На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZNиз Словакии.
· Ты только что был на конференции ZeroNights. Понравилось?
Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления - 2 доклада, FastTrackи Workshop. Я в этот раз не выступал с докладом.
· Чем ты занимаешься в ESET?
Исследую наиболее интересные экземпляры вредоносных программ (malware).
Для антивирусной лаборатории – главное это своевременно обнаруживать вирусы. Но если обнаруживаем что-то интересное, то делаем детальный анализ и потом публикуем информацию в блогах или рассказываем на конференциях.
· Из последних наиболее интересных вирусов что вы анализировали?
Самыми сложными были образцы, которые исследовали в нашем российском офисе – TDL, Zeroaccess, Filecoder.
Из моего личного опыта – недавно мы рассматривали банковский троян Hesperbot , который похож по назначению на известные Zeusи SpyEye, но технически по-другому реализован.
· На сколько распространены банковские трояны и наносят ли они реальный ущерб?
Троян Hesperbotбыл нацелен на банки, в ограниченном количестве стран (в Чешской республике и нескольких других европейских стран). Обычно цель трояна определяется его конфигурационными файлами. И одно и то же вирусное ядро с разными конфигурациями может быть направлено против разных банков.
Мы взаимодействовали с многими банками чтобы оценить нанесенный ущерб, но я не могу назвать вам этих цифр. По моему мнению, ущерб от банковских троянов очень велик. Если вас интересуют цифры - вы можете почитать отчет Group-ib.
· Актуальны ли сейчас трояны для мобильных устройств
Сейчас у нас есть статистика только по Android, так как наш мобильный антивирус работает только под Android. Мобильные банковские трояны пока очень небольшая группа на фоне других мобильных троянов. Но такие трояны наиболее опасные, так как позволяют перехватить аутентификацию пользователя по всем каналам (http, sms, voice, mobileotp) например, Hesperbot. В то время как обычные банковские трояны не могут справиться с двухфакторной аутентификацией.
· Какие новые технологии анализа, уникальные для ESETвы недавно внедрили
Несколько новых функций.
Одна из новых фишек – ExploitBlocker, который помогает защититься от самых опасных направлений атак – заражение через эксплуатацию уязвимостей. В отличие от MicrosoftEmet, который нацелен на защиту от определенных типов уязвимостей, наша технология обнаруживает результат эксплуатации любого типа. Когда от имени браузера или pdf-ридера запускается какой-то подозрительный процесс, ExploitBlockerотслеживает это. Таким образом мы отслеживаем эксплоиты нулевого дня. Например, так обнаруживаем эксплоит, который победил на последнем Pwnie Awardsна BlackHat 2013 и умеет выходить из песочницы (sandbox) AdobeReader.
Другая фишка - Advanced Memory Scanner. Она призвана бороться с технологиями вирусописателей по скрытию своего схода путем полиморфизма сервисных сайтов, когда для каждого заражения генерируется новый уникальный экземпляр кода, за счет переупаковки исходной вредоносной программы в новую оболочку. Кроме того, современные вирусы умеют обнаруживать и распознавать песочницы и эмуляторы в которых их запускают и не распаковывают вредоносный код. Но в какой-то момент им всё-таки приходится распаковать его, чтобы провести атаку, и в этот момент AdvancedMemoryScanner, обнаруживает их.
· DSEC, организаторы ZeroNightsуже год назад предвещали появление первых вирусов для приложений SAP, но большинство антивирусных компаний их проигнорировали.
Почему эта тема не интересна? Какие-то технические сложности или нет реальной опасности?
Я не слышал про данную тему. В целом - сложно предсказать заранее от чего надо защищаться и какой новый путь атаки выберут злоумышленники. Но они обычно выбирают в качестве целей те системы, на которых можно заработать деньги и в качестве объекта атаки – наименее защищенное звено, т.е. пользователей. Поэтому наши средства защиты контролируют защищенность рабочего места пользователя и в большинстве случаев этого достаточно.
