Багато запитів, надісланих як посилання або файл до Kaspersky Threat Intelligence Portal, виявляються троянськими програмами (25 відсотків), бекдорами (24 відсотки) і троянами-дроперами (23 відсотки).
Майже три чверті (72 відсотки) проаналізованих шкідливих файлів, надісланих через безкоштовну версію Kaspersky Threat Intelligence Portal, були троянами, бекдорами або дропперами. Аналіз наданих даних також показує, що типи шкідливих програм, які найчастіше вивчають дослідники, не обов’язково є найпоширенішими.
Виявлення зловмисної активності є лише відправною точкою для розслідування атаки. Щоб розробити заходи реагування та виправлення, аналітики безпеки повинні визначити ціль атаки, місце походження шкідливого об’єкта, його популярність тощо. Портал Kaspersky Threat Intelligence Portal допомагає аналітикам досліджувати ці проблеми.
Фахівці Касперського безкоштовно вивчили запити, надіслані до Kaspersky Threat Intelligence Portal у період з листопада 2019 року по травень 2020 року, щоб з’ясувати, з якими загрозами найчастіше пов’язані шкідливі об’єкти, які обробляє портал. У більшості випадків надіслані хеші або підозрілі завантажені файли виявилися троянами (25 відсотків запитів), бекдорами (24 відсотки) — зловмисним програмним забезпеченням, яке дозволяє зловмиснику віддалено керувати комп’ютером — і троянами-дроперами (23 відсотки), інші встановлюють шкідливі об'єкти. Статистика Kaspersky Security Network [3], яка аналізує пов’язані з кібербезпекою дані, якими поділилися мільйони волонтерів у всьому світі, показує, що трояни також зазвичай є найпоширенішим типом шкідливого програмного забезпечення. З іншого боку, бекдори та троянські програми не такі поширені — на них припадає лише 7 і 3 відсотки всіх шкідливих файлів, заблокованих кінцевими рішеннями Kaspersky відповідно.
Раннє виявлення проти аналізу
Цю різницю можна пояснити тим фактом, що дослідників безпеки часто більше цікавить кінцева ціль атаки, тоді як кінцеві рішення намагаються запобігти атаці на ранній стадії. Наприклад, вони не дозволяють користувачеві відкривати шкідливі електронні листи або переходити за шкідливим посиланням, запобігаючи бекдорам від компрометації комп’ютера користувача. Однак аналітики безпеки повинні ідентифікувати всі компоненти в дроппері.
Це також можна пояснити інтересом до певних загроз і бажанням дослідників детальніше їх проаналізувати. Наприклад, коли на початку року з’явилося багато повідомлень про Emotet, багато користувачів активно шукали інформацію про цю шкідливу програму. Також низка запитів стосувалася бекдорів для операційних систем Linux та Android. Ці сімейства зловмисних програм представляють інтерес для дослідників безпеки, але їхня кількість порівняно невелика порівняно з загрозами, націленими на Microsoft Windows.
Багато троянів в аналізі
«Ми виявили, що кількість безкоштовних запитів до Kaspersky Threat Intelligence Portal для сканування вірусів або фрагментів коду, які компрометують інші програми, дуже низька — менше одного відсотка», — коментує Денис Парінов, виконуючий обов’язки керівника відділу моніторингу загроз та евристичного виявлення Kaspersky. . «Однак, виходячи з досвіду, це одні з найпоширеніших загроз, які виявляються кінцевими рішеннями. Вони реплікуються та впроваджують свій код в інші файли, що може призвести до появи великої кількості шкідливих файлів у зараженій системі. Як ми бачимо, віруси рідко цікавлять дослідників, швидше за все тому, що їм бракує елемента новизни порівняно з іншими загрозами».
Портал Kaspersky Threat Intelligence Portal надає доступ до даних Threat Intelligence компанії та робить доступною всю інформацію та статистичні дані про кібератаки, які Kaspersky збирав за понад 20 років. Безкоштовний доступ до окремих функцій, які дозволяють користувачам перевіряти файли, URL-адреси та IP-адреси, доступний за адресою https://opentip.kaspersky.com/.
Перейдіть на Kaspersky.com для аналізу
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/