вторник, 12 ноября 2013 г.

Общее. ESET после ZN (UPDATE)


На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZN из Словакии.

·        Ты только что был на конференции ZeroNights. Понравилось?
Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления  - 2 доклада, FastTrack и Workshop. Я в этот раз не выступал с докладом.
(UPDATE) “Hard to compare to other recent conferences – for example, I attended Virus Bulletin in Berlin in October, and it had some very interesting talks, but both of these conferences were aimed at different audiences. Zeronights was a lot more technical. Lots of low-level stuff was presented here on subjects such as the Windows kernel, virtualization, sandboxing, etc. You don’t see such in-depth presentations in many conferences. And I especially liked the workshops – Aleks Matrosov and Eugene Rodionov, for example, had a workshop on analyzing object-oriented code. All-in-all, it was a great conference for a reverse engineer. But mostly for Russian speakers, even though the interpreters were doing a fine job”


·        Чем ты занимаешься в ESET?
Исследую наиболее интересные экземпляры вредоносных программ (malware).
Для антивирусной лаборатории – главное это своевременно обнаруживать вирусы. Но если обнаруживаем что-то интересное, то делаем детальный анализ и потом публикуем информацию в блогах или рассказываем на конференциях.

·        Из последних наиболее интересных вирусов что вы анализировали?
Самыми сложными были образцы, которые исследовали в нашем российском офисе – TDL, Zeroaccess, Filecoder.
Из моего личного опыта – недавно мы рассматривали банковский троян Hesperbot, который похож по назначению на известные Zeus и SpyEye, но технически по-другому реализован.

·        На сколько распространены банковские трояны и наносят ли они реальный ущерб?
Троян Hesperbot был нацелен на банки, в ограниченном количестве стран (в Чешской республике и нескольких других европейских стран). Обычно цель трояна определяется его конфигурационными файлами. И одно и то же вирусное ядро с разными конфигурациями может быть направлено против разных банков.
Мы взаимодействовали с многими банками чтобы оценить нанесенный ущерб, но я не могу назвать вам этих цифр. По моему мнению, ущерб от банковских троянов очень велик. Если вас интересуют цифры - вы можете почитать отчет Group-ib.

·        Актуальны ли сейчас трояны для мобильных устройств
Сейчас мы ведем активную статистику по Android, так как для этой платформы уже много прецедентов и достаточно данных для анализа (ниже общая статистика за последние 24 месяца).  Мобильные банковские трояны пока очень небольшая группа на фоне других мобильных троянов. Но такие трояны наиболее опасные, так как позволяют перехватить аутентификацию пользователя по всем каналам (http, sms, voice, mobile otp) например, Hesperbot. В то время как обычные банковские трояны не могут справиться с двухфакторной аутентификацией.



·        Какие новые технологии анализа, уникальные для ESET вы недавно внедрили
Несколько новых функций.
Одна из новых фишек – Exploit Blocker, который помогает защититься от самых опасных направлений атак – заражение через эксплуатацию уязвимостей. Эксплуатация уязвимостей опасна тем, что выполняется без участия пользователей и может поражать устройства даже у опытных и осторожных пользователей.
В отличие от Microsoft Emet, который нацелен на защиту от определенных типов уязвимостей, наша технология обнаруживает результат эксплуатации любого типа. Когда от имени браузера или pdf-ридера запускается какой-то подозрительный процесс, Exploit Blocker отслеживает это.  Таким образом мы отслеживаем эксплоиты нулевого дня.  Например, так обнаруживаем эксплоит, который победил на последнем Pwnie Awards на BlackHat 2013 и умеет выходить из песочницы (sandbox) Adobe Reader.

Другая фишка - Advanced Memory Scanner.  Она призвана бороться с технологиями вирусописателей по скрытию своего схода путем полиморфизма сервисных сайтов, когда для каждого заражения генерируется новый уникальный экземпляр кода, за счет переупаковки исходной вредоносной программы в новую оболочку. Кроме того, современные вирусы умеют обнаруживать и распознавать песочницы  и эмуляторы в которых их запускают и не распаковывают вредоносный код. Но в какой-то момент им всё-таки приходится  распаковать его, чтобы провести атаку, и в этот момент Advanced Memory Scanner, обнаруживает их. 

·        DSEC, организаторы ZeroNights уже год назад предвещали появление первых вирусов для приложений SAP, но большинство антивирусных компаний их проигнорировали.
Почему эта тема не интересна? Какие-то технические сложности или нет реальной опасности?
Я не слышал про данную тему. В целом - сложно предсказать заранее от чего надо защищаться и какой новый путь атаки выберут злоумышленники. Но они обычно выбирают в качестве целей те системы, на которых можно заработать деньги и в качестве объекта атаки – наименее защищенное звено, т.е. пользователей. Поэтому наши средства защиты контролируют защищенность рабочего места пользователя и в большинстве случаев этого достаточно.




2 комментария:

А.А. комментирует...

Как то я по старой памяти недолюбливаю ESET :(

Сергей Борисов комментирует...

Почему?