które umieszczały złośliwe oprogramowanie na ich komputerach.

 

HP Wolf Security Threat Insights obraz2

 

Ponieważ złośliwe oprogramowanie w oryginalnym pliku HTML jest zakodowane i zaszyfrowane, wykrycie go przez bramkę poczty elektronicznej lub inne narzędzia bezpieczeństwa jest bardzo trudne. Zamiast tego, atakujący opiera się na socjotechnikach, tworząc przekonującą i dobrze zaprojektowaną stronę internetową, aby zachęcić odbiorcę do zainicjowania ataku poprzez otwarcie złośliwego pliku ZIP. W październiku br. zauważono również wykorzystanie fałszywych stron Google Drive przez te same grupy przestępców, którzy w ten sposób próbowali skłonić atakowanych do otwarcia złośliwych plików.

 

HP Wolf Security Threat Insights obraz3

 

Archiwa łatwo zaszyfrować, co pomaga cyberprzestępcom w ukrywaniu w nich złośliwego oprogramowania i omijaniu webowych proxy, sandboxów czy skanerów poczty elektronicznej. To sprawia, że ataki są trudne do wykrycia, zwłaszcza gdy stosowane są w nich również techniki przemycania kodu HTML. W kampaniach QakBot i IceID interesujący był wysiłek włożony w stworzenie fałszywych stron – były one bardziej przekonujące niż te, które widzieliśmy wcześniej, co utrudnia zorientowanie się, którym plikom można zaufać, a które wyglądają podejrzanie – wyjaśnia Alex Holland, Senior Malware Analyst, Zespół Badań Zagrożeń HP Wolf Security, HP Inc.

 

HP zidentyfikowało również nowe podejście hakerów, umożliwiające atakującemu zmianę taktyki
w zależności od celu i zabezpieczeń, które chcą złamać. Z uwagi na to, że złośliwe oprogramowanie
nie znajduje się bezpośrednio w załączniku wiadomości wysyłanej do odbiorcy, bramki e-mailowe
mają większe trudności z wykryciem tego rodzaju ataku.

 

HP Wolf Security Threat Insights obraz5

 

Jak wykazano w raporcie, napastnicy nieustannie zmieniają techniki, co bardzo utrudnia dostrzeżenie ich przez narzędzia wykrywające – komentujedr Ian Pratt, Global Head of Security for Personal Systems, HP Inc.  Postępując zgodnie z zasadą Zero Trust, polegającą na szczelnej izolacji, organizacje mogą wykorzystać mikrowirtualizację, aby mieć pewność, że potencjalnie złośliwe zadania – takie jak klikanie w linki lub otwieranie złośliwych załączników – są wykonywane w jednorazowej maszynie wirtualnej, oddzielonej od podstawowych systemów. Proces ten jest całkowicie niewidoczny dla użytkownika, a umożliwia zatrzymanie wszelkiego ukrytego w nim złośliwego oprogramowania. Dzięki temu atakujący nie uzyskują dostępu do wrażliwych danych czy systemu, a przemieszczanie się w sposób lateralny nie jest możliwe.

 

Oprogramowanie HP Wolf Security jest odpowiedzialne za uruchamianie ryzykownych zadań, takich jak otwieranie załączników poczty elektronicznej, pobieranie plików i klikanie łączy w odizolowanych, mikro-wirtualnych maszynach (micro-VM), aby chronić użytkowników, zapisując szczegółowe logi potencjalnych prób infekcji. Technologia izolowania aplikacji HP łagodzi zagrożenia, których mogą nie wykryć inne narzędzia, i zapewnia unikalny wgląd w nowe techniki włamań oraz zachowania cyberprzestępców. Dzięki możliwości odizolowania zagrożenia, które wcześniej nie zostało wykryte przez inne programy, HP Wolf Security posiada szczególny wgląd w najnowsze taktyki atakujących. Do tej pory klienci HP otworzyli ponad 18 miliardów plików, pobierając je z załączników w wiadomościach e-mail i stron internetowych – i nie odnotowali żadnych prób infekcji.