Aký malvér skúmajú bezpečnostní analytici najčastejšie?
- Autor:
- Roman Mališka
- Zverejnené:
- 9. 7. 2020
- Hodnotenie:
- Už ste hlasovali.
Anonymizované štatistiky na základe nahraných súborov na portáli Kaspersky Threat Intelligence odhalili, že takmer tri štvrtiny (72 %) analyzovaných škodlivých súborov spadalo do týchto troch kategórií: trójske kone, zadné vrátka (resp. backdoor) a droppery. Zo štatistík tiež vyplýva, že typy malvéru, ktoré bezpečnostní analytici najčastejšie skúmajú, sa nezhodujú s tými najrozšírenejšími.
Detekcia škodlivej aktivity je v procese vyšetrovania kyberútokov len východiskovým bodom. Na to, aby mohli bezpečnostní analytici navrhnúť opatrenia v zmysle odozvy a nápravy útoku, musia najprv identifikovať cieľ útoku, pôvod škodlivej aktivity, jej popularitu a pod. Portál Kaspersky Threat Intelligence pomáha analytikom rýchlejšie odhaliť pozadie útoku. Odborníci spoločnosti Kaspersky sa pozreli na súbory analyzované na portáli Kaspersky Threat Intelligence, aby zistili, aké škodlivé súbory sú najčastejšie skúmanou kybernetickou hrozbou.
Vo väčšine prípadov sa ukázalo, že nahrané hashe či podozrivé súbory boli z veľkej časti trójske kone (25 % z nahraných súborov), čiže malvér, ktorý sa tvári ako bežný softvér, no v skutočnosti vykonáva škodlivé operácie, zadné vrátka (24 %), čiže malvér, ktorý útočníkovi umožňuje vzdialenú kontrolu nad počítačom obete a trojany typu dropper (23 %), čiže malvér, ktorý umožňuje inštaláciu ďalších škodlivých súborov. Štatistiky vyplývajúce z údajov Kaspersky Security Network (ide o infraštruktúru, ktorá je určená na spracovanie dátových tokov súvisiacich s kyberbezpečnosťou od miliónov dobrovoľných účastníkov po celom svete) potvrdzujú popularitu trójskych koní, ktoré sú zvyčajne najrozšírenejším typom malvéru. Ale zadné vrátka, či trojany typu dropper až také bežné nie sú. Tvoria iba 7 % v prípade zadných vrátok a 3 % v prípade dropperov zo všetkých škodlivých súborov blokovaných produktmi spoločnosti Kaspersky zameranými na ochranu koncových bodov.
Tento rozdiel sa dá vysvetliť tým, že bezpečnostní analytici sa často zaujímajú o konečný cieľ útoku, zatiaľ čo produkty na ochranu koncových bodov sa zas snažia predchádzať útokom v čo najskoršom štádiu. Používateľovi napríklad neumožňujú otvoriť škodlivý email či odkaz, a takisto je ich úlohou, aby zabránili v prístupe k počítaču cez tzv. zadné vrátka. Okrem toho bezpečnostní analytici musia identifikovať všetky prvky v dropperi.
Popularita týchto kategórií sa dá vysvetliť aj záujmom o konkrétne hrozby a potrebou analytikov ich čo najdetailnejšie preskúmať. Veľa používateľov napríklad aktívne vyhľadávalo informácie o malvéri Emotet, keď sa o ňom v médiách začiatkom roka objavilo niekoľko článkov. Zopár požiadaviek sa týkalo aj zadných vrátok v operačných systémoch Linux a Android. Analytici sa zaujímajú aj o tieto typy malvéru, no ich počty sú v porovnaní s hrozbami zameranými na Microsoft Windows relatívne nízke.
„Všimli sme si, že počet bezplatných žiadostí na portáli Kaspersky Threat Intelligence týkajúcich sa vírusov alebo častí kódov, ktoré sú vložené do iných programov, je extrémne nízky – menej než jedno percento, na druhej strane ide o jedny z najrozšírenejších hrozieb detegovaných riešeniami pre koncové body. Schopnosť toho, že sa vírusy dokážu sami replikovať a implementovať svoj kód do ďalších súborov, môže viesť k výskytu veľkého počtu škodlivých súborov v infikovanom systéme. Avšak ako vidíme, vírusy len zriedkavo vzbudzujú záujem analytikov, a to najmä preto, že v porovnaní s inými hrozbami nie sú ničím nové,“ vysvetľuje Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Portál Kaspersky Threat Intelligence sústreďuje na jednom mieste všetky informácie o kybernetických hrozbách, ktoré spoločnosť Kaspersky nadobudla za vyše 20 rokov svojej pôsobnosti. Bezplatný prístup k vybraným funkciám, ktoré umožňujú používateľom kontrolovať súbory, linky a IP adresy, je k dispozícii na tomto linku.
(Zdroj: Tlačová správa Kaspersky)
