Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Správa HP Wolf Security ukazuje, že účinná kombinácia komprimovaných súborov a prepašovanie škodlivého kódu do HTML súborov pomáha útočníkom oklamať detekčné nástroje

Spoločnosť HP Inc. (NYSE: HPQ) dnes vydala správu HP Wolf Security Threat Insights Report za tretí štvrťrok, podľa ktorej sú najčastejším typom súborov zneužívaným na šírenie malwaru komprimované formáty – napríklad súbory ZIP a RAR, ktoré prvýkrát po troch rokoch predstihli súbory Office. Táto správa poskytuje analýzu skutočných kybernetických útokov a pomáha organizáciám držať krok s najnovšími technikami, ktoré kyberzločinci používajú na obchádzanie detekcie a narúšanie bezpečnosti užívateľov v rýchlo sa meniacom prostredí kybernetického zločinu.

Na základe údajov z miliónov koncových zariadení so systémom HP Wolf Security sa výskumom zistilo, že 44 % malwaru bolo skrytých v doručených komprimovaných súboroch, čo je o 11 % viac ako v predchádzajúcom štvrťroku, zatiaľ čo 32 % sa skrývalo v súboroch Office, ako sú Microsoft Word, Excel a PowerPoint.[1]

Zdroj: HP Wolf Security
A man works on architectural designs on a HP Z Display Z34C Curved Display.

Správa informuje o niekoľkých útočných kampaniach, kombinujúcich použitie komprimovaných súborov s novými technikami prepašovania škodlivého kódu do súborov HTML. Kyberzločinci vkladajú škodlivé komprimované súbory do súborov HTML, aby obišli e-mailové brány, a následne vykonali útok.

Napríklad nedávne útoky QakBot a IceID využívali súbory HTML na presmerovanie používateľov na falošné online prehliadače dokumentov, ktoré sa vydávali za stránky prevádzkované firmou Adobe. Používatelia boli následne inštruovaní, aby otvorili súbor ZIP a zadali heslo pre rozbalenie súborov, ktoré potom do ich počítačov nasadili malware.

Pretože je malware v pôvodnom súbore HTML zakódovaný a zašifrovaný, je jeho detekcia e-mailovou bránou alebo inými bezpečnostnými nástrojmi veľmi obtiažna. Útočník sa spolieha na sociálne inžinierstvo a vytvorí presvedčivú a graficky dobre spracovanú webovú stránku, ktorej cieľom je oklamať používateľov a prinútiť ho k spusteniu útoku otvorením škodlivého súboru ZIP. V októbri sa zistilo, že tí istí útočníci použili podvrhnuté stránky Google Drive – taktiež s cieľom prinútiť používateľov k otvoreniu infikovaných súborov ZIP.

Archívy je možné jednoducho šifrovať, takže do nich útočníci môžu skryť malware, a obísť tak webové proxy servery, sandboxy alebo programy na kontrolu e-mailov. To sťažuje odhalenie útokov, najmä ak pri nich útočník zároveň použije techniky prepašovania HTML kódu. Na kampaniach QakBot a IceID bolo pozoruhodné, koľko úsilia útočníci venovali vytvoreniu falošných stránok. Tieto kampane pôsobili vierohodnejšie ako predchádzajúce útoky, a pre používateľov preto nebolo ľahké rozpoznať, ktorým súborom môžu alebo nemôžu veriť,“ vysvetľuje Alex Holland, Senior Malware Analyst výskumného tímu HP Wolf Security spoločnosti HP Inc.

Spoločnosť HP odhalila aj detailne prepracovanú kampaň využívajúcu modulárny reťazec infekcie, ktorý by útočníkom dovolil zmeniť typ útoku aj v priebehu kampane. Napríklad využiť na útok spyware, ransomware či keylogger – prípadne zaviesť nové funkcie, ako je geo-fencing. To by útočníkovi umožnilo meniť taktiku v závislosti od napadnutého cieľa. Vzhľadom na to, že malware nie je obsiahnutý priamo v prílohe odoslanej adresátovi, je pre e-mailové brány tiež ťažšie tento typ útoku rozkryť.

Ako sa ukázalo, útočníci neustále menia techniky, takže je pre detekčné nástroje veľmi ťažké ich odhaliť,“ podotýka Dr. Ian Pratt, globálny riaditeľ pre zabezpečenie osobných systémov spoločnosti HP Inc. „Pri použití mikrovirtualizácie môžu organizácie uplatnením princípu nulovej dôvery a detailne prepracovanej izolácie zaistiť, aby sa potenciálne škodlivé úlohy – ako sú procesy iniciované kliknutím na odkaz alebo otvorením škodlivej prílohy – spúšťali v jednorazovom virtuálnom počítači, oddelenom od základných systémov. Tento proces je z hľadiska užívateľa úplne neviditeľný a dokáže zachytiť všetok skrytý malware, preto útočníci nemôžu získať prístup k citlivým dátam, a nemôžu teda do systému preniknúť a ďalej pokračovať v útoku.,

HP Wolf Security spúšťa rizikové úlohy, napríklad otváranie e-mailových príloh, sťahovanie súborov a klikanie na odkazy, v izolovaných mikrovirtuálnych počítačoch (micro-VM), aby chránil používateľov a podrobne analyzoval pokusy o infikovanie počítača. Technológia izolácie aplikácií spoločnosti HP zmierňuje hrozby, ktoré môžu zostať nezachytené inými bezpečnostnými nástrojmi, a poskytuje jedinečné informácie o nových technikách napadnutia a správania útočníkov. Vďaka izolácii hrozieb, ktoré dokázali na počítačoch obísť detekčné nástroje, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami. Do tejto chvíle klikli zákazníci HP na viac ako 18 miliárd e-mailových príloh, webových stránok a súborov na stiahnutie bez toho, aby došlo k narušeniu bezpečnosti.

O dátach

Dáta boli anonymne zhromaždené vo virtuálnych počítačoch zákazníkov HP s Wolf Security v období od júla do septembra 2022.


[1] Viac podrobností na strane 2 správy HP Wolf Security Q3 Threat Insights Report https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q3-2022/.

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.